:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108bcbb5b54b2aea3729797f41c64b0/0115212126.jpeg "Nachhaltige Cyber-Resilienz steht und fällt mit einer unternehmensweiten Cybersicherheitskultur der gemeinsamen Verantwortung, die den Menschen ins Zentrum stellt. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
ChatGPT im Unternehmenseinsatz Lässt sich ChatGPT datenschutzgerecht nutzen?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Trotz der laufenden Datenschutz-Diskussion rund um ChatGPT kommt der KI-Dienst bereits betrieblich zum Einsatz. Leserinnen und Leser fragten, ob sich denn ChatGPT überhaupt datenschutzkonform nutzen lässt. Wir haben Prof. Dieter Kugelmann, Leiter der KI-Taskforce der Datenschutzkonferenz (DSK) und Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, dazu befragt.
Viele Startups sind sehr innovativ und entsprechend aufgeschlossen für neue Technologie wie Künstliche Intelligenz (KI). Wie eine Umfrage des Digitalverbands Bitkom ergab, kommt in mehr als der Hälfte der deutschen Startups (53 Prozent) generative KI zur Textgenerierung wie ChatGPT bereits zum Einsatz. Weitere elf Prozent nutzen solche Tools noch nicht, haben dies aber bereits geplant, 21 Prozent können es sich für die Zukunft vorstellen.
Betrachtet man die Unternehmen in Deutschland generell, ist der Einsatz von ChatGPT zwar noch nicht so verbreitet wie unter den Startups, geplant wird die Nutzung aber dennoch: Jedes sechste Unternehmen (17 Prozent) plant den Einsatz solcher KI-Anwendungen, weitere 23 Prozent haben keine konkreten Planungen, können sich die Nutzung aber vorstellen. Demgegenüber stehen 29 Prozent der Unternehmen, die einen solchen KI-Einsatz für sich ausschließen, so Bitkom.
Im Bereich Datenschutz gibt es offene Fragen
Einer der Gründe, solche KI-Dienste für sich auszuschließen, werden im Datenschutz gesehen. So sieht sich eine Mehrheit von 58 Prozent bei KI vor neue Herausforderungen gestellt, etwa beim Datenschutz.
Leserinnen und Leser von Security-Insider stellen sich konkret die Frage: Gibt es für Unternehmen bei ChatGPT einen Weg zum Beispiel über Datenschutz-Folgenabschätzung (DSFA), Nutzungsbedingungen und Schulung, um diesen KI-Dienst datenschutzgerecht nützen zu können? Fragen wie diese sollte man vor dem Einsatz von ChatGPT & Co klären.
Was sagen die Aufsichtsbehörden für den Datenschutz in Deutschland beziehungsweise das Gremium der unabhängigen Datenschutzbehörden in Deutschland, also die Datenschutzkonferenz (DSK), dazu? Wir haben Prof. Dieter Kugelmann, Leiter der KI-Taskforce der Datenschutzkonferenz (DSK) und Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, dazu befragt.
Hinweise einer Datenschutzaufsicht zu ChatGPT
Worauf sollten Unternehmen bei einer Datenschutz-Folgenabschätzung (DSFA) für ChatGPT achten?
Um die möglichen Risiken durch die Nutzung eines KI-basierten Dienstes wie ChatGPT zu minimieren, sollten Unternehmen den Zweck, für den ein solcher Dienst genutzt werden darf, möglichst eng begrenzen.
Aus Sicht des Datenschutzes bedeutet dies auch, den Personenbezug so gering wie möglich zu halten. Viele KI-Anwendungen benötigen gar keinen direkten Personenbezug, vielmehr reicht die Verwendung von Pseudonymen oder noch besser anonymen Daten völlig aus.
Wichtig ist es zudem, einem Dienst wie ChatGPT die Übernahme der Eingabedaten (Prompts) in den Trainingsdatenbestand zu verbieten. Hierzu gibt es spezielle Einstellungen, die OpenAI inzwischen vorgesehen hat.
Insgesamt sollten Unternehmen einen solchen Dienst nur zur schnellen Recherche und zur Vorbereitung menschlichen Entscheidens verwenden und nicht etwa für eine automatisierte Entscheidung im Einzelfall oder Profiling.
Ich möchte an dieser Stelle nochmals auf die sogenannte Hambacher Erklärung zur Künstlichen Intelligenz verweisen, deren Lektüre ich nur empfehlen kann.
Können Sie bereits etwas zu den Nutzungsbedingungen von ChatGPT sagen?
Wir sind noch in der Prüfung, jedoch kann man schon sagen, dass die Nutzungsbedingungen vieles offen lassen. Alleine ein Verweis auf derartige Nutzungsbedingungen wird also aus Datenschutzsicht nicht ausreichen, um hinreichende Transparenz für die Nutzung herzustellen.
Was sollten interne Richtlinien im Unternehmen zu ChatGPT mit Blick auf die Datenschutz-Grundverordnung (DSGVO) enthalten? Kann man hier schon etwas empfehlen?
Was man schon sagen kann: Grundsätzlich sollten Unternehmen solche Dienste, wenn überhaupt, nur für die Unternehmenszwecke verwenden und freigeben. Eine Privatnutzung am Arbeitsplatz sollte nicht erlaubt werden, um die Daten der Beschäftigten keinem möglichen Datenrisiko auszusetzen.
Vertrauliche und personenbezogene Daten sollten in entsprechende Dienste nicht eingegeben werden. Das gilt insbesondere auch für sensible Daten iSd Art. 9 DS-GVO.
Zudem sollte die Weitergabe der Ergebnisse eines solchen Dienstes an unbefugte Dritte ausgeschlossen werden.
Was sollte in einer Schulung zu ChatGPT nicht vergessen werden?
Natürlich sollten die internen Richtlinien des Unternehmens nicht nur aufgestellt, sondern auch in einer Schulung vermittelt werden. Wichtig ist zudem der Hinweis: ChatGPT kann auch falsche Ergebnisse liefern. Man muss also immer nachprüfen.
Und: Spaß mit der offenen Version ist eine Sache, sachorientierte Ergebnisse zu erreichen, eine andere.
Kann die KI Taskforce schon etwas sagen zur Prüfung von ChatGPT? Bis wann rechnen Sie mit ersten Ergebnissen?
Wir sind noch mit der Prüfung der umfangreichen Antworten von OpenAI befasst. Es hat sich schon gezeigt, dass unsererseits wohl Bedarf an zusätzlichen Nachfragen besteht, der Abstimmungs- und Auswertungsprozess wird also noch einige Zeit dauern.
Fragenkatalog zu ChatGPT liefert Beispiel für eine KI-Prüfung
Es lohnt sich, den Fragenkatalog, den die Aufsichtsbehörden für den Datenschutz zur Beantwortung an OpenAI geschickt haben, genauer anzusehen. Man findet darin zentrale Fragen, die der Datenschutz an einen KI-basierten Dienst stellt. Damit kann der Fragenkatalog auch eine Hilfe sein, wenn ein Unternehmen selbst einen KI-Dienst hinterfragen will, zum Beispiel für eine Datenschutz-Folgenabschätzung (DSFA) nach DSGVO.
Es zeigt sich also: Als Unternehmen sollte man zurückhaltend bei der Nutzung eines Dienstes wie ChatGPT sein. Noch ist vieles offen. Alleine ein Verweis auf Nutzungsbedingung, eine Schulung und eine interne Risikoanalyse wird nicht ausreichen. Es empfiehlt sich, die weiteren Ergebnisse der Datenschutzaufsichtsbehörden genau zu beachten. Wir werden weiter berichten.
(ID:49658496)
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/5e/f85e2973be4449faacb6b190ec4017d2/0112934413.jpeg "Abgesehen von der Frage der Verlässlichkeit und Qualität der Ergebnisse von generativer KI, ergeben sich zahlreiche rechtliche Fragestellungen bzw. Risiken, denen sich Unternehmen stellen müssen. (Bild: phonlamaiphoto - stock.adobe.com)")