:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Rechtliche Fragestellungen beim Einsatz generativer KI Risiken von ChatGPT am Arbeitsplatz
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Unternehmen setzen KI-Tools, wie ChatGPT zunehmend für die Erstellung von Software-/Computercodes und journalistischen Inhalten sowie für Kundenservice oder Recherchezwecke ein. Der Einsatz künstlicher Intelligenz (KI) im Arbeitsalltag bietet zahlreiche Chancen. Allerdings bringen KI-Tools, wie ChatGPT, gleichzeitig eine Fülle an Unwägbarkeiten und Risiken mit sich.
Zunächst ist darauf hinzuweisen, dass sowohl Arbeitnehmer als auch Arbeitgeber beim Einsatz solcher Tools Vorsicht walten lassen sollten. Derzeit enthalten KI-generierte Texte oft ungenaue oder gänzlich falsche Informationen. Es ist daher dringend zu empfehlen, die erstellten Inhalte eingehend auf Fehler zu prüfen und ggf. zu überarbeiten. Abzuwarten bleibt, ob künftige Weiterentwicklungen zu verlässlicheren Ergebnissen führen werden.
Darüber hinaus ist die Qualität KI-generierter Inhalte stark abhängig von einer möglichst detaillierten Beschreibung des gewünschten Inhalts. Für Arbeitgeber wird es daher in Zukunft von großer Relevanz sein, Arbeitnehmer zu beschäftigen, die im Umgang mit KI-Tools besonders qualifiziert sind. Der verbreiteten Angst, KI könnte den Wegfall vieler Millionen Arbeitsplätze bedeuten (laut Goldman-Sachs weltweit bis zu 300 Mio. Arbeitsplätze), kann also entgegengehalten werden, dass der verbreitete Einsatz von KI gleichzeitig eine Vielzahl völlig neuer Berufe, wie z.B. des „Prompt Engineer“, erwarten lässt.
Abgesehen von der Frage der Verlässlichkeit und Qualität der Ergebnisse von KI, ergeben sich zahlreiche rechtliche Fragestellungen bzw. Risiken.
Problemfeld 1: Urheberrecht
Der Mensch ist bequem und daher werden Nutzungsbedingungen von Online-Diensten in der Praxis oft ignoriert. Dies kann generell und im Fall von KI im Besonderen – hier am Beispiel ChatGPT – weitreichende rechtliche Folgen haben. Zunächst regelt Abschnitt 3 a) der ChatGPT-Nutzungsbedingungen, dass alle Rechte an generierten Inhalten auf den Nutzer übertragen werden. Der Abschnitt ist nach dem deutschen Recht so auszulegen, dass dem Nutzer mutmaßlich damit die Nutzungsrechte an den Inhalten eingeräumt werden sollen. Völlig offen ist allerdings bisher, ob an KI-generierten Inhalten überhaupt Urheberrechte bestehen können. Die deutsche Rechtsprechung vertritt bislang die Auffassung, dass nur ein Mensch Schöpfer eines urheberrechtlich geschützten Werks sein kann. Solange von dieser Rechtsprechung nicht abgewichen wird bzw. eine Gesetzesänderung erfolgt, müssen Unternehmen fürchten, dass z.B. ein KI-generierter journalistischer Beitrag oder Softwarecode keinerlei Schutz genießt und daher von Wettbewerbern unentgeltlich und ohne Einschränkungen genutzt werden könnte. Daneben regelt Abschnitt 3 c) der Nutzungsbedingungen, dass OpenAI als Betreiber durch den Nutzer das Recht gewährt wird, die eingegebenen Inhalte weiterzuverwenden. Es besteht also die Gefahr, dass Unternehmen unbewusst Nutzungsrechte an eigenen, urheberrechtlich geschützten Inhalten gewähren. Dem kann im Fall der Nutzung der regulären (Non-API) Webversion nur entgegengewirkt werden, indem mittels Opt-Out einer solchen Rechteeinräumung aktiv widersprochen wird.
Problemfeld 2: Geschäftsgeheimnisse
Ein wesentliches Kapital eines Unternehmens stellen regelmäßig Geschäftsgeheimnisse dar ¬– ganz gleich, ob es sich dabei um Kundendaten, Konstruktionszeichnungen, Rezepturen oder Hintergrundinformationen für Marketingkampagnen handelt. Geschützt sind diese insbesondere durch das Geschäftsgeheimnisgesetz (GeschGehG). Der sorglose Umgang mit Geheimnissen, etwa durch Eingabe in ein KI-Tool, kann dazu führen, dass der Schutz unter dem GeschGehG nicht länger besteht. Unternehmen setzen sich nämlich in diesem Zusammenhang dem Vorwurf aus, keine „angemessenen Geheimhaltungsmaßnahmen“ getroffen zu haben. Dieser Vorwurf erschließt sich, wenn man sich z.B. erneut die Nutzungsbedingungen von ChatGPT vor Augen führt. Demnach werden die eingegebenen Daten OpenAI zur weiteren Verwendung (u.a. zur Verbesserung des Algorithmus) zur Verfügung gestellt. In der Folge ist nicht auszuschließen, dass diese Daten einer unbegrenzten Zahl weiterer Nutzer ausgespielt werden und so zur Kenntnis gelangen. Wie dargelegt besteht zwar die Möglichkeit des aktiven Opt-Outs, der einzig sichere Weg zum Schutz von Geschäftsgeheimnissen bleibt allerdings, es schlichtweg zu unterlassen, solche Informationen in ein KI-Tool einzugeben.
Problemfeld 3: Datenschutz
Die datenschutzrechtliche Bedenklichkeit der Nutzung von KI-Tools hat nicht zuletzt das zeitweise Verbot von ChatGPT durch die italienische Datenschutzaufsichtsbehörde (GPDP) offenbar gemacht. Das KI-Tool bringt zum einen Kollisionen mit der Datenschutzgrundverordnung (DSGVO) mit sich, die auch bereits in Bezug auf andere US-amerikanische Dienste (Google Analytics etc.) von Datenschutzbehörden kritisch beäugt werden. Im Mittelpunkt stand dabei die Datenübermittlung in die USA, die von der EU, bis zum Angemessenheitsbeschluss vom 11.7.2023, als nicht dem Datenschutzniveau der DSGVO entsprechendes Drittland eingestuft wurden. Nach dem neuen Angemessenheitsbeschluss greifen diese Bedenken – zunächst – nicht mehr. Es ist aber damit zu rechnen, dass der Angemessenheitsbeschluss sehr zeitnah wieder dem EuGH zur Prüfung vorliegen wird und ob dieser standhält, kann bezweifelt werden.
Zum anderen kritisierte die GDPD die unzureichende Ausgestaltung der von OpenAI zur Verfügung gestellten Datenschutzhinweise. Die GPDP bezog sich, neben mangelhaftem Jugendschutz, vor allem auf den unangemessenen Umgang mit Betroffenenrechten (Auskunft über und Löschung von erhobenen Daten). Es sei insbesondere nicht ausreichend nachvollziehbar, welche Daten zu welchen Zwecken, wie lange und auf welcher Rechtsgrundlage verarbeitet und gespeichert werden. Inzwischen hat OpenAI seine Datenschutzhinweise überarbeitet und die GPDP das Verbot in Italien wieder aufgehoben. Dennoch bleiben die Datenschutzhinweise unzureichend, da insbesondere notwendige Rechtsgrundlagen nicht dargelegt werden.
Für Einzelne mögen bestehende datenschutzrechtliche Unzulänglichkeiten unproblematisch erscheinen, solange es sich nur um die eigenen personenbezogenen Daten handelt. Aus derzeitiger Sicht bleibt jedoch zu befürchten, dass spätestens bei Eingabe z.B. von Kundendaten oder Daten anderer Mitarbeiter eine bußgeldbewehrte Datenschutzverletzung begangen werden könnte.
Problemfeld 4: Persönlichkeitsrechte
Beim Einsatz von KI-Tools bestehen sowohl in Bezug auf den Input als auch den Output des Weiteren auch persönlichkeitsrechtliche Risiken. So kann die Eingabe personenbezogener Daten neben Datenschutzverletzungen (vgl. III.) auch die Verletzung von Persönlichkeitsrechten Betroffener verursachen. ChatGPT bietet zudem die Möglichkeit z.B. Songtexte im Stile bestimmter Künstler zu generieren. Dem Stil eines Künstlers kommt zwar kein urheberrechtlicher Schutz zu, allerdings kann der generierte Songtext als „Werkfälschung“ das allgemeine Persönlichkeitsrecht der Person verletzen, der er zugeschrieben wird (BGH NJW 1990, 1986 [1988] – Emil Nolde).
Fazit
Festzuhalten ist, dass es bei der Nutzung von KI-Tools für Arbeitnehmer und Arbeitgeber einiges zu beachten gibt: Arbeitnehmerinnen und Arbeitnehmer sollten weder personenbezogene Daten noch vertrauliche Informationen in solche Tools eingeben – denn diese sind im Zweifel nicht geschützt oder verletzen im schlimmsten Fall Rechte Dritter. Arbeitgeber sollten ihre Mitarbeiter*innen für die Risiken sensibilisieren. Aufklärung und Schulung sind im Hinblick auf KI-Tools für die Zukunft unabdingbar. Vor diesem Hintergrund sollten Unternehmen ihre Arbeitsverträge, internen Richtlinien und Arbeitsanweisungen zum Geheimnisschutz sowie zur erlaubten Nutzung des Internets (AUP) prüfen. Zusätzlich sollte hinterfragt werden, ob, in welchem Umfang und durch welche Mitarbeiter eine Nutzung von KI-Anwendungen für das Unternehmen sinnvoll ist. Ausgehend vom Ergebnis dieser Auswertung kann als ergänzende Maßnahme zum Geheimnisschutz die Nutzung solcher KI-Tools für bestimmte Mitarbeiterkreise verboten und auch der Zugang zu diesen technisch beschränkt werden.
Es bleibt abzuwarten, inwieweit KI-Anbieter die Nutzungsbedingungen ihrer Dienste an die rechtlichen Anforderungen in der EU anpassen und was die Gesetzgebung vorsieht. Ein Verbot wie in Italien erscheint kontraproduktiv. Angesichts der möglichen Innovationen mittels KI bleibt zu hoffen, dass Anbieter und Gesetzgeber zeitnah Lösungen für einen rechtskonformen Einsatz entwickeln, um bestehende Chancen und Risiken in Einklang bringen.
Über den Autor:Dr. Christian Engelhardt, LL.M., ist Partner und Rechtsanwalt bei Baker Tilly am Standort Hamburg. Der promovierte Jurist berät Unternehmen bei Fragen zum Datenschutzrecht, Gewerblichen Schutzrecht und Urheberrecht (IP) sowie IT-Recht. Zudem unterstützt er Mandanten rechtlich bei Transaktionen.
(ID:49620792)
:quality(80)/p7i.vogel.de/wcms/c9/31/c9310cd2ee7e65c09177e4ca2cb32b77/0112940901.jpeg "Der EU AI-Act ist das weltweit erste Gesetz zur Regulierung von künstlicher Intelligenz. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/41/21416a22094050a42523321b4cae1941/0113384447.jpeg "Als Unternehmen sollte man zurückhaltend bei der Nutzung eines Dienstes wie ChatGPT sein. Es empfiehlt sich, die weiteren Ergebnisse der Datenschutzaufsichtsbehörden genau zu beachten. (Bild: phonlamaiphoto - stock.adobe.com)")