mich beschäftigt gerade folgende Frage: Wenn eine Firma KI-Tools einsetzen möchte, in der KI-Unternehmensrichtlinie aber klar regelt, dass personenbezogene Daten nicht eingegeben werden dürfen, scheint der Datenschutz erst einmal “fein raus” zu sein.
Aber selbst, wenn keine pers.bez. Daten in den Prompt eingegeben werden, könnten ja pers.bez. Daten dennoch in die KI/an den KI Anbieter übermittelt werden, nämlich die der Mitarbeiter, wenn sie personalisierte Accounts anlegen.
Selbst bei Sammel-Accounts ist bei einigen Anbietern (z.B. Chat GPT, zumindest bei der kostenlosen Version) die Eingabe von vollständigem Vor- und Zuname sowie das vollständige Geburtsdatum erforderlich.
Gibt es hier einen best-practice-Weg?
Ist es sinnvoll, sich von den Mitarbeitern die Einwilligung geben zu lassen, wenn in der Abteilung so ein Tool eingesetzt werden soll?
Vielen Dank schon mal für Eure Ansichten.
Viele Grüße
dedsb
Ja, eine Einwilligung halte ich da mangels Freiwilligkeit nicht für möglich, § 26 II 1 BDSG.
Ich wenn keine personenbezogenen oder personenbeziehbaren Daten eingegeben - und auch nicht ausgegeben - werden, dann halte ich die Nutzung von LLM wie ChatGPT für datenschutzrechtlich vertretbar. Die LLM wurden mE zwar unter massiven Verstößen gegen Datenschutz-, Urheber- und Leistungsschutzrecht trainiert, aber es geht ja nicht um eine moralische oder politische Bewertung, sondern darum, ob der konkrete Verarbeitungsvorgang personenbezogene Daten verarbeitet. Wenn Input und Output “sauber” sind, gibt es nach meinem Verständnis der Funktion von LLMs keinen Anhaltspunkt dafür, dass in der Blackbox trotzdem personenbezogene Daten verarbeitet werden.
Ich würde bei Sammel-Accounts einfach falsche Daten angeben. Wenn es personenbezogen sein muss, ist es vor allem wichtig, dass die Daten der betroffenen Beschäftigten nur für die Vertragserfüllung, und nicht für das Training der KI, verwendet werden. Kann man bei Pro-Accounts mW so einstellen. Das Unternehmen darf jedenfalls nicht mit den Daten der Beschäftigten bezahlen.
Wenn ein Unternehmen in der KI-Richtlinie klar regelt, dass personenbezogene Daten nicht eingegeben werden dürfen, dann soll diese klare Richtlinie auch klarstellen welche Accounts von den Mitarbeitenden genutzt werden dürfen und welche nicht. Sollte ein GenAI-Anbieter Vor- und Zuname verlangen, kann sich das Unternehmen ja einen anderen GenAI-Anbieter suchen. Oder andere vertragliche Möglichkeiten suchen.
Oder verstehe ich die Frage evtl. nicht bzw. mir fehlt ein Beispiel für eine solche “klare KI-Unternehmensrichtlinie”.
Ich kenne es zB so, dass das Unternehmen ein “Sammel-Account” den Mitarbeitenden anbietet, der keine Registrierung und keine User/password Angaben von den Mitarbeitenden verlangt
Vielen Dank für die Antworten und hilfreichen Tipps.
Leider wird das Einrichten eines Sammelaccounts häufig nicht gewünscht und ich habe auch schon Sätze gehört wie: “Das geben die Mitarbeiter doch freiwillig ein, die wollen ja das Tool nutzen”…
welche Accounts von den Mitarbeitenden genutzt werden dürfen und welche nicht. Sollte ein GenAI-Anbieter Vor- und Zuname verlangen, kann sich das Unternehmen ja einen anderen GenAI-Anbieter suchen. Oder andere vertragliche Möglichkeiten suchen.