25. Oktober 2023 Daniel Gal*

Wird ChatGPT den größten Datenskandal der Welt verursachen?

Die Verbreitung von KI-Sprachmodellen hat unsere Interaktionen mit Texten und Inhalten grundlegend verändert. Doch hinter der Vielzahl von Anwendungsfällen schlummert ein Datenschutzproblem, das zu einem der größten Skandale in der IT-Geschichte werden könnte. [...]

Daniel Gal, Gründer der Digitalberatung GAL und nele.ai. (c) GAL Digital GmbH
Daniel Gal, Gründer der Digitalberatung GAL und nele.ai. (c) GAL Digital GmbH

Das KI-Sprachmodell ChatGPT und seine Varianten haben dauerhaft die Art und Weise verändert, wie wir Inhalte recherchieren, Texte, Artikel oder ganze Bücher schreiben, E-Mail-Kampagnen erstellen oder weitere Content-Formen generieren. Doch jenseits der weltweiten Euphorie schlummert unter der Convenience-Fassade das Potential für einen der größten Datenschutz-Skandale der IT-Geschichte. Ursache hierfür ist vor allem die Methodik, wie der Erfinder OpenAI sein Angebot gestaltet. Denn sowohl bei ChatGPT in der kostenlosen, als auch in der kostenpflichtigen Version Premium, wird zumindest ohne weitere Einstellungen, laut OpenAI alle Eingaben gespeichert und möglicherweise zum Optimieren des zukünftiger KI-Modelle benutzt.

Als das amerikanische Tech-Unternehmen OpenAI im November 2022 das generative, KI-basierte Sprachmodell GPT-3 mit der intuitiven Benutzerschnittstelle ChatGPT veröffentlichte, wurde ein regelrechter Hype ausgelöst. Bereits nach nur 5 Tagen hatten sich weltweit mehr als eine Million NutzerInnen registriert. Entsprechend herrschte in den folgenden Wochen und Monaten eine echte Goldgräberstimmung, bezüglich der datenschutzrechtlichen Rahmenbedingungen machten sich nur die allerwenigsten BenutzerInnen weitergehende Gedanken. Im Fokus stand vor allem das Ausloten der vermeintlich unbegrenzten Möglichkeiten. Ob die in der Oberfläche eingegebenen Informationen möglicherweise die EU-DSGVO und/oder unternehmensspezifische Compliance-Richtlinien kompromittierten, blieb außen vor, Neugierde und Experimentierfreudigkeit überwogen deutlich. 

Der KI-„Welpenschutz“ war schnell vorbei

Seitdem führten etliche Datenleaks und Präzedenzfälle dazu, dass sich nicht nur ausgewiesene DSGVO-InsiderInnen mit den Compliance-Problemen von ChatGPT beschäftigen, sondern sich ganze EU-Staaten in der Pflicht sehen, rigorose Konsequenzen anzukündigen – und auch umzusetzen. Die italienische Datenschutzbehörde hatte Ende März diesen Jahres landesweit den Einsatz von ChatGPT verboten, im Laufe des Aprils aber die Nutzung wieder erlaubt, nachdem OpenAI zumindest einige der Nachbesserungs-Forderungen umgesetzt hat. Offen blieb zum Beispiel die Aufforderung, ein Altersschutzsystem zu etablieren. Mitte September 2023 hatte Großbritannien ein aus sieben Prinzipien bestehendes Grundsatzwerk verabschiedet, um der Notwendigkeit von Transparenz und Rechenschaftspflicht Nachdruck zu verleihen. Konkret war es zeitweise möglich, über einen Drittanbieter die Kontodaten von Abonnenten der kostenpflichtigen Plus-Variante von ChatGPT einzusehen, auch waren unternehmens- und personenbezogene Informationen in einigen Prompts für unbefugte NutzerInnen einsehbar.

Die dahinterstehende Grundsatzproblematik scheint aber noch nicht ansatzweise entschärft worden zu sein. Sie setzt sich aus zwei Komponenten zusammen:

Intransparenz der Datennutzung

Einer der größten Stärken von Künstlicher Intelligenz ist gleichzeitig auch die gefährlichste Achillesferse: Lernfähigkeit und die resultierende Unberechenbarkeit. Wenn ein KI-Modell täglich, stündlich und minütlich viele tausende Daten erhält wie das aktuelle GPT-4-Sprachmodell, entstehen entsprechend viele Fehler, Sackgassen und Irrtümer. Abgesehen von den fehlerhaften Ergebnissen bezieht sich die Anfälligkeit aber ebenfalls auf den Umgang mit sensiblen Daten und deren Schutzbedürfnisse. Nicht nur, wenn ungefiltert konkrete Unternehmens- und/oder Personendaten eingegeben, sondern auch, wenn aus scheinbar unkritischen Daten im Kontext und durch Anreicherung Schlussfolgerungen gezogen werden können, die dann Compliance-Vorgaben und Gesetze verletzen. Denn aktuell ist nicht absehbar, auf welche enorme Datenbestände der Algorithmus tatsächlich Zugriff hat/haben wird – und ob sich jemals eine Art „Gewissen“ implementieren lässt. Gewissen und „Awareness“ kann aber sehr wohl von den NutzerInnen eingefordert werden, dieser Aspekt führt direkt zur zweiten Komponente:

Unbekümmertheit und fehlendes Risikobewusstsein der Nutzer 

Der kontinuierliche Anstieg von Schadensfällen im Bereich Cybercrime zeigt anschaulich:  Der menschliche Faktor ist jederzeit in der Lage, selbst ausgefeilteste Sicherheitsvorkehrungen außer Kraft zu setzen, auch ohne böse Absicht. Dementsprechend muss bei den BenutzerInnen von KI-Lösungen ein entsprechend robustes Risikobewusstsein geschaffen und ausgebaut werden. Da professionelle Schulungen und Auffrischungen regelmäßig erhebliche Zeit- und Geldressourcen binden, sollten wir uns nicht der Illusion hingeben, dass sich in absehbarer Zeit dieser Gefahrenfaktor komplett in Wohlgefallen auflöst. 

Der große „KI-Knall“ steht uns wohl noch bevor 

Wir können von Glück sagen, dass sich bisher noch kein „Super-GAU“ im Bereich der KI ereignet hat, der sämtliche Befürchtungen übertrifft, menschliche Existenzen vernichtet und Unternehmen unterschiedlichster Größe in den Untergang führt. Das Potential dazu ist bei generativer KI nicht vorhanden jedoch zumindest das Potenzial für einen großen Datenskandal, denn die Technologie ist bisher am besten mit einem Taschenrechner zu vergleichen. Ein Tachschenrechner berechnet nur was wir eingeben und ein guter Nutzer prüft das Ergebnis zumindest kurz.  Nur durch entschlossenes, gemeinsames Handeln eingedämmt werden. Ob der Point-of-No-Return bereits überschritten ist, kann aktuell niemand sicher beurteilen.

Daher sollte keine Zeit mehr verloren und mindestens folgende Maßnahmen umgesetzt werden:

Verpflichtung der Anbieter zum datenschutzkonformen Umgang mit KI-Tools

Schon bei der Entwicklung von KI-Tools muss von Anfang an auf Datenschutz und Compliance größtmöglicher Wert gelegt werden. Datenschutz ist kein „Nice-to-Have“, sondern ein absolutes „Must“. 

Sorgfältige Schulung der Nutzer

Insbesondere Unternehmen, die auf die Benefits der KI-Tools nicht verzichten können und wollen, haben ihre Mitarbeitenden idealerweise bereits vor dem ersten Klick auf das Prompt-Textfeld so zu schulen, dass keine sensiblen Daten eingegeben werden oder durch technische Maßnahmen und Verträge die konforme Nutzung sichergestellt wird.

Ein pauschales Verbot von ChatGPT wird Benutzer nicht davon abhalten, es zu nutzen. Bereits heute verwendet jeder vierte Mitarbeiter generative KI – denken Sie nur an die sogenannte Schatten-IT. Wer einmal den Taschenrechner genutzt hat, wird in der Zukunft ungern im Kopf rechnen. Gleichzeitig muss ein Grundverständnis für die Funktionsweise von KI-Sprachmodellen und anderer Tools gefördert werden, um Risiken selbstständig zu begegnen, die jetzt vielleicht noch nicht absehbar sind. 

Maßgeschneiderte KI-Lösungen für Unternehmen

Zugegebenermaßen sind die beiden vorherigen Maßnahmen nicht unfehlbar und bieten dementsprechend auch keine hundertprozentige Sicherheitsgarantie. Um dennoch einen höchstmöglichen Schutz zu etablieren, sollte zusätzlich eine robuste Brandmauer zwischen KI-Anbietern und den UserInnen eingezogen werden.

Diese maßgeschneiderte Lösung stellt das nötige Vertragswerk sicher so das keine Daten angelernt werden dürfen und bietet zusätzlich ein Filter für einen großen Teil der persönlichen Daten. Dadurch gelangen eingegebene personenbezogenen Daten nicht bis zum KI-Anbieter. Lösungen wie nele.ai setzen die konkreten Daten automatisiert wieder in die Antwort ein, ohne dass die UserInnen selbst tätig werden müssen. Dies bietet eine zusätzliche Schutzschicht. Denn ein Großteil der Daten bereits automatisch zu filtern ist besser als alles ungefiltert zu versenden. 

Noch besser ist eine autarke KI selbst zu betreiben die auf dem eignen Server läuft. Dies wird jedoch zunächst nicht für alle Unternehmen abbildbar sein.

Fazit: Keine KI ist auch keine Lösung

Die Nutzung von ChatGPT oder ähnlichen KI-Tools aufgrund der oben aufgeführten Problematik aus dem geschäftlichen Kontext komplett zu verbannen, birgt die Gefahr, auf wesentliche Wettbewerbsvorteile bezüglich Produktivität, Kreativität und Geschwindigkeit zu verzichten und von der nationalen und internationalen Konkurrenz früher oder später abgehängt zu werden. Zudem werden UserInnen Wege suchen den Taschenrechner dennoch zu benutzen. Wer sich als UnternehmerIn nicht spätestens jetzt mit dem richtigen Einsatz von KI auseinandersetzt wird also unter Druck geraten – oder die Folgen dieser Nachlässigkeit zu spüren bekommen oder sogar selbst Skandale zu verursachen. Folglich muss der Umgang mit Tools wie ChatGPT & Co. auf einer DSGVO-konformen Basis erfolgen. 

*Der Autor Daniel Gal ist Gründer der Digitalberatung GAL und nele.ai.


Mehr Artikel

Michael Maier, Director Austria iteratec (c) iteratec
Kommentar

KI-Transformation in Unternehmen – Eine Revolution in fünf Schritten 

4. Dezember 2025 Michael Maier*

Wie weit wird die Evolution der Künstlichen Intelligenz gehen und wie wird sie sich auf Wirtschaft und Gesellschaft als Ganzes auswirken? Was für Privatpersonen interessante Fragen sind, sind für Unternehmer existenzielle Themen, schließlich müssen diese wirtschaftlich gegenüber Konkurrenten bestehen, von denen viele bereits an einer effektiven Nutzung von KI arbeiten. […]

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*