Wird ChatGPT den größten Datenskandal der Welt verursachen?

Die Verbreitung von KI-Sprachmodellen hat unsere Interaktionen mit Texten und Inhalten grundlegend verändert. Doch hinter der Vielzahl von Anwendungsfällen schlummert ein Datenschutzproblem, das zu einem der größten Skandale in der IT-Geschichte werden könnte. [...]

Daniel Gal, Gründer der Digitalberatung GAL und nele.ai. (c) GAL Digital GmbH
Daniel Gal, Gründer der Digitalberatung GAL und nele.ai. (c) GAL Digital GmbH

Das KI-Sprachmodell ChatGPT und seine Varianten haben dauerhaft die Art und Weise verändert, wie wir Inhalte recherchieren, Texte, Artikel oder ganze Bücher schreiben, E-Mail-Kampagnen erstellen oder weitere Content-Formen generieren. Doch jenseits der weltweiten Euphorie schlummert unter der Convenience-Fassade das Potential für einen der größten Datenschutz-Skandale der IT-Geschichte. Ursache hierfür ist vor allem die Methodik, wie der Erfinder OpenAI sein Angebot gestaltet. Denn sowohl bei ChatGPT in der kostenlosen, als auch in der kostenpflichtigen Version Premium, wird zumindest ohne weitere Einstellungen, laut OpenAI alle Eingaben gespeichert und möglicherweise zum Optimieren des zukünftiger KI-Modelle benutzt.

Als das amerikanische Tech-Unternehmen OpenAI im November 2022 das generative, KI-basierte Sprachmodell GPT-3 mit der intuitiven Benutzerschnittstelle ChatGPT veröffentlichte, wurde ein regelrechter Hype ausgelöst. Bereits nach nur 5 Tagen hatten sich weltweit mehr als eine Million NutzerInnen registriert. Entsprechend herrschte in den folgenden Wochen und Monaten eine echte Goldgräberstimmung, bezüglich der datenschutzrechtlichen Rahmenbedingungen machten sich nur die allerwenigsten BenutzerInnen weitergehende Gedanken. Im Fokus stand vor allem das Ausloten der vermeintlich unbegrenzten Möglichkeiten. Ob die in der Oberfläche eingegebenen Informationen möglicherweise die EU-DSGVO und/oder unternehmensspezifische Compliance-Richtlinien kompromittierten, blieb außen vor, Neugierde und Experimentierfreudigkeit überwogen deutlich. 

Der KI-„Welpenschutz“ war schnell vorbei

Seitdem führten etliche Datenleaks und Präzedenzfälle dazu, dass sich nicht nur ausgewiesene DSGVO-InsiderInnen mit den Compliance-Problemen von ChatGPT beschäftigen, sondern sich ganze EU-Staaten in der Pflicht sehen, rigorose Konsequenzen anzukündigen – und auch umzusetzen. Die italienische Datenschutzbehörde hatte Ende März diesen Jahres landesweit den Einsatz von ChatGPT verboten, im Laufe des Aprils aber die Nutzung wieder erlaubt, nachdem OpenAI zumindest einige der Nachbesserungs-Forderungen umgesetzt hat. Offen blieb zum Beispiel die Aufforderung, ein Altersschutzsystem zu etablieren. Mitte September 2023 hatte Großbritannien ein aus sieben Prinzipien bestehendes Grundsatzwerk verabschiedet, um der Notwendigkeit von Transparenz und Rechenschaftspflicht Nachdruck zu verleihen. Konkret war es zeitweise möglich, über einen Drittanbieter die Kontodaten von Abonnenten der kostenpflichtigen Plus-Variante von ChatGPT einzusehen, auch waren unternehmens- und personenbezogene Informationen in einigen Prompts für unbefugte NutzerInnen einsehbar.

Die dahinterstehende Grundsatzproblematik scheint aber noch nicht ansatzweise entschärft worden zu sein. Sie setzt sich aus zwei Komponenten zusammen:

Intransparenz der Datennutzung

Einer der größten Stärken von Künstlicher Intelligenz ist gleichzeitig auch die gefährlichste Achillesferse: Lernfähigkeit und die resultierende Unberechenbarkeit. Wenn ein KI-Modell täglich, stündlich und minütlich viele tausende Daten erhält wie das aktuelle GPT-4-Sprachmodell, entstehen entsprechend viele Fehler, Sackgassen und Irrtümer. Abgesehen von den fehlerhaften Ergebnissen bezieht sich die Anfälligkeit aber ebenfalls auf den Umgang mit sensiblen Daten und deren Schutzbedürfnisse. Nicht nur, wenn ungefiltert konkrete Unternehmens- und/oder Personendaten eingegeben, sondern auch, wenn aus scheinbar unkritischen Daten im Kontext und durch Anreicherung Schlussfolgerungen gezogen werden können, die dann Compliance-Vorgaben und Gesetze verletzen. Denn aktuell ist nicht absehbar, auf welche enorme Datenbestände der Algorithmus tatsächlich Zugriff hat/haben wird – und ob sich jemals eine Art „Gewissen“ implementieren lässt. Gewissen und „Awareness“ kann aber sehr wohl von den NutzerInnen eingefordert werden, dieser Aspekt führt direkt zur zweiten Komponente:

Unbekümmertheit und fehlendes Risikobewusstsein der Nutzer 

Der kontinuierliche Anstieg von Schadensfällen im Bereich Cybercrime zeigt anschaulich:  Der menschliche Faktor ist jederzeit in der Lage, selbst ausgefeilteste Sicherheitsvorkehrungen außer Kraft zu setzen, auch ohne böse Absicht. Dementsprechend muss bei den BenutzerInnen von KI-Lösungen ein entsprechend robustes Risikobewusstsein geschaffen und ausgebaut werden. Da professionelle Schulungen und Auffrischungen regelmäßig erhebliche Zeit- und Geldressourcen binden, sollten wir uns nicht der Illusion hingeben, dass sich in absehbarer Zeit dieser Gefahrenfaktor komplett in Wohlgefallen auflöst. 

Der große „KI-Knall“ steht uns wohl noch bevor 

Wir können von Glück sagen, dass sich bisher noch kein „Super-GAU“ im Bereich der KI ereignet hat, der sämtliche Befürchtungen übertrifft, menschliche Existenzen vernichtet und Unternehmen unterschiedlichster Größe in den Untergang führt. Das Potential dazu ist bei generativer KI nicht vorhanden jedoch zumindest das Potenzial für einen großen Datenskandal, denn die Technologie ist bisher am besten mit einem Taschenrechner zu vergleichen. Ein Tachschenrechner berechnet nur was wir eingeben und ein guter Nutzer prüft das Ergebnis zumindest kurz.  Nur durch entschlossenes, gemeinsames Handeln eingedämmt werden. Ob der Point-of-No-Return bereits überschritten ist, kann aktuell niemand sicher beurteilen.

Daher sollte keine Zeit mehr verloren und mindestens folgende Maßnahmen umgesetzt werden:

Verpflichtung der Anbieter zum datenschutzkonformen Umgang mit KI-Tools

Schon bei der Entwicklung von KI-Tools muss von Anfang an auf Datenschutz und Compliance größtmöglicher Wert gelegt werden. Datenschutz ist kein „Nice-to-Have“, sondern ein absolutes „Must“. 

Sorgfältige Schulung der Nutzer

Insbesondere Unternehmen, die auf die Benefits der KI-Tools nicht verzichten können und wollen, haben ihre Mitarbeitenden idealerweise bereits vor dem ersten Klick auf das Prompt-Textfeld so zu schulen, dass keine sensiblen Daten eingegeben werden oder durch technische Maßnahmen und Verträge die konforme Nutzung sichergestellt wird.

Ein pauschales Verbot von ChatGPT wird Benutzer nicht davon abhalten, es zu nutzen. Bereits heute verwendet jeder vierte Mitarbeiter generative KI – denken Sie nur an die sogenannte Schatten-IT. Wer einmal den Taschenrechner genutzt hat, wird in der Zukunft ungern im Kopf rechnen. Gleichzeitig muss ein Grundverständnis für die Funktionsweise von KI-Sprachmodellen und anderer Tools gefördert werden, um Risiken selbstständig zu begegnen, die jetzt vielleicht noch nicht absehbar sind. 

Maßgeschneiderte KI-Lösungen für Unternehmen

Zugegebenermaßen sind die beiden vorherigen Maßnahmen nicht unfehlbar und bieten dementsprechend auch keine hundertprozentige Sicherheitsgarantie. Um dennoch einen höchstmöglichen Schutz zu etablieren, sollte zusätzlich eine robuste Brandmauer zwischen KI-Anbietern und den UserInnen eingezogen werden.

Diese maßgeschneiderte Lösung stellt das nötige Vertragswerk sicher so das keine Daten angelernt werden dürfen und bietet zusätzlich ein Filter für einen großen Teil der persönlichen Daten. Dadurch gelangen eingegebene personenbezogenen Daten nicht bis zum KI-Anbieter. Lösungen wie nele.ai setzen die konkreten Daten automatisiert wieder in die Antwort ein, ohne dass die UserInnen selbst tätig werden müssen. Dies bietet eine zusätzliche Schutzschicht. Denn ein Großteil der Daten bereits automatisch zu filtern ist besser als alles ungefiltert zu versenden. 

Noch besser ist eine autarke KI selbst zu betreiben die auf dem eignen Server läuft. Dies wird jedoch zunächst nicht für alle Unternehmen abbildbar sein.

Fazit: Keine KI ist auch keine Lösung

Die Nutzung von ChatGPT oder ähnlichen KI-Tools aufgrund der oben aufgeführten Problematik aus dem geschäftlichen Kontext komplett zu verbannen, birgt die Gefahr, auf wesentliche Wettbewerbsvorteile bezüglich Produktivität, Kreativität und Geschwindigkeit zu verzichten und von der nationalen und internationalen Konkurrenz früher oder später abgehängt zu werden. Zudem werden UserInnen Wege suchen den Taschenrechner dennoch zu benutzen. Wer sich als UnternehmerIn nicht spätestens jetzt mit dem richtigen Einsatz von KI auseinandersetzt wird also unter Druck geraten – oder die Folgen dieser Nachlässigkeit zu spüren bekommen oder sogar selbst Skandale zu verursachen. Folglich muss der Umgang mit Tools wie ChatGPT & Co. auf einer DSGVO-konformen Basis erfolgen. 

*Der Autor Daniel Gal ist Gründer der Digitalberatung GAL und nele.ai.


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Otto Neuer, Regional VP und General Manager bei Denodo. (c) Denodo
Kommentar

Wie logisches Datenmanagement das ESG-Reporting vereinfacht

Mit zunehmendem Bewusstsein für Nachhaltigkeitsthemen wächst auch der Druck, den Stakeholder diesbezüglich auf Unternehmen ausüben. Gerade auf Seiten der Gesetzesgeber entstehen vermehrt Richtlinien, die „ESG“ (Enviornmental, Social und Governance)-Anliegen vorantreiben und Unternehmen zu mehr Transparenz in Form von entsprechender Berichterstattung verpflichten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*