ChatGPT am Arbeitsplatz – was muss ich dabei beachten?

«Erstelle mir eine Zusammenfassung über folgenden Bericht:», «Schreibe meine E-Mail besser:», «Erstelle mir eine Aufgabenliste in Stichpunkten basierend auf folgendem Meeting-Protokoll:»

Was haben all diese Prompts (Eingaben) gemeinsam?

Viele Leute haben diese Prompts bereits im Geschäftsalltag in ChatGPT eingegeben und sie beinhalten sehr häufig Personendaten (z.B. Name, E-Mail, Adresse), Geschäftsgeheimnisse oder sonstige vertrauliche Informationen (z.B. Strategien, Kundenbeziehungen, Finanzdaten). Damit sind Risiken verbunden.

Viele Arbeitgeber regeln entweder die Nutzung von ChatGPT am Arbeitsplatz nicht oder haben dies verboten. Doch selbst das Verbot greift nicht wirklich, denn gemäss einer aktuellen Salesforce-Studie nutzen 54% aller Befragten in der Schweiz nicht genehmigte Gen-AI-Tools wie ChatGPT und sogar 34% haben solche Tools benutzt, obwohl diese eigentlich durch das Unternehmen verboten waren.

Die Nutzung von Gen-AI-Tools wie ChatGPT ist in der Gesellschaft allgegenwärtig und damit auch im Arbeitsalltag angekommen. Unternehmensinhaber müssen sich dieser Realität stellen und sich mit dem Umgang mit solchen Tools beschäftigen.

In diesem Blogartikel erfährst du, was du und deine Mitarbeiter beachten müssen, um ChatGPT rechtskonform einzusetzen.

Um diese Thematik zu verstehen, ist es jedoch unerlässlich sich kurz mit den datenschutzrechtlichen Grundbegriffen auseinanderzusetzen, denn auch beim Einsatz von ChatGPT muss der Datenschutz beachtet werden.

Personendaten

Personendaten sind alle Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Bestimmt ist eine natürliche Person, wenn sich aus den Informationen ergibt, dass es sich genau um diese Person handelt (z.B. Vor- und Nachname). Bestimmbar ist eine Person, wenn aufgrund zusätzlicher Informationen auf sie geschlossen werden kann (z.B. durch Kombination von verschiedenen Informationen wie Adresse, Geburtsdatum, Zivilstand).

Kopiert man beispielsweise eine E-Mail in ChatGPT, enthält diese mit grosser Wahrscheinlichkeit Personendaten.

Bearbeitung von Personendaten

Jeder Umgang mit Personendaten stellt unabhängig von den angewendeten Mitteln und Verfahren eine Bearbeitung dar. Beispielsweise das Übermitteln, Speichern und Verwenden von Daten.

Kopiert man eine E-Mail mit Personendaten in ChatGPT und sendet diese durch Klicken auf den Pfeil ab, stellt dies bereits eine Bearbeitung von Personendaten dar.

Verantwortlicher und Auftragsdatenbearbeiter

Im Datenschutz gibt es grundsätzlich zwei Rollen: Die Verantwortliche und der Auftragsdatenbearbeiter.

Die verantwortliche Person entscheidet über die Zwecke und Mittel der Datenverarbeitung. In anderen Worten entscheidet sie, «wozu» die Daten bearbeitet werden und auch «wie» sie bearbeitet werden. Die Verantwortliche trägt die Hauptverantwortung dafür, dass der Datenschutz eingehalten wird bzw. die Bearbeitung von Personendaten gesetzeskonform erfolgt.

Der Auftragsdatenbearbeiter bearbeitet Personendaten im Auftrag der Verantwortlichen und ist somit deren verlängerter Arm. Der Auftragsbearbeiter muss bei der Bearbeitung den Weisungen der Verantwortlichen folgen.

Bei der Nutzung von ChatGPT nimmt der Nutzer, welcher die E-Mail mit Personendaten in ChatGPT hineinkopiert und absendet, die Rolle der Verantwortlichen ein und ChatGPT (beziehungsweise die Rechtsperson dahinter – OpenAI) ist der Auftragsdatenbearbeiter.

Auftragsdatenbearbeitungsvertrag

Die Verantwortliche muss sicherstellen, dass ein Auftragsdatenbearbeiter in seiner Tätigkeit gesetzeskonform agiert. Das Datenschutzgesetz schreibt vor, dass die Parteien zu diesem Zweck einen sogenannten Auftragsdatenbearbeitungsvertrag abschliessen müssen.

Bei der Nutzung von ChatGPT muss der Nutzer, welcher die E-Mail mit Personendaten in ChatGPT kopiert und absendet, einen Auftragsdatenbearbeitungsvertrag mit OpenAI abschliessen.

Versionen von ChatGPT

Für Privatpersonen

Für Privatpersonen gibt es aktuell «ChatGPT Free» und die kostenpflichtige Version «ChatGPT Plus».

Beiden Versionen ist gemeinsam, dass durch die Eingabe von Personendaten zwar Daten bearbeitet werden, dass aber kein Auftragsdatenbearbeitungsvertrag mit OpenAI abgeschlossen werden kann, obwohl dies wie bereits erwähnt, zwingend notwendig wäre. Somit eignen sich «ChatGPT Free» und «ChatGPT Plus» nicht für die Bearbeitung von Personendaten und sonstigen vertraulichen Daten.

Dies ist für diejenigen Unternehmen, welche die Nutzung von ChatGPT nicht geregelt haben, problematisch, denn viele Mitarbeiter werden ohne Wissen der Vorgesetzten die Versionen für Privatpersonen im Berufsalltag verwenden (teilweise auch trotz Verbot). Auf diese Weise entsteht gewissermassen eine datenschutzrechtlich problematische Schatten-KI im Unternehmen.

Für Unternehmen

Um ChatGPT datenschutzkonform zu verwenden, sollte auf die Unternehmensversionen zurückgegriffen werden. Bei der Verwendung der Versionen «ChatGPT Team» und «ChatGPT Enterprise» kann das Datenschutzgesetz eingehalten werden. Diese Versionen ermöglichen den Abschluss eines Auftragsdatenbearbeitungsvertrages und verzichten darauf, die eigegebenen Daten zum Training zu verwenden. Darüber hinaus sehen die anwendbaren Bedingungen vor, dass OpenAI sich u.a. dazu verpflichtet, angemessene Massnahmen zum Schutz der vertraulichen Daten zu ergreifen und die Informationen grundsätzlich nicht an Dritte weiterzugeben. Schlussendlich verhält es sich aber gleich wie mit anderen eingesetzten Auftragsdatenbearbeitern (z.B. IT-Provider) und es muss im Rahmen des Risikomanagements entschieden werden, ob und unter welchen Bedingungen ChatGPT im Arbeitsalltag genutzt werden darf. Hinsichtlich Amts- und Berufsgeheimnissen ist diese Verpflichtung zur Vertraulichkeit allerdings nicht ausreichend.

Was soll ich konkret tun?

  • Stelle sicher, dass das Training mit Deinen Daten deaktiviert ist

  • Ersetze Personendaten (z.B. Name, Adresse, etc.) die du in «ChatGPT Free» oder «ChatGPT Plus» eingibst durch Platzhalter.

  • Verwende Unternehmensversionen, wenn du Personendaten in ChatGPT eingeben möchtest und schliesse einen Auftragsdatenbearbeitungsvertrag mit OpenAI ab.

  • Offenbare keine Geheimnisse (z.B. Berufsgeheimnisse oder sonstige Daten, die Geheimhaltungs- oder Verschwiegenheitspflichten unterliegen)

  • Stelle Spielregeln für die Verwendung von ChatGPT auf (z.B. durch eine Richtline und Mitarbeiterschulung)

  • Bleibe am Ball und beobachte die aktuellen Entwicklungen, da sich die Funktionen und Nutzungsbedingungen von ChatGPT ständig ändern. Aktuell arbeitet OpenAI z.B. an einer Erinnerungsfunktion, wonach sich ChatGPT künftig Informationen über seine Nutzer merken kann, um sich zu einem späteren Zeitpunkt an deren Vorlieben (z.B. betreffend einem präferierten Textstil) zu erinnern

Fazit

Fakt ist, ChatGPT wird in nahezu jedem Unternehmen von den Mitarbeitern verwendet, unabhängig davon, ob es die Vorgesetzten wissen (wollen), ob sie es verboten haben oder die Nutzung erlaubt ist. Um eine Schatten-KI zu verhindern und damit die Einhaltung des Datenschutzrechts und den Schutz von Geschäftsgeheimnissen und vertraulichen Informationen zu gewährleisten, sollten Unternehmen das Thema der Verwendung von ChatGPT aktiv thematisieren und Spielregeln im Umgang ChatGPT definieren.

Zusammengefasst sind folgende Punkte im Umgang mit ChatGPT zu beachten:

  • ChatGPT ist allgegenwärtig und wird mit hoher Wahrscheinlichkeit von Mitarbeitern in Deinem Unternehmen benutzt

  • Die Nutzung der Versionen für private Nutzer birgt Risiken bzgl. Datenschutz sowie der Offenbarung von vertraulichen Informationen und Geschäftsgeheimnissen

  • Nur die Verwendung der Unternehmensversionen ermöglicht es, die notwendigen Vorkehrungen zu treffen

Möchtest Du mehr über die Nutzungsmöglichkeiten von KI und KI-Tools im Firmenalltag zur Effizienzsteigerung erfahren, empfehlen wir dir den KI-Leitfaden von Nordfabrik.

Falls du ChatGPT oder weitere KI-Tools mit gutem Gewissen verwenden möchtest, sichere dir jetzt Unterstützung und kontaktiere unter Datenschutzteam.

Hier gelangst Du zu unserem Datenschutzteam.

IT- und Technologierecht

Rechtsstreitigkeiten in der IT: Tipps für Unternehmen zur Risikominimierung

Arbeitsrecht

Die verschiedenen Arbeitszeitmodelle im Überblick

IT- und Technologierecht

KI-Dienste: Haftung, Verträge, Datenschutz und Co.

Datenschutz

1 Jahr neues Datenschutzgesetz

Datenschutz

Google Consent – Kommt die Pflicht zum Cookie-Banner?

Arbeitsrecht

Homeoffice IV

optional
optional
optional