Teil 2: Gängige KI-Tools: Wie steht es um den Datenschutz?

Um KI am Arbeitsplatz einzusetzen, drängen sich Tools wie ChatGPT und Microsoft Copilot auf. Doch wie steht es um den Datenschutz bei diesen Werkzeugen? VISCHER hat die gängigsten Werkzeuge näher angeschaut und fasst die Erkenntnisse zusammen. Ausserdem bieten sie ihr internes Werkzeug zur Nutzung an. Dies ist Teil 2 der VISCHER Serie über den verantwortungsvollen Einsatz von KI im Unternehmen.

Die Voraussetzungen für den Einsatz in Unternehmen

Wer KI-Tools am Arbeitsplatz nutzen lassen will, sollte die vertraglichen Rahmenbedingungen genau prüfen. Es geht hier um zentrale Fragen wie:

"Was darf ich mit dem Output der Tools gemäss den Nutzungsbedingungen tun?"
"Wer hat Zugriff auf die eingegebenen Informationen (Input) und die neu generierten Inhalte (Output) und zu welchem Zweck?"
"Wie wird der Datenschutz bei der Bearbeitung von Personendaten gewährleistet?"

Wie wir nachfolgend zeigen, werden diese sehr unterschiedlich und nicht immer zufriedenstellend beantwortet. Für die Bearbeitung von Personendaten ist zudem in der Regel ein Auftragsbearbeitungsvertrag notwendig; das ist bei KI-Online-Tools nicht anders wie bei allen anderen Angeboten in der Cloud oder eines Providers, der Personendaten bearbeitet.

ChatGPT am Arbeitsplatz

ChatGPT von OpenAI wird in verschiedenen Versionen angeboten, vom kostenlosen Angebot bis hin zu kostenpflichtigen Versionen für Unternehmen. Besonders bei der Bearbeitung von Personendaten und Geschäftsgeheimnissen gibt es wichtige Unterschiede zwischen diesen Angeboten, die zu beachten sind. Sowohl die kostenlosen als auch die kostenpflichtigen Versionen für Privatkunden eignen sich dabei nicht für die Bearbeitung von Personendaten und sonstiger vertraulicher Daten im Unternehmen. Denn bei OpenAI kann weder für "ChatGPT Free" noch für "ChatGPT Plus" einen Auftragsbearbeitungsvertrag (auch "DPA" oder "Data Processing Agreement" genannt) abgeschlossen werden, welcher jedoch nach dem Schweizer Datenschutzgesetz (und der DSGVO) für Unternehmen in einem solchen Fall notwendig ist.

Erst die Versionen für Unternehmen ermöglichen die Einhaltung des Datenschutzes gemäss den gesetzlichen Vorgaben in der Schweiz. Bei den Versionen für Unternehmen, wie "ChatGPT Enterprise" oder der "OpenAI API", ist es hingegen möglich, einen solchen Vertrag (DPA) zu vereinbaren, was die Nutzung von Personendaten im Chat oder über die API rechtlich absichert. Hier gilt zu beachten, dass nur die Nutzungsbedingungen der Business-Versionen garantieren, dass die eingegebenen Daten nicht für weitere Zwecke (d.h. Zwecke von OpenAI), wie beispielsweise die Weiterentwicklung oder das Training des Services, genutzt werden. Zusätzlich enthalten die Nutzungsbedingungen der Versionen für Unternehmen eine Vertraulichkeitsverpflichtung seitens OpenAI, wobei es aber schlussendlich ein Risikoentscheid des Unternehmens ist, ob man dem Provider vertraut und auch Geschäftsgeheimnisse bekannt gibt. Für Schweizer Amts- und Berufsgeheimnisse, wie sie beispielsweise Anwälte, Ärzte und Banken haben oder öffentliche Verwaltungen, ist die Vertraulichkeitsverpflichtung aber leider noch nicht ausreichend.

Seit dem 10. Januar 2024 bietet OpenAI neu "ChatGPT Team" für kleinere Unternehmen und Teams an. ChatGPT Team wird wie ChatGPT Enterprise und die OpenAI API unter den Nutzungsbedingungen der Business-Versionen angeboten und es ist auch möglich, für ChatGPT Team das DPA abzuschliessen. Weiter werden die Inhalte nicht fürs Training genutzt und es besteht eine Vertraulichkeitsklausel.

Bei der Version für Unternehmen für Schweizer Kunden ist die irische Tochtergesellschaft OpenAI Ireland Ltd. Vertragspartner, was rechtlich einen Vorteil darstellen kann. Auch das DPA wird neu automatisch mit der Partei geschlossen, mit welcher auch der Dienstleistungsvertrag besteht. Die EU-Standardvertragsklauseln für Datenexporte in die USA (EU SCC) werden weiterhin direkt mit OpenAI, LLC vereinbart, da die Datenbearbeitung weiterhin in den USA erfolgt (wir nehmen jedoch an, dass in Realität die irische Tochtergesellschaft die Exporteurin ist und ihrerseits die EU SCC mit ihren US-Unterauftragsbearbeitern hat, zu denen gemäss Liste auch ihre US-Gruppengesellschaften zählen). Allerdings hat OpenAI die Sache nicht wirklich sauber und transparent gelöst. So wird das DPA beispielsweise weder von OpenAI, LLC unterzeichnet, noch OpenAI Ireland Ltd., sondern einer anderen Gruppengesellschaft, womit die Herleitung der rechtlich erforderlichen Bindung der OpenAI Ireland Ltd. nur über Umwege möglich ist. Das ist schade und wäre einfach vermeidbar gewesen.

Bei den Privatangeboten ChatGPT Free und ChatGPT Plus ist aktuell noch die US-Gesellschaft die Erbringerin der Dienstleistung für Personen in der Schweiz. Dies soll sich aber gemäss den bereits verfügbaren neuen "Europe Terms of Use" ab dem 15. Februar 2024 ändern, so dass für Kunden in der Schweiz und im EWR die irische Tochtergesellschaft verantwortlich sein wird.

Hier anklicken für eine Version mit anklickbaren Links

Microsoft Copilot und Azure OpenAI Service

Ein ähnliches, aber nicht ganz dasselbe Bild zeigt sich bei Microsoft: Auch hier gelten unterschiedliche vertragliche Regelungen für die verschiedenen, verfügbaren KI-Tools. Wer den über den Browser Edge frei verfügbaren "Copilot" (zuvor "Bing Chat") nutzt, der erlaubt nicht nur, dass sein In- und Output für die Verbesserung und das Training des Services genutzt, sondern gibt Microsoft auch ein Lizenzrecht den In- und Output für eigene Zwecke zu verwenden und insbesondere auch zu veröffentlichen. Für den Einsatz im Unternehmen ist diese Version daher nicht geeignet. Daneben bietet Microsoft seit dem 16. Januar 2024 für private Nutzer den "Copilot Pro" für die privaten M365 Lizenzen an. Copilot Pro wird unter dem Microsoft-Servicevertrag für Privatkunden bezogen und ist nur in privaten Abos verfügbar. Auch hier fehlen die für ein Unternehmen notwendigen vertraglichen Vereinbarungen, weshalb Copilot Pro für den Einsatz im Unternehmen auch nicht geeignet ist.

Für die geschäftliche Nutzung existiert im Browser Edge der Microsoft "Copilot mit kommerziellem Datenschutz" (zuvor "Bing Chat Enterprise"), der beispielsweise in den M365-Angeboten für Unternehmen enthalten ist. Um den Copilot mit kommerziellem Datenschutz nutzen zu können, loggt sich der Nutzer mit dem geschäftlichen M365 Konto ein und es wird anschliessend folgendes angezeigt:

"Ihre persönlichen und Unternehmensdaten sind in diesem Chat geschützt."

Daraus könnte geschlossen werden, dass der Copilot mit kommerziellem Datenschutz unter den geschäftlichen Verträgen wie das "Microsoft Customer Agreement" (MCA) und dem bekannten "Data Processing Addendum" (DPA) von Microsoft bezogen wird und somit eine einigermassen solide vertragliche Vereinbarung besteht (wie sie beispielsweise bei der geschäftlichen Nutzung von M365 gilt). Dem ist aber nicht so, denn bei der Verwendung des Copilot mit kommerziellem Datenschutz müssen die einzelnen Nutzenden zusätzliche Bedingungen akzeptieren, wodurch sie dem Servicevertrag für Privatkunden zustimmen.

Microsoft versichert in diesen durch den Nutzenden zusätzlich abgeschlossenen Nutzungsbedingungen, dass die Daten anders als beim Copilot für Privatkunden nicht für eigene Zwecke von Microsoft verwendet und nur so lange gespeichert werden, wie das Browserfenster geöffnet ist. Das bedeutet, dass die Daten nicht in das Training der KI einfliessen. Im Unterschied zur privaten Version wird auch keine Lizenz zur Nutzung des Inputs und Outputs an Microsoft erteilt. Aber von dem für Unternehmen beim Zuzug von Auftragsbearbeitern notwendigen DPA, ist der Copilot mit kommerziellem Datenschutz ausdrücklich ausgenommen und Microsoft sieht sich selbst als Verantwortlicher (sog. Controller) der Datenbearbeitung an.

Dies wirft einige datenschutzrechtliche Fragen auf, da Microsoft beim Einsatz im Unternehmen in der Regel als Auftragsbearbeiterin eingebunden werden sollte (wie das etwa auch bei M365 der Fall ist). Für Unternehmen bedeutet das, dass sie im Copilot in der Regel keine Personendaten verwenden dürfen, weil hierfür ein DPA abzuschliessen wäre. Völlig ungeschützt sind Personendaten zwar nicht: Die irische Microsoft-Gesellschaft, welche die Vertragspartnerin ist, unterliegt der DSGVO und damit einem angemessenen Datenschutz. Aber sie gilt datenschutzrechtlich als Dritte – und Dritten werden insbesondere Unternehmen ihre Personendaten nicht einfach übergeben wollen.

Hinzu kommt, dass weder der Servicevertrag noch die Nutzungsbedingungen des Copilot mit kommerziellem Datenschutz eine Geheimhaltungsklausel enthalten und somit die Vertraulichkeit der Daten nicht vertraglich zugesichert wird. Der Hauptvorteil dieser Version liegt somit einzig darin, dass Microsoft gemäss den Nutzungsbedingungen weder Input noch Output für eigene Zwecke verwendet und keine Rechte an dem In- oder Output erhält. Da diese Nutzungsbedingungen jedoch regelmässig durch den einzelnen Nutzenden akzeptiert werden müssen, lassen sich diese aber auch genauso einfach durch Microsoft ändern.

Eine vertragliche Absicherung in Bezug auf den Datenschutz und die Geheimhaltung für Unternehmen, bietet erst die Nutzung von "Copilot für Microsoft 365" oder der "Azure OpenAI Service". Diese Dienste werden unter Business-Verträgen wie dem bereits erwähnten MCA bezogen und unterliegen dem erwähnten DPA von Microsoft. Zudem besteht bei diesen Angeboten die Möglichkeit, Zusatzvereinbarungen für Unternehmen mit speziellen Anforderungen, wie Berufsgeheimnisse (z.B. Anwälte, Ärzte, Banken), zu treffen.

Copilot für Microsoft 365 ist in der Schweiz erst seit dem 16. Januar 2024 für alle Unternehmen verfügbar. Microsoft ist aber insgesamt nicht wirklich transparent was den rechtlichen Status und die Vertragsbedingungen für ihre KI-Tools betrifft (so beispielsweise beim Copilot mit kommerziellem Datenschutz) und ändert diese und ihre Produktebezeichnungen obendrein immer wieder. Das macht es für die meisten geschäftlichen Nutzer unnötig schwer sich zu orientieren. Mit der Verfügbarkeit von Copilot für Microsoft 365 steht nun aber ein Produkt zur Verfügung, welches im Unternehmen über bestehende kommerzielle Verträge (inkl. DPA) eingesetzt werden kann. Es ist aber darauf zu achten, dass der Unterschied zwischen dem Copilot mit kommerziellem Datenschutz und dem Copilot für Microsoft 365 den Nutzern klar ist, da nur letzterer über die nötige vertragliche Regelung für den datenschutzkonformen Einsatz im Unternehmen verfügt. Er ist zudem recht teuer.

Hier anklicken für eine Version mit anklickbaren Links

Google Bard und Vertex AI

Google bietet mit "Bard" einen kostenlosen KI-Chatbot an, der primär für Privatnutzende konzipiert ist. Dieser Dienst ist für die Nutzung von Personendaten und vertraulichen Informationen nicht geeignet, worauf Google ausdrücklich hinweist. Daher kann Bard im Arbeitsalltag nur eingeschränkt eingesetzt werden – nämlich ohne die Bearbeitung von vertraulichen Daten oder Personendaten.

Im Gegensatz dazu steht "Vertex AI", Googles Dienst für Unternehmen, der Zugang zu verschiedenen KI-Modellen bietet. Die Nutzung von Vertex AI erfolgt unter den Nutzungsbedingungen der "Google Cloud Platform" und einem Auftragsbearbeitungsvertrag (DPA) von Google. Zusätzlich sind servicespezifische Bedingungen zu beachten. Vertex AI kann grundsätzlich auch mit Personendaten und vertraulichen Informationen genutzt werden. Bei Unternehmen, auf die gesetzliche Berufsgeheimnisse zutreffen, sind jedoch zusätzliche vertragliche Zusicherungen von Google erforderlich, um die gesetzlichen Voraussetzungen zu erfüllen.

Hier anklicken für eine Version mit anklickbaren Links

VISCHER GPT

Ursprünglich haben wir dieses Tool nur für unseren internen Einsatz entwickelt. Es ist ein Excel-basiertes Werkzeug, mit welchem die verschiedenen GPT-Modelle von OpenAI für längere Texte benutzt werden können. VISCHER GPT oder VGPT, wie wir es nennen, gehört in die Kategorie der Textgeneratoren, d.h. es findet kein Dialog mit der KI statt, sondern es wird ihr eine Aufgabe gestellt und dafür auch etwaige Inhalte (z.B. ein Vertrag, der zu analysieren ist) übergeben. Es können auch Dateien im TXT-Format eingelesen werden. Daraufhin produziert es eine Antwort.

Dieses Tool stellen wir aufgrund entsprechender Nachfrage nun allen als Open Source kostenlos zur Verfügung. Es kann hier auf Deutsch und hier auf Englisch bezogen werden. Damit es funktioniert, müssen Excel-Dateien mit Makros (d.h. Programmcode) zugelassen sein. Die Makros sind von uns, VISCHER AG, signiert; die interne IT kann es dadurch gezielt freigeben, so dass dies nicht bei jedem Systemstart getan werden muss (das Ausführen von Makros ist in vielen Betrieben aus Sicherheitsgründen eingeschränkt). VGPT funktioniert aufgrund von systembedingten Einschränkungen nur auf Windows-Computern.

Damit es eingesetzt werden kann, muss es auf dem Arbeitsblatt "Config" konfiguriert werden, d.h. mit einem API-Key von OpenAI (www.openai.com) versehen werden. Dies ist der Zugangscode zur Computerschnittstelle der GPT-Sprachmodelle von OpenAI. Um einen solche API-Key zu erhalten, ist ein Konto bei OpenAI nötig, das allerdings kostenlos verfügbar ist. Wer die neueren Modelle, so insbesondere "GPT 4 Turbo" nutzen will, welches auch sehr lange Texte verarbeiten kann (was mit VGPT geht), muss dafür bezahlen. Der Preis ist aber nicht sehr hoch, und der API Key kann von mehreren Personen gemeinsam genutzt werden. Auf diese Weise muss deutlich weniger bezahlt werden, als wenn für alle Nutzer ein "ChatGPT Team" oder ein "ChatGPT Enterprise" Account bezahlt werden muss (und sie haben trotzdem Zugang zu den neusten GPT-Modellen oder möglicherweise sogar zu sonst nicht zugänglichen Preview-Versionen). Ein weiterer Vorteil ist, dass der Zugriff sehr einfach möglich ist: VGPT kann auf dem Desktop gespeichert werden, bei Bedarf auch mit verschiedenen Inhalten.

Aus datenschutzrechtlicher Sicht ist der grosse Vorteil der Nutzung von GPT via API, dass dies erstens wie oben erwähnt mit einem Auftragsbearbeitungsvertrag möglich ist und OpenAI zweitens den Nutzern der API verspricht, bei diesen Zugriffen den Input und Output nicht für das Training ihrer Modelle zu verwenden. Beides ist bei der Nutzung von "ChatGPT Team" oder "ChatGPT Enterprise" wie dargelegt zwar inzwischen auch möglich, doch wird so nicht für jeden Mitarbeitenden ein Team- oder Enterprise-Konto benötigt.

Neu ist Vertragspartnerin zudem nicht mehr OpenAI, LLC in den USA, sondern ihre irische Tochtergesellschaft; das DPA wird neu automatisch mit der Partei geschlossen, mit welcher auch der Dienstleistungsvertrag besteht (siehe dazu mehr oben). Allerdings erfolgt die Datenbearbeitung weiterhin in den USA.

Damit ist der Einsatz von VGPT (oder ein anderes solches Tool) als ein Werkzeug, um die GPT-Modelle via API zu nutzen, datenschutzrechtlich besser; dasselbe gilt grundsätzlich auch für andere Dienste hier aus Europa, welche ein DPA anbieten und zusichern können, dass die Daten nicht für Trainingszwecke verwendet werden.

Berufsgeheimnisse sollten OpenAI in diesem Setup allerdings noch keine anvertraut werden, da hierzu die nötigen Absicherungen technischer und vertraglicher Art noch fehlen. Eine weitere Einschränkung beim Einsatz von VGPT ist, dass ohne besondere Vorkehrungen nicht überwacht werden kann, wer was eingibt, da nicht mit einem persönlichen Konto gearbeitet wird. Zudem dürfen die Mitarbeitenden die VGPT nicht weitergeben, da darin der vertrauliche API-Key der Organisation enthalten ist.

Für uns bei VISCHER ist VGPT trotz allem nur eine Übergangslösung, bis wir später in diesem Jahr eine vollständig in "unserer" privaten Cloud-Umgebung betriebene und damit eine KI-Lösung realisiert haben, die auch mit Berufsgeheimnissen genutzt werden kann. Wir werden auch in Kürze mit einem grösseren Anbieter versuchen, ein standardisiertes Amendment für deren KI-Services zu verhandeln, die für Berufsgeheimnisse taugt.

Konkrete Umsetzung im Betrieb

Wie soll dies nun konkret im eigenen Betrieb umgesetzt werden? Hierfür empfehlen wir folgende drei Schritte:

Schritt 1 – Tools auswählen: Es wird nötigenfalls mit externer Unterstützung geprüft, welche KI-Tools den Mitarbeitenden zur Verfügung gestellt bzw. ihnen erlaubt werden soll für die Arbeit. Wir empfehlen die Verwendung von Microsofts "Copilot mit kommerziellem Datenschutz" für Anfragen ohne Personendaten (weil es kostenlos ist) und Tools und Dienste (wie VGPT) welche auf dem OpenAI API oder Googles Vertex AI basieren (weil es ein DPA gibt und die Zusage, dass der Input und Output nicht für Trainingszwecke verwendet wird) – oder, natürlich, "private" Lösungen (soweit ein Unternehmen die nötigen Mittel und Erfahrungen hat, sie zu implementieren; die meisten kleineren Unternehmen werden das nicht haben). Microsoft "Copilot für Microsoft 365" ist aus unserer Sicht sehr interessant, aber für die meisten Unternehmen wohl zu teuer.
Schritt 2 – Nutzung vorbereiten: Sind die Tools ausgewählt, müssen die nötigen Verträge abgeschlossen und die Tools für den Einsatz konfiguriert werden.
Schritt 3 – Mitarbeitende unterweisen: Damit es mit der rechtskonformen Nutzung klappt, müssen die Mitarbeitenden angewiesen werden, wie sie die KI-Tools benutzen dürfen. Dazu zählt einerseits eine Weisung, für welche Datenkategorien und welche Inhalte Dritter (namentlich urheberrechtlich geschützte Inhalte) welches Tool erlaubt ist, und andererseits Vorgaben, wie mit KI-Chatbots und Textgeneratoren ganz grundsätzlich umzugehen ist. Wir bei VISCHER haben hierzu zum Beispiel eine kurze Schulung für alle durchgeführt (die wie wir aufgrund der Nachfrage nun auch für andere Anwaltskanzleien und Rechtsdienste anbieten, siehe hier). Schauen Sie sich auch unser kostenloses Schulungsvideo zum Thema im ersten Beitrag dieser Blog-Serie an. Zudem werden wir in unserem nächsten Teil dieser Serie eine einseitige Weisung publizieren, mit welcher der Einsatz von KI-Tools geregelt werden kann.

Passen Sie zudem auf: Die Anbieter von KI-Services ändern derzeit regelmässig und teils auch in sehr kurzen Intervallen ihre Angebote wie auch ihre Verträge. Deshalb ist es unabdingbar die Verträge bei Vertragsabschluss und auch anschliessend bei Änderungen im Detail zu prüfen.

Benötigen Sie Hilfe für die datenschutzkonforme Nutzung von KI-Tools? Melden Sie sich beim Data & Privacy Team von VISCHER.

Autoren: Lucian Hunger, David Rosenthal (ursprünglich erschienen am 22. Januar 2024)