ChatGPT am Arbeitsplatz – was muss ich dabei beachten?

«Erstelle mir eine Zusammenfassung über folgenden Bericht:», «Schreibe meine E-Mail besser:», «Erstelle mir eine Aufgabenliste in Stichpunkten basierend auf folgendem Meeting-Protokoll:»

Was haben all diese Prompts (Eingaben) gemeinsam?

Viele Leute haben diese Prompts bereits im Geschäftsalltag in ChatGPT eingegeben und sie beinhalten sehr häufig Personendaten (z.B. Name, E-Mail, Adresse), Geschäftsgeheimnisse oder sonstige vertrauliche Informationen (z.B. Strategien, Kundenbeziehungen, Finanzdaten). Damit sind Risiken verbunden.

Viele Arbeitgeber regeln entweder die Nutzung von ChatGPT am Arbeitsplatz nicht oder haben dies verboten. Doch selbst das Verbot greift nicht wirklich, denn gemäss einer aktuellen Salesforce-Studie nutzen 54% aller Befragten in der Schweiz nicht genehmigte Gen-AI-Tools wie ChatGPT und sogar 34% haben solche Tools benutzt, obwohl diese eigentlich durch das Unternehmen verboten waren.

Die Nutzung von Gen-AI-Tools wie ChatGPT ist in der Gesellschaft allgegenwärtig und damit auch im Arbeitsalltag angekommen. Unternehmensinhaber müssen sich dieser Realität stellen und sich mit dem Umgang mit solchen Tools beschäftigen.

In diesem Blogartikel erfährst du, was du und deine Mitarbeiter bei der Nutzung von ChatGPT beachten müssen und du hast die Möglichkeit unser kostenloses kurzes Self-Assessment durchzuführen, um eine erste Einschätzung darüber zu erhalten, ob ChatGPT rechtskonform eingesetzt wird.

Um diese Thematik zu verstehen, ist es jedoch unerlässlich sich kurz mit den datenschutzrechtlichen Grundbegriffen auseinanderzusetzen, denn auch beim Einsatz von ChatGPT muss der Datenschutz beachtet werden.

Personendaten

Personendaten sind alle Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Bestimmt ist eine natürliche Person, wenn sich aus den Informationen ergibt, dass es sich genau um diese Person handelt (z.B. Vor- und Nachname). Bestimmbar ist eine Person, wenn aufgrund zusätzlicher Informationen auf sie geschlossen werden kann (z.B. durch Kombination von verschiedenen Informationen wie Adresse, Geburtsdatum, Zivilstand).

Kopiert man beispielsweise eine E-Mail in ChatGPT, enthält diese mit grosser Wahrscheinlichkeit Personendaten.

Bearbeitung von Personendaten

Jeder Umgang mit Personendaten stellt unabhängig von den angewendeten Mitteln und Verfahren eine Bearbeitung dar. Beispielsweise das Übermitteln, Speichern und Verwenden von Daten.

Kopiert man eine E-Mail mit Personendaten in ChatGPT und sendet diese durch Klicken auf den Pfeil ab, stellt dies bereits eine Bearbeitung von Personendaten dar.

Verantwortlicher und Auftragsdatenbearbeiter

Im Datenschutz gibt es grundsätzlich zwei Rollen: Die Verantwortliche und der Auftragsdatenbearbeiter.

Die verantwortliche Person entscheidet über die Zwecke und Mittel der Datenverarbeitung. In anderen Worten entscheidet sie, «wozu» die Daten bearbeitet werden und auch «wie» sie bearbeitet werden. Die Verantwortliche trägt die Hauptverantwortung dafür, dass der Datenschutz eingehalten wird bzw. die Bearbeitung von Personendaten gesetzeskonform erfolgt.

Der Auftragsdatenbearbeiter bearbeitet Personendaten im Auftrag der Verantwortlichen und ist somit deren verlängerter Arm. Der Auftragsbearbeiter muss bei der Bearbeitung den Weisungen der Verantwortlichen folgen.

Bei der Nutzung von ChatGPT nimmt der Nutzer, welcher die E-Mail mit Personendaten in ChatGPT hineinkopiert und absendet, die Rolle der Verantwortlichen ein und ChatGPT (beziehungsweise die Rechtsperson dahinter – OpenAI) ist der Auftragsdatenbearbeiter.

Auftragsdatenbearbeitungsvertrag

Die Verantwortliche muss sicherstellen, dass ein Auftragsdatenbearbeiter in seiner Tätigkeit gesetzeskonform agiert. Das Datenschutzgesetz schreibt vor, dass die Parteien zu diesem Zweck einen sogenannten Auftragsdatenbearbeitungsvertrag abschliessen müssen.

Bei der Nutzung von ChatGPT muss der Nutzer, welcher die E-Mail mit Personendaten in ChatGPT kopiert und absendet, einen Auftragsdatenbearbeitungsvertrag mit OpenAI abschliessen.

Versionen von ChatGPT

Für Privatpersonen

Für Privatpersonen gibt es aktuell «ChatGPT Free» und die kostenpflichtige Version «ChatGPT Plus».

Beiden Versionen ist gemeinsam, dass durch die Eingabe von Personendaten zwar Daten bearbeitet werden, dass aber kein Auftragsdatenbearbeitungsvertrag mit OpenAI abgeschlossen werden kann, obwohl dies wie bereits erwähnt, zwingend notwendig wäre. Somit eignen sich «ChatGPT Free» und «ChatGPT Plus» nicht für die Bearbeitung von Personendaten und sonstigen vertraulichen Daten.

Dies ist für diejenigen Unternehmen, welche die Nutzung von ChatGPT nicht geregelt haben, problematisch, denn viele Mitarbeiter werden ohne Wissen der Vorgesetzten die Versionen für Privatpersonen im Berufsalltag verwenden (teilweise auch trotz Verbot). Auf diese Weise entsteht gewissermassen eine datenschutzrechtlich problematische Schatten-KI im Unternehmen.

Für Unternehmen

Um ChatGPT datenschutzkonform zu verwenden, sollte auf die Unternehmensversionen zurückgegriffen werden. Bei der Verwendung der Versionen «ChatGPT Team» und «ChatGPT Enterprise» kann das Datenschutzgesetz eingehalten werden. Diese Versionen ermöglichen den Abschluss eines Auftragsdatenbearbeitungsvertrages und verzichten darauf, die eigegebenen Daten zum Training zu verwenden. Darüber hinaus sehen die anwendbaren Bedingungen vor, dass OpenAI sich u.a. dazu verpflichtet, angemessene Massnahmen zum Schutz der vertraulichen Daten zu ergreifen und die Informationen grundsätzlich nicht an Dritte weiterzugeben. Schlussendlich verhält es sich aber gleich wie mit anderen eingesetzten Auftragsdatenbearbeitern (z.B. IT-Provider) und es muss im Rahmen des Risikomanagements entschieden werden, ob und unter welchen Bedingungen ChatGPT im Arbeitsalltag genutzt werden darf. Hinsichtlich Amts- und Berufsgeheimnissen ist diese Verpflichtung zur Vertraulichkeit allerdings nicht ausreichend.

Was soll ich konkret tun?

  • Stelle sicher, dass das Training mit Deinen Daten deaktiviert ist

  • Ersetze Personendaten (z.B. Name, Adresse, etc.) die du in «ChatGPT Free» oder «ChatGPT Plus» eingibst durch Platzhalter.

  • Verwende Unternehmensversionen, wenn du Personendaten in ChatGPT eingeben möchtest und schliesse einen Auftragsdatenbearbeitungsvertrag mit OpenAI ab.

  • Offenbare keine Geheimnisse (z.B. Berufsgeheimnisse oder sonstige Daten, die Geheimhaltungs- oder Verschwiegenheitspflichten unterliegen)

  • Stelle Spielregeln für die Verwendung von ChatGPT auf (z.B. durch eine Richtline und Mitarbeiterschulung)

  • Bleibe am Ball und beobachte die aktuellen Entwicklungen, da sich die Funktionen und Nutzungsbedingungen von ChatGPT ständig ändern. Aktuell arbeitet OpenAI z.B. an einer Erinnerungsfunktion, wonach sich ChatGPT künftig Informationen über seine Nutzer merken kann, um sich zu einem späteren Zeitpunkt an deren Vorlieben (z.B. betreffend einem präferierten Textstil) zu erinnern

Fazit

Fakt ist, ChatGPT wird in nahezu jedem Unternehmen von den Mitarbeitern verwendet, unabhängig davon, ob es die Vorgesetzten wissen (wollen), ob sie es verboten haben oder die Nutzung erlaubt ist. Um eine Schatten-KI zu verhindern und damit die Einhaltung des Datenschutzrechts und den Schutz von Geschäftsgeheimnissen und vertraulichen Informationen zu gewährleisten, sollten Unternehmen das Thema der Verwendung von ChatGPT aktiv thematisieren und Spielregeln im Umgang ChatGPT definieren.

Zusammengefasst sind folgende Punkte im Umgang mit ChatGPT zu beachten:

  • ChatGPT ist allgegenwärtig und wird mit hoher Wahrscheinlichkeit von Mitarbeitern in Deinem Unternehmen benutzt

  • Die Nutzung der Versionen für private Nutzer birgt Risiken bzgl. Datenschutz sowie der Offenbarung von vertraulichen Informationen und Geschäftsgeheimnissen

  • Nur die Verwendung der Unternehmensversionen ermöglicht es, die notwendigen Vorkehrungen zu treffen

Falls du eine erste Einschätzung darüber haben möchtest, ob Du und Deine Mitarbeiter ChatGPT rechtskonform verwenden, führe unser kostenloses Self-Assessment durch. Darüber hinaus unterstützt Dich unser Datenschutzteam gerne, beispielsweise bei der Ausarbeitung einer Richtlinie im Umgang mit Chat GPT und in der Schulung deiner Mitarbeiter.

Hier gelangst Du zu unserem Datenschutzteam.

Fachbeiträge

Datenaustausch im Konzern– was muss ich dabei beachten?

Datenschutz

Swisscom beendet Webhosting-Dienste: Was betroffene Unternehmen jetzt tun sollten

Arbeitsrecht

Das nachvertragliche Konkurrenzverbot; wie musst Du vorgehen und was solltest Du vermeiden?

Datenschutz

Wie sind KI-Bilder zu nutzen?

Baurecht

Das Bauhandwerkerpfandrecht

Fachbeiträge

Das neue Erbrecht 2023: Was ändert sich?

Am 1. Januar 2023 ist das neue Erbrecht in Kraft getreten. Massgebend für das anwendbare Recht ist nicht das Errichtungsdatum einer letztwilligen Verfügung, sondern der Tod des Erblassers. Die neuen Regelungen gelten daher für sämtliche Erblasser, welche nach dem 31. Dezember 2022 verstorben sind. Damit kommen die neuen Regelungen auch zur Anwendung auf bereits verfasste letztwillige Verfügungen und diese bedürfen allenfalls einer Anpassung, denn mit dem neuen Recht verfügt der Erblasser über einen grösseren Handlungsspielraum hinsichtlich seines Nachlasses. In diesem Beitrag sollen die wichtigsten Änderungen und deren Auswirkungen festgehalten werden.

optional
optional
optional