Datenschutz an der Schnittstelle zur IT-Sicherheit – was Unternehmen im Blick haben sollten

Starten wir mit einem Dauerbrenner: Wie steht es aktuell um die Rechtmäßigkeit von ChatGPT? 

Lenz: Für das Training einer künstlichen Intelligenz (KI) wie ChatGPT sind enorme Datenmengen nötig. Sie werden häufig aus frei zugänglichen Daten im Internet gesammelt. Schon länger stand die Frage im Raum, ob hierfür immer eine passende Rechtsgrundlage vorliegt. Nun hat die New York Times OpenAI und Microsoft verklagt und den Unternehmen Urheberrechtsverletzungen vorgeworfen. Sie hätten mit ihren Produkten ChatGPT und Copilot Millionen von Artikeln der New York Times für das Training ihrer KI-Tools verwendet – und das ohne Rechtsgrundlage. Die verwendeten Inhalte waren teils frei verfügbar und teils nur für Abonnent:innen zugänglich. 

Garling: Die New York Times beklagt zudem, dass die KI-Tools die Inhalte der Texte nicht nur zusammenfassend wiedergeben, sondern teilweise wortgleich reproduzieren und OpenAI und Microsoft somit kostenlose Konkurrenzprodukte aufbauen. Zudem sollen Inhalte aus anderen Quellen fälschlicherweise der New York Times zugeordnet worden sein. Das Medienhaus sieht hierin die Gefahr einer Rufschädigung, wenn die renommierte Zeitung mit falsch wiedergegebenen oder falsch zugeordneten Inhalten in Verbindung gebracht wird. OpenAI und Microsoft stützen sich auf die im amerikanischen Recht geltende „Fair Use“-Ausnahme vom Urheberrechtsschutz. Danach kann eine Nutzung von urheberrechtlich geschützten Werken nach US-Recht rechtmäßig sein, wenn sie „transformative“ – also umgestaltend – ist. Die Entscheidung des Gerichts wird also wegweisend dafür sein, in welchem Umfang im Internet verfügbare Inhalte für das Training von KI-Tools genutzt werden dürfen. 

Wie sieht es hier konkret mit dem Datenschutz aus?

Lenz: Die für das Training der KI genutzten frei zugänglichen Daten enthalten auch eine Menge personenbezogener Daten. Das sorgt dafür, dass OpenAI fortwährend datenschutzrechtlicher Kritik ausgesetzt ist. Nur weil personenbezogene Daten im Internet zugänglich sind, bedeutet dies nicht, dass die betroffenen Personen damit einverstanden sind, dass sie von OpenAI genutzt werden. Mehrere deutsche und europäische Datenschutzbehörden stehen daher bereits im Austausch mit OpenAI, um den Datenschutz im Rahmen des stetigen Trainings von ChatGPT zu prüfen. 

Garling: Der Datenschutz ist natürlich auch für die Nutzer:innen relevant. Auf der einen Seite geht es um den Schutz der eigenen Daten: Wird die kostenlose Variante genutzt, zahlen Nutzende mit ihren Daten, die ebenfalls zum Training der KI genutzt werden. Auf der anderen Seite geht es um den Schutz der Daten Dritter, die der Nutzer in das Programm eingibt. Auch wenn die zahlungspflichtigen Angebote versprechen, die Daten nicht zum Training der KI zu verwenden, sollte die Software nicht ungefiltert auf alle internen Daten zugreifen können und ihr Einsatz mit der Berechtigungsstruktur im Unternehmen abgeglichen werden. Werden Daten Dritter unrechtmäßig durch die Software verarbeitet, liegt ein Datenschutzverstoß vor, der zu einem Bußgeld oder zu Schadensersatzansprüchen der betroffenen Personen führen kann. Wir empfehlen daher eine umfassende datenschutzrechtliche und wie oben beschrieben eine urheberrechtliche Beratung vor der Einführung von KI-Software.

Der technische Fortschritt bringt leider auch immer mehr Cyberkriminalität mit sich. Was tut sich hier mit Blick auf den Datenschutz?

Lenz: Das stimmt, deshalb ist es für Unternehmen unerlässlich, die Datensicherheit in den Blick zu nehmen. Der technologische Fortschritt sorgt dafür, dass Cybersicherheit, IT-Recht und Datenschutz immer stärker miteinander verwoben sind. Denn Attacken auf Netzwerke oder Anlagen bringen immer die Gefahr des Datenverlustes und somit einer Datenpanne mit sich. Die europäische NIS-2-Richtlinie hat die Datensicherheit nun in den Fokus genommen und macht Vorgaben für kritische Infrastrukturen, die teils auch Unterauftragnehmer von Kritis-Unternehmen betreffen und die allgemein eine hochwertige Richtschnur für das IT-Risikomanagement darstellen. 

Garling: Diese EU-Richtlinie muss in deutsches Gesetz umgesetzt werden. Das nationale NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) soll im Oktober 2024 in Kraft treten. Betroffene Unternehmen müssen sich verstärkt mit dem Cyber-Risikomanagement und der Kontrolle und Überwachung von Zwischenfällen befassen. Hierzu sind sie angehalten, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. Eine Übersicht aller betroffenen Sektoren haben unsere IT-Kolleg:innen auf unserer Website zusammengestellt. 

Lenz: Grundsätzlich sollte sich jedes Unternehmen permanent um seine technischen und organisatorischen Maßnahmen (TOMs) kümmern, sprich diese prüfen und stetig verbessern. Dies dient nicht nur dem Schutz personenbezogener Daten, sondern auch dem Schutz der Betriebs- und Geschäftsgeheimnisse. Kommen Unternehmen den Pflichten der NIS-2-Richtlinie nicht nach, sieht die Richtlinie Bußgelder von bis zu 10 Mio. € bzw. 2 % des weltweiten Gesamtumsatzes aus dem vorangegangenen Geschäftsjahr vor. 

Stichwort Bußgelder: Werden Datenschutzverstöße immer noch so streng geahndet? 

Lenz: Auch im vergangenen Jahr wurden zahlreiche Bußgelder in Millionenhöhe gegen Unternehmen auf der ganzen Welt verhängt. Das zeigt, dass die Datenschutzbehörden nach wie vor streng mit Verstößen umgehen und Unternehmen regelmäßig in Haftung nehmen. Immer wieder sind unzureichende TOMs, Verarbeitungen ohne Rechtsgrundlage und fehlende bzw. fehlerhafte Datenschutzinformationen Grund für Bußgelder. Durch ein gutes Datenschutzmanagement ließen sich die meisten vermeiden. 

Garling: Spannend ist hierzu eine Entscheidung des Europäischen Gerichtshofs (EuGH): Die Richter:innen entschieden, dass gemäß DSGVO eine Geldbuße gegen ein Unternehmen verhängt werden kann, ohne dass der Verstoß zuvor einer identifizierbaren natürlichen Person – also einem konkreten Mitarbeitenden – zugerechnet wird. Zwar kann dies laut den Richter:innen auch nicht zu einem verschuldensunabhängigen Bußgeld führen, jedoch ist in Bezug auf das Verschulden nicht das konkrete Verhalten des einzelnen Mitarbeiters entscheidend, sondern das Verhalten des abstrakten Mitarbeiters, gleich welcher Position. 

Welche Herausforderungen sehen Sie künftig außerdem im Bereich Datenschutz?

Lenz: Das Thema KI wird uns vermutlich in den nächsten Jahren weiterhin beschäftigen. Die möglichen Einsatzbereiche sind für uns heute noch gar nicht vollständig abzusehen. Sicher ist jedoch, dass der Datenschutz dabei immer eine wichtige Rolle spielen wird. 

Garling: Da der Datenschutz in so vielen Bereichen unseres täglichen Lebens eine Rolle spielt, können sich neue Themen schnell ergeben: Wer hätte etwa vor Corona gedacht, dass wir uns über Namenslisten in Restaurants Gedanken machen müssen? Vermehrtes Arbeiten im „Homeoffice“ führte dazu, dass plötzlich verstärkt Tools für Videokonferenzen eingeführt wurden. Zurzeit scheint das Thema der Datenübertragung in die USA „geregelt“. Die anstehenden US-Wahlen oder anhängige Gerichtsverfahren gegen das aktuelle Abkommen zwischen den USA und der EU können aber schon bald wieder dazu führen, dass der Datentransfer erneut in den Fokus rückt.