Ähnliche Beiträge

Takea­ways (AI):
  • Com­pli­ance-Rege­lun­gen vor­ge­ben (Wei­sun­gen usw.)
  • Daten­schutz­be­auf­trag­te einbinden
  • Bereit­stel­lung eines Funk­ti­ons-Accounts für Mit­ar­bei­ter ohne per­sön­li­chen Bezug
  • Kei­ne Ein­ga­be per­so­nen­be­zo­ge­ner Daten zur Ver­mei­dung von Risiken
  • Ergeb­nis­se auf Rich­tig­keit und Dis­kri­mi­nie­rung prüfen

Der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit (HmbBfDI) hat eine Check­li­ste zum Ein­satz von Chat­bots auf Basis von Lar­ge Lan­guage Models (LLMs) wie bspw. ChatGPT auf Deutsch und Eng­lisch veröffentlicht.

Die Check­li­ste umfasst fol­gen­de Punkte:

  1. Com­pli­ance-Rege­lun­gen vor­ge­ben (Wei­sun­gen usw.)
  2. Daten­schutz­be­auf­trag­te einbinden
  3. Bereit­stel­lung eines Funk­ti­ons-Accounts (damit Mit­ar­bei­ter nicht ein pri­va­tes Account ver­wen­den müs­sen; idea­ler­wei­se sol­le das Account ohne Name auskommen)
  4. Siche­re Authen­ti­fi­zie­rung (damit Angrei­fer das Account nicht miss­brau­chen können)
  5. Kei­ne Ein­ga­be per­so­nen­be­zo­ge­ner Daten (Kun­den, Geschäfts­part­ner, eige­ne Per­so­nen­da­ten des Mitarbeiters)
  6. Kei­ne Aus­ga­be per­so­nen­be­zo­ge­ner Daten (weil die AI Infor­ma­tio­nen aus dem Inter­net ein­be­zie­hen kann; Prompts soll­ten daher nicht auf Per­so­nen­da­ten zie­len, also bspw. kei­ne „wer“-Fragen)
  7. Vor­sicht bei per­so­nen­be­zieh­ba­ren Daten (d.h. kei­ne Ein­ga­be von Daten, die im Kon­text einen Per­so­nen­be­zug erlauben)
  8. Opt-out des KI-Trai­nings (z.B. Aus­schal­ten von „Chat histo­ry and training“)
  9. Opt-out der Histo­ry (beson­ders wenn meh­re­re das glei­che Account verwenden)
  10. Ergeb­nis­se auf Rich­tig­keit prüfen
  11. Ergeb­nis­se auf Dis­kri­mi­nie­rung prü­fen (nicht zu befol­gen sei bspw. eine Emp­feh­lung, eine freie Stel­le mit „männ­li­chen Bril­len­trä­gern“ zu besetzen (?))
  12. Kei­ne auto­ma­ti­sier­te Letzt­ent­schei­dung (kei­ne Über­nah­me von Emp­feh­lun­gen bspw. weil nicht klar ist, wie eine Emp­feh­lung zustandekommt)
  13. Beschäf­tig­te sen­si­bi­li­sie­ren (betr. zuläs­si­gem Ein­satz sol­cher Tools)
  14. Daten­schutz ist nicht alles (auch Urhe­ber­rech­te, Geschäfts­ge­heim­nis­se usw. sei­en zu berücksichtigen)
  15. Wei­te­re Ent­wick­lung ver­fol­gen (bspw. den AI Act, der auch Nut­zer reguliert)

AI-generierte Takeaways können falsch sein.