KI-Chatbots sind wie eine Obstwiese auf der Äpfel, Birnen und andere Leckereien in der Sonne um die Wette glänzen: Sie können sich einfach das abpflücken, was Sie gerade für Ihr Unternehmen brauchen. Klingt paradiesisch – wäre da nicht dieser große Stier mit den spitzen Hörnern, der auf der Koppel vor der Obstwiese auf- und ab patrouilliert.
In der Chatbot-Praxis hört dieser Stier auf den Namen „Datenschutz“ und hält zahlreiche Unternehmen davon ab, sich die Vorteile von den Bäumen zu pflücken. So geben 85 % der befragten Banken und Versicherungsunternehmen einer Schweizer Studie an, mittlere bis sehr große Angst vor dem Datenschutz-Thema zu haben. Grund genug, lieber am Koppelzaun stehen zu bleiben, anstatt die Vorteile von Chatbots für den eigenen Erfolg zu nutzen.
Dabei lohnt es sich. Denn KI-Chatbots bieten jede Menge Potenzial, das eigene Unternehmen voranzubringen. Sie helfen bei der Leadgenerierung, verbessern den Kundenservice im Support und bringen die Digitalisierung des eigenen Unternehmens voran. Um nur ein paar der Vorteile zu nennen.
Darauf verzichten, nur weil der Datenschutz davor Patrouille geht? Das ist verschenktes Potenzial. Stattdessen heimlich lospirschen, in der Hoffnung, dass es gut geht? In der Praxis kann das saftige Bußgelder bedeuten. Wir zeigen Ihnen, mit welchen 5 Schritten Sie mit dem Datenschutz Freundschaft schließen und KI-Chatbots sicher nutzen.
Disclaimer
Die Informationen in diesem Blogbeitrag dienen nur zu allgemeinen Informationszwecken und stellen keine Rechtsberatung dar. Wenn Sie juristische Beratung benötigen, sollten Sie sich an einen Rechtsanwalt wenden.
Eine Gefahr verliert schnell ihren Schrecken, wenn man sie kennt. Das gilt auch für Stiere und Datenschutz. Deswegen haben wir für Sie zusammengefasst, was Datenschutz eigentlich ist und welche Anforderungen Chatbots betreffen.
Datenschutz dient dazu, die Persönlichkeit jedes einzelnen Menschen zu schützen – darauf hat jeder Bürger der EU ein Recht. So besagt es sowohl das deutsche Grundgesetz als auch die EU-Grundrechtcharta. Um dieses Recht durchzusetzen, gibt es seit 2016 die Datenschutzgrundverordnung (DSGVO), die genaue Vorschriften für den Schutz der personenbezogenen Daten definiert. Und das europaweit.
Die wichtigsten Vorgaben aus der DSGVO:
Wenn Sie einen Chatbot in Ihrem Unternehmen einsetzen, kommt dieser mit personenbezogenen Daten in Kontakt. Ganz egal, ob Sie ihn für den Kundensupport oder für die interne Datenverarbeitung einsetzen – oder für beides. Dementsprechend muss auch der Chatbot alle Anforderungen der DSGVO erfüllen.
Diese Anforderungen lassen sich in verschiedene Kriterien unterteilen:
Die Gefahren zu kennen, ist das Eine. Anders siehts mit den Angriffsflächen aus, die Sie selbst bieten, wenn Sie sich über die Koppel pirschen – oder einen Chatbot nutzen.
Um zu verstehen, an welchen Stellen der Datenschutz bei der Chatbot-Nutzung relevant wird, sollten wir zuerst den Aufbau eines Chatbots unter die Lupe nehmen:
Grundsätzlich gilt: Ein Chatbot ist eine Software zur Datenverarbeitung. Der Nutzer gibt eine Frage oder einen Befehl ein, der Chatbot gibt eine passende Antwort aus, indem er die eingegeben und hinterlegten Daten auswertet.
Dabei arbeitet jedoch nicht jeder Chatbot gleich. Ein besonders großer Unterschied besteht zwischen regelbasierten Chatbots und generativen Chatbots:
Während regelbasierte und absichtsbasierte Chatbots nur die Antworten liefern, die Sie vorab hinterlegt haben, generieren generative Chatbots auf jede Frage eine individuelle Antwort. Dadurch wirken generative Chatbots fast schon menschlich und helfen auch dann zielgerichtet weiter, wenn die Nutzeranfragen unvorhersehbar sind.
Das ist möglich, weil sie eine spezielle Form der generativen Künstlichen Intelligenz nutzen: sogenannte Large Language Models (LLMs). Das LLM ist dabei wie ein Übersetzer zwischen menschlicher Sprache und Computer-Code. Was Sie in gesprochener oder geschriebener Sprache eingeben, übersetzt das LLM in Code und andersherum. Dadurch ist der Chatbot in der Lage, Sie zu verstehen und eigene Antworten in menschlicher Sprache zu erzeugen.
Dabei ist das LLM nicht automatisch fester Teil des Chatbots. Es kann durchaus von einem anderen Anbieter stammen als die Chatbot-Plattform. Das heißt auch: ein Chatbot kann theoretisch mit unterschiedlichen LLMs arbeiten.
Doch das war noch nicht alles: Hinzu kommt das Hosting von LLM und Chatbot. Dabei geht es nicht mehr darum, wie die Daten verarbeitet werden, sondern wo – also auf welchem Server.
Hinweis:
Wenn Sie genauer wissen möchten, was generative Künstliche Intelligenz ist und wie Large Language Models funktionieren, finden Sie Informationen darüber in unserem Chatbot-Ratgeber. Das Gleiche gilt, wenn Sie noch einmal Ihre Grundlagen zum Thema „Was ist ein Chatbot?“ auffrischen möchten. Um den Chatbot-Datenschutz zu verstehen, genügt es jedoch zu wissen, dass all das unterschiedliche Dinge sind.
Mit diesem Wissen über Gefahren und Angriffsflächen wird es nun Zeit, die praktische Umsetzung zu planen. Auf dem Markt gibt es verschiedene Anbieter für alle drei Komponenten Ihres Chatbots: Für die Chatbot-Plattform, für das LLM und für das Hosting.
Dabei kann der Anbieter des LLMs gleichzeitig dessen Hosting übernehmen und die Chatbot-Plattform bereitstellen. Das kennen Sie aus der Praxis von ChatGPT, wenn Sie den Chatbot über dessen Website nutzen. In diesem Fall ist ChatGPT LLM, Chatbot-Plattform und Hosting zugleich – denn alles stammt von OpenAI und befindet sich auf dessen Server.
Alternativ kann das LLM des einen Anbieters auch von einem anderen Anbieter gehostet werden. So macht es zum Beispiel Microsoft Azure: Es nutzt das LLM von ChatGPT, hostet es aber auf einem Microsoft-Server. Mit einer kompatiblen Chatbot-Plattform greifen Sie dann über eine API-Schnittstelle darauf zu – in diesem Fall stammen alle drei Komponenten von getrennten Anbietern.
Daraus ergeben sich verschiedene Möglichkeiten für den Chatbot-Einsatz in Ihrem Unternehmen. Um Ihnen bei der Auswahl geeigneter Komponenten zu helfen, haben wir die wichtigsten Kombinationen von LLM und Hosting für Sie auf ihre Datenschutzkonformität untersucht.
Das LLM von ChatGPT ist besonders leistungsstark. Es wurde mit unzähligen Texten trainiert und liefert sehr gute Ergebnisse. Wird das LLM über eine Schnittstelle genutzt, werden die eingegebenen Daten laut OpenAI nicht verwendet, um das LLM weiter zu trainieren. Und das ist gut so – schließlich würde das LLM beim Training mit personenbezogenen Daten gegen die DSGVO verstoßen.
OpenAI kümmert sich außerdem um die Missbrauchsüberwachung und bietet technischen Support. Dafür greift das Unternehmen auf die Schnittstelle zu oder beauftragt externe Dienstleister.
ChatGPT wird von OpenAI als Cloud-Modell gehostet. Das heißt, dass die eingegeben Daten vollständig auf einem Server von OpenAI gesammelt und gespeichert werden. Und der befindet sich in den USA – die Daten verlassen also die EU. Entsprechend müssen die Standardvertragsklauseln mit OpenAI abgeschlossen und ein Transfer Impact Assessment durchgeführt werden. Abhängig vom Use-Case und den verwendeten Daten kann das Transfer Impact Assessment dazu führen, dass eine Übertragung der Daten in die USA nicht zulässig ist.
Zudem ist es nicht möglich, eigene Datenschutzrichtlinien für die Nutzung von ChatGPT als LLM und Hosting zu hinterlegen. Es gelten die Datenschutzrichtlinien von OpenAI – und unterliegen nicht der DSGVO. Hinzu kommt, dass OpenAI sämtliche eingegebene Daten nach 30 Tagen löscht. Dadurch reduzieren Sie zwar das Risiko einer unerlaubt langen Datenspeicherung – jedoch werden dabei auch die Kundeneinwilligungen zur Datenverarbeitung gelöscht.
Durch die Missbrauchsüberwachung und den technischen Support greift OpenAI außerdem auf die Schnittstelle zu. Zwar versichert das Unternehmen, dass alle zugriffsberechtigten Personen an strenge Vertraulichkeits- und Sicherheitsverpflichtungen gebunden sind, jedoch unterliegen auch diese Vereinbarungen nicht der DSGVO.
Das LLM von ChatGPT kann auch über andere Anbieter gehostet werden. Einer der bekanntesten Anbieter ist Microsoft mit seiner Cloud-Computing-Plattform Azure. Microsoft selbst ist zwar ein US-amerikanisches Unternehmen, bietet für den europäischen Markt jedoch auch europäisches Hosting an.
Durch die Nutzung eines europäischen Hostings erfüllen Sie bereits deutlich mehr Anforderungen der DSGVO. Sie nutzen ChatGPT zwar weiterhin als Cloud-Modell, jedoch vollkommen unabhängig von OpenAI. So bietet Microsoft Azure zum Beispiel auch einen europäischen Server als Speicherort.
Zur Einhaltung der DSGVO hat sich Microsoft nach dem EU-US Data Privacy Framework zertifizieren lassen. Somit ist eine Übertragung der Daten in die Vereinigten Staaten ausgeschlossen, sodass die Standardvertragsklauseln nicht mehr unterzeichnet werden müssen. Entsprechend muss auch kein Transfer Impact Assessment durchgeführt werden.
Die Missbrauchsüberwachung übernimmt Microsoft mithilfe eines sogenannten Abuse-Monitorings. Dabei werden die eingegeben Inhalte und Verhaltensweisen automatisch kontrolliert. Erst, wenn es zu Auffälligkeiten kommt, greift ein autorisierter Mitarbeiter ein. Für den europäischen Markt beschäftigt Microsoft dafür Mitarbeiter in der EU, die entsprechend der DSGVO agieren.
Auch Microsoft gibt an, die eingegebenen Daten nicht zum Training des LLMs zu nutzen.
Auch auf einem europäischen Server werden die Daten beim US-amerikanischen Unternehmen Microsoft gespeichert. Dadurch können Sie als Betreiber keine eigenen Datenschutzrichtlinien festlegen, sondern sind auf die Richtlinien von Microsoft angewiesen.
Bei der Speicherung der eingegebenen Daten bietet Microsoft Azure bereits mehr Möglichkeiten als OpenAI: Wissenselemente werden gespeichert, bis Sie sie löschen. Chateingaben und generierte Antworten werden jedoch nach 30 Tagen automatisch gelöscht, sodass Sie nicht länger auf Einwilligungen und Informationen zugreifen können.
Mit einer On-Premises-Lösung betreiben Sie das LLM sowie alle gespeicherten Daten auf Ihrem eigenen Server. Dadurch sind Sie vollständig unabhängig von anderen Hosting-Anbietern und definieren sämtliche Regeln selbst. Dabei können Sie zwar nicht auf ChatGPT zurückgreifen, nutzen dafür aber andere LLMs.
Als deutscher Entwickler bieten wir Ihnen mit DialogBits eine Chatbot-Plattform mit eigenem LLM als On-Premises-Lösung. Sie betreiben den Chatbot mit einem von DialogBits bereitgestellten LLM auf Ihrem eigenen Server. Dadurch nutzen Sie alle Vorteile eines generativen Chatbots, sind aber gleichzeitig unabhängig von US-amerikanischen Unternehmen.
Mit einer On-Premises-Lösung von DialogBits sind Sie selbst Herr Ihrer Daten: Sie legen eigene Datenschutzrichtlinien fest, löschen und speichern die Daten nach Ihren Regeln und überwachen auch die API nach Ihren eigenen Vorgaben durch ausgewählte Mitarbeiter. Sie entscheiden selbst, ob Sie die eingegebenen Daten für ein Training des LLMs freigeben.
Durch die Speicherung der Daten auf Ihrem eigenen Server entspricht auch der Serverstandort den Anforderungen der DSGVO.
Keine, denn mit DialogBits als Chatbot-Plattform und LLM sowie einem On-Premises-Hosting haben Sie die komplette Kontrolle über die Daten und deren Verarbeitung.
Nachdem Sie die Schritte 1 bis 3 durchgeführt haben, frisst Ihnen der Stier bereits aus der Hand. Die besten Voraussetzungen, um sich entspannt zu den Obstbäumen auf der anderen Seite der Koppel aufzumachen. Noch besser ist es, wenn Sie sich auch mit dem Bauern verbünden, der sich auf der Koppel und der Obstwiese auskennt. Mit anderen Worten: Suchen Sie sich Partner, mit denen Sie das Thema Datenschutz gemeinsam angehen.
Idealerweise ziehen Sie dafür frühzeitig den Datenschutzbeauftragten Ihres Unternehmens hinzu. Er kennt die internen Anforderungen und Gegebenheiten und kann weitere Aspekte von Beginn an einbringen.
Als Chatbot-Profis unterstützen auch wir von DialogBits Sie gerne bei der Entscheidungsfindung und der Implementierung Ihres Chatbots. Mit unserem Entwicklungsstandort in Münster kennt unser Team die Anforderungen der DSGVO und unterstützt Sie dabei, sie einzuhalten.
Als Experten für Künstliche Intelligenz bewahren wir Sie außerdem davor, sich faule Früchte von den Bäumen zu pflücken – damit Sie Ihre Zeit und Ihre Energie nur in die Chatbot-Vorteile investieren, die Ihr Unternehmen wirklich voran bringen.
Wir unterstützen Sie bei der DSGVO-konformen Umsetzung Ihres Chatbots und stimmen ihn gemeinsam mit Ihnen perfekt auf Ihr Unternehmen ab.
Sobald Sie mit Stier und Datenschutz Freundschaft geschlossen haben, können Sie sich auf der Obstwiese nach Herzenslust die Taschen vollmachen. Und Sie merken schnell: Eigentlich sind Stiere genau so zahm, wie der Datenschutz. Wenn man nur mal verstanden hat, wie man damit umgehen muss.
Unser Entwickler- und Beratungs-Team von DialogBits unterstützt Sie gern dabei, sich den Datenschutz zum Freund zu machen. Mit unserem Entwicklungsstandort in Münster kennen wir die Anforderungen der DSGVO und setzen Sie natürlich auch bei DialogBits um. Egal, ob wir unser eigenes LLM implementieren oder auf andere Modelle wie ChatGPT zurückgreifen.
Wilhelm-Schickard-Straße 10
48149 Münster
+49 (0) 251 396 552 43
info@dialogbits.com
Lösungen
Ressourcen
Web Computing GmbH
