Der Compliance-freundliche Leitfaden zur Verwendung von ChatGPT und anderen GPT-Modellen
.png)
Einführung
ChatGPT und andere LLMs haben die Welt im Sturm erobert. Infolgedessen sind auch die Teams für die Einhaltung von Vorschriften und die Informationssicherheit von dieser neuen Technologie überwältigt worden. Die Verwendung von ChatGPT hat einen großen Einfluss auf Datenschutzbestimmungen wie GDPR, Compliance und Informationssicherheit im Allgemeinen. Etwas, das in Unternehmen oft vernachlässigt wird, mit all den schlimmen Folgen. Die jüngste (missbräuchliche) Verwendung dieser Tools führte zu Datenschutzverletzungen in mehreren Unternehmen, wie z. B. Samsung, wo wichtige Geschäftsgeheimnisse an ChatGPT von OpenAI weitergegeben wurden.
In diesem Blogpost erfahren Sie, wie Sie die erstaunlichen Funktionen von ChatGPT nutzen können, ohne eine massive Datenverletzung in Ihrem Unternehmen zu verursachen.
ChatGPT
Mit der Standardeinstellung von ChatGPT gehen Sie aus den folgenden 2 Gründen die meisten Risiken ein.
Erstens wird OpenAI alle Inhalte (Aufforderungen und Antworten) speichern, um seine Modelle zu verbessern. Das bedeutet, dass alle Daten, die an ChatGPT übermittelt werden, für immer auf ihren Servern bleiben. Das ist etwas, was Sie auf jeden Fall vermeiden wollen, wenn Sie mit sensiblen Daten wie Betriebsgeheimnissen oder persönlichen Informationen arbeiten (Grundsatz der Speicherbegrenzung in der GDPR)
Ein zweites Risiko ergibt sich für nicht in den USA ansässige Unternehmen, da alle Inhalte in den USA verarbeitet und gespeichert werden. Dies ist insbesondere bei der Verarbeitung personenbezogener Daten im Lichte von Schrems II problematisch. In diesem Urteil wurde festgestellt, dass die Überwachungspraktiken der USA zu einem unzureichenden Datenschutz für in der EU ansässige Personen führen, so dass die Übermittlung personenbezogener Daten in die USA unrechtmäßig ist.
Das erste Problem kann einfach dadurch gelöst werden, dass die Einstellung zum Austausch von Daten mit OpenAIs ChatGPT zu Trainingszwecken deaktiviert wird:
Inhalte (und personenbezogene Daten) bleiben noch 30 Tage lang auf den OpenAI-Systemen gespeichert, um Missbrauch zu überwachen. Sie werden es immer noch schwer haben, dies Ihrem Datenschutzbeauftragten zu verkaufen, aber nichtsdestotrotz sind die Risiken stark reduziert.
Das Gleiche gilt für die Weitergabe von Geschäftsgeheimnissen an ChatGPT. Es ist besser, sie für 30 Tage dort zu haben als für immer, aber es ist trotzdem keine gute Idee.
OpenAI-API
Eine Compliance- und datenschutzfreundlichere Art der Verwendung von GPT-Modellen ist die direkte Verwendung der APIs von OpenAI. Seit dem 1. März 2023 verwendet OpenAI keine Aufforderungen und Antworten mehr, um Modelle zu verbessern.
In Bezug auf den Schutz personenbezogener Daten bietet OpenAI eine wichtige "Funktion": Sie können OpenAI auffordern, die normalen Nutzungsbedingungen mit ihrem Data Processing Addendum zu ändern. Wie bei großen amerikanischen Technologieunternehmen nicht anders zu erwarten, ist es nicht möglich, OpenAI Ihre eigene Datenverarbeitungsvereinbarung aufzuzwingen, und Sie sind an deren Version gebunden. Nichtsdestotrotz ist eine Datenverarbeitungsvereinbarung eine wichtige Voraussetzung im Rahmen der DSGVO für die Weitergabe personenbezogener Daten an "Auftragsverarbeiter" wie OpenAI. Sie enthält sogar Standardvertragsklauseln, ein Mechanismus, der verwendet werden kann, um Daten rechtmäßig in die USA zu übermitteln, aber es ist eine weitere Bewertung erforderlich, um festzustellen, ob die Standardvertragsklauseln ausreichend sind.
Azure OpenAI Dienst
Der nächste und derzeit letzte Schritt in Richtung einer Compliance- und datenschutzfreundlichen Nutzung von GPT-Modellen ist derzeit die Nutzung des Azure OpenAI Service.
Azure OpenAI Service bietet maximale Kontrolle über die von GPT-3/4-Modellen generierten Prompts und Antworten.
Standardmäßig werden die Prompts und Antworten vom Azure OpenAI Service in derselben Region wie die Ressource bis zu 30 Tage lang vorübergehend gespeichert. Diese Daten werden zu Debugging-Zwecken und zur Untersuchung von Missbrauch des Dienstes verwendet. Es ist möglich, eine Anfrage an Microsoft zu senden, um Prompts und Antworten nicht zu speichern.
Bei GPT-3.0 kann die Region USA oder Europa sein, bei GPT-3.5 oder 4.0 im Moment nur USA.
In Bezug auf den Datenschutz können Sie sich auf die von Azure bereitgestellte Standard-Datenverarbeitungsvereinbarung, einschließlich der Standardvertragsklauseln, verlassen. Da Azure zu Microsoft gehört, das seinen Hauptsitz in den USA hat und somit ein internationales Unternehmen ist, gilt die Nutzung des Azure OpenAI Service dennoch als Übermittlung personenbezogener Daten in Länder außerhalb der EU.
Technisch gesehen gibt es jedoch keinen Unterschied zwischen der Nutzung der Azure OpenAI Service APIs und der Nutzung einer Azure Virtual Machine. Für Unternehmen, die bereits das Risiko akzeptiert haben, internationale Organisationen für die Datenverarbeitung zu nutzen, also im Grunde jedes Unternehmen, ergeben sich also keine neuen Risiken.
Fazit
Die Kombination der Tatsachen, dass Ressourcen in der EU angesiedelt werden können, eine Datenverarbeitungsvereinbarung mit Standardvertragsklauseln besteht und dass Eingabeaufforderungen und Antworten nicht auf Azure-Systemen gespeichert werden (wenn die Anfrage von Microsoft genehmigt wird), macht Azure OpenAI zur einfachsten Möglichkeit, Informationssicherheits- und Compliance-Risiken bei der Verwendung von GPT-Modellen zu minimieren, selbst bei personenbezogenen Daten.