Das Thema Künstliche Intelligenz (KI) ist spätestens seit der Veröffentlichung von ChatGPT im November 2022 auch in der breiten Öffentlichkeit angekommen. Die Nutzung von KI eröffnet vielfältige Chancen, wie beispielsweise die Steigerung der Produktivität im Arbeitsalltag. Sie birgt aber auch Risiken, insbesondere in Bezug auf Datenschutz und Sicherheit.  

Vor diesem Hintergrund hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) eine Checkliste zum Einsatz von Chatbots, die auf Large Language Models (LLMs) basieren, veröffentlicht. 

Diese Checkliste nennt 15 Punkte zum kontrollierten Umgang mit Chatbots: 

1. Compliance-Regelungen vorgeben (z. B. Weisungen zur Nutzung bestimmter Tools) 
   
2. Datenschutzbeauftragte einbinden (z. B. je nach Anwendungsfall Erstellung einer DSFA)
3. Bereitstellung eines Funktions-Accounts (berufliche Chatbot Accounts statt privater Accounts; Accounts sollten bestenfalls keine Namen einzelner Beschäftigter enthalten)
   
4. Sichere Authentifizierung (z. B. Nutzung starker Passwörter zum Schutz gegen Angreifer, die sensible Daten wie Geschäftsgeheimnisse abgreifen könnten)
5. Keine Eingabe personenbezogener Daten (Bei Eingabe personenbezogener Daten besteht das Risiko, dass sich Anbieter in den Geschäftsbedingungen die Verwendung der Daten für eigene Zwecke einräumen lassen) 
6. Keine Ausgabe personenbezogener Daten (KI könnte Informationen aus dem Internet einbeziehen → Prompts sollten daher nicht auf Personendaten abzielen, z.B. keine „Wer"-Fragen)
7. Vorsicht bei personenbeziehbaren Daten (d. h. keine Eingabe von Daten, die im Kontext einen Personenbezug herstellen können)
8. Opt-out des KI-Trainings (Option nutzen, die Verwendung von Daten zu Trainingszwecken abzulehnen; z. B. bei ChatGPT Deaktivieren der Option „Chat history and training" unter Einstellungen)
9. Opt-out der History (Deaktivierung der Verlaufsprotokollierung von chatbasierten Diensten wie ChatGPT, um die Privatsphäre der Nutzer zu wahren). Gilt insbesondere im Beschäftigtenkontext, wenn Accounts durch mehrere Beschäftigte genutzt werden). 
10. Ergebnisse auf Richtigkeit prüfen (Chatbot-Ergebnisse sind nicht immer korrekt; Nutzer sollten die Richtigkeit eigenverantwortlich überprüfen)
11. Ergebnisse auf Diskriminierung prüfen (Unabhängig von ihrer sachlichen Richtigkeit können Chatbot-Ergebnisse unzulässig sein, wenn sie diskriminierend wirken; Nutzer tragen die Verantwortung zu überprüfen, ob die Ergebnisse für die weitere Verwendung im Einklang mit rechtlichen Bestimmungen stehen.)
12. Keine automatisierte Letztentscheidung (Menschen sollten Entscheidungen mit Rechtswirkung treffen, um eine ungewollte Bindung an undurchsichtige KI-Entscheidungen zu vermeiden)
13. Beschäftigte sensibilisieren (Durch Schulungen, Leitfäden und Gespräche sollten Beschäftigte sensibilisiert werden, um zu klären, ob und wie die Nutzung von KI-Tools angemessen ist.)
14. Datenschutz ist nicht alles (Neben Datenschutz auch weitere Aspekte wie Regelungen zum Schutz von Urheberrechten oder Geschäftsgeheimnissen beachten)
15. Weitere Entwicklung verfolgen (kommende EU-KI-Verordnung; aufgrund des dynamischen Umfelds regelmäßige Überprüfung interner Richtlinien auf Anpassungsbedarf erforderlich) 

Die Checkliste in deutscher und englischer Sprache sowie ausführliche Informationen zu den einzelnen Punkten finden Sie auf der Internetseite des HmbBfDI.