Auf dem Weg zur künstlichen Intelligenz
Microsoft hat seine künstliche Intelligenz Copilot inzwischen in zahlreiche Microsoft Produkte integriert. So hat die KI Zugriff auf Word, Excel, PowerPoint, Outlook, Teams, Security und die Dynamic 365 CRM Sales, Customer Service und CRM Marketing Inhalte.
Der Microsoft Copilot basiert auf GTP 4 von Open AI und greift auf Daten zu, die der jeweilige Benutzer bereits im Zugriff hat. Potenziell hat Microsoft Copilot Zugriff auf alle Daten des Unternehmens. Wie zum Beispiel Kalendereinträge, E-Mails, Chatverläufe und alle zugehörigen Dokumente. Technisch kann Copilot dabei umfassende Verknüpfungen aller Unternehmensdaten erstellen. Ob diese Anfragen zu Trainingszwecken auch direkt an Microsoft weitergeleitet werden, kann nicht kontrolliert werden.
Der Ort der Verarbeitung
Die Daten werden dabei in der Microsoft-Cloud verarbeitet. Innerhalb der EU verarbeitet Copilot die Daten jeweils in der Region, in der sich auch der Microsoft 365-Mandant befindet.
Jedoch kann bei einer hohen Auslastung innerhalb einer bestimmten Region die Verarbeitung auch in einer anderen Region durchgeführt werden. Die dabei verarbeiteten Daten werden anonymisiert und aggregiert. Die Datenfreigaben können jederzeit geändert werden. Microsoft betont, dass die dabei verarbeiteten Daten nicht verwendet werden, um das System zu trainieren.
Mitarbeitervertretungen
Gibt es im Unternehmen eine Mitarbeitervertretung, so sollte geprüft werden, ob diese nach § 83 Abs. 1 Nr. 6 oder 14 BetrVG ein Mitspracherecht bei der Einführung und Anwendung von Microsoft 365 Copilot hat. In der Regel muss der Betriebsrat über die Einführung der KI unterrichtet werden insofern sich die KI auf Arbeitsverfahren und Arbeitsabläufe auswirkt. Sollte der Betriebsrat eine Anpassung der Betriebsvereinbarung verlangen, sollte dies frühzeitig eingeplant werden.
Rechtekonzept und Datenklassifizierung
Da der Copilot grundsätzlich auf alle Daten des Unternehmens zugreifen kann, muss bei der Einführung das bestehende Rechtekonzept überprüft werden. Zusätzlich sollte eine geeignete Datenklassifizierung durchgeführt werden. Ansonsten besteht die Gefahr, das persönliche oder auch sensible Informationen verarbeitet und ungewollt geteilt werden.
Erlaubt das Unternehmen seinen Mitarbeitern die private Nutzung von beispielsweise E-Mail oder Internet, so stellt dies eine weitere große Herausforderung im Zusammenhang mit der künstlichen Intelligenz dar. Dann werden ggf. persönliche Inhalte der Arbeitnehmer ohne Rechtsgrundlage verarbeitet. Der Arbeitgeber hat dann kein Recht diese Inhalte zu verarbeiten. Werden diese Daten dennoch verarbeitet, kommt es ggf. zu einer Verletzung des Fernmeldegeheimnisses.
Auftragsverarbeitung
Da der Copilot auch personenbezogene Daten im Zugriff hat, muss dies mit Microsoft vertraglich geregelt werden. Hierfür muss ein Auftragsverarbeitungsvertrag (AVV) mit Microsoft nach Artikel 28 Absatz 3 DSGVO abgeschlossen werden. Im aktuellen AVV behält sich Microsoft das Recht vor, zumindest Diagnose- und Metadaten zu eigenen Zwecken zu verarbeiten. Welche Zwecke das sind bleibt unklar. Das Risiko der Verarbeitung liegt beim jeweiligen Unternehmen. Hierfür muss auf jeden Fall ein wirksames Berechtigungskonzept erstellt und umgesetzt werden.
Verarbeitungsverzeichnis
Die Verarbeitung durch eine künstliche Intelligenz muss im aktuellen Verarbeitungsverzeichnis dokumentiert werden.
Risikomanagement
Vor dem Einsatz des Copilots muss die Verarbeitung hinsichtlich der Risiken geprüft werden. Hierfür muss eine sogenannte Datenschutzfolgeabschätzung erstellt werden. Ebenso ist zu empfehlen in einer eigenen Richtlinie festzulegen, dass die Ergebnisse der KI nicht als alleinige Grundlage für Entscheidungen genutzt werden. Ansonsten würde dies eine unrechtmäßige automatisierte Entscheidung nach Artikel 22 DSGVO darstellen.
Die Möglichkeiten, die der Copilot bietet, sind vielfältig. So könnten beispielsweise Teams Calls (Telefonkonferenzen) automatisch transkribiert oder Videokonferenzen automatisiert ausgewertet werden. Dies stellt in der Regel eine Zweckänderung dar und muss datenschutzrechtlich überprüft werden. Auch eine geeignete Rechtsgrundlage muss ggf. neu definiert werden. Oftmals benötigen Sie dazu eine zusätzliche Einwilligung oder eine andere Rechtsgrundlage.
Kommt es durch Copilot zu unberechtigten Abfragen, so dass sensible Informationen ungeschützt das Unternehmen verlassen, liegt in der Regel ein Datenschutzvorfall vor, der bei der zuständigen Aufsichtsbehörde gemeldet werden muss.
Haftung und Lenkung
Grundsätzlich müssen alle Beschäftigten des Unternehmens die eine KI nutzen, auf die Risiken hingewiesen und sensibilisiert werden. Zusätzlich sollte eine geeignete Richtlinie zum Einsatz von KI-Systemen erstellt werden. Hier kann festgelegt werden, was erlaubt und was nicht erlaubt ist. Beispielsweise sollte die automatisierte Erstellung von Leistungsbewertungen von Mitarbeitern untersagt werden. Neben Risikobetrachtungen und dem Management von Datenschutzvorgaben sind weitere Herausforderungen zu erwarten. KI-Systeme wie Copilot sollten erst einmal in einer Testumgebung geprüft werden. Wenn Sie aktuell die Einführung solcher Systeme planen, kommen Sie bitte auf uns zu.
Autor: Markus Vatter, Head of Privacy & IT-Security, 06.05.2024
