Scheinintelligenz : Mit KI zur Blamage
Die öffentliche Berichterstattung und auch die zahlreichen Fortbildungsangebote sind sich einig: „KI“ automatisiert zahlreiche Aufgaben und macht Beschäftigte teilweise überflüssig. Mit „KI“ sind dabei regelmäßig Large Language Models (LLMs) gemeint, die aufgrund zahlreicher Angebote einfach zugänglich sind.
LLMs werden angepriesen als Algorithmen, die das Wissen der Menschheit verinnerlicht haben, da alle im Internet zugänglichen Daten zum Trainieren verwendet worden seien. Sie erscheinen damit als ideale Werkzeuge, das eigene Wissen zu ergänzen. Warum selbst recherchieren, wenn ein LLM gleich einen fertigen Text schreiben kann?
Dabei wird gern übersehen, dass LLMs lediglich Wortfragmente zufällig anordnen. Das Ergebnis liest sich grammatikalisch korrekt und hat auch etwas mit der Fragestellung zu tun. Grobe Fehler? Fehlanzeige. Gleichwohl sind durchaus subtile Fehler vorhanden, die sich negativ auf die Reputation des Nutzers auswirken können.
Fallbeispiel: Beschwerde über Werbung
Ein Unternehmen hat zwei Geschäftsführer. Der eine meldete das Unternehmen auf einem Portal an. Der andere Geschäftsführer sah die erzeugte E‑Mail zum Double-opt-in und dachte an unverlangte Werbung. Er schickte dem Plattformbetreiber ein Beschwerdeschreiben, das offensichtlich von einem LLM erstellt wurde.
Die Beschwerde löste beim Portalbetreiber eine Prüfung der gestellten Forderungen aus. Das Ergebnis zeigt sehr schön, wie subtil die von einem LLM eingebauten Fehler sind:
LLM-generierte Formulierung
Gemäß Art. 6 Abs. 1 lit. a DS‑GVO (Datenschutz-Grundverordnung) ist die Verarbeitung personenbezogener Daten nur mit vorheriger ausdrücklicher Einwilligung zulässig.
Bewertung
Art. 6 Abs. 1 DS‑GVO legt fest, dass personenbezogene Daten grundsätzlich nicht verarbeitet werden dürfen. Eine Verarbeitung ist nur dann erlaubt, wenn eine der in den Buchstaben a bis f genannten Ausnahmen vorliegt. Art. 6 Abs. 1 lit. a DS‑GVO besagt, dass eine Verarbeitung zulässig ist, wenn eine Einwilligung vorliegt. Der Umkehrschluss, dass eine fehlende Einwilligung zu einem Verarbeitungsverbot führe, ist unzutreffend, da die übrigen Alternativen b bis f die Verarbeitung erlauben könnten. Die Aussage „Gemäß Art. 6 Abs. 1 lit. a DS‑GVO ist die Verarbeitung personenbezogener Daten nur mit vorheriger ausdrücklicher Einwilligung zulässig“ ist folglich unzutreffend.
LLM-generierte Formulierung
Nach § 7 Abs. 2 Nr. 3 UWG (Gesetz gegen den unlauteren Wettbewerb) ist Werbung mittels elektronischer Kommunikation ohne vorherige ausdrückliche Einwilligung des Empfängers unzulässig.
Bewertung
§7 Abs. 2 Nr. 3 UWG befasst sich u. a. mit der Kennzeichnungspflicht von werblichen Nachrichten und der Pflicht, eine gültige Adresse für den Empfang von Werbewidersprüche und widerrufenen Einwilligungen zu betreiben. Die Einwilligungserfordernis von werblichen E‑Mails findet sich in Nr. 2 und nicht in Nr. 3. Folglich ist die Aussage „Nach § 7 Abs. 2 Nr. 3 UWG ist Werbung mittels elektronischer Kommunikation ohne vorherige ausdrückliche Einwilligung des Empfängers unzulässig“ unzutreffend.
LLM-generierte Formulierung
Sollte ich bis zum genannten Datum keine zufriedenstellende und vollständige Antwort erhalten, behalte ich mir vor, die Angelegenheit an die zuständige Datenschutzaufsichtsbehörde sowie ggf. an rechtliche Instanzen weiterzuleiten.
Bewertung
Die Drohung mit der Datenschutzaufsichtsbehörde gehört zum Standardrepertoire von solchen Beschwerden. Wer die angesprochenen „rechtliche Instanzen“ sind, erläutert das Schreiben nicht. Gerichte? Wettbewerbsverbände? Rechtsanwälte? Ordnungsamt?
Üblicherweise verlangt ein Empfänger von unverlangt zugesandter Werbung Unterlassung. Im vorliegenden Fall wurde diese naheliegende Forderung nicht erhoben, sondern es wurden weitere Auskünfte eingefordert.
Wenn Menschen schreiben, kommen auch kleine Nachlässigkeiten vor. Beispielsweise kann eine Absatznummer falsch sein. Wenn jedoch mehrere Verweise auf Gesetze falsch sind, steht die Kompetenz des Absenders infrage.
Fallbeispiel: Prüfung von vertraglichen Regelungen
Eine Prüfung, ob ein vorgelegter Vertrag gesetzlichen Anforderungen genügt, ist zeitaufwendig und setzt eine Kenntnis der gesetzlichen Anforderungen sowie der aktuellen Rechtsprechung voraus. Da die Erfahrung zeigt, dass Verträge zur Auftragsverarbeitung selten den Anforderungen von Art. 28 DS‑GVO genügen, müssen Unternehmen jeden Vertrag prüfen. Unterzeichnet ein Unternehmen einen solchen Vertrag, der nicht den Anforderungen von Art. 28 DS‑GVO genügt, begehen beide Vertragsparteien eine bußgeldbewehrte Ordnungswidrigkeit.
Wie schlägt sich ein LLM bei einer einfachen Vertragsprüfung? Dazu hat der Autor Copilot mit dem Modell „Smart GPT-5“ um eine Bewertung einer Klausel zu Kontrollrechten nach Art. 28 Abs. 3 lit. h DS‑GVO gebeten. Die zu bewertende Klausel waren die Ziffern 7.6 c und d des EUStandardvertrags zur Umsetzung von Art. 28 DS‑GVO. Diese Klausel ist qua Beschluss der EU-Kommission eine rechtlich zulässige Umsetzung von Art. 28 Abs. 3 lit. h DS‑GVO. Sie wird in der Praxis durchaus verwendet.
Das Kurzfazit von Copilot lautet: „Die Klausel deckt wesentliche Teile von Art. 28 Abs. 3 lit. h DS‑GVO ab, aber ohne die Hinweispflicht und mit einer unnötigen Einschränkung des Auditrechts. Mit den genannten Ergänzungen wäre sie vollumfänglich konform.“ Zur „Hinweispflicht“ erläutert Copilot: „unverzügliche Information des Verantwortlichen, wenn der Auftragsverarbeiter der Ansicht ist, dass eine Weisung gegen die DS‑GVO oder andere Datenschutzvorschriften verstößt“.
In Art. 28 Abs. 3 Unterabsatz 2 DS‑GVO findet sich tatsächlich die Pflicht, vertraglich zu vereinbaren, dass der Auftragsverarbeitende den Auftraggeber über Weisungen zu informieren hat, die mutmaßlich gegen die DS‑GVO verstoßen. Diese Pflicht steht zwar unter dem Buchstaben h, hat mit diesem aber nichts zu tun. Die weiteren Ausführungen von Copilot waren teilweise ebenfalls unzutreffend.
In Art. 28 Abs. 3 Unterabsatz 2 DS‑GVO findet sich tatsächlich die Pflicht, vertraglich zu vereinbaren, dass der Auftragsverarbeitende den Auftraggeber über Weisungen zu informieren hat, die mutmaßlich gegen die DS‑GVO verstoßen. Diese Pflicht steht zwar unter dem Buchstaben h, hat mit diesem aber nichts zu tun. Die weiteren Ausführungen von Copilot waren teilweise ebenfalls unzutreffend.
Zusammengefasst hat Copilot eine rechtlich zulässige Klausel als nicht rechtskonform eingestuft und Unzutreffendes über den Inhalt von Art. 28 Abs. 3 lit. h DS‑GVO behauptet. Ein Laie hätte beides vermutlich nicht gemerkt.
Fallbeispiel:
Die Erfahrung zeigt, dass LLMs auch zur Bewertung von neuen Projekten eingesetzt werden. Zum Nachstellen einer solche Situation hat der Autor Copilot mit dem Modell „Smart GPT-5“ gebeten, darzustellen, was datenschutzrechtlich bei der Veröffentlichung von Fotos und Beschreibung ihrer Hobbys von neuen Beschäftigten im Intranet zu beachten sei. In der Antwort betont Copilot, dass eine „saubere Rechtsgrundlage“ benötigt werden. Der Begriff „sauber“ scheint wichtig zu sein. Er kommt indes in der DS‑GVO nicht vor. Deshalb wurde Copilot um eine Gegenüberstellung von „schmutziger Rechtsgrundlage“ und „sauberer Rechtsgrundlage“ gebeten.
Das Ergebnis zeigt Tabelle.
Auf den ersten Blick sieht die Antwort von Copilot überzeugend aus. Doch auch sie ist nicht frei von subtilen Fehlern, die zu einem falschen Verständnis beim Betrachter führen können. Im Folgenden werden ausgewählte Fehler beleuchtet. Aus der Tatsache, dass eine Aussage nicht besprochen wird, darf nicht der Schluss gezogen werden, dass diese richtig sei.
Die genannten „Aspekte“ kommen durchaus im Datenschutzrecht vor. Die Aspekte „Dokumentation“, „Datensicherheit“ und „Zweckbindung“ haben jedoch mit Rechtsgrundlagen nichts zu tun. Sie hätten in der Gegenüberstellung nicht auftauchen sollen.
Copilot geht davon aus, dass eine Veröffentlichung von Fotos und Hobbys im Intranet nur auf Grundlage einer Einwilligung zulässig sei. Das ist so pauschal unzutreffend, da auch eine Interessenabwägung (Art. 6 Abs. 1 lit. f DS‑GVO) grundsätzlich die Veröffentlichung legitimieren könnte. Ob das der Fall ist, hängt von den konkreten Umständen ab. Der Verweis auf § 26 Abs. 1 BDSG mit der Einschränkung „obwohl keine Erforderlichkeit besteht“ suggeriert, dass § 26 Abs. 1 BDSG eine Rechtsgrundlage sein könnte. Der EuGH hat dieses bereits faktisch verneint (Urteil vom 20.03.2023, Az.: C34/21).
„Art. 6 Abs. 1 lit. a DS‑GVO i.V. m. § 26 Abs. 2 BDSG (freiwillige Einwilligung)“ stellt einen falschen Bezug her. Art. 6 Abs. 1 lit. a DS‑GVO legt fest, dass eine Einwilligung eine Datenverarbeitung erlauben kann. Die Bedingungen, beispielsweise Freiwilligkeit, die eine Einwilligung erfüllen muss, sind in Art. 7 DS‑GVO festgelegt. § 26 Abs. 2 BDSG konkretisiert, unter welchen Bedingungen im Beschäftigungsverhältnis Freiwilligkeit gegeben sein könnte.
Die Aussage, dass für die Transparenz nach Art. 13 DS‑GVO auch die Zugriffsberechtigten zu nennen seien, stimmt nicht. Zu nennen sind hingegen Empfänger. Empfänger und Zugriffsberechtigten bezeichnen ganz unterschiedliche Gruppen.
Unter Umfang führt Copilot aus, dass zwei getrennte Einwilligungen erforderlich seien. Das ist für das konkrete Beispiel unzutreffend. Die Veröffentlichung von Foto und Hobbys bilden eine Einheit, d. h. sie können durch eine Einwilligung legitimiert werden.
Ob ein Ablauf zur Umsetzung von Widerrufen vorhanden ist oder nicht, hat keinen Einfluss auf die Wirksamkeit der Einwilligung.
Zusammengefasst bleibt festzuhalten, dass die Darstellung und die gewählte Sprache von Copilot überzeugend ausfallen. Die Fehler sind wieder subtil, können jedoch bei einer Umsetzung durchaus zu unwirksamen Einwilligungen führen.
Fazit
LLMs sind interessante Werkzeuge, die verführerisch überzeugend aussehende Aussagen produzieren. Für Laien sind in den Ausführungen enthaltene subtile Fehler nicht zu erkennen. Das Befolgen der Ratschläge und der Erläuterung kann jedoch zu rechtswidrigen Handlungen führen. In der Kommunikation fallen die Fehler auf den Absender zurück, d. h. man blamiert sich, ohne es zu merken. Für falsche, nachteilige oder unvollständige Aussagen muss im Zweifel der Arbeitgeber einstehe. Schlimmstenfalls kann es zu Abmahnungen, Bußgeldern oder Schadensersatzansprüchen kommen.
Auffällig war in den durchgeführten Tests, dass Copilot jede erzeugte Lösung (Einwilligungen, Betriebsvereinbarungen, Vertragsklauseln) als rechtssicher bezeichnet. Seriös lässt sich so ein Versprechen selten geben.
Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH