Page 18 - Blackout
P. 18
Titelthema – Katastrophen und Attacken
Checkliste zum Einsatz LLM-
basierter Chatbots
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit stellt eine Checkliste
dient Unternehmen und Behörden als Leitfaden zur datenschutzkonformen Nutzung von
Chatbots zur Verfügung. Kernpunkte sind Compliance-Regelungen vorgeben, Datenschutz-
beauftragte einbinden und auch Beschäftigte sensibilisieren.
Generative KI in Form von Chatbots bietet die Möglichkeit, Datenschutzbeauftragte einbinden
schnell und unkompliziert Inhalte zu erstellen. Bekannte Large Beziehen Sie immer Ihre oder Ihren internen
Language Models (LLM) sind ChatGPT, Luminous oder Bard. Datenschutzbeauftragte:n ein, wenn Sie interne Weisungen
In vielen Einrichtungen sind die Tools mittlerweile Teil des erstellen oder einen Anwendungsfall erstmals umsetzen. Je nach
Arbeitsalltags geworden, oft jedoch ohne verbindliche Vor- Anwendungsfall sollten Sie in dem Zuge eine Datenschutz-Fol-
gaben zur Nutzung. Dass die Sprachmodelle üblicherweise in genabschätzung erstellen. Gegebenenfalls kann es auch sinnvoll
einer Cloud betrieben werden, birgt verschiedene Datenschutz- sein, Betriebs- und Personalrät:innen mit ins Boot zu holen.
risiken. Zum einen ist der Schutz vertraulicher Daten gefährdet,
weil viele Unternehmen mit demselben LLM-Modell cloudba- Bereitstellung eines Funktions-Accounts
siert arbeiten, Eingaben für das weitere Training der Modelle Stellen Sie berufliche Chatbot-Accounts zur Verfügung.
genutzt und ihnen dadurch möglicherweise Geschäftsgeheim- Beschäftigte sollten nicht eigenständig und unter Verwendung
nisse und persönliche Daten übermittelt werden. Zum anderen privater Daten ein Konto erstellen. Denn so würde ein Profil zu
besteht die Gefahr, personenbezogene Daten aufgrund unrich- den jeweiligen Beschäftigten hinterlegt. Wenn die Verwendung
tiger Ergebnisse unzulässig zu verarbeiten, gerade bei besonders im beruflichen Kontext erwünscht ist, sollten auch berufliche
schützenswerten Datenkategorien. Accounts zur Verfügung gestellt werden. Nach Möglichkeit soll-
ten diese Arbeits-Accounts nicht die Namen einzelner Beschäf-
Aspekte zum kontrollierten Umgang mit LLM- tigter enthalten. Soweit die E-Mail-Adresse abgefragt wird,
Chatbots bietet sich die Angabe einer dafür angelegten Mailadresse an.
Compliance-Regelungen vorgeben Teilweise werden auch Mobil-funknummern bei der Registrie-
Formulieren Sie klare und dokumentierte interne Weisungen, rung verlangt. Auch hier empfiehlt es sich, ein dienstliches Tele-
ob, beziehungsweise unter welchen Voraussetzungen welche fon dafür zu benutzen. Wir raten davon ab, die private Nutzung
Tools infrage kommen. Konkrete Beispiele der zugelassenen dieser dienstlichen Accounts zu erlauben.
und der untersagten Einsatzszenarien helfen bei der Verdeut-
lichung. Beschäftigte sensibilisieren
Wer keine internen Regelungen vorgibt, ob und wie gene- Sensibilisieren Sie Beschäftigten durch Schulungen, Leitfäden
rative KI im Arbeitsalltag eingesetzt werden darf, kann davon und Gespräche dahingehend, ob und wie sie KI-Tools nutzen
ausgehen, dass sich Beschäftigte und andere Angehörige der dürfen.
Organisationen eigenmächtig und unkontrolliert der neuarti-
gen Hilfsmittel bedienen. Unter Umständen haftet für diese www.datenschutz-hamburg.de
Handlungen die arbeitgebende Einrichtung.
Krankenhaus-IT Journal 3 /2024
20
