ChatGPT, Google, Doodle & Co. sind dienstlich nicht Ihr Freund
Die Grundregel ist einfach:
Wenn die Benutzung einer Netzseite keine personenbezogenen Angaben oder Eingabe von Betriebsgeheimnissen erfordert, dürfen Sie sie entsprechend ihrer Lizenzbestimmungen dienstlich nutzen.
Privat ist vielen egal, wer welche Daten von uns hat, da wir vermeintlich nichts zu verbergen haben. So offenbaren wir uns, unseren Beziehungsstatus, unsere Kinder, unsere politische Meinung gerne in „sozialen“ Netzwerken oder teilen Google durch unsere Suchanfragen indirekt mit, dass wir schwanger, krebskrank, schwul, Prepper oder Rechtschreibfreak sind. Das ist alles erlaubt, kann aber zu Nachteilen führen. Deshalb ist es dienstlich durch die DSGVO reglementiert.
Personenbezogene Daten dürfen dienstlich nicht einfach an Dritte im Netz weitergegeben werden. Dabei ist es egal, ob das unsere eigenen Daten oder „nur“ die unseres Kollegen sind, weil immer unsere Firma für diese Entscheidung haftet. Ihre Firma muss im Arbeitskontext sicherstellen, dass Sie Ihre eigenen Daten entweder nur innerhalb der vertraglichen, gesetzlichen Pflichten oder eindeutig freiwillig nutzen.
Zusätzlich zu Umfragewerkzeugen, werden firmenintern immer häufiger „KI“, wie ChatGPT datenschutzwidrig benutzt und dadurch mitunter sogar Firmengeheimnisse gefährdet.
Was sind die häufigsten Fallen?
Anmeldung
Wenn Sie sich zur Nutzung anmelden müssen, ist das ohne Erlaubnis des Vorgesetzten verboten. Eine Anmeldung erfordert regelmäßig die Eingabe Ihrer Email oder anderer Personendaten.
Suche
Wenn Sie Google, Bing und Co. für Suchanfragen nutzen, ist das meist problemlos.
Bitte achten Sie trotzdem darauf, dass Ihre Suchausdrücke keine Namen oder andere personenbezogenen Daten enthalten, die nicht schon vorher frei verfügbar im Netz standen.
Umfragen und Terminfindung
Terminfindung mit „Doodle“ ist genauso verboten, wie die Umfragetools von Google, Microsoft & Co. zu nutzen, sofern der Arbeitgeber keinen datenschutzrechtlichen Geheimhaltungsvertrag (AVV) mit einem dieser Anbieter abgeschlossen und den Mitarbeiter ausdrücklich die Benutzung auch zu diesem Zweck erlaubt hat. Gerne werden diese und zahlreiche weitere Umfragewerkzeuge schnell Mal in Präsentationen eingebaut, um sie aufzulockern – bitte nur mit AVV!
Wer Office 365 oder Gmail schon firmenintern nutzt, kann in der Regel intern deren Terminfindungswerkzeuge oder Umfragen nutzen. Im Zweifel bitte immer den Vorgesetzten fragen.
Wer über sein Unternehmen hinaus Termine koordinierten muss, kann jedem per Email ein Pseudonym zuweisen und dann beispielsweise nuudel verwenden. Solange alles pseudonym bleibt, gelten die Daten dann nicht als personenbezogen. Für einfache Umfragen im kleineren Kreis bis 50 Teilnehmer kann das Unternehmen einen AVV beispielsweise mit Lamapoll schließen und dessen kostenlose Version nutzen.
ChatGPT und andere „KI“
Man kann ChatGPT und andere sogenannte „KI“ (künstliche Intelligenz) dazu benutzen, um einfache Texte zu schreiben, aber auch Programmcode. Hier muss man gut aufpassen.
Zur Bedienung müssen wir eine Aufgabe stellen (sog. „Promt“). Diese könnte personenbezogen Daten der Kollegen oder Ihrer Kunden enthalten und wäre dann verboten. Man kann mit anderen KIs auch Portraits retuschieren lassen. Fotos von Menschen sind immer personenbezogen, also nicht erlaubt.
Wenn man firmeninterne Texte, wie etwa Programmcode von einer KI kontrollieren ließe, lernte diese von der Eingabe und das Firmengeheimnis wäre keins mehr.
Das kann beides großen finanziellen Schaden hervorrufen.
Derzeit ist noch keine Möglichkeit bekannt einen wirksamen AVV mit ChatGPT zu schließen, der die Nutzung legalisieren könnte. Werden KI jedoch unter eigener Verantwortung auf eigenen Rechnern selbst betrieben, sind sie für interne Zwecke grundsätzlich eine Alternative.
Kein Passwortgenerator!
Sie sollten keine Passwortgeneratoren im Netz nutzen: Sie müssen damit rechnen, dass die generierten Passwörter gespeichert und für sogenannte Wörterbuchangriffe genutzt werden.
Fazit
Bitte an alle Mitarbeiter
Geben Sie keine personenbezogenen Daten von sich, Kollegen, Kunden oder gar Firmengeheimnisse auf Webseiten ein, außer Ihr Vorgesetzter hat es angeordnet.
Bitte an alle Vorgesetzten
Bitte ordnen Sie keine Eingabe solcher Daten an, solange dafür kein Verfahren innerhalb Ihres Verarbeitungsverzeichnisses definiert wurde. Fragen Sie im Zweifel Ihren Datenschutzbeauftragten.
Bitte an alle Unternehmensleitungen
Sorgen Sie dafür, dass Sie wissen, welche externen Dienste Ihre Mitarbeiter nutzen. Nutzen Sie das Verarbeitungsverzeichnis aktiv.
Siehe auch
-
Eu-GH Urteil zur Zeiterfassung – auch Zeiterfassungsdienste im Netz erfordern einen AVV
-
Fotoerlaubnis – die schlechteste Strategie? – denken Sie an die Rechtsgrundlage vor Veröffentlichung von Mitarbeiterdaten.
Autor: Florian Thomas Hofmann, Data Privacy Consultant, 26.05.2023
