Mit Microsoft Copilot stellt Microsoft zunehmend Lösungen für seine Anwendungen zur Verfügung, die mit Hilfe von Large Language Models (LLMs) natürliche Sprache interpretieren und beispielsweise Texte zusammenfassen, übersetzen oder erstellen können. Die Microsoft Azure AI Services bieten Kunden eine Datenbank, über die sie auf mehr als 1600 KI-Modelle zugreifen können. Darunter befinden sich LLMs wie GPT, aber auch spezialisierte Modelle für Programmierung, Mathematik, Bild‑, Musik- und Videogenerierung. Damit bietet Microsoft seinen Kunden ungeahnte Vorteile und vielfältige Möglichkeiten. Gleichzeitig stehen Unternehmen aber auch vor rechtlichen Herausforderungen, die einer sorgfältigen Prüfung bedürfen.
Anforderungen an den Datenschutz
Das Besondere an Microsoft Copilot ist, dass die eingesetzten LLMs unternehmensspezifische und kontextbezogene Antworten generieren können, indem sie auf die Informationen des jeweiligen Kunden im Microsoft-Kosmos zugreifen. Dabei können, ebenso wie auch bei dem Einsatz von Microsoft Azure AI Services, personenbezogene Daten verarbeitet werden. Obwohl Microsoft im Microsoft Products and Services Data Protection Addendum (DPA) vertraglich zusichert, dass Kunden die volle Kontrolle über ihre eigenen Daten behalten und Kundendaten nicht für Trainingszwecke verwendet werden, müssen Unternehmen zahlreiche datenschutzrechtliche Anforderungen umsetzen. Dies betrifft insbesondere die folgenden Punkte:
- Grundsätze der Datenverarbeitung und Rechenschaftspflicht
- Rechtmäßigkeit der Datenverarbeitung
- Rechte der Betroffenenrechte
- Datensicherheit und Data Protection by Design
- Datenschutz-Folgenabschätzung
- Weitergabe von Daten an Dritte und Drittlandsübermittlungen
- KI-spezifische Risiken für Betroffene, z.B. Halluzinationen
Entscheidend für datenschutzkonformen Einsatz von KI sind der individuelle Einsatz in Unternehmen und die spezifischen Umstände des Einzelfalls.
Geistiges Eigentum
Die Rechte an Trainingsdaten, Prompts und Outputs beschäftigen inzwischen nicht nur US-amerikanische Gerichte, wie im Streit zwischen der New York Times und OpenAI, sondern auch die Rechtsprechung in Deutschland. Die KI-Verordnung verpflichtet Anbieter von KI, Strategien zur Einhaltung des Urheberrechts zu implementieren und legt Transparenzpflichten für das Training von KI-Modellen fest. Werden urheberrechtlich geschützte Inhalte zum Training von KI-Systemen verwendet und finden sich Spuren davon im Output wieder, drohen rechtliche Auseinandersetzungen. Hinzu kommt, dass Outputs von KI-Anwendungen wie Microsoft Copilot nach geltendem Recht nicht ohne Weiteres urheberrechtlich geschützt sind. Für Unternehmen sind daher Strategien zum Schutz von geistigem Eigentum und Geschäftsgeheimnissen beim Einsatz von KI unerlässlich.
Umsetzung in der Praxis
Unternehmen sollten sich von den bestehenden rechtlichen Herausforderungen keinesfalls abschrecken lassen und den Einsatz von Microsoft Copilot oder Azure AI Services nicht vorschnell verwerfen. Wer KI-Anwendungen von Microsoft einsetzen möchte, sollte sich vielmehr intensiv mit dem Einsatzszenario auseinandersetzen und mögliche Risiken im Rahmen einer KI-Strategie bewerten. Zur Berücksichtigung und Umsetzung der datenschutzrechtlichen Anforderungen ist die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) empfehlenswert und bei hohen Risiken sogar gesetzlich vorgeschrieben. Zum Schutz ihres geistigen Eigentums sollten Unternehmen im Einzelfall prüfen, ob Urheberrechtsschutz besteht und sowohl den Einsatz von KI, die verwendeten Prompts als auch die vorgenommenen Bearbeitungen dokumentieren. In der Regel kann durch eine Einzelfallprüfung ein rechtskonformer Einsatz der KI-Anwendungen von Microsoft sichergestellt werden.