Björn Simmes – Deine-Datenschuetzer.de

16. März 2024

ChatGPT-Texte: Wer besitzt die Rechte und wie kann ChatGPT Ihnen helfen?

ChatGPT hat zweifellos die Art und Weise verändert, wie wir mit KI-Technologie interagieren. Doch wer besitzt eigentlich die Rechte an den von ChatGPT generierten Texten?

Chat GPT selbst gibt folgende Antwort auf diese Frage:

„Als Entwickler von ChatGPT und führender Anbieter von KI-Technologie ist es uns wichtig, klarzustellen, dass die Rechte an den von ChatGPT generierten Texten bei den Nutzern liegen, die den Text eingeben oder verwenden. Wir respektieren das geistige Eigentum unserer Nutzer und behandeln die von ihnen eingegebenen Texte entsprechend.

Wenn Sie jedoch spezielle Texte benötigen, die auf Ihre Bedürfnisse zugeschnitten sind, können wir Ihnen helfen. Unser Team von erfahrenen Autoren und KI-Experten kann maßgeschneiderte Texte für Ihre spezifischen Anforderungen erstellen. Von Marketinginhalten über Produktbeschreibungen bis hin zu Blogbeiträgen – wir können Ihnen hochwertige Texte liefern, die genau auf Ihr Unternehmen zugeschnitten sind.“

Doch auch diese zugeschnittenen Texte sind Fragmente von vorhandenen Dokumenten. Wie sieht hier also das Urheberrecht aus?

Hierzu sagt ChatGPT:

Die Urheberrechte an den Texten, die von ChatGPT generiert werden, gehören in der Regel demjenigen, der den Text eingegeben oder erstellt hat. Dies bedeutet, dass die Person oder das Unternehmen, das den Text eingibt oder die Eingabeaufforderung bereitstellt, die Urheberrechte an dem generierten Text besitzt.

Es ist wichtig zu beachten, dass dies nur für die spezifischen Texte gilt, die von Benutzern in ChatGPT eingegeben werden, und nicht für den zugrunde liegenden Algorithmus oder die Software selbst. Die Rechte an der ChatGPT-Software gehören in der Regel dem Unternehmen oder der Organisation, die die Software entwickelt hat.

Es ist ratsam, die Nutzungsbedingungen und Datenschutzrichtlinien der ChatGPT-Plattform zu überprüfen, um sicherzustellen, dass Sie die Rechte und Einschränkungen im Zusammenhang mit der Verwendung von generierten Texten verstehen. In vielen Fällen kann die Plattform bestimmte Nutzungsrechte an den generierten Texten beanspruchen, aber im Allgemeinen behalten die Benutzer die Urheberrechte an den von ihnen eingegebenen Inhalten.

15. Februar 202415. Februar 2024

„Betroffen“ von der „Network and Information Security“-Richtlinie?

Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.

Die NIS-2 Richtlinie gilt ab Oktober 2024. Sie ersetzt die NIS Direktive von 2016 und zielt auf ein gemeinsames und einheitliches Cybersicherheitsniveau ab.

Wer ist von der NIS-2 Richtline und der Umsetzung „betroffen“?

Sektoren mit hoher Kritikalität (Anhang I der NIS-2):

Energie
Verkehr
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Abwasser
Digitale Infrastruktur
Verwaltung von IKT-Diensten (B2B)
Öffentliche Verwaltung
Weltraum

Sonstige kritische Sektoren (Anhang II der NIS-2):

Post- und Kurierdienste
Abfallbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/Herstellung von Waren
Anbieter digitaler Dienste
Forschung

Hier finden Sie die ganze Novelle als PDF

8. Februar 202415. Februar 2024

Zertifikate, Zertifikate, Zertifikate! Welches denn nun?

Auch hier gilt: Verschlüsselung ist ein „MUSS“. Die Entscheidung liegt nun bei bezahltem oder kostenfreiem Zertifikat. Kostenlose SSL-Zertifikate nutzen die gleichen Verschlüsselungsalgorithmen wie kostenpflichtige Zertifikate, um die verschlüsselten Daten zu übertragen. Die digitale Signatur besteht meist aus einer ebenfalls sicheren 4096-Bit-RSA-Schlüssel. Allerdings sind bei den kostenfreien Zertifikaten meist nur Domain-validierte SSL-Zertifikate kostenlos. Eine Überprüfung des Unternehmens ist somit nicht möglich. Bei bezahlten SSL-Zertifikaten prüft der Herausgeber die Antragsteller detaillierter. Beispielsweise rufen Mitarbeitende das Unternehmen an oder schauen sich die Einträge im Handelsregister an. Das hilft, Betrüger zu erkennen. Kostenlose SSL-Zertifikate haben dagegen gelegentlich auch Hacker erhalten. Darunter kann die Glaubwürdigkeit leiden. Das wäre der einzige Grund, warum ich ein bezahltes Zertifikat empfehlen würde.

Die DSGVO sagt dazu:

Art. 32 DSGVO Sicherheit der Verarbeitung

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Da gibt es also keine konkrete Aussage – wer hätte es gedacht.

Der BSI konkretisiert es zwar aber schließt m.E. die kostenfreien nicht aus:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr02102/tr02102_node.html

7. Februar 202415. Februar 2024

KI im Datenschutz – Analyse mit KI datenschutztechnisch relevant?

Aber JA!

Wir müssen uns der Bedeutung von KI in verschiedenen Bereichen des Lebens bewußt sein.

So kann KI, ohne dass es unsere Absicht ist, ein Scoring-ähnliches Ergebnis liefern. Z.B. bei der Verkehrüberwachung in den kommenden „Smart Cities“ im Bereich von Gefahren- und Kriminalitätsprevention Personen „kategorisieren“ und damit eine Bewertung durchführen.

Die EU hat sich im Dezember letzten Jahres auf die weltweit ersten Regeln für den Einsatz von Künstlicher Intelligenz geeinigt – den AI Act. Während die Mitgliedsstaaten des EU-Rats versucht hatten, insbesondere bei der Videoüberwachung, möglichst weitgehende Überwachungsmechanismen durchzusetzen, hielt das EU-Parlament lange an seiner bürgerrechtsfreundlicheren Position fest. Ein Kompromiss war die logische Konsequenz. Es bleibt abzuwarten, ob der AI Act letzten Endes tatsächlich zu einer angemessenen und einheitlichen Balance zwischen Sicherheit, Innovation und Grundrechten sowie der Stärkung von Betroffenenrechten beiträgt.

7. Februar 202415. Februar 2024

Werbe Email ohne Einwilligung – Nein danke

Und täglich grüßt das Murmeltier. Immer noch versenden Unternehmen unter dem Deckmantel des Umweltschutzes Werbe Emails ohne die Einwilligung des Kunden. Die Argumentation, dass es ja überhaupt nicht mehr möglich sei Werbung beim Kunden zu betreiben, ist hier nicht tauglich.

Dann zur Vermeidung einer E-Mail-Flut an belästigender Werbung i.S.d. § 7 UWG muss vor dem Versand einer Werbe-E-Mail eine Einwilligung des Empfängers gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO eingeholt werden. Um eine Einwilligung rechtssicher zu generieren, muss diese im Double-Opt-in eingeholt werden und die Anforderungen an eine informierte Einwilligung gewahrt werden.

Auch hier kann die Kommunikation mit den Kunden und damit Betroffenen helfen. Ein nettes Telefongespräch kann ja beiläufig in der Frage münden, ob man schon von der ein oder anderen Neuerung gehört hat. Bei Verneinung ist ein Hinweis auf Newsletter oder Werbung erlaubt.

Anmelden muss sich der Kunde aber noch selbst!

7. Februar 202415. Februar 2024

Keine Reaktion ist auch eine Reaktion

Einem Betroffenenbegehr nicht oder zu spät Folge zu leisten ist selten eine gute Idee. Die „Vogel-Strauss-Methode“ sollte man sich hier verkneiffen, offen und kooperativ auf den Betroffenen und seine Anfrage reagieren.

Auch hier gab es in der Vergangenheit schon empfindliche Strafen, wenn die Betroffenenrechte nicht anerkannt, beantwortet oder bearbeitet wurden.

Ein Guter Stil im Unternehmen zeigt sich auch in der Kommunikationskultur und hilft auch wogen zu glätten.

7. Februar 202415. Februar 2024

Werbecookies und immer wieder Werbecookies

Ein Werbecookie allein, macht noch keine Einwilligung. Das Banner aufpoppen zu lassen und sich ohne weitere Erläuterung zunächst mal pauschal alles auf ausgewählt zu setzen reicht nicht aus, um den gesetzlichen Anforderungen genüge zu tun.

Bei der Einwilligung ist unter Anderem die Freiwilligkeit maßgebend. Und wenn ich bei einem Cookiebanner keine Auswahl auf direktem Wege bekomme kann das die Aufsichtsbehörde empfindlich ahnden. Denn nach der DSGVO liegt es in der rechtlichen Verantwortung der Eigentümer und Betreiber von Websites, sicherzustellen, dass personenbezogene Daten rechtmäßig erhoben und verarbeitet werden.

So muss auch die Änderung der Einwilligung sowie die Information über die Betroffenenrechte gegeben sein. Also Info, Info, Info und Änderungsmöglichkeiten sowie Transparenz machen ein gutes Werbecookie aus.

7. Februar 202415. Februar 2024

Videoüberwachung unzulässig bei Leistungs- und Verhaltenskontrollen

Eine Videoüberwachung kann empfindliche Strafen nach sich ziehen, wenn diese zur Leistungs- und Verhaltenskontrolle genutzt wird.

Addiert man dann noch eine Priese Scoring (z.b. die Zeit der Verarbeitung eines Arbeitsschritts oder die Ermittlung durchschnittlicher Durchlaufzeiten von Artikeln bei einem Mitarbeiter) hinzufügt, kann das ganz schnell mal eine 2-Stellige Millionensumme kosten.Je nach Jahresumsatz der betroffenen Firma.

Wir reden hier über Verstöße gegen Art. 5 Abs. 1 lit. c, Art. 6, Art. 12, Art. 13, Art. 32 DSGVO

Die Aufsichtsbehörden überprüfen hier immer genauer. Bei Videoüberwachung sollte also die Auswahl der Erwägungsgründe genau überdacht werden. Mit einem „persönlichen“ Interesse kommen Sie in der Diskussion bei Verstößen maximal bis zum „Guten morgen“