Zero Data Retention

Regelung zur Datenaufbewahrung von Chatbot-Daten

Für alle Unternehmen, Chatbots nutzen, gibt es zurzeit drei Möglichkeiten, sich vor un kontrollierbarem Zugriff auf die von der Chatbot-Nutzung betroffenen Daten zu schützen:

• Verzicht auf Produkte von US-amerikanischen Herstellern, die Daten innerhalb des US-amerikanischen Rechtsraums speichern,
• Installation eigener Chatbots, die im unternehmenseigenen Rechenzentrum (natürlich mit Standort außerhalb der USA) oder einer private Cloud des Unternehmens gespeichert werden oder
• Vertragsabschluss einer Regelung über die Nicht-Speicherung der Chatbot-Daten außerhalb des Speichermediums, auf das nur die jeweils den Chatbot benutzende Person Zugriff hat.

Keine Datenweitergabe über vertragliche Regelung hinaus

Der erste Punkt betrifft die Entscheidung des Unternehmens. Schwierigkeiten bestehen allerdings noch bei Microsoft-Lösungen, bei denen Microsoft oder der betroffene Vertragspartner eine Datenspeicherung auf Servern mit Standorten im EU-Raum zusichert. Der amerikanische CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlaubt auf Anlass von US-amerikanischen Behörden auch den Zugriff auf Daten, die von US-amerikanischen Firmen außerhalb der USA gespeichert werden. Damit ist der Konflikt zwischen US-Recht und EU-Recht vorprogrammiert. Deshalb sollte vertraglich festgelegt werden:

Keine Daten heißt keinerlei Daten, weder zu Trainings- noch zu anderen Zwecken. Juristen können das sicher besser formulieren.

Eigene Chatbots

Inzwischen gibt es zahlreiche Angebote, Large Language Models, wie sie jedem Chatbot zugrunde liegen, auf eigenen Rechnern des Unternehmens zu installieren. Viele dieser Angebote sind open Source und auch kommerziell nutzbar, manchmal allerdings unter bestimmten Einschränkungen. Dies gilt auch für Anbieter von kommerziellen Produkten, z.B. das Modell Mistral 7B der französischen Firma Mistral oder auch - mit gewissen Einschränkungen - LlaMA 3 von Meta, beide Produkte on premises installierbar. Damit liegt es in der Organisationshoheit des Unternehmens, wie es den Betrieb gestalten will.

Interessant sind auch die zahlreicher werdenden Angebote vortrainierter Modelle, sog. General Pretrained Transformer-Produkte (GPT), die man um firmenspezifische Daten erweitern kann. Wenn man sicherstellt, dass - dank der on premise-Installation - die Daten die Firma nicht verlassen, ist der automatische Zugriff US-amerikanischer Behörden zumindest außerhalb des Geltungsraums von US-amerikanischem Recht ausgeschlossen, jedenfalls solange man sich nicht die Doktrin zueigen macht, dass US-Recht Vorrang vor lokalem nationalen Recht hat (siehe auch Eigene Chatbots bauen).

Vertragliche Regelung der Nichtweitergabe von Daten

Unter dem Fachbegriff Zero Data Retention wird die vertragliche Regelung verstanden, keine Daten des Chatbot-Betriebs an den Systemhersteller (als Vertragspartner) weiterzugeben. OpenAI sichert für ChatGPT Enterprise-Nutzer vertraglich zu, „grundsätzlich“ keine Eingabe- und Ausgabe-Daten der Chatbot-Nutzung zu speichern. Was in diesem Zusamenhangb „grundsätzlich“ bedeutet, sollte aufgeklärt werden.

Besser kann man das Anliegen der Datenweitergabe durch einen sog. Zero Data Retention-Vertrag lösen, in dem man präzise vereinbart, dass keine Daten weitergegeben werden. Leider gibt es noch keine Standards für solche Verträge. Die wenigen Hinweise auf solche Verträge beinhalten Regelungen wie