Anwalt und ChatGPT

„Klassiker“

Bei einem Versuch eines Anwalts in New York, ChatGPT für die Recherche für einen Fall zu verwenden, ist der Chatbot „gescheitert“ oder hat falsch „gelernt“. Eine vor Gericht eingereichte Klage gegen eine Airline enthielt Verweise auf Fälle wie „Petersen gegen Iran Air“ oder „Martinez gegen Delta Airlines„, die plus Aktenzeichen frei erfunden waren. Dem Anwalt zufolge wurden die angeblichen Urteile dazu von ChatGPT ausgegeben. Der zuständige Richter setzte eine Anhörung für Anfang Juni an, wo der Anwalt unter Eid aussagen musste, dass er das Gericht nicht täuschen wollte, sondern sich auf ChatGPT verlassen habe.

Allgemeine Datenschutzeinschätzung

In der Anwaltschaft hat sich ChatGPT sehr schnell zu einem Hype entwickelt (wie auch anderswo), aber wo sind die Grenzen? Was muss ein Anwalt machen, um die Verschwiegenheitspflicht auf der einen Seite und die datenschutzrechtlichen Vorgaben auf der Anderen sicherzustellen?

Um das Datenschutzrisiko konkret einschätzen zu können,  gibt es derzeit verschiedene Anfragen der Landesdatenschutzbehörden, z.B. vom ULD (Request OpenAI) an OpenAI, auch zur Frage von „Trainings“daten. Die irische Datenschutzbehörde hat den EU-Start von Googles ChatGPT-Konkurrent Bard blockiert, weil einfach zu wenig Informationen vorliegen würden, um seriös beurteilen zu können, ob sich Bard an europäische Datenschutzregeln halte oder nicht.

Anwaltliche Verschwiegenheitspflicht

Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet. Diese Pflicht bezieht sich auf alles, was ihm in Ausübung seines Berufes bekannt geworden ist. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. (§ 43 Abs. 2 BRAO).

Wenn Daten im Zusammenhang mit einem Mandat (auch wenn es nur um Kontaktdaten, Anlass der Beratung, Vollmacht und Gegner geht) über ChatGPT verarbeitet werden und z.B. einfach ein Mandats-Begrüßungsschreiben erstellt wird, ist (bisher) nicht geklärt, was mit diesen Daten konkret bei OpenAI passiert. Aber es passiert auf jeden Fall etwas, was die Verschwiegenheitspflicht betrifft. In diesem Fall würde ich aber von einer zum Mandat aus- und zweckgerichtete Datenverarbeitung ausgehen.

Wenn die Mandatsdaten darüber hinaus zur Weiterentwicklung der KI genutzt werden würden, also die KI mit diesen Daten „trainiert“ würde, wäre ein Eingriff ins Mandatsgeheimnis schwerwiegender. Auch dazu gibt es eben keine wirklichen Informationen.

Für einen datenschutzrelevanten Fall -nämlich der unverschlüsselten Email-Kommunikation- ist eine Regelung in § 2 BORA getroffen worden.

Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt, Abs. 5.

Wer sich im Rahmen des § 2 BORA bewegt und Emails nach entsprechender Zustimmung der Mandanten unverschlüsselt versendet, begeht zwar keinen Berufsrechtsverstoß; ein Verstoß gegen die DSGVO ist jedoch gleichwohl möglich.

Diese Vorgaben auf die Nutzung von ChatGPT angewandt, bedeutet das, dass die Kanzlei eine Einwilligung vom Mandanten benötigt, die den Anforderungen an die Einwilligung gemäß DSGVO genügt; Art. 6 Abs. 1 S. 1 lit. a, Art. 7 DSGVO.

Und daran würde derzeit eine Einwilligung als Zulässigkeitsmöglichkeit zur Datenverarbeitung scheitern, da keine Transparenz geschaffen werden kann, in was der Mandant konkret einwilligt, weil es dieses Informationen derzeit (noch) nicht gibt.

Aber auch, wenn die notwendigen Informationen bald folgen sollen, wäre m.E. eine Zustimmung zur Nutzung von ChatGPT dann nicht ausreichend, wenn die Mandantendaten zum Training der KI genutzt werden. Anwälte sind Organe der Rechtspflege. Inhaltlich bedeutet dies, dass der Rechtsanwalt nicht nur seinem Mandanten verpflichtet ist, sondern auch der Rechtsordnung. Bei einem massiven Nutzen von Mandantendaten durch ein amerikanisches Unternehmen für mandatsfremde Zwecke sehe ich die Rechtsordnung betroffen, weil -dadurch- „das Vertrauen der Bevölkerung in die Integrität der Anwaltschaft gefährdet“ werden könne (vgl. BVerfG NJW-RR 2010, 259, 261).

Joint Controlling

Bei Kanzleien, die ChatGPT nutzen, muss über die datenschutzrechtliche Beziehung zwischen Kanzlei und OpenAI nachgedacht werden. Das hängt natürlich davon ab, wie die personenbezogenen Daten von OpenAI tatsächlich genutzt werden. Aber es wird wohl zumindest eine gemeinsame Nutzung stattfinden, zweckgebunden auf ein bestimmtes Mandat.

Dann sehe ich aufgrund der Rechtsprechung des EuGH als datenschutzrechtliche Konstellation Joint Controlling (Art. 26 DSGVO), s. Urteil vom 05.06.2018 – C-210/16 zur facebook-Fanpage-Seiten. Denn die Kanzlei kann über das Ausmaß und Mittel der Datenverarbeitung mitentscheiden, da sie selbst vorgibt, welche Daten geliefert werden. Auch wenn einer von Beiden mehr Einfluss auf die Datenverarbeitung habe, widerspricht dies nicht Art. 26 DSGVO. Denn eine „gemeinsame“ Verantwortung bedeute nicht, dass diese im Verhältnis 50:50 aufgeteilt werden müsse.

Die Konsequenz wäre, dass jede Kanzlei einen entsprechenden Vertrag mit OpenAI abschließen muss. Dies ist bei global Playern regelmäßig schwieriger, muss aber trotzdem umgesetzt werden. Bei entsprechenden Vorgaben von Datenschutzbehörden in der Vergangenheit haben die Dienstleister entsprechende Verträge für Kunden hinterlegt.

Verhältnis zum Gegner

Auch beim Verhältnis zum Gegner zeigt sich die Unterscheidung zwischen Berufsrecht und Datenschutz. Denn die DSGVO unterscheidet nicht zwischen Mandanten und Gegnern, anders als die Anwaltsordnung.

Hinsichtlich Gegnern sehe ich bei Nutzung von KI keine Einwilligungspflicht, sondern überwiegende berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit f. DSGVO). Der Einfluss eines Gegners auf die Datenverarbeitung der anderen Kanzlei kann nicht so weit gehen, den Kanzleiablauf maßgeblich zu beeinflussen. Dazu gehören bspw. Themen wie Kommunikation per Email, Datenspeicherung in der Cloud und eben auch Nutzung von ChatGPT, die der Gegner nicht bestimmen kann. Entscheidend bleibt natürlich, dass eine Kanzlei grundsätzlich die technisch- und organisatorischen Maßnahmen und die inhaltlichen Regelungen der DSGVO einhält.

Datenschutz-Folgenabschätzung

Jede Kanzlei muss bei Einsatz von KI eine so genannte Datenschutz-Folgenabschätzung durchführen, Art. 35 DSGVO.

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

ChatGPT ist eine neue Technologie, die Datenverarbeitung maßgeblich Einwirkung haben kann. Das Nutzen ist nicht googlen! Denn beim Googlen entscheidet man selber, welche Informationen man nutzen will, bei ChatGPT macht es der Bot.

AI Act

ChatGPT hat sich natürlich verselbständigt (ist ja auch die originäre Aufgabe) und wird sich auch noch weiter verselbständigen. Die KI kann z.B. schon jetzt Organigramme mit personenbezogenen Daten (Name, Funktion, Foto, Hierachie) für eine Kanzlei erstellen. Die Daten sind frei verfügbar übers Internet (z.B. über Plattformen wie Xing, LinkedIn, etc.) und werden entsprechend gematcht. Mit (noch) Fehlern behaftet, aber kann so, ohne dass ein Unternehmen es weiß, an Dritte weitergeleitet werden.

KI ist spannend, m.E. nicht mehr aufhaltbar, aber auch nicht „ohne“.

Deswegen erachte ich den AI Act, vorgeschlagen vom Europäischen Parlament, um missbräuchliche Anwendungen von künstlicher Intelligenz (KI) einzudämmen, für gut. Und anders als bei anderen Rechtsthemen soll er noch dieses Jahr kommen, und nicht, wenn schon alles „eingetütet“ ist, wie es z.B. bei den sozialen Medien war.

Conclusio

ChatGPt oder andere nachkommende KI kann unter besonderen Voraussetzungen von Kanzleien genutzt werden. Es kommt aber zu aller Erst auf die zu liefernden Informationen von OpenAI oder Google an.

Auf jeden Fall ist ein „Einfach-Nutzen“ in der Anwaltschaft nicht zulässig.

Stephanie Iraschko-Luscher

22.06.2023

MGDS – Ihre Unternehmensberatung für Datenschutz in Hamburg