Kurzbeitrag : KI-Tauglichkeit im Datenschutzalltag: Wissen und Weisheit? : aus der RDV 6/2025, Seite 308 bis 315
Der Artikel analysiert, wie zuverlässig KI-Tools wie Copilot bei Datenschutzaufgaben sind – und zeigt anhand konkreter Beispiele erhebliche rechtliche Fehler und Grenzen auf.
I. Einleitung
Unter dem Schlagwort „Künstliche Intelligenz“ oder „KI“ werden Large Language Models (LLM) im Moment stark gehypt. Diese Algorithmenart ist inzwischen in verschiedene Produkte der täglichen Arbeit integriert, bspw. als Copilot im Browser Microsoft Edge. Sofern Unternehmen Edge oder Copilot nicht deaktiviert haben, kann jeder Beschäftigte es nutzen. Somit bietet es sich an, anstelle des Datenschutzbeauftragten ein LLM um Rat oder Prüfung zu bitten. In diesem Beitrag gehen wir der Frage nach: Welche Qualität hätte ein solches Beratungs- oder Prüfergebnis?
Datenschutzbeauftragte stehen vor der Frage, ob sie Beratungs- und Prüfungsleistungen durch eigene geistige Anstrengungen erbringen oder eine Maschine für sich arbeiten lassen. Auch aus dieser Perspektive ist die Qualität der Antworten von Bedeutung.
Ob ein LLM für rechtliche Prüfungen oder Beratungen eine geeignete Algorithmenart ist, sei dahingestellt.[1] Sie sind verfügbar, d.h. ihre Nutzung drängt sich auf. Wer Ratschlägen und Erläuterungen von LLM vertraut, läuft – sofern die Aussagen des LLM datenschutzrechtlich unzutreffend ausfallen – Gefahr, als Verantwortlicher falsche Schlüsse zu ziehen und als Datenschutzbeauftragte falsch zu beraten.
Der vorliegende Beitrag beleuchtet exemplarisch am Beispiel des im Browser Edge eingebauten Copilot von Microsoft, wie sich das LLM bei Aufgaben aus dem Datenschutzalltag schlägt. Dazu wird Copilot in der Einstellung „Smart (GTP-5)“ verwendet.
Die Ergebnisse sind nicht repräsentativ, d.h. andere LLM oder auch eine andere Einstellung von Copilot kann zu anderen Ergebnissen führen. Andere als hier verwendete Eingaben können ebenfalls das Ergebnis verändern. Durch Änderungen der Hersteller an Modellen kann sich ebenfalls die Ausgabe ändern. Gleichwohl geben die Beispiele erste Anhaltspunkte zur Tauglichkeit als „Datenschutzberater“.
Betrachtet werden die folgenden Fragestellungen aus dem Datenschutzalltag:
- Bewertung einer AVV-Klausel,
- Bearbeitung eines Auskunftsersuchens,
- Urteilsrecherche und
- Erstellung eines Einwilligungstextes.
Die Ausgaben des LLM werden kursorisch dahingehend bewertet, ob sie die Vorgaben der DS‑GVO korrekt darstellen bzw. anwenden und ob auch die wesentliche Rechtsprechung insbesondere des EuGH berücksichtigt wurde. Der Schwerpunkt liegt auf offensichtlichen oder schwerwiegenden Fehlern. Weder die Prüfung noch die folgende Darstellung erheben erheben Anspruch auf Vollständigkeit.
II. Bewertung einer AVV-Klausel
Eine regelmäßig vorkommende Aufgabe aus dem Datenschutzalltag ist das Bewerten von Verträgen zur Auftragsverarbeitung (AVV). Für die Zwecke des vorliegenden Beitrags beschränkt sich der Test auf die Bewertung einer Klausel, um Ergebnisse darstellbar zu halten. In der Praxis verstoßen Klauseln zu Kontrollrechten regelmäßig gegen Art. 28 Abs. 3 lit. h) DS‑GVO.
Tabelle 1 zeigt die zu bewertenden Klauseln.
Tabelle 1: Zu bewertende Klauseln für Kontrollrechte
Nr. | Wortlaut |
|---|---|
1 | c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen. d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt. |
2 | (1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragneher in dessen Geschäftsbetrieb während der üblichen Geschäftszeiten zu überzeugen. (2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. (3) Der Nachweis der technisch-organisatorischen Maßnahmen zur Einhaltung der besonderen Anforderungen des Datenschutzes allgemein sowie solche, die den Auftrag betreffen, kann erfolgen durch: - die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DS-GVO; - die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gem. Art. 42 DS-GVO; - aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); - eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz). |
3 | (1) Der Auftraggeber hat das Recht, Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen, die sich auf die Einhaltung der vertraglichen Vereinbarung zwischen Auftraggeber und Auftragsverarbeiter, die vom Auftraggeber erteilten Weisungen sowie die Einhaltung der einschlägigen datenschutzrechtlichen Pflichten beziehen. Er hat das Recht, sich dazu in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung in dem Geschäftsbetrieb des Auftragsverarbeiters sowie an den Orten, an denen dessen Beschäftigte in den Datensätzen des Auftraggebers enthaltene personenbezogene Daten verarbeiten (z. B. innerhalb der häuslichen Wohnung), zu überzeugen. Der Auftragsverarbeiter darf Prüfer ablehnen, sofern diese in einem Wettbewerbsverhältnis zu ihm stehen. (2) Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber oder dem benannten Prüfer auf Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu erteilen, Nachweise (z. B. vorhandene Testate von Sachverständigen, Zertifizierungen oder interne Prüfungen) zur Verfügung zu stellen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. |
4 | Der Auftraggeber darf beim Auftragnehmer einmal pro Kalenderjahr Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten einholen und zu diesem Zweck Überprüfungen beim Auftragnehmer durchführen. Derartige Überprüfungen erfolgen durch die Einholung einer Selbstauskunft vom Auftragnehmer. Der Auftragnehmer ist berechtigt, die Abgabe einer Selbstauskunft durch die Überlassung von Kopien von Testaten oder Zertifizierungen durch Dritte zu ergänzen oder zu ersetzen, sofern diese nicht älter als ein Jahr sind. Die Testate bzw. Zertifizierungen müssen sich zudem auf die zum Zeitpunkt der Überprüfung durch den Auftraggeber aktuellen technischen und organisatorischen Maßnahmen beziehen. Für den Fall sachlich begründeter Zweifel an der Richtigkeit oder Vollständigkeit der Aussagen in einer Selbstauskunft oder in Testaten bzw. Zertifizierungen sowie für den Fall des Vorliegens eines wichtigen Grundes verpflichtet sich der Auftragnehmer, eine Kontrolle vor Ort zu dulden. Der Auftragnehmer räumt dem Auftraggeber für diese Fälle und zu diesem Zweck das Recht ein, sich nach rechtzeitiger Anmeldung (mindestens 14 Tage im Voraus) im Rahmen üblicher Bürozeiten in den Betriebsräumen des Auftragnehmers ohne wesentliche Störung des Betriebsablaufs von der Einhaltung der vertraglichen Vorgaben sowie der Pflichten aus Art. 28 DS-GVO zu überzeugen. Zu diesem Zweck darf der Auftraggeber nur Auskünfte einholen, die dem Auftragnehmer zumutbar sind. Sofern in diesem Zusammenhang die Möglichkeit der Einsichtnahme in vertrauliche Informationen besteht, verpflichtet sich der Auftraggeber, eine Verschwiegenheitsverpflichtung zu unterzeichnen. Die vorstehenden Auditrechte kann der Auftraggeber nur durch unabhängige Dritte (Wirtschaftsprüfer) wahrnehmen lassen. Zusätzlich ist vor der Prüfung die Unterzeichnung einer Verschwiegenheitsverpflichtung hinsichtlich der Daten anderer Kunden obligatorisch. |
Um zu prüfen, wie genau die Vorgabe der Bewertungskriterien sein muss, wird jede Klausel mit drei verschiedenen Eingaben bewertet. Nach dem „:“ wird die jeweils zu bewertende Klausel eingesetzt.
- Eingabe 1: „Erfüllt die nachfolgende Klausel die gesetzlichen Anforderungen aus Art. 28 Abs. 3 lit. h) DS‑GVO und werden keine Formulierungen aus der Spalte „Nicht erfüllt“ dieser AVV Checkliste https://www. datenschutz-berlin.de/fileadmin/user_upload/pdf/ dokumente/2022-BlnBDI_Checkliste-Pruefung-AVV_ v1.0.pdf verwendet? Bitte denke tief nach und antworte kurz. Die zu prüfende Klausel lautet:“
- Eingabe 2: „Erfüllt die nachfolgende Klausel die gesetzlichen Anforderungen aus Art. 28 Abs. 3 lit. h) DS‑GVO unter Berücksichtigung der Rechtsprechung und Stellungnahmen von Datenschutzaufsichtsbehörden? Bitte denke tief nach und antworte kurz. Die zu prüfende Klausel lautet:“
- Eingabe 3: „Erfüllt die nachfolgende Klausel die gesetzlichen Anforderungen aus Art. 28 Abs. 3 lit. h) DS‑GVO? Bitte denke tief nach und antworte kurz. Die zu prüfende Klausel lautet:“
Eingabe 1 gibt neben Art. 28 Abs. 3 lit. h) DS‑GVO die AVVCheckliste der BlnBDI als Bewertungsmaßstab vor. Eingabe 2 verweist allgemein auf Rechtsprechung und Stellungnahmen von Datenschutzaufsichtsbehörden, d.h. ein konkreter Maßstab jenseits Art. 28 Abs. 3 lit. h) DS‑GVO wird nicht vorgegeben. Eingabe 3 stellt eine typische Eingabe eines Laien nach. Die Phrase „Bitte denke tief nach und antworte kurz“ soll das für die Aktivierung eines Reasoningmodells sorgen und die Antwort auf das Wesentliche beschränken. Ohne „antworte kurz“ erfolgt eine umfangreiche, jedoch nicht substanziell gehaltvollere Ausgabe. Damit wird der Anforderung aus dem Praxisalltag, dass Nutzer ein kurzes Ergebnis anstatt einer großen Menge an Text erhalten wollen, Rechnung getragen.
Tabelle 2 zeigt die vom Algorithmus ermittelten Beanstandungen pro Klausel und Eingabe. Als Beanstandung wurden alle Kritikpunkte gewertet. Dazu gehören sowohl Formulierungen, die der Algorithmus explizit als unzulässig markierte wie auch Formulierungen, die er als unzulässig markierte, wenn Zusätze fehlen. Es wurde nicht geprüft, ob die geforderten Zusätze vorhanden sind.
Tabelle 2: Anzahl Beanstandungen
Nr. | Eingabe 1 | Eingabe 2 | Eingabe 3 |
|---|---|---|---|
1 | 1 | 3 | 3 |
2 | 4 | 7 | 7 |
3 | 5 | 5 | 6 |
4 | 7 | 7 | 6 |
Es fällt auf, dass bei zwei Klauseln die Eingabe 1 zu weniger Beanstandungen führt als Eingaben ohne Bezug zu einer konkreten Checkliste. Der Unterschied zwischen Eingabe 2 und 3 fällt gering aus, d.h. ob allgemein die Einbeziehung von „Rechtsprechung und Stellungnahmen von Datenschutzaufsichtsbehörden“ verlangt wird oder nicht, ist im Ergebnis unerheblich.
Das LLM hat alle vier Klauseln als unzutreffend eingestuft. Die Klausel Nr. 1 und Nr. 3 sind rechtlich zulässige Umsetzungen des Art. 28 Abs. 3 lit. h) DS‑GVO. Klausel Nr. 1 sind die Ziffern 7.6 c) und d) des EU-Standardvertrags (C(2021) 3701). Klausel Nr. 3 sind die Ziffern 1.3 1) und 2) der nach Art. 40 DS‑GVO genehmigten Verhaltensregel Trusted Data Processor. Klausel Nr. 2 entspricht der Ziffer 8 des GDD-Musters[2] . Auch hier überzeugen die Beanstandungen inhaltlich nicht. Lediglich Klausel Nr. 4 verstößt gegen Art. 28 Abs. 3 lit. h) DS‑GVO in zahlreichen Punkten.
Beim Vergleich der Ausgaben fällt auf, dass der Algorithmus konkrete Wortfolgen aus dem Gesetzestext erwartet („enthält nicht ausdrücklich ,einschließlich Inspektionen, ermöglicht und trägt dazu bei’“). Da LLM – bauartbedingt – kein Verständnis von Wörtern haben, können sie Fallauflistungen, die nicht im Gesetzestext vorkommen, nicht als solche erkennen. Die Formulierung „angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung“ des EU-Standardvertrags wurde mit dem Hinweis ,in angemessenen Abständen‘ beschränkt die Häufigkeit von Kontrollen“ beanstandet.
III. Bearbeitung eines Auskunftsersuchens
Auskunftsersuchen nach Art. 15 Abs. 3 DS‑GVO sorgen immer wieder für Unsicherheit hinsichtlich ihrer Reichweite. Müssen Kopien von Dokumenten herausgegeben werden? Eine Einzelfallentscheidung, sagt der EuGH (Urt. v. 04.05.2023, Az. C-487/21) und in Folge auch der BGH (bspw. Urt. v. 06.02.2024, Az. VI ZR 61/23 und vom 05.03.2024, Az. VI ZR 330/21).
Tabelle 3 zeigt Eingabe und Ausgabe. Der Ablauf wirkt strukturiert, aber auch recht allgemein. Die einzubeziehenden Quellen zeigen an, dass alle Nachrichten zu beauskunften seien. Ein Hinweis auf die Rechtsprechung fehlt, die Kopien von Dokumenten und E-Mails nur in Ausnahmen als umfasst von Art. 15 Abs. 3 DS‑GVO ansieht. Der Eindruck, dass eine Fristverlängerung um 2 Monate lediglich einer Begründung bedarf, wird den Anforderungen von Art. 12 Abs. 3 DS‑GVO nicht gerecht.
Tabelle 3: Bewertung eines Auskunftsersuchens
Art. 12 Abs. 5 DS‑GVO erlaubt das Ablehnen eines Auskunftsersuchens nur bei offenkundig unbegründeten oder exzessiven Anfragen. Tabelle 4 zeigt einen Entwurf für ein Ablehnungsschreiben. Es fällt auf, dass als Ablehnungsgrund Art. 15 Abs. 4 DS‑GVO mit der Begründung einer „allgemeinen Aktenherausgabe“ aufgeführt wird. Hinsichtlich der Patientenakte hat der EuGH geurteilt, dass eine Kopie herauszugeben sei (Urt. v. 26.10.2023, Az. C-307/22).
Art. 15 Abs. 4 DS‑GVO erlaubt jedoch nicht die Auskunftsverweigerung, sondern verlangt die Auskunftserteilung unter Schwärzung bzw. ein Entfernen Daten Dritter[3] . Insofern begründet das entworfene Schreiben die Auskunftsverweigerung unzutreffend.
Tabelle 4: Ablehnung des Auskunftsersuchens
IV. Urteilsrecherche
Das Recherchieren nach Urteilen ist eine bildende, jedoch auch zeitaufwendige Tätigkeit. Tabelle 5 zeigt die Ausgabe von Copilot auf die Eingabe, alle EuGH-Urteile zu Art. 15 DS‑GVO zusammenzufassen. Die aufgeführten Urteile existieren. Allerdings wurde der Tenor sehr verkürzt wiedergeben, so dass wesentliche Aussagen nicht oder nicht vollständig wiedergeben wurden. Vollständig ist die Aufzählung indes nicht. Es fehlen bspw. die Urteile vom
- 26.10.2023, Az. C-307/22 und
- 22.06.2023, Az. C-579/21.
Wird ein ungekürzter Tenor angefordert, wird dieser auch ausgegeben, wie ein Test zeigte. Ob vollständig oder korrekt wäre jeweils zu prüfen.
Tabelle 5: Ergebnisse einer Urteilsrecherche
V. Erstellung eines Einwilligungstextes
Die Nutzung von Beschäftigtenfotos zu Werbezwecken gehört vielfach zum Unternehmensalltag. Somit werden Datenschutzbeauftragte häufig gebeten, eine entsprechende Einwilligung zu erstellen. Da es sich um eine Routineaufgabe handelt, liegt eine Auslagerung an Copilot nahe.
Eingabe | Ausgabe |
|---|---|
Erstelle eine Einwilligung | Sehr gerne! Hier ist ein rechtssicher gestalteter Mustertext für eine Einwilligungserklärung nach Art. 7 DS‑GVO, die sich an der Rechtsprechung deutscher Gerichte und des EuGH orientiert. Sie berücksichtigt die Anforderungen an Freiwilligkeit, Informiertheit, Transparenz und Widerrufbarkeit. Mustereinwilligungserklärung nach Art. 7 DS‑GVO Sehr geehrte Mitarbeiterin, wir möchten Fotos von Ihnen anfertigen und diese zusammen mit Ihrem Namen und Alter veröffentlichen. Die Veröffentlichung dient der Außendarstellung und internen Kommunikation unseres Unternehmens. Die Verarbeitung Ihrer personenbezogenen Daten (Foto, Name, Alter) erfolgt ausschließlich auf Grundlage Ihrer freiwilligen Einwilligung gem. Art. 6 Abs. 1 lit. a), Art. 7 DS‑GVO. Eine Verweigerung oder ein Widerruf hat keinerlei negative Folgen für Ihr Arbeitsverhältnis. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf kann formlos, z. B. per E-Mail, erfolgen. Bereits veröffentlichte Inhalte werden – soweit möglich – entfernt. Auswahl der Veröffentlichungsmedien (bitte ankreuzen) Ich willige ein, dass mein Foto zusammen mit meinem Namen und Alter veröffentlicht wird in/auf: ■ Unternehmenswebseite ■ Social-Media-Kanälen des Unternehmens (z.B. Linked-In, Instagram, Facebook) ■ Plakatwänden/Flyern/Broschüren ■ Interner Mitarbeiterzeitung/Intranet Hinweise zur Einwilligung ■ Die Einwilligung ist freiwillig. Ort, Datum: ____________________ Unterschrift Mitarbeiter/in: ____________________ Dieses Muster ist so formuliert, dass es den Anforderungen der deutschen Rechtsprechung (z.B. BAG, LAG-Entscheidungen) und des EuGH entspricht: ■ Granularität: getrennte Ankreuzoptionen für verschiedene Medien. |
Tabelle 6: Erstellte Fotoeinwilligung (Hervorhebungen entsprechen der Originalausgabe)
Tabelle 6 zeigt die Ausgabe mit den von Copilot verwendeten Hervorhebungen. Copilot verspricht eine „rechtssichere“ Einwilligung, die die Rechtsprechung berücksichtigt. Sofern Daten an Dritte weitergegeben werden, sind diese in der Einwilligung aufzuführen.
Eine Verwendung von personenbezogenen Daten auf Social-Media-Profilen geht zwingend mit einer Übermittlung an die jeweiligen Betreiber einher. Diese Empfänger werden – obwohl erforderlich[4] – nicht genannt.
Eine Veröffentlichung im Internet, d.h. bspw. auf der eigenen Webseite oder auf Social-Media-Profilen, geht zwingend mit einer Übermittlung der personenbezogenen Daten in Drittländer einher. Der Einwilligungstext holt keine Einwillgung nach Art. 49 Abs. 1 lit. a) DS‑GVO ein, d.h. eine Übermittlung in Drittländer wird nicht legitimiert.
Da veröffentlichte Fotos durchaus unter Verstoß diverser Gesetze von Dritten bspw. für das Training von Algorithmen verwendet werden oder Ausgangsmaterial für Deep Fakes[5] sein können, stellt sich die Frage, ob nicht auch auf diese Risiken hingewiesen werden muss. Art. 49 Abs. 1 lit. a) DS‑GVO verlangt eine Unterrichtung über die durch die Übermittlung in Drittländer entstehenden Risiken.
Ob ein Hinweis auf die Datenschutzinformation nach Art. 13, 14 DS‑GVO erforderlich wäre, kann dahingestellt bleiben. Im Beschäftigtenkontext sind Szenarien denkbar, wo die Beschäftigten bereits über diese Informationen verfügen.
Der Leser wird eingeladen zu prüfen, ob weitere Mängel bestehen. Die gefundenen Mängel reichen aus, um von einer Unwirksamkeit auszugehen. Das Versprechen einer „rechtssicheren“ Einwilligung wurde nicht eingelöst.
Der Einwilligungstext ändert sich merklich, wenn man die Eingabe um den Satz „Bitte denke tief nach und antworte kurz.“ ergänzt. Nun verspricht Copilot keine „Rechtssicherheit“ mehr. Tabelle 7 zeigt die Ausgabe, die mindestens aus den gleichen Gründen ebenfalls keine wirksame Einwilligung darstellt.
Tabelle 7: Erstellte Fotoeinwilligung mit Aufforderung „Bitte denke tief nach und antworte kurz.“ (Hervorhebungen entsprechen der Originalausgabe)
Eingabe | Ausgabe |
|---|---|
Erstelle eine Einwilligung | Einwilligung zur Anfertigung und Veröffentlichung von Beschäftigtenfotos Ich willige freiwillig ein, dass von mir Fotos angefertigt und zusammen mit meinem Namen und Alter veröffentlicht werden. Die Verarbeitung erfolgt ausschließlich zum Zweck der Außendarstellung und internen Kommunikation des Unternehmens auf Basis von Art. 6 Abs. 1 a, Art. 7 DS‑GVO. Eine Verweigerung oder ein Widerruf hat keine nachteiligen Auswirkungen auf mein Arbeitsverhältnis. Auswahl der Veröffentlichungsmedien ■ Unternehmenswebseite: ■ Social Media: ■ Plakatwände und Print: ■ Interne Mitarbeiterzeitung: Kurzinfo nach DS‑GVO ■ Verantwortlicher: [Unternehmen, Anschrift, Kontakt] Ort, Datum: ____________________ Name Beschäftigte/r: ____________________ Unterschrift: ____________________ |
VI. Fazit
Die Fähigkeit komplexe Sachverhalte zu durchdringen und verständlich zusammenzufassen ist eine Aufgabe von Datenschutzbeauftragten und anderen Beratern, für die sich LLM geradezu aufdrängen. Die vorgestellten Beispiele zeigen, dass die Ausgaben nicht ohne kritische Prüfung und Nachbearbeitung verwendet werden sollten. Eine solche Prüfung setzt fundiertes Detailwissen voraus, um aus der überzeugend aussehenden Antwort die vorhandenen Lücken und Fehler erkennen zu können. Ohne kritische Prüfung der erzeugten Ergebnisse droht schnell negative Berichterstattung.[6]
Ob die Nutzung eines LLM zu einer Zeitersparnis führt, sollte ein Anwender kritisch prüfen. Bspw. gibt die Urteilsrecherche nicht alle Urteile wieder. Eine Recherche in einer einschlägigen Urteilsdatenbank dürfte zuverlässiger und schneller sein.
Die Ausgaben ändern sich auch bei inhaltsneutralen Änderungen der Eingaben („Bitte denke tief nach und antworte kurz.“). Dieses zeigt einmal mehr, dass LLM kein inhaltliches „Verständnis“ besitzen.
Im Rahmen der Erstellung dieses Art.s änderten sich die Ausgaben von Copilot sogar bei derselben Eingabe. Für einen Produktiveinsatz geht Zuverlässigkeit verloren. Selbst wenn an einem Tag das LLM richtige und vollständige Antworten liefern würde, kann sich ein Anwender nicht darauf verlassen, dass sich das Verhalten am Folgetag wiederholt
Die hier gezeigten Beispiele zeichnen ein anderes Bild als allgemein mit „Künstlicher Intelligenz“ in Verbindung gebracht wird. Es handelt sich jedoch nicht um Ausreißer, sondern um Symptome einer Nutzerzentrierung, die auf Schmeichelei und Zustimmung basiert.[7] LLM werden so gebaut, dass sie primär den Wünschen der Nutzer nachgeben, auch wenn sie dazu Sachverhalte falsch darstellen oder gar erfinden. Im Extremfall führt ein solches Modelldesign zum Suizid[8]. Software, die für den produktiven Einsatz erstellt wurde, folgt anderen Prinzipien: die Nutzungszeit gering zu halten, reproduzierbare Ergebnisse zu liefern sowie sachlich richtig zu arbeiten.
Weil LLM ihre Ausgabe in natürlicher Sprache verfassen, wirken die Ausgaben kompetent. Sprache als Trägermedium transportiert Wissen. Bereits das Wiederholen von bekannten Wortmustern lässt einen Sprecher auch bei Ahnungslosigkeit kompetent wirken. Erste Forschungsergebnisse legen nahe, dass bereits eine kurzzeitige Nutzung von LLM sich nachteilig auf kognitive Fähigkeiten auswirkt.[9]
*Dr. Niels Lepperhoff ist Geschäftsführer der Xamit Bewertungsgesellschaft mbH und der DSZ Datenschutz Zertifizierungsgesellschaft mbH.
[1] Hinsichtlich der Funktionsweise siehe Lepperhoff (2023): KI: Vom Mythos zur Realität, in RDV 6/2023.
[2] URL: https://www.gdd.de/publikationen/muster-zur-auftragsverarbeitunggem-art-28-DS‑GVO/ . Letzter Zugriff: 2025-08-23.
[3] Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DS‑GVO Art. 15 Rn. 34, beck-online.
[4] EDSA (2020): Leitlinien 05/2020, Version 1.1, Rn. 65
[5] Heise Online (2023): Dieses 15-jährige Deepfake-Opfer will den US-Kongress zum Handeln zwingen, 20.12.2023. URL: https://heise.de/-9549140 (letzter Zugriff: 27.09.2025)
[6] Financial Review (2025): Deloitte to refund government, admits using AI in $440k report, 05.10.2025. URL: https://www.afr.com/companies/professional-services/deloitte-to-refund-government-after-admitting-ai-errorsin-440k-report-20251005-p5n05p.
[7] Heise Online (2025): GPT-5: Blindtest zeigt das eigentliche Problem hinter dem neuen Spitzenmodell, 26.08.2025. URL: https://heise.de/-10621946 (letzter Zugriff: 29.08.2025).
[8] Heise Online (2025): Mitschuld an Suizid: Eltern verklagen in den USA OpenAI, 27.08.2025. URL https://heise.de/-10623362 (letzter Zugriff: 29.08.2025).
[9] Time (2025): ChatGPT May Be Eroding Critical Thinking Skills, According to a New MIT Study. URL: https://time.com/7295195/ai-chatgpt-google-learningschool/ (letzter Zugriff: 29.08.2025)