DAT240 Datenschutzreglement mit ChatGPT

00:00:00: Guten Tag, mein Name ist Martin Steiger.

00:00:11: Und mein Name ist Andreas Von Gunten mit Plaudereien zum Datenschutz.

00:00:15: Martin, wir hatten wieder ein Webinar aus der Datenschutzpartner Academy.

00:00:19: Du hast uns heute gezeigt, wie man ein Datenschutzreglement erstellen kann,

00:00:25: worauf man achten muss, warum das wichtig ist und warum man das überhaupt machen möchte.

00:00:29: Und was da alles dazugehört.

00:00:31: Das fand ich sehr spannend. Wir hatten sehr interessante Sachen.

00:00:34: Aber vielleicht zeigst du noch etwas, was dir noch so wichtig war bei dem Ganzen.

00:00:37: Ja, das Datenschutzreglement, letztlich geht es darum, wie man intern dokumentieren kann,

00:00:43: wie man Datenschutzcompliance gewährleistet.

00:00:45: Also wie man all die Pflichten zum Datenschutzrecht umsetzt.

00:00:48: Für die Privaten in der Schweiz ist eigentlich klar, das braucht es nicht.

00:00:52: Man kann das auch anders machen, zumindest sehe ich das so,

00:00:55: im Rahmen von den technischen und organisatorischen Massnahmen, den TOM, zur Umsetzung

00:00:59: des Datenschutzrechts im Angespräch der DSGVO hat man eigentlich eine eindeutige Dokumentationspflicht.

00:01:05: Da braucht man sowieso noch etwas.

00:01:06: Aber wie immer, das Datenschutzrecht ist viel Eigenverantwortung, viel Spielraum.

00:01:11: Man kann das sehr unterschiedlich machen.

00:01:12: So ein Reglement schlägt eine Möglichkeit, dass man das Ganze dokumentieren kann,

00:01:17: auch ein wenig die Bahnen lenken kann.

00:01:18: Natürlich in Abhängigkeit von der Grösse der Struktur.

00:01:22: Und was noch ein anderer Aspekt ist, unter diesem Gesichtspunkt wird so ein Reglement auch häufig diskutiert.

00:01:27: Zum Teil wird es dann auch Richtlinienverweisung genannt.

00:01:29: Es wird häufig diskutiert, kann ich damit der Strafbarkeit oder der Verantwortung der Haftung entfliehen.

00:01:37: Vielleicht nicht als Ganzes, vielleicht nicht als ganze Organisation, nicht als ganzes Unternehmen.

00:01:41: Aber kann zum Beispiel die Chefetage dafür sorgen, dass nicht sie strafbar ist,

00:01:45: sondern andere Personen oder kann man den anderen Weg gehen.

00:01:48: Für das könnte das Datenschutzreglement auch noch ein Weg sein.

00:01:51: Unterdessen ist das aber nicht mehr so einfach aufgrund von neuer Rechtsprechung.

00:01:56: Genau, das hast du auch noch erwähnt.

00:01:59: Bevor wir das gerade mal im Detail anschauen, das ist jetzt auch etwas, was ich gedacht hätte,

00:02:02: das ist der Witz von diesem Reglement.

00:02:04: Es geht eigentlich darum, dass ich gegenüber delegiere, ich sage einfach, du bist jetzt für das verantwortlich.

00:02:09: Ich habe einmal gesagt, was du zu machen hast.

00:02:11: Und wenn du dich nicht daran haltest, dann ist das nachher eigentlich dein Problem.

00:02:14: So in dieser Art habe ich das auch immer verstanden.

00:02:17: Jetzt hast du aber heute ein sehr interessantes Urteil aus dem europäischen Raum gefunden,

00:02:22: das heute bekannt wurde.

00:02:23: Du hast darüber bloggt und hast das auch erwähnt.

00:02:24: Kannst du da noch etwas dazu sagen?

00:02:25: Ja klar, ich muss sagen, heute ist der 11. April.

00:02:28: Das wird mir nachher melden.

00:02:29: Am 11. April 2024 stattgefunden.

00:02:30: Wir nehmen das jetzt gerade nach dem Webinar eben auf,

00:02:32: wie wir es eigentlich häufig machen nach unseren Veranstaltungen.

00:02:35: Und das Urteil ist mir gerade noch kurz vor dem Webinar überweggelaufen.

00:02:39: Habe ich darum auch gerade noch integriert.

00:02:41: Ja, es ist das EuGH-Urteil in der Rechtssache C4741-21.

00:02:46: Der EuGH beantwortet ja so Vorlagenfragen von nationalen Gerichten in der EU.

00:02:51: Da waren es mehrere Vorlagenfragen aus Deutschland im Zusammenhang mit Schadenersatz.

00:02:56: Im Artikel 82 von der

00:02:58: Datenschutzgrundverordnung.

00:03:00: Und dort ist ein Schadenersatz vorgesehen

00:03:02: für Datenschutzverletzungen.

00:03:04: Wie wir es so ausdrücklich in der Schweiz nicht haben.

00:03:06: Aber die DSGVO hat diese Bestimmung.

00:03:07: Und dort hat es einen Absatz 3 und der heisst im Wesentlichen,

00:03:11: dass der Verantwortliche

00:03:12: von der Haftung befreit wird, wenn er nachweisen kann,

00:03:15: dass er keinerlei Hinsicht

00:03:16: für den Umstand, dass der Schaden eingetreten ist,

00:03:18: verantwortlich ist.

00:03:20: Also das ist mal der eine Teil, die Möglichkeit zur Haftungsbefreiung.

00:03:22: Und das ist das Unternehmen gewesen

00:03:24: mit Arbeitnehmerinnen und Arbeitnehmern.

00:03:27: Und dort haben wir noch

00:03:28: die interessante Regelung, das Artikel 29

00:03:30: von der DSGVO, die sagt,

00:03:32: dass unterstellte Personen, eben

00:03:34: Arbeitnehmerinnen und Arbeitnehmer,

00:03:35: die dürfen personenbezogene Daten

00:03:38: ausschliesslich auf Weisung des Verantwortlichen

00:03:40: verarbeiten. Also wenn es Unternehmen

00:03:42: und dann gibt es eigentlich Weisungen,

00:03:44: wie darf man das eben verarbeiten.

00:03:46: Das ist vielleicht übrigens ein weiterer Grund, dass man sagt,

00:03:48: man braucht ein Datenschutzreglement, dass man so eine Weisung hat.

00:03:50: Das ist das Argument gewesen, dass man gesagt hat,

00:03:52: ja wir hatten Weisungen, aber irgendjemand

00:03:54: hätte sie nicht eingehalten. Aber da können wir

00:03:56: ja nichts dafür. Aber der

00:03:58: OIGH hätte die nicht schlüpfen lassen

00:04:00: mit diesem Argument.

00:04:01: Sie haben relativ naheliegend erwiesen und gesagt,

00:04:04: ja das eine ist eine Weisung zu haben,

00:04:06: aber du musst die auch noch kontrollieren.

00:04:08: Also du kannst nicht einfach sagen, ich vertraue,

00:04:10: dass die Weisungen umgesetzt werden,

00:04:12: du musst auch noch kontrollieren.

00:04:14: Für mich ist das Motto, Vertrauen ist gut,

00:04:16: aber Kontrolle ist besser, Kontrolle ist

00:04:18: erforderlich. Ich kann

00:04:20: beide Seiten verstehen auf eine Art,

00:04:22: das ist klar, wenn wir das nicht

00:04:24: machen würden, wenn wir es nicht so verlangen würden, dann ist die Gefahr

00:04:26: extrem gross, dass sich einfach alle

00:04:28: Verantwortlichen quasi aus der Affäre ziehen,

00:04:30: indem sie einfach sagen, ich habe hier ein Papier gemacht,

00:04:32: auch wenn es niemand anschaut. Das leuchtet mir schon noch ein.

00:04:34: Und auf der anderen Seite frage ich mich dann aber auch schon,

00:04:36: was ist denn mit dieser Kontrolle gemeint?

00:04:38: Oder was bedeutet das eigentlich? Muss ich da quasi

00:04:40: jeden Schritt dokumentieren?

00:04:43: Also jeden einzelnen Prozessschritt,

00:04:45: nicht jetzt einfach so im Reglement,

00:04:46: sondern nachher in der tatsächlichen Ausführung,

00:04:48: also Prozessinstanz,

00:04:50: um sicherzustellen, dass jede mitarbeitende

00:04:52: Person sich explizit genau

00:04:54: an das Reglement haltet oder lange

00:04:56: Stichproben. Das würde mich

00:04:58: dann schon mal noch interessieren, was denn das eigentlich heisst,

00:04:59: weil es ist ja schon ein riesiger Aufwand.

00:05:01: Ja, das hat der EuGH nicht gesagt,

00:05:03: hat er aber nicht beantworten müssen.

00:05:05: Und er hat sich da nicht so eine Nebenbemerkung hier reissen lassen,

00:05:07: soweit ich das gesehen habe.

00:05:09: Vielleicht eine berechtigte Frage,

00:05:10: aber ich muss schon sagen, wir haben das Thema auch bei anderen Sachen.

00:05:13: Also zum Beispiel Arbeitssicherheit.

00:05:15: Da denke ich mir klar, es reicht nicht eine Weisung zu lassen,

00:05:18: sondern du musst schon schauen, dass die Leute

00:05:19: den Helm ertragen zum Beispiel.

00:05:21: Du kannst nicht sagen, ja, jetzt hat jemand keinen Helm getragen,

00:05:23: ich habe sofort geschrieben, jetzt hat es einen Unfall gegeben.

00:05:25: Das wird nicht funktionieren.

00:05:27: Wie immer, man muss aufpassen mit so einem Vergleich,

00:05:29: mit so einem Beispiel. Aber eben,

00:05:31: die Lösung ist ja der berühmte Mittelweg.

00:05:33: Also nicht die Totalkontrolle,

00:05:35: das wäre wieder das Problem vom Persönlichkeitsschutz,

00:05:38: vom Gesundheitsschutz der Arbeitnehmerinnen und Arbeitnehmer.

00:05:40: Aber Stichproben können

00:05:41: das Mittel sein, dokumentieren,

00:05:43: ist auch sehr unterschiedlich.

00:05:45: Aber ja, der EuGH hat diese Frage,

00:05:47: die berechtigte Frage, tatsächlich nicht beantwortet.

00:05:50: Alles klar, aber eben, es zeigt ja

00:05:51: einmal mehr, und das ist wichtig,

00:05:53: auch für alle Unternehmen in der Schweiz,

00:05:55: auch wenn es das EuGH ist, es ist nicht schlecht,

00:05:57: wenn man das Zeug alles ernst nimmt.

00:05:59: Das heisst, wenn man ein Reglement macht

00:06:01: und sich dort überlegt, was dort rein muss,

00:06:04: dass das auch Sachen sind,

00:06:05: die man tatsächlich im eigenen Betrieb

00:06:07: auch kann und umsetzen will,

00:06:09: dass man zwischen die auch heranschaut, was dann so passiert.

00:06:11: Das heisst, wenn man einfach irgendwie

00:06:13: kommt, das war heute auch ein Thema,

00:06:14: wie mache ich so einen Vorlag, wie mache ich so ein Reglement,

00:06:17: dann kann man natürlich im Netz

00:06:19: gehen, musst suchen, aber es ist nicht empfehlenswert,

00:06:21: einfach eins zu eins irgendetwas übernehmen.

00:06:23: Man muss das immer im jeweiligen Kontext

00:06:25: des Unternehmens, und es muss der Wahrheit

00:06:27: der Realität entsprechen.

00:06:28: Und in diesem Zusammenhang hattest du noch eine interessante Idee,

00:06:31: wo mir dann lustig, wie es wäre, wenn ich dieses Webinar

00:06:33: geschaut habe, auch auf die Idee gekommen ist,

00:06:35: dass man könnte mit Generative AI,

00:06:37: also mit Chat-GPT zum Beispiel,

00:06:39: mit dieser Hilfe eigentlich

00:06:41: so ein Reglement erstellen.

00:06:42: Du hast das versucht und bist auf zwei, drei interessante Aspekte

00:06:45: gestossen, kannst du da vielleicht auch mal etwas dazu sagen?

00:06:46: Genau, es ist natürlich naheliegend,

00:06:49: für das KI zu verwenden,

00:06:50: also vor allem so ein Chatbot, wie man es hier kennt,

00:06:52: eben Chat-GPT, vor allem bekannt,

00:06:54: es gibt auch andere Sachen, die man sich inspirieren lassen kann,

00:06:57: wobei man zum Teil auch auf die Rechte schauen muss,

00:06:59: also was kann man damit machen?

00:07:00: Zum Beispiel habe ich erwähnt, das Beispiel

00:07:03: vom geschätzten Kollegen David Rosenthal,

00:07:04: so ein One-Pager, wenn er das noch gerne macht,

00:07:06: auch sehr gut macht, veröffentlicht,

00:07:08: aber dort haben wir zum Beispiel die Einschränkung,

00:07:11: man dürfte es nur unverändert benutzen.

00:07:13: Also es ist so ein Lückentext,

00:07:15: also wenn du das nicht anpassen willst,

00:07:16: kann man diskutieren, wie verbindlich das ist,

00:07:18: wie ernst das gemeint ist, ist auch so Creative Commons

00:07:20: eine Lizenz, aber eben ND,

00:07:22: also keine wirkliche freie Lizenz,

00:07:24: da muss man schon schauen, ob es da keine

00:07:27: Urheberrechtsdiskussion eröffnet.

00:07:28: Und darum, ja, nachher liegen KI

00:07:31: und ich habe das eigentlich ganz klassisch gemacht,

00:07:33: mit so einem Prompt, also zuerst ein bisschen

00:07:35: hüppeln, da die Rolle etablieren,

00:07:36: da bist du jetzt irgendwie, ich kann es jetzt nicht mehr ganz präsent,

00:07:39: ein paar Datenschutzexperten, der Beste von der Schweiz und so,

00:07:41: über eine Nebenbemerkung,

00:07:42: Google Gemini, sagt dann, hey, schmeicheln hilft nichts,

00:07:45: wenn du das so versuchst,

00:07:47: was ich aber nicht sicher bin,

00:07:48: ob das Modell nicht doch geschmeichelt ist,

00:07:50: also menschlich wäre, dass du sagst, ja, nein, nein,

00:07:52: ist schon gut, aber man hat es doch geschmeichelt.

00:07:55: Genau, und dann

00:07:57: habe ich da so ein bisschen gepromptet und so

00:07:58: und auch ein recht gutes,

00:08:00: schon erstes Ergebnis bekommen,

00:08:02: natürlich nicht perfekt, aber was natürlich das Problem ist,

00:08:05: das vom Trainingsmaterial her

00:08:07: schlägt natürlich

00:08:09: die ISG-Verwahrung vor das deutsche Datenschutzrecht durch.

00:08:11: Ist ja logisch, meine ich,

00:08:13: wir wissen, die haben das Internet im Wesentlichen abgerast

00:08:15: und da kommt natürlich sehr viel,

00:08:17: gerade auch auf Deutsch,

00:08:18: deutschsprachiges Datenschutzrecht, also deutsches Datenschutzrecht,

00:08:20: die ISG-Verwahrung bei der ISG vor

00:08:22: und sehr wenig schweizerisches ISG

00:08:24: und natürlich schon gar nicht das neue ISG

00:08:27: vom Trainingsmaterial her.

00:08:28: Jetzt ist nicht alles anders geworden,

00:08:30: aber das schlägt halt durch, auch von der Terminologie her

00:08:33: und so weiter.

00:08:34: Ist aber schon mal nicht schlecht gewesen, muss ich sagen.

00:08:36: Sehr gut, also ich denke auch,

00:08:38: es hängt halt wirklich davon ab, was für Zusatzmaterial

00:08:41: man noch dazugebt, du hast es ja sehr schön gezeigt,

00:08:43: dass es dann vor allem interessant ist,

00:08:44: wenn man noch ein bisschen unterstützt, wenn man noch ein bisschen hilft.

00:08:46: Das ist ja nicht nur bei diesen Sachen so.

00:08:48: Ich habe es gut gefunden, einfach auch zum zeigen,

00:08:51: das ist ein schönes Beispiel von etwas, wo man wirklich

00:08:52: an sich eine Grundlage erarbeiten kann, aber man nachher noch

00:08:54: damit arbeiten muss. Also niemand darf das Gefühl haben,

00:08:57: ich habe einfach ein Prompt-Igree

00:08:59: und nicht nachher dieser Fertigungsreglement.

00:09:00: Aber das ist halt schon wichtig, dass man sich

00:09:03: wirklich überlegt, was passiert bei mir im Betrieb

00:09:05: denn wirklich? Was ist wirklich

00:09:07: auf unseren Betrieb richtig?

00:09:08: Und das erlebe ich immer wieder,

00:09:10: dass die Firmen das Gefühl haben, man kann da irgendeine Vorlage

00:09:13: holen und die einfach schnell überschreiben.

00:09:14: Und das geht halt nicht.

00:09:15: Ja, das ist richtig. Und was da jetzt interessant war,

00:09:18: es gibt ja bei den Large Language Models

00:09:21: die Technik RHE,

00:09:22: Retrieval Augmented Generation,

00:09:24: wo man also das grosse Modell mit

00:09:27: eigenem Wissen verbindet und

00:09:28: so die Qualität verbessern kann.

00:09:30: Und da gibt es so eine Variante quasi RAG für

00:09:32: Arme. Also wenn man zum Beispiel die OpenAI

00:09:35: zahlt, dann gibt es auch die GPT, wo man das

00:09:36: auch ein bisschen verwenden kann, quasi RAG,

00:09:39: indem man eigene Sachen einspeist.

00:09:40: Und was ich da einfach gemacht habe, ich habe

00:09:42: die Folie schon plus minus gehabt für mein Webinar,

00:09:45: habe die als Text exportiert, also nicht

00:09:46: als PDF verwendet, das ist auch so eine Erfahrung, häufig ist es besser

00:09:48: den Plaintext zu exportieren, also das PDF

00:09:51: einlesen zu lassen und habe

00:09:52: quasi Chat-GPT dann gesagt, hey,

00:09:54: jetzt gebe ich dir das, du das verbessere auf

00:09:57: dieser Grundlage. Weil dort sind ja eigentlich

00:09:59: allwichtige Sachen im Idealfall drin,

00:10:00: die man braucht für so ein Reglement. Ich habe ja ein Webinar

00:10:03: dazu gehalten. Und das hat dann wirklich

00:10:04: sehr gut funktioniert, also der Qualitätssprung

00:10:07: war schon eindrücklich, inhaltlich

00:10:09: ist mega zugekommen, auch das Vokabular

00:10:10: war dann plötzlich Schweizer Vokabular und so.

00:10:13: Das habe ich auch noch interessant gefunden.

00:10:15: Eben eine bewährte Technik, wo

00:10:16: auch all die Fachanbieter natürlich nutzen,

00:10:18: die wollen auch Geld verdienen mit Unternehmen und so,

00:10:21: aber eben da quasi RAG

00:10:23: für Arme, der einfach gezielt

00:10:25: so Know-how rein speist,

00:10:27: und eben auch Mitglieder unserer Academy

00:10:29: können das natürlich machen, die haben Zugang

00:10:31: nicht nur zu den Aufzeichnungen, auch das

00:10:32: können sie rausholen, wir haben ja auch ein Transkript

00:10:34: neuerdings bei den Webinaren, das habe ich jetzt

00:10:36: natürlich noch nicht machen können im Vorfeld, aber

00:10:38: wir können das jetzt auch noch rausnehmen, das Transkript noch

00:10:40: bei Chat-GPT reinrühren. Ja,

00:10:42: muss man schauen, ob das Feister von

00:10:44: der Umgang her gross genug ist, aber

00:10:46: das funktioniert wirklich sehr gut, also

00:10:48: auch so ein kleiner, netter KI-Versuch letztlich.

00:10:50: Genau, also vielleicht noch zum Abschliessen,

00:10:52: mir ist das eben auch gerade auffallen als erstes, wo du das

00:10:54: gezeigt hast, was das für ein Wert ist für ein Academy

00:10:57: Mitglied, also dass man eigentlich alle Präsentationen,

00:10:59: die wir haben, von all diesen rund

00:11:00: über 70 Veranstaltungen, die wir jetzt schon gemacht haben, dass man

00:11:02: die kann downloaden und dass man die Präsentationen

00:11:04: eigentlich dann kann brauchen,

00:11:06: um vielleicht eben für sich selber

00:11:08: eine bestimmte Fragestellung noch ein bisschen besser

00:11:11: zu verarbeiten, mit Hilfe

00:11:12: eines generativen KI-Modells.

00:11:14: Ja, eigentlich ist das das Gegenteil, was die meisten anderen

00:11:16: machen, oder? Die meisten anderen Unternehmen nehmen Daten

00:11:19: für einen Nutzer, zum Modell trainieren

00:11:21: und wir machen quasi die Gegenrichtung.

00:11:22: Sehr gut, da haben wir doch schon wieder etwas

00:11:24: mehr, was wir zeigen können. Wie sinnvoll

00:11:27: das ist, bei uns mitzumachen?