KI und Recht

ChatGPT versus Microsoft Azure OpenAI und Copilot

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Alina Moers ist Rechtsanwältin für die Branchen IT und Telekommunikation sowie Associate bei der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Sie berät Mandanten zu IT-rechtlichen Fragen im Zusammenhang mit innovativen Geschäftsmodellen, die durch die Digitalisierung und den Einsatz neuer Technologien entstehen.
Erfahren Sie die – auch rechtlichen – Unterschiede zwischen ChatGPT von OpenAI und Microsoft Azures OpenAI sowie Copilot.
Vor der Nutzung von KI-Anwendungen sollte stets eine Risikoanalyse durchgeführt werden, um Compliance-Pflichten festzulegen.
Vor der Nutzung von KI-Anwendungen sollte stets eine Risikoanalyse durchgeführt werden, um Compliance-Pflichten festzulegen.
Foto: Beautrium - shutterstock.com

Alle vorgenannten Produkte basieren auf derselben Basis, nämlich den LLMs von OpenAI. Worin genau also unterscheiden sich dann ChatGPT von OpenAI, Microsofts Azure OpenAI und MicrosoftsMicrosofts Copilot. Wie wirkt sich das rechtlich aus? Auch die Aufsichtsbehörden haben hierzu eine Verlautbarung veröffentlicht. Alles zu Microsoft auf CIO.de

ChatGPT

Das wohl bekannteste von OpenAI entwickelte Produkt ist der ChatbotChatbot ChatGPT. Dieser nutzt KI, um menschliche Konversationen zu simulieren und auf komplexe Anfragen zu antworten. Breit aufgestellt richtet er sich an Unternehmen, Bildungseinrichtungen, Entwicklerinnen und Entwickler, Mitarbeitende in der Forschung und Einzelpersonen. Basis von ChatGPT sind die von OpenAI entwickelten LLMs GPT-3.5 (in der free-Version) und GPT-4 (Bezahlversion) aus der GPT-n-Reihe. Alles zu Chatbot auf CIO.de

LLMs (Large Language Models) sind komplexe maschinelle Lernmodelle, die speziell für sprachbezogene Aufhaben entwickelt wurden und auf Deep-Learning-Architekturen basieren. Eine spezielle Gruppe von LLMs sind GPTs (generative pre-trained transformers). Diese Modelle nutzen Transformer-Architekturen und sind mit großen Mengen von Daten vortrainiert, um menschenähnliche Inhalte zu generieren. Durch Feinabstimmung können sie für eine Vielzahl von Anwendungsfällen angepasst werden.

Für mehr Hintergründe, Deep Dives und News für die CIO-Community, abonnieren Sie unsere CIO-Newsletter.

ChatGPT ist so vortrainiert, dass es in einer Folge von Wörtern das wahrscheinlich nächste Wort vorhersagen kann. Als Produkt von OpenAI, welches sich als Unternehmen dem breiten, möglichst kostenfreien Zugang zu KI verschrieben hat, ist ChatGPT in der GPT-3.5 Version ohne zusätzliche Anforderungen kostenlos für alle verwendbar. Das Vortraining dieser Version ist jedoch seit Januar 2022 beendet. ChatGPTs Wissensstand reicht daher nur bis zu diesem Zeitpunkt.

Die Bezahlversion auf Basis von GPT-4 ist aktueller und kann auch auf das Internet zugreifen. Sie kostet zwischen 20 und 25 Dollar pro Person und Monat. Im Gegensatz zu GPT-3.5 ist hier auch Bildgenerierung möglich. Ein weiterer großer Unterschied zwischen den beiden Versionen: GPT-3.5 nutzt die eingegebenen Daten zu Trainingszwecken. Wichtig ist daher, hier keine sensiblen Daten einzugeben. In der GPT-4-Version besteht die Möglichkeit, die Verarbeitung der Eingaben auszuschalten, was in Bezug auf DatenschutzDatenschutz und Schutz von Vertraulichkeit vorteilhaft sein kann. Alles zu Datenschutz auf CIO.de

Microsoft Azure OpenAI

OpenAI hat nicht nur ChatGPT entwickelt, sondern noch viele weitere LLMs. Zu nennen sind hier etwa die DALL-E-, Whisper- und Sprachsynthese-Modelle, verschiedene Einbettungen und Weiterentwicklungen der GPT-n-Modelle. Microsoft darf all diese Modelle aufgrund von Partnerschaften in eigenen Produkten nutzen.

Azure OpenAI kombiniert die Funktionen für generative KI-Modelle von OpenAI mit Azure-Enterprise-Funktionen. So können Unternehmen KI-Modelle von OpenAI - darunter ChatGPT - in einem gesicherten Unternehmenskontext testen und nutzen.

Azure ist die Cloud-Computing-Plattform von Microsoft, die eine Fülle unterschiedlicher Datenbanken netzbasiert zur Verfügung stellt. Sie ist eher für die unternehmerische Nutzung konzipiert. Um Azure OpenAI nutzen zu können, benötigt man ein Microsoft Azure-Konto.

Azure OpenAI umfasst derzeit vier Komponenten:

1. Vortrainierte generative KI-Modelle (nutzbar sind hier unter anderem sowohl die GPT-3.5- und -4-Modelle als auch die Einbettungen, DALL-E-, Whisper- und Sprachsynthese-Modelle von OpenAI);

2. Anpassungsfunktionen, die es ermöglichen, die KI-Modelle mit eigenen Daten zu optimieren und eigene maschinelle KI-Dienste zu erstellen;

3. Werkzeuge zum Erkennen und Entschärfen schädlicher Anwendungsfälle;

4. eine Sicherheitsebene mit rollenbasierter Zugriffssteuerung (RBAC) und privaten Netzwerken.

Dabei können beliebige Inhalte über den Dienst Azure Cognitive Search mit einbezogen werden. Nutzen kann man Azure OpenAI beispielsweise, um Inhalte für Social Media zu erstellen, um IT-Aufgaben durch Implementierung von IT-Bots schneller zu automatisieren oder um hyperpersonalisierte Marketingkampagnen zu starten durch eine Analyse von Kundendaten oder Gespräche mit Kunden.

Im Unterschied zu OpenAI ohne Azure-Kontext ist hier die Zugriffssicherheit auf Daten durch ein hinterlegtes Berechtigungsmodell (RBAC) gesichert. Zusätzlich werden die eingegebenen Daten nicht an OpenAI weitergegeben und die Daten werden nicht zum Training eigener LLMs durch Microsoft selbst verwendet. Sensible personen- oder unternehmensbezogene Daten sind in Azure OpenAI besser geschützt als in ChatGPT. Die regionale Verfügbarkeit der verschiedenen Funktionen variiert allerdings noch stark. Grundsätzlich verfügbar ist Azure OpenAI in den Regionen East US, South Central US und West Europe.

Der KI-Modellkatalog von Microsoft Azure wird stets erweitert. Ende April 2024 stellte Microsoft die Phi-3-Modelle vor, eine von Microsoft entwickelte Produktfamilie offener KI-Modelle. Diese Phi-3-Modelle sind hochleistungsfähige kleine Sprachmodelle (Small Language Models), die nach Angaben von Microsoft bei wichtigen Benchmarks (etwa Sprache, Argumentation, Codierung und Mathematik) deutlich besser abschneiden sollen als größere Sprachmodelle (wie GPT-3.5).

Eine Entscheidung zwischen Microsoft Azure OpenAI und OpenAI für ein Unternehmen muss sich am individuellen Bedarf orientieren: Wird viel Wert auf Sicherheit und regionale Nutzungsmöglichkeiten gelegt, ist Azure die bessere Wahl. Auch für Entwicklungs-Teams, die für die KI-Erstellung professionelle Einbettung bevorzugen, wäre Azure vorzuziehen. Bei mehr Wert auf Flexibilität und Komfort bei der Nutzung sollte OpenAI gewählt werden. Preislich variiert Azure OpenAI je nach Modell und Nutzung.

Microsoft Copilot

Zum besseren Verständnis der Microsoft Copilot-Produktfamilie lohnt sich zunächst ein kurzer Blick auf deren Entstehungsgeschichte. Im Februar 2023 veröffentlichte Microsoft Bing Chat als Chatbot Feature in Bing und Edge. Als verbesserte Version mit mehr Datensicherheit ging im Anschluss Bing Chat Enterprise speziell für Unternehmen und Organisationen auf den Markt. Im März 2023 kündigte Microsoft die Veröffentlichung von Microsoft 365 Copilot an, eine KI, die mit Microsoft 365 interagieren kann.

Im November 2023 vereinigte Microsoft die vorher bestehenden individuellen Assistenten als Microsoft Copilot Produktfamilie. Bing Chat Enterprise wurde so Microsoft Copilot in Edge. Copilot in Edge ist ein auf OpenAIs GPT-4 und öffentlichen Daten basierender Chatbot, der im Edge Browser zur Verfügung steht und so auch auf das Internet zugreifen kann. Im Gegensatz zu ChatGPT gibt Copilot konstant seine genutzten Quellen an. Er ist kostenlos in bestimmten Microsoft 365 Paketen enthalten (ab M365 E3). Wie bei Azure OpenAI wird Eingegebenes nicht von Microsoft oder OpenAI ausgewertet oder zum Trainieren von LLMs genutzt. Microsoft nennt dies "kommerzieller Datenschutz".

Microsoft 365 Copilot bietet Unterstützung im Unternehmenskontext. Die Anwendung kombiniert die Power großer LLMs mit Microsoft Graph Daten und den Microsoft 365 Apps mit den Daten des nutzenden Unternehmens. Ein Chatbot, der KI mit Microsoft-365-Anwendungen verbindet, lässt Eingaben zu wie: "Kannst du bitte dem Team erklären, wie wir die Produktstrategie überarbeitet haben?". So kann mit Office, Word, Excel, Teams, etc. interagiert werden und die unternehmensbezogene Arbeit deutlich erleichtert werden. Zusätzlich können über Copilot-Studio themenspezifische Copilot-Apps erstellt werden; alles auf Basis der GPT-4-Modelle von OpenAI sowie dessen DALL-E-Modelle.

Die Kosten belaufen sich derzeit auf 28,10 Euro pro Monat und Person - zusätzlich zu den Kosten des bestehenden Abonnements von Microsoft 365 (E3 oder E5). Genau wie bei Azure OpenAI greift hier immer das hinterlegte Berechtigungsmodell. Alle relevanten Sicherheits-, Compliance- und Datenschutzrichtlinien werden automatisch übernommen. Nach Angaben von Microsoft erfolgt hier keine Weitergabe der Daten an OpenAI und keine eigene Nutzung zum Training von LLMs. Alle Daten werden verschlüsselt gespeichert, was sich nicht anders darstellt als bei der Nutzung von Microsoft 365 selbst.

Rechtlicher Handlungsbedarf

Der Einsatz der oben beschriebenen KI-gestützten Anwendungen im Unternehmen birgt datenschutzrechtliche Herausforderungen mit sich. Vor der Nutzung von KI-Anwendungen sollte stets eine Risikoanalyse durchgeführt werden, um Compliance-Pflichten festzulegen (siehe dazu auch die Checkliste des Bayerischen Landesamts für Datenschutzaufsicht - PDF).

Der Schutz vertraulicher Daten ist gefährdet, wenn bei der Nutzung der LLMs personenbezogene Daten und möglicherweise Geschäftsgeheimnisse an Microsoft und OpenAI übermittelt werden. Diese Daten können gegebenenfalls von Microsoft und OpenAI zu eigenen Trainingszwecken weiterverarbeitet werden. Unternehmen sind deshalb angehalten, datenschutzrechtlichen Anforderungen gerecht zu werden. Diese Anforderungen werden bereits von den ersten datenschutzrechtlichen Aufsichtsbehörden konkretisiert (siehe dazu Checkliste zum Einsatz LLM-basierter Chatbots des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit). Mit Schulungen sowie der Erstellung von Richtlinien zum Einsatz von KI sollten Mitarbeiter im Umgang mit KI geschult werden.

Werden zu den bereits genutzten Office-Anwendungen, wie Microsoft 365, KI-gestützte-Anwendungen wie Microsoft Copilot für Microsoft 365 ergänzt, so hat regelmäßig eine neue Risikoabwägung im Rahmen von Datenschutzfolgenabschätzungen nach Art. 35 DSGVODSGVO zu erfolgen. Alles zu DSGVO auf CIO.de

Dies betont auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in ihrer Orientierungshilfe vom 6. Mai 2024 (PDF). In dieser Orientierungshilfe wird darauf hingewiesen, dass beim Einsatz von KI-Anwendungen häufig ein hohes Risiko für die Rechte und Freiheiten natürlichen Personen vorliegt, weshalb die Durchführung einer Datenschutzfolgenabschätzung geboten ist. Dabei müssen unter anderem die KI-gestützten Funktionen und Verarbeitungsvorgänge systematisch beschrieben und die Risiken, die von der KI ausgehen (siehe dazu Bundesamt für Sicherheit in der Informationstechnik zu Chancen und Risiken generativer KI-Modelle - PDF), beurteilt werden.

Zudem sollten sich Unternehmen stets über neue Stellungnahmen von Datenschutzbehörden und Gerichtsurteilen gegen OpenAI und Microsoft auf dem Laufenden halten. Ende April 2024 reichte die europäische Datenschutzorganisation "None of Your Business (NOYB)" zusammen mit einem betroffenen Bürger eine Beschwerde bei der österreichischen Datenschutzbehörde gegen OpenAI ein, weil ChatGPT "falsche Informationen über Personen erfinde", ohne dass den betroffenen Personen die gesetzlich vorgeschriebene Möglichkeit einer Berichtigung oder Löschung eingeräumt werde. Außerdem sollten Unternehmen prüfen, inwieweit zusätzliche Anforderungen aus der KI-Verordnung erfüllt werden müssen.

Zusammenfassung

Insgesamt bieten OpenAI und Microsoft verschiedene KI-Lösungen an. Diese haben zwar alle ihre Grundlage in OpenAIs Large Language Models (LLMs), unterscheiden sich aber in ihren Anwendungsbereichen und den angebotenen Funktionen.

ChatGPT ist ein vielseitiger Chatbot, der darauf trainiert ist, menschliche Konversationen zu simulieren und auf komplexe Anfragen zu antworten. Er ist vielseitig anwendbar und richtet sich nicht an eine spezielle Zielgruppe. Eine kostenfreie Version ist verfügbar; wer aber Wert auf mehr Funktionen, Aktualität und Datenschutz legt, sollte in die Bezahlversion investieren.

Azure OpenAI ist speziell für den Unternehmenseinsatz konzipiert und ermöglicht es Unternehmen, KI-Modelle (etwa ChatGPT) von OpenAI sicher in Azure zu nutzen. Dies bietet im Gegensatz zu OpenAI mehr Datenschutz und Anwendungssicherheit. Die speziellere Aufstellung bietet eine bessere Grundlage auch für Entwicklerinnen und Entwickler. Nachteilig ist die variierende regionale Verfügbarkeit.

Microsoft Copilot ist ebenfalls speziell für den Einsatz in Unternehmen entwickelt worden. Es ermöglicht die nahtlose Integration mit Microsoft 365 Anwendungen und bietet so Unterstützung für die unternehmensbezogene Arbeit auf Basis von GPT-4- und DALL-E-Modellen von OpenAI. Die Wahl zwischen diesen Lösungen hängt vom individuellen Bedarf ab.

Datenschutzrechtlich und im Unternehmenskontext sind Microsoft Azure OpenAI und Copilot besser aufgestellt. ChatGPT ist allerdings an mehr Orten zugänglich und flexibler nutzbar. Hier ist kein zusätzliches Abonnement eines anderen Dienstes nötig.

Mit der Weiterentwicklung dieser KI-Modelle können wir zukünftig weitere Fortschritte erwarten, die dazu beitragen, menschliche Aufgaben zu erleichtern und zu verbessern. Eins haben alle drei KI-Anwendungen jedoch gemeinsam: Vor dem Einsatz dieser KI-Anwendungen sollte stets eine Risikoanalyse durchgeführt werden, um Compliance-Pflichten festzulegen und langfristig umzusetzen. (jd)

Zur Startseite