ChatGPT Modelle (GPT-3.5-turbo, GPT-4) sind eine Familie von Artificial Intelligence (AI) Modellen, die natürliche Sprache verstehen und generieren können. ChatGPT wurde ursprünglich von OpenAI entwickelt, ein US-amerikanisches Unternehmen, das sich mit der Erforschung von künstlicher Intelligenz beschäftigt. Microsoft ist ein Technologieunternehmen, das verschiedene Produkte und Dienstleistungen anbietet, darunter auch ChatGPT-basierte Lösungen für Unternehmen.
Wenn Sie ChatGPT in Ihrem Unternehmen einsetzen möchten, müssen Sie sich mit den Datenschutzrichtlinien von OpenAI und Microsoft vertraut machen, um zu verstehen, wie Ihre Daten gesammelt, verarbeitet und geschützt werden. Diese beiden Anbieter sind derzeit die einzigen weltweit, die direkten Zugang zu ChatGPT Modellen bieten. In diesem Blogbeitrag werden wir anhand der folgenden vier Fragen die wichtigsten Unterschiede und Gemeinsamkeiten zwischen den beiden Datenschutzrichtlinien vergleichen und Ihnen einen Leitfaden geben, wie Sie die beste Wahl für Ihre Bedürfnisse treffen können.
Vergleich und Leitfaden
- Werden die ChatGPT-Modelle mit den Daten trainiert, die ich sende?
- Werden die Daten, die ich sende, gespeichert?
- Ist es möglich, die Datenspeicherung zu deaktivieren?
- In welchen Regionen werden die Modelle gehostet?
Werden die ChatGPT-Modelle mit den Daten trainiert, die ich sende?
Diese Frage spricht die Bedenken an, ob gesendete Unternehmensdaten zur Optimierung des Modells verwendet werden, was potenziell dazu führen könnte, dass diese Daten im Modell verankert sind und möglicherweise von Dritten eingesehen werden könnten. Die Datenschutzrichtlinien sagen in beiden Fällen eindeutig „Nein“.
Es ist wichtig zu betonen, dass der Azure OpenAI Dienst vollständig unter der Kontrolle von Microsoft steht. Für viele Unternehmen, die bereits die Azure Cloud nutzen und ihr vertrauen, kann dies einen entscheidenden Unterschied ausmachen.
Entsprechender Auszug aus den Datennutzungsrichtlinien von OpenAI API:
“OpenAI will not use data submitted by customers via our API to train or improve our models, unless you explicitly decide to share your data with us for this purpose. You can opt-in to share data.“
Entsprechender Auszug aus den den Datennutzungsrichtlinien von Microsoft Azure OpenAI Service:
“Important
Your prompts (inputs) and completions (outputs), your embeddings, and your training data:
- are NOT available to other customers.
- are NOT available to OpenAI.
- are NOT used to improve OpenAI models.
- are NOT used to improve any Microsoft or 3rd party products or services.
- are NOT used for automatically improving Azure OpenAI models for your use in your resource (The models are stateless, unless you explicitly fine-tune models with your training data).
- Your fine-tuned Azure OpenAI models are available exclusively for your use.
The Azure OpenAI Service is fully controlled by Microsoft; Microsoft hosts the OpenAI models in Microsoft’s Azure environment and the Service does NOT interact with any services operated by OpenAI (e.g. ChatGPT, or the OpenAI API).”
Werden die Daten, die ich sende, gespeichert?
Im Gegensatz zur ersten Frage fokussiert diese darauf, ob die an die Modelle übermittelten Daten in irgendeiner Weise gespeichert werden und, im Falle einer positiven Antwort, wer darauf Zugriff hat. Die Antwort ist eindeutig ein „Ja“. Beide Unternehmen führen sogenanntes Abuse Monitoring durch. Dabei werden die Daten für bis zu 30 Tage gespeichert. Wird das Abuse Monitoring ausgelöst, können ausgewählte Mitarbeiter der Unternehmen bestimmte Texte einsehen. OpenAI setzt hierbei sowohl interne Mitarbeiter als auch externe Unternehmen ein. Microsoft hingegen nutzt ausschließlich Microsoft-Mitarbeiter aus der gleichen Region.
Entsprechender Auszug aus den Datennutzungsrichtlinien von OpenAI API:
“OpenAI retains API data for 30 days for abuse and misuse monitoring purposes. A limited number of authorized OpenAI employees, as well as specialized third-party contractors that are subject to confidentiality and security obligations, can access this data solely to investigate and verify suspected abuse. OpenAI may still have content classifiers flag when data is suspected to contain platform abuse. Data submitted by the user through the Files endpoint, for instance to fine-tune a model, is retained until the user deletes the file.”
Entsprechender Auszug aus den den Datennutzungsrichtlinien von Microsoft Azure OpenAI Service:
“Azure OpenAI abuse monitoring detects and mitigates instances of recurring content and/or behaviors that suggest use of the service in a manner that may violate the code of conduct or other applicable product terms. To detect and mitigate abuse, Azure OpenAI stores all prompts and generated content securely for up to thirty (30) days. (No prompts or completions are stored if the customer is approved for and elects to configure abuse monitoring off, as described below.)
The data store where prompts and completions are stored is logically separated by customer resource (each request includes the resource ID of the customer’s Azure OpenAI resource). A separate data store is located in each region in which the Azure OpenAI Service is available, and a customer’s prompts and generated content are stored in the Azure region where the customer’s Azure OpenAI service resource is deployed, within the Azure OpenAI service boundary. Human reviewers assessing potential abuse can access prompts and completions data only when that data has been flagged by the abuse monitoring system. The human reviewers are authorized Microsoft employees who access the data via point wise queries using request IDs, Secure Access Workstations (SAWs), and Just-In-Time (JIT) request approval granted by team managers. For Azure OpenAI Service deployed in the European Economic Area, the authorized Microsoft employees are located in the European Economic Area.”
Ist es möglich, die Datenspeicherung zu deaktivieren?
Diese Frage bezieht sich darauf, ob es möglich ist, eine Speicherung und Zugriff auf besonders sensible Daten durch Dritte zu vermeiden. Im Falle von OpenAI ist es nicht möglich, die Datenspeicherung zu deaktivieren. Microsoft bietet die Möglichkeit zur Deaktivierung, allerdings muss hierfür eine gesonderte Anfrage gestellt werden und Microsoft muss diese genehmigen.
Entsprechender Auszug aus den Datennutzungsrichtlinien von OpenAI API:
Über diese Möglichkeit ist nichts in den Datennutzungsrichtlinien zu finden.
Entsprechender Auszug aus den den Datennutzungsrichtlinien von Microsoft Azure OpenAI Service:
“Some customers may want to use the Azure OpenAI Service for a use case that involves the processing of sensitive, highly confidential, or legally-regulated input data but where the likelihood of harmful outputs and/or misuse is low. These customers may conclude that they do not want or do not have the right to permit Microsoft to process such data for abuse detection, as described above, due to their internal policies or applicable legal regulations. To address these concerns, Microsoft allows customers who meet additional Limited Access eligibility criteria and attest to specific use cases to apply to modify the Azure OpenAI content management features by completing this form.
If Microsoft approves a customer’s request to modify abuse monitoring, then Microsoft does not store any prompts and completions associated with the approved Azure subscription for which abuse monitoring is configured off. In this case, because no prompts and completions are stored at rest in the Service Results Store, the human review process is not possible and is not performed. See Abuse monitoring for more information.”
In welchen Regionen werden die Modelle gehostet?
Angesichts besonders sensibler Daten kann aus juristischen Erwägungen heraus die Notwendigkeit entstehen, dass diese Daten ausschließlich in bestimmten geografischen Regionen gespeichert werden.
Die Modelle werden in den USA gehostet.
Microsoft Azure OpenAI Service:
Die Modelle werden wahlweise in den USA oder in Europa gehostet.
Fazit
Microsoft zeichnet sich durch besonders strenge Datenschutzrichtlinien aus und erfreut sich eines hohen Vertrauensgrades bei vielen Unternehmen. Insbesondere wenn das Abuse Monitoring wie zuvor beschrieben angepasst wurde, werden die an die ChatGPT-Modelle gesendeten Daten nicht gespeichert und sind für niemanden zugänglich. Ein wesentlicher Nachteil von Microsoft Azure für die praktische Anwendung ist jedoch, dass die Wartezeit für den Zugang zu GPT-4, abhängig von der Unternehmensgröße und den Beziehungen zu Microsoft, recht lang sein kann. Solange der Zugang zu GPT-4 noch nicht eingerichtet wurde kann nur das günstigere, aber qualitativ schlechtere GPT-3.5-turbo verwendet werden.
OpenAI bietet schneller Zugriff auf GPT-4, allerdings sind hier die Datenschutzbestimmungen weniger streng. Für unsensible Daten, wie beispielsweise Werbetexte ist OpenAI eine ausgezeichnete Alternative. Bei der unternehmensweiten Nutzung bedarf es aber einer Einführung der Nutzer, um sie für die Besonderheiten der Datenschutzsituation zu sensibilisieren.
Die Alleinstellungsmerkmal dieser Technologie (ChatGPT Modelle) besteht darin, dass sie unternehmensweit ohne technisches Vorwissen ganz individuell eingesetzt werden kann und dann schnell Unterstützung im Alltag bietet, beispielsweise bei der Erstellung von Marketingtexten, User Stories oder beim Programmieren. Wir empfehlen diesen Integrationsprozess möglichst frühzeitig zu starten, denn je früher der Prozess gestartet wird, desto schneller kann das Potenzial der Technologie genutzt werden und nächste Entwicklungsschritte der Technologie integriert werden.
