DSGVO7 Min. Lesezeit

ChatGPT und DSGVO: Was im Unternehmen erlaubt ist und was nicht

ChatGPT ist im Arbeitsalltag praktisch – aber nicht jede Eingabe ist unbedenklich. Was Unternehmen beim Datenschutz beachten sollten, verständlich erklärt.

ChatGPT ist in vielen Unternehmen längst im Einsatz – oft, ohne dass es offiziell geregelt ist. Mitarbeiter nutzen es, um E-Mails zu formulieren, Texte zu kürzen oder Ideen zu sammeln. Das ist praktisch. Problematisch wird es erst, wenn personenbezogene oder vertrauliche Daten ins Spiel kommen. Dieser Artikel erklärt, wo die Grenze verläuft.

Das eigentliche Problem sind nicht die Texte, sondern die Daten

ChatGPT basiert auf einem großen Sprachmodell und verarbeitet die Eingaben auf Servern des Anbieters. Solange man allgemeine Aufgaben stellt – „formuliere diesen Absatz freundlicher" – ist das unkritisch. Sobald man aber echte Kundennamen, E-Mail-Verläufe, Gesundheits- oder Vertragsdaten einfügt, überträgt man personenbezogene Daten an einen externen Dienst. Genau hier setzt die DSGVO an.

Was Sie besser nicht eingeben

  • Vollständige Kundendaten (Name, Adresse, Kontaktdaten kombiniert)
  • Inhalte aus echter Kundenkommunikation mit Personenbezug
  • Gesundheits-, Finanz- oder andere besonders sensible Daten
  • Interne Vertragsunterlagen oder Geschäftsgeheimnisse
  • Zugangsdaten, Passwörter oder Schlüssel

Was in der Regel unproblematisch ist

Sehr vieles lässt sich ohne Personenbezug erledigen: Textentwürfe, Umformulierungen, Zusammenfassungen allgemeiner Inhalte, Ideensammlungen, Erklärungen von Fachbegriffen, Struktur für einen Blogartikel. Wer personenbezogene Details durch Platzhalter ersetzt (etwa „Kunde A" statt echtem Namen), kann viele Aufgaben datensparsam lösen.

Faustregel: Alles, was Sie einem fremden Dienstleister nicht ungefragt per E-Mail schicken würden, gehört auch nicht ungeprüft in ChatGPT.

KI nutzen, aber Datenschutz mitdenken?

Wir planen KI-Unterstützung mit Blick auf Datensparsamkeit, menschliche Kontrolle und saubere technische Abläufe. Rechtliche Detailfragen sollten bei Bedarf zusätzlich geprüft werden.

Verarbeitungsort und Geschäftskonten

Wo die Daten verarbeitet werden, ist ein zentraler Punkt. Bei vielen Diensten liegt die Verarbeitung außerhalb der EU – das ist ein Drittlandtransfer und nur unter bestimmten Voraussetzungen zulässig. Anbieter unterscheiden außerdem zwischen normalen und geschäftlichen Angeboten. Geschäftliche oder API-basierte Zugänge bieten oft bessere Bedingungen, etwa dass Eingaben nicht zum Training verwendet werden und Verträge zur Auftragsverarbeitung verfügbar sind.

Ergebnisse immer prüfen

Neben dem Datenschutz gibt es einen zweiten Grund für Vorsicht: Sprachmodelle können Inhalte erfinden, die überzeugend klingen, aber falsch sind – sogenannte Halluzinationen. Wer KI-Antworten ungeprüft an Kunden weitergibt, riskiert Fehler. Die inhaltliche Verantwortung bleibt immer beim Menschen.

Eine einfache Nutzungsregel fürs Team

Am besten funktioniert eine kurze, verständliche Richtlinie: Welche Tools sind freigegeben? Welche Daten dürfen hinein, welche nicht? Wer prüft die Ergebnisse? Ein Blatt reicht oft aus. Das schützt besser als ein Verbot, das ohnehin umgangen wird.

Schnell umsetzbar

Erstellen Sie eine kurze Positiv- und Negativliste: Was darf ins Tool, was nicht. Hängen Sie diese Liste dort auf, wo das Team arbeitet. Das schafft in fünf Minuten mehr Klarheit als lange Diskussionen.

ChatGPT im Unternehmen ist kein Alles-oder-Nichts. Mit Datenminimierung, einem Blick auf den Verarbeitungsort und einer einfachen Teamregel lässt sich der Nutzen heben, ohne unnötige Risiken einzugehen.

KI nutzen, aber Datenschutz mitdenken?

Wir planen KI-Unterstützung mit Blick auf Datensparsamkeit, menschliche Kontrolle und saubere technische Abläufe. Rechtliche Detailfragen sollten bei Bedarf zusätzlich geprüft werden.

Häufige Fragen

Ist die Nutzung von ChatGPT im Unternehmen verboten?

Nein, ein generelles Verbot gibt es nicht. Entscheidend ist, welche Daten eingegeben werden. Ohne personenbezogene oder vertrauliche Daten ist die Nutzung für viele Aufgaben unproblematisch.

Werden meine Eingaben zum Training verwendet?

Das hängt vom Anbieter und vom gewählten Angebot ab. Geschäftliche und API-basierte Zugänge bieten hier oft bessere Bedingungen als kostenlose Standardkonten. Prüfen Sie die jeweiligen Einstellungen und Bedingungen.

Wie gehe ich mit Kundendaten um, die ich zusammenfassen möchte?

Ersetzen Sie personenbezogene Details durch Platzhalter oder entfernen Sie sie. So können Sie den Inhalt bearbeiten lassen, ohne echte Personendaten zu übertragen.

Ist dieser Artikel eine Rechtsberatung?

Nein. Er erklärt die Grundlagen allgemein und verständlich, ersetzt aber keine rechtliche Beratung im Einzelfall.

Hinweis: Die Inhalte dieses Artikels dienen der allgemeinen Information und stellen keine rechtliche, steuerliche oder datenschutzrechtliche Beratung dar. Für verbindliche Einschätzungen zu Ihrem konkreten Fall empfehlen wir, eine qualifizierte Fachberatung einzuholen.

Zurück zum Ratgeber