ChatGPT ist in vielen Unternehmen längst im Einsatz – oft, ohne dass es offiziell geregelt ist. Mitarbeiter nutzen es, um E-Mails zu formulieren, Texte zu kürzen oder Ideen zu sammeln. Das ist praktisch. Problematisch wird es erst, wenn personenbezogene oder vertrauliche Daten ins Spiel kommen. Dieser Artikel erklärt, wo die Grenze verläuft.
Das eigentliche Problem sind nicht die Texte, sondern die Daten
ChatGPT basiert auf einem großen Sprachmodell und verarbeitet die Eingaben auf Servern des Anbieters. Solange man allgemeine Aufgaben stellt – „formuliere diesen Absatz freundlicher" – ist das unkritisch. Sobald man aber echte Kundennamen, E-Mail-Verläufe, Gesundheits- oder Vertragsdaten einfügt, überträgt man personenbezogene Daten an einen externen Dienst. Genau hier setzt die DSGVO an.
Was Sie besser nicht eingeben
- Vollständige Kundendaten (Name, Adresse, Kontaktdaten kombiniert)
- Inhalte aus echter Kundenkommunikation mit Personenbezug
- Gesundheits-, Finanz- oder andere besonders sensible Daten
- Interne Vertragsunterlagen oder Geschäftsgeheimnisse
- Zugangsdaten, Passwörter oder Schlüssel
Was in der Regel unproblematisch ist
Sehr vieles lässt sich ohne Personenbezug erledigen: Textentwürfe, Umformulierungen, Zusammenfassungen allgemeiner Inhalte, Ideensammlungen, Erklärungen von Fachbegriffen, Struktur für einen Blogartikel. Wer personenbezogene Details durch Platzhalter ersetzt (etwa „Kunde A" statt echtem Namen), kann viele Aufgaben datensparsam lösen.
Faustregel: Alles, was Sie einem fremden Dienstleister nicht ungefragt per E-Mail schicken würden, gehört auch nicht ungeprüft in ChatGPT.
KI nutzen, aber Datenschutz mitdenken?
Wir planen KI-Unterstützung mit Blick auf Datensparsamkeit, menschliche Kontrolle und saubere technische Abläufe. Rechtliche Detailfragen sollten bei Bedarf zusätzlich geprüft werden.
Verarbeitungsort und Geschäftskonten
Wo die Daten verarbeitet werden, ist ein zentraler Punkt. Bei vielen Diensten liegt die Verarbeitung außerhalb der EU – das ist ein Drittlandtransfer und nur unter bestimmten Voraussetzungen zulässig. Anbieter unterscheiden außerdem zwischen normalen und geschäftlichen Angeboten. Geschäftliche oder API-basierte Zugänge bieten oft bessere Bedingungen, etwa dass Eingaben nicht zum Training verwendet werden und Verträge zur Auftragsverarbeitung verfügbar sind.
Ergebnisse immer prüfen
Neben dem Datenschutz gibt es einen zweiten Grund für Vorsicht: Sprachmodelle können Inhalte erfinden, die überzeugend klingen, aber falsch sind – sogenannte Halluzinationen. Wer KI-Antworten ungeprüft an Kunden weitergibt, riskiert Fehler. Die inhaltliche Verantwortung bleibt immer beim Menschen.
Eine einfache Nutzungsregel fürs Team
Am besten funktioniert eine kurze, verständliche Richtlinie: Welche Tools sind freigegeben? Welche Daten dürfen hinein, welche nicht? Wer prüft die Ergebnisse? Ein Blatt reicht oft aus. Das schützt besser als ein Verbot, das ohnehin umgangen wird.
Schnell umsetzbar
Erstellen Sie eine kurze Positiv- und Negativliste: Was darf ins Tool, was nicht. Hängen Sie diese Liste dort auf, wo das Team arbeitet. Das schafft in fünf Minuten mehr Klarheit als lange Diskussionen.
ChatGPT im Unternehmen ist kein Alles-oder-Nichts. Mit Datenminimierung, einem Blick auf den Verarbeitungsort und einer einfachen Teamregel lässt sich der Nutzen heben, ohne unnötige Risiken einzugehen.
KI nutzen, aber Datenschutz mitdenken?
Wir planen KI-Unterstützung mit Blick auf Datensparsamkeit, menschliche Kontrolle und saubere technische Abläufe. Rechtliche Detailfragen sollten bei Bedarf zusätzlich geprüft werden.