Was Ihr Chatbot dem Datenschutzbeauftragten verrät – und was Sie tun sollten
In den letzten Monaten häufen sich die Fälle, in denen Mittelständler stolz ihren neuen KI-Assistenten vorführen – und dann vom Datenschutzbeauftragten eine unangenehme Frage gestellt bekommen: „Wo landen eigentlich die Daten, die Ihre Mitarbeiter da eingeben?“ Die Antwort ist oft ein Schulterzucken. Dabei ist das Problem kein theoretisches: Jeder eingegebene Satz, jede Kundenanfrage, jedes interne Dokument hinterlässt Spuren. Und die können schneller zum Risiko werden, als Ihnen lieb ist.
Warum Ihr Chatbot kein neutrales Werkzeug ist
Die meisten denken bei ChatGPT & Co. an ein schlaues Textprogramm – etwas, das Fragen beantwortet und Texte schreibt. Doch technisch gesehen ist es ein externer Dienst, der jede Eingabe speichert, analysiert und in vielen Fällen sogar für das Training zukünftiger Modelle verwendet. Das bedeutet:
- Jede interne E-Mail, die Sie korrigieren lassen, landet potenziell auf Servern in den USA – inklusive aller Namen, Projektdetails und vertraulichen Infos.
- Jeder Kundendialog, den Sie optimieren lassen, wird Teil eines Datensatzes, den OpenAI oder andere Anbieter auswerten.
- Jede Excel-Tabelle, die Sie analysieren lassen, enthält möglicherweise Preise, Gehälter oder andere sensible Zahlen – die dann nicht mehr nur in Ihrer Hand sind.
Das Problem ist nicht, dass die Anbieter böse Absichten hätten. Sondern dass Sie als Unternehmen die Kontrolle verlieren, sobald die Daten Ihr Haus verlassen. Und genau das ist es, was Datenschutzbeauftragte alarmiert.
Drei Datenpunkte, die Sie besser nicht zeigen
Nicht alles, was Sie in einen Chatbot eingeben, ist gleich kritisch. Aber es gibt bestimmte Arten von Daten, die Sie niemals ungeschützt preisgeben sollten – besonders nicht, wenn Sie später einem Datenschutzbeauftragten Rede und Antwort stehen müssen. Hier die wichtigsten:
- Personenbezogene Daten: Namen, Adressen, Geburtsdaten, E-Mail-Adressen, Telefonnummern. Selbst wenn Sie nur eine Liste mit Kundendaten „aufräumen“ lassen, ist das ein Verstoß gegen die DSGVO – weil die Daten ohne Einwilligung an Dritte gehen.
- Geschäftsgeheimnisse: Preise, Margen, Vertragsklauseln, interne Kalkulationen. Wenn Sie z. B. eine Excel-Tabelle mit Ihren Lieferantenkonditionen hochladen, um sie „übersichtlicher“ zu machen, landet diese Information bei OpenAI. Und die haben kein Interesse daran, Ihre Geheimnisse zu hüten.
- Gesundheitsdaten oder andere sensible Informationen: Besonders relevant für Ärzte, Therapeuten oder Pflegeeinrichtungen. Selbst wenn Sie nur eine Patienteninformation „umformulieren“ lassen, ist das ein klarer Verstoß – weil Gesundheitsdaten besonders geschützt sind.
Ich hatte vor kurzem einen Fall, in dem ein Steuerberater seine Mandanten-E-Mails von ChatGPT korrigieren ließ. Klingt harmlos, oder? Bis der Datenschutzbeauftragte fragte: „Wo genau wurden diese Daten verarbeitet?“ Die Antwort: „Äh, keine Ahnung.“ Das kostete ihn nicht nur Nerven, sondern auch eine saftige Nachfrage der Aufsichtsbehörde.
Wie Sie sich absichern – ohne auf KI zu verzichten
Sie müssen nicht komplett auf ChatGPT & Co. verzichten. Aber Sie müssen klare Regeln aufstellen – und die auch durchsetzen. Hier sind die wichtigsten Schritte:
- Nutzen Sie Enterprise-Lösungen mit deutschen Servern: Microsoft 365 Copilot oder die Enterprise-Version von ChatGPT speichern Daten nicht für Trainingszwecke und bieten Verträge nach EU-Recht. Das kostet zwar Geld, aber es ist die einzige sichere Option für Unternehmen.
- Schulen Sie Ihre Mitarbeiter: Die meisten Datenschutzverstöße passieren nicht aus Bosheit, sondern aus Unwissenheit. Machen Sie klar: Keine personenbezogenen Daten, keine Geschäftsgeheimnisse, keine sensiblen Informationen in öffentliche KI-Tools. Punkt.
- Dokumentieren Sie Ihre Nutzung: Wenn Sie KI-Tools einsetzen, müssen Sie das im Verzeichnis der Verarbeitungstätigkeiten eintragen. Das ist kein Hexenwerk, aber es zeigt dem Datenschutzbeauftragten, dass Sie sich Gedanken gemacht haben.
- Nutzen Sie lokale Alternativen für sensible Daten: Es gibt mittlerweile KI-Tools, die komplett auf Ihren Servern laufen – z. B. PrivateGPT oder LocalAI. Die sind nicht so leistungsfähig wie ChatGPT, aber sie bleiben in Ihrem Netzwerk. Für vertrauliche Dokumente ist das die sicherste Lösung.
Ein letzter Tipp: Wenn Sie unsicher sind, ob eine bestimmte Nutzung datenschutzkonform ist, fragen Sie vorher Ihren Datenschutzbeauftragten. Nicht erst, wenn die Aufsichtsbehörde schon anruft. Die meisten Verstöße lassen sich vermeiden – wenn man weiß, worauf man achten muss.
Was Sie ab morgen anders machen sollten
Fangen Sie mit einer einfachen Regel an: Keine sensiblen Daten in öffentliche KI-Tools. Das ist der erste und wichtigste Schritt. Dann prüfen Sie, ob Ihre aktuelle Nutzung dokumentiert ist – und wenn nicht, holen Sie das nach. Und wenn Sie wirklich auf Nummer sicher gehen wollen, steigen Sie auf eine Enterprise-Lösung um. Die kostet zwar ein paar Euro im Monat, aber das ist immer noch billiger als eine Abmahnung.
Am Ende geht es nicht darum, KI zu verteufeln. Sondern darum, sie so einzusetzen, dass sie Ihnen hilft – ohne dass Sie sich dabei angreifbar machen. Und das ist machbar. Sie müssen nur wissen, wo die Fallstricke liegen.