Darf ich Kundendaten in ChatGPT eingeben?

Das ist riskant. Wenn Sie personenbezogene Daten eingeben (Namen, E-Mails, Beschwerden, medizinische Informationen), verarbeiten Sie diese Daten über einen Dritten. Sie benötigen dann einen Auftragsverarbeitungsvertrag mit OpenAI, müssen es in Ihrem Verarbeitungsverzeichnis erwähnen und die Betroffenen informieren. Der sicherste Rat: Geben Sie keine identifizierbaren personenbezogenen Daten ein.

Ist OpenAI ein Auftragsverarbeiter im Sinne der DSGVO?

Bei der kostenlosen Version von ChatGPT ist OpenAI oft (gemeinsam) Verantwortlicher, da die Daten für das Training verwendet werden können. Bei der Enterprise- oder API-Version agiert OpenAI als Auftragsverarbeiter und ein AVV ist verfügbar. Prüfen Sie immer die spezifischen Bedingungen Ihres Abonnements.

Muss ich KI-Tools in mein Verarbeitungsverzeichnis aufnehmen?

Ja, wenn Sie über diese Tools personenbezogene Daten verarbeiten. Dokumentieren Sie, welches Tool Sie verwenden, welche Daten hineingehen, den Zweck, die Rechtsgrundlage und ob es einen Auftragsverarbeitungsvertrag gibt.

Darf ich KI zur Bewertung von Bewerbungen einsetzen?

Nur unter strengen Voraussetzungen. Automatisierte Entscheidungsfindung über Personen fällt unter Artikel 22 der DSGVO. Bewerber haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. Sie benötigen eine DSFA und müssen menschliches Eingreifen gewährleisten.

KI-Tools und Datenschutz - DSGVO-Implikationen für Unternehmen

ChatGPT, Copilot, Midjourney - immer mehr Unternehmen setzen KI-Tools ein. Aber welche personenbezogenen Daten gehen hinein? Wer ist Auftragsverarbeiter? Und brauchen Sie einen Auftragsverarbeitungsvertrag? Dieser Artikel erklärt die DSGVO-Implikationen.

KI ist überall, auch in Ihrem Unternehmen

Immer mehr Unternehmen setzen KI-Tools im Arbeitsalltag ein. ChatGPT zum Verfassen von E-Mails, Copilot zum Generieren von Code, Midjourney für Bilder oder KI-Funktionen im CRM zur Analyse von Kundendaten. Praktisch, aber aus DSGVO-Sicht gibt es ernsthafte Implikationen.

Die Kernfrage ist einfach: Welche Daten gehen in das KI-Tool, und was passiert damit?

Was macht KI-Tools anders?

Bei traditioneller Software (Buchhaltungssystem, CRM) wissen Sie ziemlich genau, wo Ihre Daten sind und was damit passiert. Bei KI-Tools ist das anders:

Trainingsdaten. Viele KI-Modelle verwenden Benutzereingaben zur Verbesserung des Modells. Was Sie eingeben, kann auf Weisen verarbeitet werden, die Sie nicht erwarten.
Intransparenz. Sie wissen nicht genau, wie das Modell mit Ihren Daten umgeht. Wo werden sie gespeichert? Wie lange? Wer hat Zugang?
Server außerhalb der EU. Die meisten großen KI-Anbieter (OpenAI, Google, Microsoft) verarbeiten Daten auf US-Servern. Das stellt eine Übermittlung personenbezogener Daten in ein Drittland dar.

Fallstudie: Italien verbietet ChatGPT

Im März 2023 verbot die italienische Aufsichtsbehörde (Garante) ChatGPT vorübergehend. Die Gründe:

Keine gültige Rechtsgrundlage für die Erhebung und Verarbeitung personenbezogener Daten zum Training des Modells
Keine Altersverifikation, sodass Minderjährige ohne Schutz Zugang hatten
Keine Transparenz gegenüber Nutzern darüber, was mit ihren Daten geschah
Kein Mechanismus für Betroffene, ihre Rechte auszuüben (Auskunft, Löschung)

OpenAI nahm Anpassungen vor (Datenschutzrichtlinie verdeutlicht, Möglichkeit zur Deaktivierung der Trainingsdaten, Altersverifikation hinzugefügt) und ChatGPT wurde wieder zugelassen. Aber das Signal war klar: KI-Tools müssen dieselben DSGVO-Regeln einhalten wie jede andere Software.

Die europäischen Aufsichtsbehörden haben seitdem eine gemeinsame Taskforce speziell für ChatGPT und ähnliche KI-Dienste eingerichtet. Dies ist kein Einzelfall - es ist der Beginn struktureller Durchsetzung.

Die drei Fragen, die Sie stellen müssen

1. Welche personenbezogenen Daten gehen hinein?

Seien Sie ehrlich: Fügen Sie manchmal eine Kundenbeschwerde in ChatGPT ein, um eine Antwort formulieren zu lassen? Fügen Sie Lebensläufe in ein KI-Tool ein, um eine Zusammenfassung zu erstellen? Geben Sie Kundennamen und E-Mail-Adressen ein?

Sobald Sie identifizierbare personenbezogene Daten eingeben, ist das eine Verarbeitung im Sinne der DSGVO. Es spielt keine Rolle, dass Sie “nur schnell” etwas umschreiben lassen wollten.

2. Wer ist der Auftragsverarbeiter?

Die Rollenverteilung unter der DSGVO ist wichtig:

Verantwortlicher (Sie): Sie bestimmen Zweck und Mittel der Verarbeitung
Auftragsverarbeiter (der KI-Anbieter): verarbeitet Daten in Ihrem Auftrag

Bei der kostenlosen Version von ChatGPT ist OpenAI teilweise gemeinsam Verantwortlicher, da Ihre Eingaben für das Modelltraining verwendet werden dürfen. Bei ChatGPT Enterprise oder der API-Version agiert OpenAI als Auftragsverarbeiter und bietet einen Auftragsverarbeitungsvertrag (AVV) an.

Dieser Unterschied ist entscheidend. Bei einem Auftragsverarbeiter haben Sie Kontrolle über einen AVV. Bei einem gemeinsam Verantwortlichen ist die Situation komplexer und Sie haben weniger Einfluss darauf, was mit den Daten geschieht.

3. Gibt es einen Auftragsverarbeitungsvertrag?

Wenn Sie ein KI-Tool geschäftlich nutzen und personenbezogene Daten durchleiten, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Prüfen Sie:

Bietet der Anbieter einen AVV an? (Enterprise-Versionen von ChatGPT, Copilot und Claude tun dies)
Wo werden die Daten verarbeitet? (EU oder USA?)
Kann der Anbieter die Daten für Training nutzen? (Falls ja, ist er kein reiner Auftragsverarbeiter)
Welche Sicherheitsmaßnahmen gibt es?

Praktische Dos und Don’ts

Was Sie tun KÖNNEN

KI für generische Aufgaben nutzen, die keine personenbezogenen Daten erfordern: Textvorschläge, Übersetzungen von Standardtexten, Brainstorming für Marketingideen
Daten anonymisieren, bevor Sie sie eingeben: Namen durch “Kunde A” ersetzen, E-Mail-Adressen und Telefonnummern entfernen
Ein Business-Abonnement mit AVV wählen, wenn Sie KI strukturell einsetzen (ChatGPT Enterprise, Microsoft Copilot for Business, Claude for Work)
Trainingsdaten deaktivieren, wo möglich
KI-Nutzung dokumentieren in Ihrem Verarbeitungsverzeichnis
Eine interne KI-Richtlinie erstellen, die Mitarbeitern mitteilt, welche Tools sie nutzen dürfen und welche Daten sie eingeben dürfen oder nicht. Lesen Sie unseren praktischen Leitfaden zur Erstellung einer KI-Nutzungsrichtlinie

Was Sie NICHT tun sollten

Kundendaten einfügen in die kostenlose Version von ChatGPT oder ähnlichen Tools
Lebensläufe zusammenfassen lassen durch ein KI-Tool ohne AVV
Medizinische oder finanzielle Daten eingeben in ein KI-Tool ohne strenge Absicherungen
Automatisierte Entscheidungen treffen über Personen (z.B. Bewerber screenen) ohne menschliches Eingreifen und ohne DSFA
Annehmen, dass es sicher ist, weil “alle es nutzen” - Popularität ist keine Rechtsgrundlage

Was sollten Sie jetzt tun?

Inventarisieren Sie, welche KI-Tools Sie und Ihre Mitarbeiter nutzen
Bewerten Sie pro Tool, ob personenbezogene Daten hineingehen
Prüfen Sie, ob ein AVV verfügbar ist und ob Trainingsdaten deaktiviert werden können
Dokumentieren Sie die KI-Nutzung in Ihrem Verarbeitungsverzeichnis
Erstellen Sie eine interne KI-Richtlinie mit klaren Vorgaben für Mitarbeiter
Erwägen Sie eine DSFA, wenn Sie KI für Profiling, automatisierte Entscheidungsfindung oder großangelegte Datenverarbeitung einsetzen

auto_awesome Ihr DSGVO-Dossier automatisieren?

GDPRWise scannt Ihre Website, erkennt Verarbeitungen und Drittanbieter und hilft Ihnen, Ihr vollständiges DSGVO-Dossier aufzubauen - inklusive Verarbeitungsverzeichnis und Auftragsverarbeitungsverträgen für alle Ihre Tools.

Kostenlosen Scan starten

KI-Tools und Datenschutz: Worauf Müssen Sie Achten?