ChatGPT ist längst im Arbeitsalltag angekommen. In fast jedem Unternehmen gibt es Mitarbeitende, die KI-Tools nutzen: für E-Mail-Entwürfe, Recherchen, Zusammenfassungen oder Programmieraufgaben. Das ist grundsätzlich gut. Das Problem: In den meisten Fällen passiert das ohne klare Regeln, ohne Absprache mit der IT und ohne Rücksicht auf den Datenschutz.
Fachleute nennen das „Shadow AI“. Die unkontrollierte Nutzung von KI-Werkzeugen im Unternehmen. Und es ist eines der größten Datenschutzrisiken, das viele Geschäftsführer gerade noch gar nicht auf dem Schirm haben. Nicht weil die Technologie gefährlich ist, sondern weil niemand definiert hat, was erlaubt ist und was nicht.
Wir sehen das regelmäßig bei unseren Kunden in Brandenburg und Schleswig-Holstein. Der Wille zur KI-Nutzung ist da, die Unsicherheit beim Datenschutz bremst. Dieser Artikel erklärt, wo die tatsächlichen Risiken liegen, was die DSGVO wirklich fordert und warum ein Verbot die schlechteste aller Lösungen ist.
Warum Unternehmen ChatGPT nutzen (und warum viele es falsch machen)
Die Vorteile von KI-Tools im Arbeitsalltag sind offensichtlich. Ein Vertriebsmitarbeiter lässt sich ein Angebot vorformulieren und spart 30 Minuten. Eine Projektleiterin fasst ein 20-seitiges Protokoll in drei Absätzen zusammen. Ein Entwickler generiert Boilerplate-Code und konzentriert sich auf die Architektur. Das alles funktioniert. Und genau deshalb machen es immer mehr Menschen, oft auf eigene Faust.
Hier beginnt das Problem. Wenn ein Mitarbeiter seinen privaten ChatGPT-Account nutzt und dabei Kundendaten in die Eingabe kopiert, passiert Folgendes: Personenbezogene Daten verlassen das Unternehmen, landen auf Servern in den USA und werden möglicherweise für das Training zukünftiger Modelle verwendet. Ohne Auftragsverarbeitungsvertrag. Ohne Einwilligung der betroffenen Personen. Ohne dass die Geschäftsführung davon weiß.
Das ist kein hypothetisches Szenario. Samsung hat 2023 genau diesen Fall erlebt: Ingenieure hatten vertraulichen Quellcode in ChatGPT eingegeben. Die Folge war ein unternehmensweites Verbot. Andere Unternehmen, von Banken bis zu Anwaltskanzleien, hatten ähnliche Vorfälle.
Die Lösung ist aber nicht, KI zu verbieten. Die Lösung ist, klare Regeln aufzustellen.
Was die DSGVO tatsächlich zu KI-Tools sagt
Zunächst die gute Nachricht: Die DSGVO verbietet nicht die Nutzung von KI-Tools. Sie regelt den Umgang mit personenbezogenen Daten, unabhängig davon, ob diese in einer Excel-Tabelle, einem CRM-System oder einem KI-Chatbot verarbeitet werden. Wenn Sie ChatGPT nutzen, ohne personenbezogene Daten einzugeben, gibt es aus Datenschutzsicht kaum etwas zu beanstanden.
Sobald aber personenbezogene Daten ins Spiel kommen (Namen, E-Mail-Adressen, Kundennummern, Gesundheitsdaten), greifen mehrere DSGVO-Anforderungen gleichzeitig: Auftragsverarbeitung, Privacy by Design, unter Umständen eine Datenschutz-Folgenabschätzung. Das klingt nach viel, ist in der Praxis aber beherrschbar, wenn man es von Anfang an richtig aufsetzt.
Der Kern ist simpel: Es geht nicht darum, ob Sie KI nutzen. Es geht darum, ob und wie personenbezogene Daten dabei verarbeitet werden. Trennen Sie diese beiden Fragen sauber, und der Datenschutz wird lösbar.
Die häufigsten Fehler, die wir bei Unternehmen sehen
In unseren Workshops und Beratungsprojekten begegnen uns immer wieder die gleichen Muster:
Kostenlose Accounts für geschäftliche Nutzung. Der private ChatGPT-Account hat keinen Auftragsverarbeitungsvertrag. Trotzdem nutzen ihn Mitarbeitende täglich für Kundenkommunikation. Viele Unternehmen wissen das nicht einmal.
Keine Regeln, was eingegeben werden darf. Ohne klare Richtlinie kopieren Mitarbeitende im guten Glauben Kundenlisten, Vertragsdaten oder Personaldaten in KI-Tools. Nicht aus Böswilligkeit, sondern weil niemand gesagt hat, dass man das nicht tun soll.
Trainingsoptionen nicht geprüft. Selbst bei bezahlten Tarifen kann es sein, dass Eingaben für das Modelltraining verwendet werden. Die Einstellung dafür muss aktiv geprüft und dokumentiert werden.
Keine interne KI-Richtlinie. Die meisten Unternehmen haben eine Social-Media-Richtlinie und eine Datenschutzerklärung, aber keine KI-Richtlinie. Dabei ist die Notwendigkeit dafür inzwischen genauso groß.
KI-Ergebnisse ungeprüft verwenden. ChatGPT kann Fakten erfinden und Quellen zitieren, die nicht existieren. Wenn ein KI-generierter Text falsche Informationen über eine Person enthält und ungeprüft nach außen geht, wird das schnell ein rechtliches Problem.
Der größte Datenschutz-Fehler ist nicht die Technologie. Es ist das Fehlen klarer Regeln. Die gute Nachricht: Diese Regeln lassen sich an einem Tag aufsetzen.
Alternativen zu ChatGPT
ChatGPT ist das bekannteste KI-Tool, aber längst nicht das einzige. Inzwischen gibt es eine Reihe von Alternativen, die für Unternehmen mit Datenschutzanforderungen interessant sein können: Anbieter mit europäischer Datenverarbeitung, Modelle, die sich auf eigener Infrastruktur betreiben lassen, und API-Dienste, die standardmäßig keine Trainingsdaten aus Kundeneingaben ziehen.
Die Landschaft ist vielfältiger als viele denken. Die Wahl des richtigen Tools hängt aber stark vom Anwendungsfall ab: Welche Daten werden verarbeitet? Wie sensibel sind sie? Welche Integrationen brauchen Sie? Wie viele Mitarbeitende sollen damit arbeiten?
Pauschal „das beste Tool“ zu empfehlen, wäre unseriös. In unseren Workshops gehen wir die Optionen mit Ihnen durch und bewerten sie anhand Ihrer konkreten Anforderungen. So finden Sie nicht nur das sicherste, sondern auch das nützlichste Werkzeug für Ihr Team.
Warum ein KI-Verbot die schlechteste Lösung ist
Viele Unternehmen reagieren auf die Unsicherheit mit einem Totalverbot. Verständlich, aber kontraproduktiv. Denn Shadow AI lässt sich nicht verhindern, wenn die Alternative ein Verbot ist. Mitarbeitende nutzen dann einfach ihre privaten Accounts, und das Risiko wird größer statt kleiner.
Die Unternehmen, die KI verbieten, schützen sich nicht. Sie fallen zurück. Während die Konkurrenz Prozesse beschleunigt und Kosten senkt, verliert das eigene Team Zeit mit Aufgaben, die eine KI in Minuten erledigt hätte.
Der bessere Weg: KI offiziell einführen, sichere Rahmenbedingungen schaffen und die Produktivitätsgewinne mitnehmen. Was es dafür braucht, ist keine monatelange Transformation. Es ist ein strukturierter Prozess, der mit einem Workshop startet und mit einer klaren Richtlinie und den richtigen Tools endet.
Fazit: Es ist einfacher, als Sie denken
ChatGPT und andere KI-Tools lassen sich DSGVO-konform im Unternehmen einsetzen. Die technischen und rechtlichen Lösungen existieren. Was in den meisten Unternehmen fehlt, ist nicht das Wissen, dass man etwas tun sollte, sondern ein konkreter Plan, wie man es richtig aufsetzt.
Genau das machen wir in unseren Workshops: In einem Tag entwickeln wir gemeinsam die Spielregeln für KI in Ihrem Unternehmen. Welche Tools passen zu Ihren Anforderungen, welche Daten dürfen wo verarbeitet werden, wie sieht eine praxistaugliche KI-Richtlinie für Ihr Team aus. Am Ende haben Sie nicht nur Klarheit, sondern ein fertiges Regelwerk, das Ihre Mitarbeitenden am nächsten Tag anwenden können.
Wer heute die Regeln aufstellt, hat morgen den Vorsprung.