Darf ich Kundendaten in ChatGPT eingeben?

Das ist riskant. Wenn Sie personenbezogene Daten eingeben (Namen, E-Mails, Beschwerden, medizinische Informationen), verarbeiten Sie diese Daten uber einen Dritten. Sie benotigen dann einen Auftragsverarbeitungsvertrag mit OpenAI, mussen es in Ihrem Verarbeitungsverzeichnis erwahnen und die Betroffenen informieren. Der sicherste Rat: Geben Sie keine identifizierbaren personenbezogenen Daten ein.

Ist OpenAI ein Auftragsverarbeiter im Sinne der DSGVO?

Bei der kostenlosen Version von ChatGPT ist OpenAI oft (gemeinsam) Verantwortlicher, da die Daten fur das Training verwendet werden konnen. Bei der Enterprise- oder API-Version agiert OpenAI als Auftragsverarbeiter und ein AVV ist verfugbar. Prufen Sie immer die spezifischen Bedingungen Ihres Abonnements.

Muss ich KI-Tools in mein Verarbeitungsverzeichnis aufnehmen?

Ja, wenn Sie uber diese Tools personenbezogene Daten verarbeiten. Dokumentieren Sie, welches Tool Sie verwenden, welche Daten hineingehen, den Zweck, die Rechtsgrundlage und ob es einen Auftragsverarbeitungsvertrag gibt.

Darf ich KI zur Bewertung von Bewerbungen einsetzen?

Nur unter strengen Voraussetzungen. Automatisierte Entscheidungsfindung uber Personen fallt unter Artikel 22 der DSGVO. Bewerber haben das Recht, nicht einer ausschliesslich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. Sie benotigen eine DSFA und mussen menschliches Eingreifen gewahrleisten.

KI-Tools und Datenschutz - DSGVO-Implikationen fur Unternehmen

ChatGPT, Copilot, Midjourney - immer mehr Unternehmen setzen KI-Tools ein. Aber welche personenbezogenen Daten gehen hinein? Wer ist Auftragsverarbeiter? Und brauchen Sie einen Auftragsverarbeitungsvertrag? Dieser Artikel erklart die DSGVO-Implikationen.

KI ist uberall, auch in Ihrem Unternehmen

Immer mehr Unternehmen setzen KI-Tools im Arbeitsalltag ein. ChatGPT zum Verfassen von E-Mails, Copilot zum Generieren von Code, Midjourney fur Bilder oder KI-Funktionen im CRM zur Analyse von Kundendaten. Praktisch, aber aus DSGVO-Sicht gibt es ernsthafte Implikationen.

Die Kernfrage ist einfach: Welche Daten gehen in das KI-Tool, und was passiert damit?

Was macht KI-Tools anders?

Bei traditioneller Software (Buchhaltungssystem, CRM) wissen Sie ziemlich genau, wo Ihre Daten sind und was damit passiert. Bei KI-Tools ist das anders:

Trainingsdaten. Viele KI-Modelle verwenden Benutzereingaben zur Verbesserung des Modells. Was Sie eingeben, kann auf Weisen verarbeitet werden, die Sie nicht erwarten.
Intransparenz. Sie wissen nicht genau, wie das Modell mit Ihren Daten umgeht. Wo werden sie gespeichert? Wie lange? Wer hat Zugang?
Server ausserhalb der EU. Die meisten grossen KI-Anbieter (OpenAI, Google, Microsoft) verarbeiten Daten auf US-Servern. Das stellt eine Ubermittlung personenbezogener Daten in ein Drittland dar.

Fallstudie: Italien verbietet ChatGPT

Im Marz 2023 verbot die italienische Aufsichtsbehorde (Garante) ChatGPT vorubergehend. Die Grunde:

Keine gultige Rechtsgrundlage fur die Erhebung und Verarbeitung personenbezogener Daten zum Training des Modells
Keine Altersverifikation, sodass Minderjahrige ohne Schutz Zugang hatten
Keine Transparenz gegenuber Nutzern daruber, was mit ihren Daten geschah
Kein Mechanismus fur Betroffene, ihre Rechte auszuuben (Auskunft, Loschung)

OpenAI nahm Anpassungen vor (Datenschutzrichtlinie verdeutlicht, Moglichkeit zur Deaktivierung der Trainingsdaten, Altersverifikation hinzugefugt) und ChatGPT wurde wieder zugelassen. Aber das Signal war klar: KI-Tools mussen dieselben DSGVO-Regeln einhalten wie jede andere Software.

Die europaischen Aufsichtsbehorden haben seitdem eine gemeinsame Taskforce speziell fur ChatGPT und ahnliche KI-Dienste eingerichtet. Dies ist kein Einzelfall - es ist der Beginn struktureller Durchsetzung.

Die drei Fragen, die Sie stellen mussen

1. Welche personenbezogenen Daten gehen hinein?

Seien Sie ehrlich: Fugen Sie manchmal eine Kundenbeschwerde in ChatGPT ein, um eine Antwort formulieren zu lassen? Fugen Sie Lebenslaeufe in ein KI-Tool ein, um eine Zusammenfassung zu erstellen? Geben Sie Kundennamen und E-Mail-Adressen ein?

Sobald Sie identifizierbare personenbezogene Daten eingeben, ist das eine Verarbeitung im Sinne der DSGVO. Es spielt keine Rolle, dass Sie “nur schnell” etwas umschreiben lassen wollten.

2. Wer ist der Auftragsverarbeiter?

Die Rollenverteilung unter der DSGVO ist wichtig:

Verantwortlicher (Sie): Sie bestimmen Zweck und Mittel der Verarbeitung
Auftragsverarbeiter (der KI-Anbieter): verarbeitet Daten in Ihrem Auftrag

Bei der kostenlosen Version von ChatGPT ist OpenAI teilweise gemeinsam Verantwortlicher, da Ihre Eingaben fur das Modelltraining verwendet werden durfen. Bei ChatGPT Enterprise oder der API-Version agiert OpenAI als Auftragsverarbeiter und bietet einen Auftragsverarbeitungsvertrag (AVV) an.

Dieser Unterschied ist entscheidend. Bei einem Auftragsverarbeiter haben Sie Kontrolle uber einen AVV. Bei einem gemeinsam Verantwortlichen ist die Situation komplexer und Sie haben weniger Einfluss darauf, was mit den Daten geschieht.

3. Gibt es einen Auftragsverarbeitungsvertrag?

Wenn Sie ein KI-Tool geschaeftlich nutzen und personenbezogene Daten durchleiten, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Prufen Sie:

Bietet der Anbieter einen AVV an? (Enterprise-Versionen von ChatGPT, Copilot und Claude tun dies)
Wo werden die Daten verarbeitet? (EU oder USA?)
Kann der Anbieter die Daten fur Training nutzen? (Falls ja, ist er kein reiner Auftragsverarbeiter)
Welche Sicherheitsmassnahmen gibt es?

Praktische Dos und Don’ts

Was Sie tun KONNEN

KI fur generische Aufgaben nutzen, die keine personenbezogenen Daten erfordern: Textvorschlage, Ubersetzungen von Standardtexten, Brainstorming fur Marketingideen
Daten anonymisieren, bevor Sie sie eingeben: Namen durch “Kunde A” ersetzen, E-Mail-Adressen und Telefonnummern entfernen
Ein Business-Abonnement mit AVV wahlen, wenn Sie KI strukturell einsetzen (ChatGPT Enterprise, Microsoft Copilot for Business, Claude for Work)
Trainingsdaten deaktivieren, wo moglich
KI-Nutzung dokumentieren in Ihrem Verarbeitungsverzeichnis
Eine interne KI-Richtlinie erstellen, die Mitarbeitern mitteilt, welche Tools sie nutzen durfen und welche Daten sie eingeben durfen oder nicht. Lesen Sie unseren praktischen Leitfaden zur Erstellung einer KI-Nutzungsrichtlinie

Was Sie NICHT tun sollten

Kundendaten einfugen in die kostenlose Version von ChatGPT oder ahnlichen Tools
Lebenslaeufe zusammenfassen lassen durch ein KI-Tool ohne AVV
Medizinische oder finanzielle Daten eingeben in ein KI-Tool ohne strenge Absicherungen
Automatisierte Entscheidungen treffen uber Personen (z.B. Bewerber screenen) ohne menschliches Eingreifen und ohne DSFA
Annehmen, dass es sicher ist, weil “alle es nutzen” - Popularitat ist keine Rechtsgrundlage

Was sollten Sie jetzt tun?

Inventarisieren Sie, welche KI-Tools Sie und Ihre Mitarbeiter nutzen
Bewerten Sie pro Tool, ob personenbezogene Daten hineingehen
Prufen Sie, ob ein AVV verfugbar ist und ob Trainingsdaten deaktiviert werden konnen
Dokumentieren Sie die KI-Nutzung in Ihrem Verarbeitungsverzeichnis
Erstellen Sie eine interne KI-Richtlinie mit klaren Vorgaben fur Mitarbeiter
Erwagen Sie eine DSFA, wenn Sie KI fur Profiling, automatisierte Entscheidungsfindung oder grossangelegte Datenverarbeitung einsetzen

auto_awesome Ihr DSGVO-Dossier automatisieren?

GDPRWise scannt Ihre Website, erkennt Verarbeitungen und Drittanbieter und hilft Ihnen, Ihr vollstandiges DSGVO-Dossier aufzubauen - inklusive Verarbeitungsverzeichnis und Auftragsverarbeitungsvertragen fur alle Ihre Tools.

Kostenlosen Scan starten

KI-Tools und Datenschutz: Worauf Mussen Sie Achten?