ChatGPT und andere KI-Tools sind im Unternehmen nicht automatisch DSGVO-konform, können aber mit passenden Verträgen, Einstellungen, Regeln und Datenbegrenzung rechtskonform eingesetzt werden.
Ob der Einsatz von ChatGPT, Microsoft Copilot, Gemini oder anderen KI-Tools in Unternehmen DSGVO-konform ist, hängt nicht vom Toolnamen allein ab. Entscheidend ist, welche Daten verarbeitet werden, zu welchem Zweck das Tool genutzt wird, ob ein geeigneter Vertrag zur Auftragsverarbeitung besteht, welche technischen und organisatorischen Schutzmaßnahmen gelten, ob Daten in Drittländer übertragen werden, wie transparent die Nutzung ist und ob Mitarbeitende ausreichend geschult wurden.
Für Unternehmen, Organisationen und Institutionen bedeutet das: KI-Tools dürfen nicht einfach unkontrolliert in den Arbeitsalltag eingeführt werden. Besonders kritisch sind personenbezogene Daten, Kundendaten, Bewerbungsunterlagen, Gesundheitsdaten, Beschäftigtendaten, Mitgliederdaten, Vertragsinformationen, interne Bewertungen, Beschwerden und vertrauliche Geschäftsinformationen. Der Themen-Hub KI Inhouse Schulungen der Bildungsakademie am Rosental ordnet DSGVO-Fragen deshalb als Teil von AI Literacy, Governance, Toolfreigabe und verantwortungsvoller KI-Nutzung ein.
Unser maßgeschneidertes Inhouse-Seminar für Sie!
Wählen Sie bei Ihrer Anfrage auch gern zwischen einem a) Inhouse-Präsenz-Seminar an Ihrem Standort, b) einem Inhouse-Online-Workshop mit Ihrem Team oder c) einem Inhouse-Präsenz-Kurs direkt an der Akademie – das Inhouse-Training gern auch in Kombination mit Teambuilding-Aktionen.
Warum DSGVO-Konformität bei KI-Tools nicht pauschal beantwortet werden kann
Die Frage nach DSGVO-Konformität wird häufig zu einfach gestellt. Unternehmen fragen: „Ist ChatGPT DSGVO-konform?“ Juristisch und organisatorisch präziser ist die Frage: „Ist unser konkreter Einsatz von ChatGPT oder einem anderen KI-Tool für diesen Zweck, mit diesen Daten, in dieser Konfiguration und mit diesen Schutzmaßnahmen DSGVO-konform?“ Genau diese Verschiebung ist entscheidend.
Ein KI-Tool kann in einem Szenario unkritisch sein und in einem anderen Szenario erhebliche Datenschutzrisiken auslösen. Die Erstellung eines neutralen Schulungstextes ohne personenbezogene Daten ist anders zu bewerten als die Verarbeitung von Bewerbungsunterlagen, Gesundheitsinformationen, Kundendaten oder internen Beschwerden. Deshalb brauchen Unternehmen eine Nutzungslogik nach Datenart, Zweck und Risikoniveau.
Die Datenschutzkonferenz hat mit der Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ einen Leitfaden für Unternehmen, Behörden, Schulen, Universitäten und weitere Stellen veröffentlicht, die KI-Systeme unter Beachtung des Datenschutzrechts auswählen, implementieren und nutzen möchten. Das zeigt: Datenschutz bei KI ist kein Randthema, sondern ein Auswahl-, Einführungs- und Betriebskriterium.
Eine Inhouse Schulung zum EU AI Act und aktuellen Unternehmenspflichten kann helfen, DSGVO, AI Literacy, Toolfreigabe und interne Verantwortlichkeiten gemeinsam einzuordnen.
Die kurze Antwort: DSGVO-konform nur unter Bedingungen
ChatGPT und andere KI-Tools können im Unternehmen datenschutzkonform eingesetzt werden, wenn die Organisation geeignete rechtliche, technische und organisatorische Maßnahmen trifft. Ohne solche Maßnahmen ist der Einsatz riskant. Besonders problematisch ist die unkontrollierte Nutzung privater Accounts oder frei zugänglicher Tools mit echten Unternehmens-, Kunden- oder Beschäftigtendaten.
| Frage | Relevanz für DSGVO-Konformität | Praktische Konsequenz |
|---|---|---|
| Welche Daten werden eingegeben? | Personenbezogene und sensible Daten erhöhen das Risiko deutlich | Datenminimierung, Anonymisierung und Tabu-Daten definieren |
| Welcher Zweck wird verfolgt? | Jede Verarbeitung braucht einen klaren Zweck und eine Rechtsgrundlage | Nutzungsfälle dokumentieren und Zweckbindung beachten |
| Gibt es einen AV-Vertrag? | Bei Auftragsverarbeitung ist Art. 28 DSGVO relevant | Business-/Enterprise-Angebote und DPA prüfen |
| Wo werden Daten verarbeitet? | Drittlandtransfer kann zusätzliche Anforderungen auslösen | Transfermechanismen, Region und Anbieterbedingungen prüfen |
| Wer darf das Tool nutzen? | Zugriffsrechte und Rollen reduzieren Fehl- und Schattennutzung | Freigegebene Accounts statt privater Einzelaccounts nutzen |
| Wer prüft KI-Ergebnisse? | Falsche oder personenbezogene Ergebnisse können Folgen haben | Human-in-the-Loop, Freigaben und Prüfchecks festlegen |
| Sind Mitarbeitende geschult? | Fehlende AI Literacy erhöht Datenschutz- und Fehlerrisiken | AI Literacy, Datenschutzregeln und Anwendungspraxis schulen |
Die pauschale Aussage „ChatGPT ist DSGVO-konform“ wäre daher unseriös. Seriös ist: Ein konkreter Einsatz kann DSGVO-konform gestaltet werden, wenn Anforderungen geprüft und wirksam umgesetzt werden.
Der wichtigste Fachpunkt: Nicht das Tool allein, sondern der konkrete Verarbeitungsvorgang zählt
DSGVO-Konformität hängt an einem Verarbeitungsvorgang. Bei KI-Tools besteht dieser Verarbeitungsvorgang nicht nur aus der Eingabe eines Prompts. Er umfasst auch Accountverwaltung, Eingabedaten, hochgeladene Dateien, Protokollierung, Speicherung, mögliche Trainingsnutzung, Ausgabeergebnisse, Zugriff durch Anbieter, Löschung, Export, interne Weiterverwendung und mögliche Übertragung in Drittländer.
Ein Unternehmen sollte deshalb nicht nur fragen, ob ein Anbieter „DSGVO anbietet“. Es muss den konkreten Workflow betrachten: Wer gibt was ein? Wird eine Datei hochgeladen? Enthält sie personenbezogene Daten? Wird das Ergebnis gespeichert? Wird es in ein CRM kopiert? Wird es an Kunden gesendet? Können andere Mitarbeitende darauf zugreifen? Wird das Ergebnis später zur Entscheidung genutzt?
| Verarbeitungsschritt | Datenschutzfrage | Beispielrisiko |
|---|---|---|
| Prompt-Eingabe | Welche Informationen werden an das KI-System übermittelt? | Personenbezogene Daten werden unbedacht eingegeben |
| Datei-Upload | Welche Inhalte enthält das Dokument? | Verträge, Bewerbungen oder Kundendaten werden hochgeladen |
| Verarbeitung durch Anbieter | Welche Rolle hat der Anbieter und welche Bedingungen gelten? | Kein geeigneter AV-Vertrag oder unklare Datenverwendung |
| Speicherung | Wie lange bleiben Eingaben, Ausgaben oder Dateien erhalten? | Fehlende Löschlogik oder unklare Historie |
| Ausgabe | Enthält das Ergebnis personenbezogene oder falsche Informationen? | KI erzeugt unzutreffende Personenbezüge oder falsche Aussagen |
| Weiterverwendung | Wird das Ergebnis intern oder extern genutzt? | Ungeprüfte KI-Antwort wird an Kunden gesendet |
Dieser Prozessblick ist für Unternehmen entscheidend. Ein KI-Tool kann technisch leistungsfähig sein, aber datenschutzrechtlich nur dann vertretbar genutzt werden, wenn der gesamte Verarbeitungsvorgang kontrolliert ist.
Welche Daten sollten nicht in ChatGPT oder andere KI-Tools eingegeben werden?
Ohne klare Freigabe sollten Unternehmen keine personenbezogenen, vertraulichen oder sensiblen Informationen in KI-Tools eingeben. Das gilt besonders für private oder nicht zentral freigegebene Accounts. Auch bei Business- oder Enterprise-Angeboten sollten Datenminimierung und Zweckbindung beachtet werden.
| Datenart | Risiko | Empfehlung |
|---|---|---|
| Kundendaten | Vertraulichkeit, Vertragsbezug, Datenschutz | Nicht ohne Freigabe, Anonymisierung oder geeignetes System nutzen |
| Bewerbungsunterlagen | HR-Daten, Diskriminierungsrisiken, Personenbewertung | Nicht als einfache KI-Übung oder ungeprüfte Verarbeitung nutzen |
| Beschäftigtendaten | Besonderer Schutz im Arbeitsverhältnis | Nur mit klarer Rechtsgrundlage und interner Freigabe |
| Gesundheitsdaten | Besondere Kategorien personenbezogener Daten | Grundsätzlich nicht in allgemeine KI-Tools eingeben |
| Mitgliederdaten | Personenbezug und Vertrauensschutz | Nur anonymisiert oder in freigegebenen Systemen |
| Verträge und Angebote | Geschäftsgeheimnisse, Preise, Konditionen | Nur bereinigt, anonymisiert oder mit klarer Toolfreigabe |
| Interne Strategiepapiere | Wettbewerbs- und Vertraulichkeitsrisiko | Nicht in frei zugängliche Tools kopieren |
| Beschwerden und Konfliktfälle | Personenbezug, Eskalations- und Reputationsrisiko | Nur fiktiv, stark abstrahiert oder nach Freigabe |
Eine gute KI-Schulung sollte diese Datenarten nicht nur abstrakt erwähnen, sondern mit typischen Beispielen aus dem Unternehmen besprechen. So entsteht praktische Datenschutzkompetenz statt allgemeiner Unsicherheit.
Was ist mit ChatGPT Team, Enterprise oder API?
Business-, Team-, Enterprise- oder API-Angebote können datenschutzrechtlich anders zu bewerten sein als private Einzelaccounts, weil sie andere Vertragsbedingungen, Verwaltungsfunktionen, Datenverwendungsregeln und Sicherheitsoptionen bieten können. OpenAI stellt für Business- und Enterprise-Kontexte ein Data Processing Addendum bereit, das die Verarbeitung von Kundendaten für bestimmte Geschäftsdienste regelt. Unternehmen sollten die jeweils aktuelle Vertragslage und Produktkonfiguration jedoch konkret prüfen.
Wichtig ist: Ein Business- oder Enterprise-Angebot löst DSGVO-Fragen nicht automatisch vollständig. Es kann wichtige Voraussetzungen schaffen, etwa durch einen Auftragsverarbeitungsvertrag, Administrationsfunktionen oder Datenschutzoptionen. Trotzdem bleiben Unternehmen verantwortlich für Zweck, Rechtsgrundlage, Datenminimierung, interne Nutzungsregeln, Schulung, Zugriffskontrolle und Ergebnisprüfung.
| Nutzungsszenario | Typische Datenschutzfrage | Bewertung |
|---|---|---|
| Privater ChatGPT-Account im Arbeitsalltag | Keine zentrale Kontrolle, unklare Vertrags- und Datenlage | Für Unternehmensdaten problematisch |
| Freigegebener Business-/Team-Account | Vertrag, Einstellungen, Rollen und Datenregeln prüfen | Kann geeigneter sein, wenn sauber eingerichtet |
| Enterprise-Lösung | AV-Vertrag, Administration, Sicherheit, Datenresidenz, Rollen | Kann für Organisationen geeigneter sein, aber Einzelfallprüfung nötig |
| API-Integration | Eigener Prozess, Zweck, Datenfluss, Speicherlogik und Anbieterrolle | Technisch kontrollierbarer, aber konzeptionell prüfpflichtig |
| Lokale oder private KI-Lösung | Kontrolle über Daten, Modell, Infrastruktur und Betrieb | Kann datenschutzfreundlicher sein, aber organisatorisch aufwendiger |
Für Unternehmen ist deshalb ein Toolvergleich wichtig. Nicht jedes KI-Tool ist für jeden Zweck geeignet. Eine einfache Textübung ohne personenbezogene Daten stellt andere Anforderungen als ein Tool, das in CRM, HR, Support oder Dokumentenmanagement integriert wird.
Welche Rolle spielt der Auftragsverarbeitungsvertrag?
Wenn ein KI-Anbieter personenbezogene Daten im Auftrag eines Unternehmens verarbeitet, ist in der Regel ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Dieser Vertrag muss unter anderem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen sowie Pflichten und Rechte des Verantwortlichen regeln.
Ein AV-Vertrag allein genügt aber nicht. Er ist ein wichtiger Baustein, ersetzt jedoch nicht die Prüfung von Rechtsgrundlage, Datenminimierung, Zweckbindung, Betroffenenrechten, Löschung, Sicherheit, Drittlandtransfer und internen Nutzungsregeln. Besonders bei KI-Systemen ist außerdem wichtig, ob Eingaben oder Ausgaben für Training, Verbesserung, Support, Missbrauchserkennung oder andere Zwecke genutzt werden.
| Prüffrage zum AV-Vertrag | Warum wichtig? |
|---|---|
| Ist der Anbieter Auftragsverarbeiter oder eigener Verantwortlicher? | Davon hängen Pflichten, Verträge und Informationspflichten ab |
| Welche Datenarten werden verarbeitet? | Personenbezogene und sensible Daten erhöhen Anforderungen |
| Für welche Zwecke darf der Anbieter Daten nutzen? | Training, Produktverbesserung oder Support müssen geprüft werden |
| Wo findet die Verarbeitung statt? | Drittlandtransfers können zusätzliche Garantien erfordern |
| Wie werden Löschung und Betroffenenrechte umgesetzt? | DSGVO-Rechte müssen praktisch erfüllbar bleiben |
| Welche Unterauftragsverarbeiter werden eingesetzt? | Die Verarbeitungskette muss nachvollziehbar sein |
In einer KI-Inhouse-Schulung ersetzt diese Einordnung keine Rechtsberatung. Sie hilft aber, die richtigen Fragen zu stellen und typische Fehlannahmen zu vermeiden.
Drittlandtransfer: Warum der Standort der Verarbeitung wichtig ist
Bei vielen KI-Tools stellt sich die Frage, ob Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeitet werden. Solche Drittlandtransfers sind nicht per se ausgeschlossen, aber sie erfordern zusätzliche rechtliche und technische Prüfung. Unternehmen müssen klären, welche Übermittlungsgrundlage genutzt wird und ob geeignete Garantien bestehen.
Bei US-Anbietern können unter anderem Standardvertragsklauseln, Angemessenheitsentscheidungen, Zertifizierungen oder zusätzliche Schutzmaßnahmen eine Rolle spielen. Gleichzeitig muss der konkrete Dienst betrachtet werden. Nicht jede Funktion, jedes Produktpaket oder jede Integration ist gleich konfiguriert.
Für die Unternehmenspraxis bedeutet das: Der Standort der Datenverarbeitung, Datenresidenzoptionen, Unterauftragsverarbeiter, Zugriffsmöglichkeiten und Speicherorte sollten vor produktiver Nutzung geprüft werden. Gerade wenn personenbezogene Daten oder vertrauliche Unternehmensinformationen betroffen sind, reicht eine allgemeine Anbieterbeschreibung nicht aus.
Was bedeutet Datenminimierung bei ChatGPT und KI-Tools?
Datenminimierung ist einer der wichtigsten DSGVO-Grundsätze für den KI-Einsatz. Unternehmen sollten nur die Daten eingeben, die für den konkreten Zweck wirklich erforderlich sind. Bei vielen KI-Aufgaben ist es gar nicht nötig, echte Namen, Kundennummern, Vertragsdetails, personenbezogene Informationen oder interne Strategiedaten einzugeben.
Statt echte Daten zu verwenden, können Teams abstrahieren, anonymisieren oder mit Platzhaltern arbeiten. Ein Prompt muss oft nicht lauten: „Formuliere eine Antwort an Max Müller von Kunde XY zum Vertrag vom 12.03.“ Besser ist: „Formuliere eine freundliche Antwort an einen Kunden, der eine Terminverschiebung wünscht. Verwende Platzhalter für Namen, Termin und Vertragsnummer.“
| Ungünstige Eingabe | Datenschutzfreundlichere Alternative |
|---|---|
| Kopieren einer echten Kundenmail mit Namen und Vertragsdaten | Abstrahierte Situation ohne Namen, Vertragsnummer oder Kundendetails |
| Upload eines vollständigen Bewerbungsdokuments | Fiktives Beispiel oder allgemeine Interviewfragen ohne Personenbezug |
| Interne Beschwerde mit Beteiligten und Vorwürfen | Neutralisiertes Fallmuster ohne identifizierbare Details |
| Finanztabelle mit echten Kundenumsätzen | Aggregierte oder fiktive Beispieldaten |
| Strategiepapier mit vertraulichen Zielen | Allgemeine Strukturierungsaufgabe ohne konkrete Geschäftsgeheimnisse |
Datenminimierung ist nicht nur juristisch wichtig. Sie ist auch praktisch hilfreich, weil Mitarbeitende lernen, KI als Werkzeug für Struktur, Sprache und Vorbereitung zu nutzen, ohne unnötig vertrauliche Informationen preiszugeben.
Welche internen Regeln brauchen Unternehmen für DSGVO-konforme KI-Nutzung?
Unternehmen brauchen einfache, verständliche und verbindliche Regeln. Eine KI-Richtlinie muss nicht sofort ein langes Dokument sein. Für den Einstieg kann eine klare Ein-Seiten-Regel ausreichen, die erlaubte Tools, verbotene Daten, Prüfschritte, Freigaben und Ansprechpersonen benennt.
| Regelbereich | Leitfrage | Beispielregel |
|---|---|---|
| Erlaubte Tools | Welche KI-Systeme dürfen beruflich genutzt werden? | Nur zentral freigegebene KI-Tools für Arbeitsaufgaben verwenden |
| Verbotene Daten | Welche Informationen dürfen nicht eingegeben werden? | Keine personenbezogenen, vertraulichen oder sensiblen Daten in freie Tools eingeben |
| Anonymisierung | Wie werden Beispiele bereinigt? | Namen, Orte, Kundendaten, Vertragsdetails und Kontextinformationen entfernen |
| Ergebnisprüfung | Wie werden KI-Ausgaben kontrolliert? | Fakten, Quellen, Tonalität, Datenschutz und Freigabe prüfen |
| Externe Kommunikation | Dürfen KI-Texte direkt versendet werden? | Externe Kommunikation nicht ungeprüft übernehmen |
| Ansprechperson | Wer hilft bei Unsicherheit? | Datenschutz, IT, Compliance oder benannte KI-Koordination ansprechen |
Die Regeln sollten nicht nur geschrieben, sondern geschult werden. Nur dann verstehen Mitarbeitende, warum die Regeln wichtig sind und wie sie sie im Alltag anwenden.
Warum AI Literacy auch für DSGVO-Konformität wichtig ist
AI Literacy ist nicht nur ein technisches oder didaktisches Thema. Sie ist auch ein Datenschutzthema. Mitarbeitende müssen erkennen können, wann ein Prompt personenbezogene Daten enthält, wann eine Datei vertraulich ist, wann eine Ausgabe falsche Personenbezüge erzeugt und wann ein Ergebnis nicht ungeprüft weiterverwendet werden darf.
Die EU-Kommission erklärt zu Art. 4 AI Act, dass Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen sollen, um ein ausreichendes Niveau an KI-Kompetenz bei Mitarbeitenden und anderen Personen sicherzustellen, die mit KI-Systemen umgehen. Für Unternehmen bedeutet das: Wer KI-Tools im Arbeitsalltag erlaubt, sollte Mitarbeitende auch in Risiken, Grenzen und verantwortlicher Nutzung schulen.
Der FAQ-Artikel FAQ: Wie können Mitarbeitende an den Umgang mit KI herangeführt werden? vertieft, warum sichere Anwendung nur mit Orientierung, Übung, Regeln und Prüfkompetenz funktioniert.
Wie eine KI-Schulung bei DSGVO-konformer Nutzung hilft
Eine KI-Schulung kann Unternehmen helfen, Datenschutzrisiken deutlich zu reduzieren. Sie ersetzt keine juristische Prüfung, schafft aber praktische Anwendungssicherheit. Mitarbeitende lernen, welche Daten nicht eingegeben werden dürfen, wie man Beispiele anonymisiert, wie man KI-Ergebnisse prüft und welche Tools nur mit Freigabe genutzt werden dürfen.
Besonders wertvoll ist die Arbeit mit typischen Alltagssituationen: Darf ich eine Kundenmail in ChatGPT kopieren? Darf ich ein Protokoll zusammenfassen lassen? Darf ich Bewerbungsunterlagen analysieren? Darf ich eine Beschwerde umformulieren? Darf ich eine Excel-Tabelle hochladen? Solche Fragen müssen Teams praktisch beantworten können.
| Schulungsthema | Konkretes Ergebnis | Nutzen für DSGVO-Konformität |
|---|---|---|
| Datenarten erkennen | Teilnehmende unterscheiden öffentliche, interne, vertrauliche und sensible Daten | Weniger unbedachte Eingaben |
| Anonymisierung üben | Teams ersetzen Namen, Kontext, Beträge und identifizierende Details | Praxisnahe Datenminimierung |
| Toolfreigabe verstehen | Mitarbeitende kennen erlaubte und verbotene Nutzungsszenarien | Weniger Schatten-KI |
| Ergebnisse prüfen | Fakten, Quellen, Tonalität und Personenbezüge werden kontrolliert | Weniger falsche oder riskante Weiterverwendung |
| Freigaben klären | Externe Kommunikation und sensible Inhalte werden nicht ungeprüft genutzt | Bessere Verantwortlichkeit |
Für solche Schulungsziele eignet sich besonders eine Kombination aus AI Literacy, KI-Grundlagen und dem Inhouse Seminar EU AI Act.
Welche Rolle spielen Transparenz und Informationspflichten?
Wenn personenbezogene Daten mit KI-Tools verarbeitet werden, müssen Unternehmen auch Transparenz- und Informationspflichten beachten. Betroffene Personen müssen grundsätzlich nachvollziehen können, welche Daten zu welchem Zweck verarbeitet werden, wer verantwortlich ist und welche Rechte sie haben. Bei KI-gestützten Prozessen kann diese Transparenz anspruchsvoller sein, weil Verarbeitungsschritte und Anbieterrollen komplexer sind.
Besonders relevant wird Transparenz, wenn KI in Bewerbungsprozessen, Kundenkommunikation, Support, Profiling, Leistungsbewertung, internen Entscheidungen oder automatisierten Prozessen eingesetzt wird. Je stärker KI die betroffene Person betrifft, desto sorgfältiger müssen Information, Rechtsgrundlage und menschliche Kontrolle geprüft werden.
Für rein interne Übungen ohne personenbezogene Daten ist die Lage einfacher. Für produktive Verarbeitung personenbezogener Daten müssen Transparenz, Zweckbindung und Betroffenenrechte dagegen aktiv berücksichtigt werden.
Was ist mit KI-Ausgaben, die personenbezogene Daten enthalten?
Datenschutz betrifft nicht nur Eingaben, sondern auch Ausgaben. KI-Systeme können personenbezogene Daten erzeugen, ableiten, falsch zuordnen oder in neue Zusammenhänge stellen. Wenn ein KI-System beispielsweise eine Zusammenfassung über eine Person erstellt, eine Bewertung formuliert oder aus Dokumenten Personeninformationen verdichtet, kann auch die Ausgabe datenschutzrechtlich relevant sein.
Der EDPB hat im Bericht der ChatGPT Taskforce unter anderem datenschutzrechtliche Fragen zu generativen KI-Systemen, Transparenz und Richtigkeit personenbezogener Daten behandelt. Für Unternehmen ist daraus praktisch abzuleiten: Auch KI-Ausgaben müssen auf Richtigkeit, Personenbezug, Fairness, Zweckbindung und Weiterverwendung geprüft werden.
Ein KI-Ergebnis sollte deshalb nie automatisch als objektive Wahrheit behandelt werden. Das gilt besonders, wenn Personen, Kunden, Bewerber, Beschäftigte, Mitglieder oder Klienten betroffen sind.
Welche typischen Nutzungsszenarien sind eher unkritisch, welche kritisch?
Eine gute KI-Governance unterscheidet Nutzungsszenarien. Nicht jede Nutzung ist gleich riskant. Die Erstellung eines neutralen Textentwurfs ohne personenbezogene Daten ist deutlich weniger kritisch als die Analyse von Bewerbungsunterlagen oder die Zusammenfassung eines vertraulichen Kundenfalls.
| Nutzungsszenario | DSGVO-Risiko | Empfehlung |
|---|---|---|
| Allgemeine Textidee ohne Echtdaten | Niedrig | Geeignet für erste Übungen |
| Formulierung einer internen neutralen Vorlage | Niedrig bis mittel | Mit Datenminimierung und Prüfung gut nutzbar |
| Zusammenfassung öffentlicher Fachtexte | Niedrig bis mittel | Quellen und Urheberrechte prüfen |
| Anonymisierte Kundenanfrage | Mittel | Anonymisierung und Vertraulichkeit prüfen |
| Echte Kundenmail mit Personen- und Vertragsdaten | Hoch | Nicht in ungeeignete Tools eingeben |
| Bewerbungsanalyse | Sehr hoch | Nicht ohne klare Rechts-, Datenschutz- und Governance-Prüfung |
| Gesundheits- oder Sozialdaten | Sehr hoch | Nicht in allgemeine KI-Tools eingeben |
Diese Unterscheidung ist oft hilfreicher als ein pauschales Verbot. Unternehmen können KI sicherer nutzen, wenn sie wissen, welche Anwendungen erlaubt, eingeschränkt oder verboten sind.
Welche Fehler gefährden DSGVO-Konformität besonders?
Die größten Risiken entstehen nicht durch KI an sich, sondern durch unklare Nutzung. Besonders gefährlich sind private Accounts im beruflichen Kontext, fehlende AV-Verträge, ungeprüfte Eingaben personenbezogener Daten, fehlende Toolfreigaben, unklare Drittlandtransfers, fehlende Löschkonzepte, ungeprüfte KI-Ausgaben und ungeschulte Mitarbeitende.
| Fehler | Warum kritisch? | Bessere Lösung |
|---|---|---|
| Private Accounts für Unternehmensdaten | Keine zentrale Kontrolle, unklare Verantwortlichkeit | Freigegebene Unternehmenslösung nutzen |
| Keine Datenregeln | Mitarbeitende entscheiden individuell und unsicher | Tabu-Daten, Schutzklassen und Beispiele definieren |
| Kein AV-Vertrag bei Auftragsverarbeitung | Art. 28 DSGVO-Anforderungen können fehlen | DPA/AV-Vertrag prüfen und dokumentieren |
| Unklare Drittlandübermittlung | Zusätzliche rechtliche Anforderungen möglich | Speicherorte, Transfermechanismen und Anbieter prüfen |
| Keine Ergebnisprüfung | Falsche Personenbezüge oder riskante Inhalte möglich | Human-in-the-Loop und Freigaben festlegen |
| Keine Schulung | Regeln werden nicht verstanden oder angewendet | AI Literacy und Datenschutzpraxis schulen |
Der FAQ-Artikel FAQ: Welche Fehler machen Unternehmen bei der Einführung von KI besonders häufig? vertieft typische Einführungsfehler und zeigt, warum Datenschutz und Ergebnisprüfung zu den riskantesten Bereichen gehören.
Praktische Checkliste für DSGVO-nähere KI-Nutzung im Unternehmen
Eine praktische Checkliste hilft, ChatGPT und andere KI-Tools nicht unkontrolliert einzusetzen. Sie ersetzt keine Rechtsberatung, unterstützt aber die interne Vorbereitung und Schulung.
| Prüfpunkt | Erledigt? |
|---|---|
| Zwecke der KI-Nutzung definiert | Ja / Nein |
| Erlaubte Tools festgelegt | Ja / Nein |
| AV-Vertrag oder Anbieterrolle geprüft | Ja / Nein |
| Drittlandtransfer und Speicherorte geprüft | Ja / Nein |
| Tabu-Daten und Schutzklassen definiert | Ja / Nein |
| Datenminimierung und Anonymisierung geregelt | Ja / Nein |
| Zugriffsrechte und Accounts geklärt | Ja / Nein |
| Ergebnisprüfung und Freigabeprozess festgelegt | Ja / Nein |
| Informationspflichten und Betroffenenrechte berücksichtigt | Ja / Nein |
| Mitarbeitende geschult | Ja / Nein |
Wenn mehrere Punkte ungeklärt sind, sollte der produktive Einsatz personenbezogener Daten zurückgestellt werden. Für erste Schulungen können dann anonymisierte, fiktive oder öffentliche Beispiele genutzt werden.
Welche KI-Schulungen helfen bei DSGVO- und Datenschutzfragen?
Die passende Schulung hängt vom Ziel ab. Wenn Mitarbeitende zunächst sicher mit KI umgehen sollen, ist AI Literacy sinnvoll. Wenn es um regulatorische Pflichten, EU AI Act, Datenschutz oder Governance geht, ist ein stärker rechtlich-organisatorisches Format passend. Wenn Fachabteilungen praktische Anwendungen lernen sollen, sollte Datenschutz direkt in die Übungen integriert werden.
| Schulungsbedarf | Passendes Format | Geeignet für |
|---|---|---|
| Grundverständnis und sichere Nutzung | AI Literacy als Einstieg in das KI-Thema | Alle Mitarbeitenden, Führung, gemischte Teams |
| Erste KI-Anwendungen ohne Datenschutzfehler | KI-Grundlagen kennenlernen & erste Schritte | Teams ohne oder mit wenig KI-Erfahrung |
| Office- und Verwaltungsaufgaben sicher nutzen | KI für Assistenz & Office Management | Assistenz, Office, Verwaltung, Projektkoordination |
| Eigene Dokumente sicher einbinden | FAQ zu eigenen Dokumenten in KI-Schulungen | Teams mit Praxisbeispielen, Texten, Daten oder internen Unterlagen |
| EU AI Act, Governance und Pflichten einordnen | EU AI Act und aktuelle Unternehmenspflichten | Führung, Datenschutz, Compliance, HR, Projektverantwortliche |
Die zentrale Übersicht ist das Verzeichnis KI-Kurse der Bildungsakademie am Rosental. Dort können Organisationen passende Inhouse-Formate nach Zielgruppe, Risiko und Anwendungsfall auswählen.
Wann ist die Bildungsakademie am Rosental besonders passend?
Die Bildungsakademie am Rosental ist besonders passend, wenn Unternehmen und Organisationen KI nicht nur technisch ausprobieren möchten, sondern Mitarbeitende sicher, datenschutzbewusst und praxisnah schulen wollen. Gerade beim Einsatz von ChatGPT und anderen KI-Tools entstehen viele typische Alltagsfragen: Darf ich eine Kundenmail eingeben? Darf ich ein Protokoll zusammenfassen lassen? Wie anonymisiere ich ein Beispiel? Welches Tool ist erlaubt? Wer prüft Ergebnisse?
Ein Inhouse-Format kann diese Fragen direkt an den Aufgaben der Organisation bearbeiten. Teams entwickeln dabei nicht nur Prompts, sondern auch Datenregeln, Prüfchecks, Freigabeprozesse und ein realistisches Verständnis dafür, welche KI-Nutzung erlaubt, eingeschränkt oder tabu ist.
So entsteht keine pauschale Scheinsicherheit, sondern praktische Handlungssicherheit: KI kann produktiv genutzt werden, ohne Datenschutz, Vertraulichkeit und menschliche Verantwortung aus dem Blick zu verlieren.
Fachquellen und weiterführende Orientierung
Die fachliche Einordnung dieses Artikels stützt sich auf externe Quellen zu KI und Datenschutz, Auftragsverarbeitung, ChatGPT und AI Literacy.
- Datenschutzkonferenz: Orientierungshilfe Künstliche Intelligenz und Datenschutz
- European Data Protection Board: Report of the work undertaken by the ChatGPT Taskforce
- OpenAI: Data Processing Addendum
- Europäische Kommission: AI Literacy – Questions & Answers
FAQ: Ist der Einsatz von ChatGPT und anderen KI-Tools in Unternehmen DSGVO-konform?
Ist der Einsatz von ChatGPT im Unternehmen DSGVO-konform?
ChatGPT ist im Unternehmen nicht automatisch DSGVO-konform, kann aber unter passenden Bedingungen datenschutzkonform eingesetzt werden.
Entscheidend sind der konkrete Zweck, die eingegebenen Daten, die Vertragsgrundlage, Toolkonfiguration, Drittlandtransfer, Löschung, Zugriffskontrolle, interne Regeln und Schulung der Mitarbeitenden.
Kann man personenbezogene Daten in ChatGPT eingeben?
Personenbezogene Daten sollten nicht ohne klare Rechtsgrundlage, Toolfreigabe, Schutzmaßnahmen und Prüfung in ChatGPT eingegeben werden.
Für viele Alltagsaufgaben reicht es, Daten zu anonymisieren oder mit Platzhaltern zu arbeiten. Besonders kritisch sind Kundendaten, Bewerbungsunterlagen, Beschäftigtendaten, Gesundheitsdaten und Beschwerden.
Ist ein Business- oder Enterprise-Account automatisch DSGVO-konform?
Nein, ein Business- oder Enterprise-Account schafft mögliche Voraussetzungen, ersetzt aber keine vollständige DSGVO-Prüfung.
Unternehmen müssen trotzdem Zweck, Rechtsgrundlage, Datenarten, AV-Vertrag, Anbieterrolle, Drittlandtransfer, Einstellungen, Zugriffsrechte, Löschung und interne Regeln prüfen.
Braucht ein Unternehmen einen AV-Vertrag für KI-Tools?
Wenn ein KI-Anbieter personenbezogene Daten im Auftrag verarbeitet, ist in der Regel ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich.
Ein AV-Vertrag ist aber nur ein Baustein. Zusätzlich müssen Datenminimierung, Zweckbindung, Sicherheit, Betroffenenrechte, Drittlandtransfer und interne Nutzungsvorgaben geprüft werden.
Welche Daten sollten nicht in KI-Tools eingegeben werden?
Nicht eingegeben werden sollten ungeprüft personenbezogene, vertrauliche, sensible, strategische oder rechtlich relevante Informationen.
Dazu gehören Kundendaten, Mitgliederdaten, Beschäftigtendaten, Bewerbungen, Gesundheitsdaten, Verträge, Finanzdaten, Beschwerden, interne Strategien und Konfliktfälle.
Wie kann man KI-Tools datenschutzfreundlicher nutzen?
KI-Tools lassen sich datenschutzfreundlicher nutzen, indem Daten minimiert, anonymisiert, freigegebene Tools genutzt und Ergebnisse geprüft werden.
Praktisch heißt das: keine Echtdaten eingeben, Platzhalter verwenden, sensible Inhalte abstrahieren, erlaubte Tools nutzen, Freigaben beachten und externe Kommunikation nicht ungeprüft übernehmen.
Was bedeutet Datenminimierung bei ChatGPT?
Datenminimierung bedeutet, nur die Informationen einzugeben, die für die konkrete KI-Aufgabe wirklich erforderlich sind.
Oft braucht KI keine echten Namen, Kundennummern, Vertragsdetails oder internen Dokumente. Platzhalter und abstrahierte Beispiele reichen für viele Formulierungs-, Strukturierungs- und Übungsaufgaben aus.
Welche Rolle spielt der Drittlandtransfer?
Drittlandtransfer spielt eine Rolle, wenn personenbezogene Daten außerhalb der EU oder des EWR verarbeitet werden.
Unternehmen müssen dann prüfen, welche Übermittlungsgrundlage, Garantien, Speicherorte, Unterauftragsverarbeiter und Anbieterbedingungen gelten. Das sollte vor produktiver Nutzung personenbezogener Daten geklärt werden.
Müssen Mitarbeitende für DSGVO-konforme KI-Nutzung geschult werden?
Ja, Mitarbeitende sollten für datenschutzbewusste KI-Nutzung geschult werden, weil viele Risiken im Alltag durch falsche Eingaben entstehen.
AI Literacy hilft, Datenarten zu erkennen, Prompts datenschutzfreundlich zu formulieren, KI-Ergebnisse zu prüfen und erlaubte von verbotenen Nutzungsszenarien zu unterscheiden.
Was sind typische Datenschutzfehler bei KI-Tools?
Typische Fehler sind private Accounts, fehlende Toolfreigabe, Echtdaten in Prompts, fehlender AV-Vertrag, unklare Drittlandtransfers und ungeprüfte Ausgaben.
Besonders riskant sind echte Kundenmails, Bewerbungsunterlagen, Gesundheitsdaten, interne Konfliktfälle und vertrauliche Geschäftsdokumente in nicht freigegebenen KI-Systemen.
Ersetzt eine KI-Schulung eine Rechtsberatung zur DSGVO?
Nein, eine KI-Schulung ersetzt keine Rechtsberatung, schafft aber praktische Datenschutz- und Anwendungskompetenz im Team.
Die Schulung hilft Mitarbeitenden, typische Risiken zu erkennen, Daten zu minimieren, Ergebnisse zu prüfen und interne Regeln sicherer anzuwenden. Juristische Einzelfragen sollten separat geprüft werden.
Wie sollten Unternehmen mit KI starten, wenn DSGVO-Fragen ungeklärt sind?
Wenn DSGVO-Fragen ungeklärt sind, sollten Unternehmen zunächst mit anonymisierten, fiktiven oder öffentlichen Beispielen starten.
Personenbezogene oder vertrauliche Daten sollten erst genutzt werden, wenn Toolfreigabe, Rechtsgrundlage, AV-Vertrag, Drittlandtransfer, Löschung, Rollen und interne Regeln geklärt sind.
Unser maßgeschneidertes Inhouse-Seminar für Sie!
Wählen Sie bei Ihrer Anfrage auch gern zwischen einem a) Inhouse-Präsenz-Seminar an Ihrem Standort, b) einem Inhouse-Online-Workshop mit Ihrem Team oder c) einem Inhouse-Präsenz-Kurs direkt an der Akademie – das Inhouse-Training gern auch in Kombination mit Teambuilding-Aktionen.
Ähnliche Artikel:
- FAQ: Wie können Organisationen und Unternehmen ChatGPT im Arbeitsalltag einsetzen?
- FAQ: Gibt es KI-Schulungen speziell für Führungskräfte und Entscheidungsträger?
- FAQ: Gibt es KI-Inhouse-Seminare für Personalabteilungen und HR-Teams?
- FAQ: Welche Fehler machen Unternehmen bei der Einführung von KI besonders häufig?
- FAQ: Können eigene Dokumente, Daten und Praxisbeispiele in eine KI-Schulung eingebunden werden?
- FAQ: Wie können Mitarbeitende an den Umgang mit KI herangeführt werden?
