KI-Tools wie ChatGPT sind mittlerweile Standard im digitalen Alltag, auch im Unternehmensumfeld. Aber wie setzt man ChatGPT Business DSGVO-konform ein und was ist dabei technisch und organisatorisch konkret zu beachten? Dieser Beitrag liefert einen kompakten Step-by-Step-Leitfaden für die sichere Integration.
Disclaimer
Bei diesem Beitrag handelt es sich nicht um eine Rechtsberatung. Die dargestellten Informationen ersetzen keine individuelle Beratung durch einen Datenschutzbeauftragten oder eine andere fachkundige Stelle. Vor der konkreten Umsetzung sollte jedes Unternehmen unbedingt mit dem eigenen (externen oder internen) Datenschutzbeauftragten oder entsprechenden Experten Rücksprache halten. Jede Situation kann andere spezifische Anforderungen haben.
Warum ist Datenschutz bei KI so essenziell?
KI-Anwendungen wie ChatGPT verarbeiten Daten in großem Umfang, viele davon sind potenziell sensibel. Im geschäftlichen Kontext besteht immer die Gefahr, dass vertrauliche Informationen wie Kundendaten, interne Prozesse oder personenbezogene Angaben offenbart werden. Die DSGVO schützt genau diese Kategorien und fordert hohe Transparenz sowie strikte Schutzmaßnahmen. Unternehmen stehen daher vor der Herausforderung, innovative Tools sicher, rechtssicher und möglichst risikofrei einzusetzen.
Beispiel:
Ein Mitarbeiter könnte versehentlich Personaldaten in eine KI-Anfrage eintragen. Ohne technisch-organisatorische Vorkehrungen wäre die Gefahr des Datenabflusses hoch. dies hätte weitreichende Folgen, von Reputationsschäden bis zu Bußgeldern.
Schritt-für-Schritt-Anleitung zur DSGVO-konformen Integration von ChatGPT Business
Vertragliche Basis schaffen: AV-Vertrag
Jedes IT-Unternehmen muss mit OpenAI bzw. Microsoft, die als Auftragsverarbeiter für die KI-Dienste fungieren, einen „Auftragsverarbeitungsvertrag“ (AVV) abschließen. Dieser regelt Vertraulichkeit, Datenverwendung und Kontrollrechte. Die Business-Version von ChatGPT bietet diesen Vertrag standardmäßig an.
Hier findest du die AVV-Unterlagen von OpenAI: https://openai.com/de-de/policies/data-processing-addendum
Hinweis: Ohne AVV ist bereits der produktive Einsatz von ChatGPT im Unternehmenskontext nicht DSGVO-konform!
Datenschutz-Folgenabschätzung (DSFA) durchführen
Gerade wenn mit ChatGPT personenbezogene oder sensible Daten verarbeitet werden, ist eine DSFA Pflicht. Sie bewertet systematisch, welche Risiken für betroffene Personen bestehen (z. B. Verlust von Kundendaten) und wie diesen begegnet wird.
Praxis-Tipp:
Für Standardfälle, in denen ChatGPT nur für anonyme Recherche genutzt wird, ist der DSFA-Aufwand überschaubar. Wer etwa Support-Anfragen automatisiert beantwortet oder interne Chatbots baut, muss die Prozesse detailliert prüfen.
Technische & organisatorische Schutzmaßnahmen (TOMs)
- Rollenbasiertes Zugriffsmanagement: Nur bestimmte Personen sollten auf ChatGPT zugreifen; sensible Bereiche (z. B. Personalabteilung) erhalten gegebenenfalls restriktivere Zugriffsrechte.
- Verschlüsselung: Die Datenübertragung sollte immer verschlüsselt erfolgen. Nutze SSO und sichere Netzwerke, um Integrität und Authentizität sicherzustellen.
- Datenminimierung: Vermeide Eingaben von Namen, Kundennummern oder anderen Identifikatoren. Schreibe beispielsweise im Prompt lieber: „Wie formuliere ich eine Einladung zur Mitarbeiterversammlung für das Marketingteam?“ statt konkreter Personendetails.
- EU-Region auswählen: Wo möglich, Datenverarbeitung auf EU-Server beschränken, z. B. mit Azure OpenAI-Implementierungen.
- Sicherstellung, dass Daten nicht zum Training der AI verwendet werden. Sowohl eingegebene als auch generierte Daten (Dies ist bei OpenAI ab Business standard, bzw. auch über API)
Interne Richtlinien und Awareness
Erstelle hausinterne Richtlinien, die klar festlegen:
- Welche Daten dürfen verarbeitet werden, welche explizit nicht?
- Wer trägt die Verantwortung für Eingaben ins System?
- Wann und wie werden Mitarbeitende geschult, typische Risiken zu erkennen?
Beispiel:
In vielen Unternehmen ist es untersagt, Kunden-E-Mails oder Vertragsdaten als Prompt einzusetzen. Dies sollte klar geregelt und durch technische Schranken unterstützt werden (z. B. Eingabemasken nur für erlaubte Szenarien).
Monitoring, Protokollierung & regelmäßige Kontrolle
Um die Einhaltung der DSGVO laufend sicherzustellen, ist ein aktives Monitoring Pflicht:
- Wer nutzt ChatGPT wann und wofür?
- Werden Auffälligkeiten erkannt (z. B. auffällige Masseneingaben)?
- Sind alle Einstellungen (z. B. AVV, Rollen, Verschlüsselung) auf aktuellem Stand?
Ein regelmäßiger Review-Turnus – etwa quartalsweise – ist hilfreich, um auf neue regulatorische oder technische Entwicklungen zeitnah reagieren zu können.
Fazit: Mit Know-how und klaren Regeln zur sicheren KI-Nutzung
Der technische Fortschritt bringt enorme Chancen, aber auch Verpflichtungen. Mit sauberer Vorbereitung, klaren Verantwortlichkeiten, verpflichtendem AV-Vertrag und laufender Überprüfung ist ein sicherer, DSGVO-konformer Einsatz von ChatGPT Business auch im deutschen Mittelstand realistisch.
Was bleibt, ist der Grundsatz: Im Zweifel immer nachfragen und auf Datenschutzexpertise im Unternehmen zurückgreifen.
Quellen
• Auftragsverarbeitungsvertrag OpenAI: https://openai.com/de-de/policies/data-processing-addendum
• ChatGPT im Unternehmen einrichten, DSGVO-konform nutzen: Link
• ChatGPT rechtssicher nutzen: Link
• ChatGPT Datenschutz Deutschland: Link