ChatGPT im Unternehmen: 5 DSGVO-Risiken, die Sie kennen müssen

Die Nutzung von ChatGPT im Unternehmen birgt erhebliche Datenschutzrisiken. Während 67% der Mitarbeiter KI-Tools bereits ohne Freigabe nutzen, übersehen viele Unternehmen die rechtlichen Fallstricke. Dieser Artikel erklärt die konkreten DSGVO-Risiken und zeigt praktikable Lösungsansätze auf.

Warum ChatGPT im Büro ein Datenschutz-Problem ist

Die Realität in deutschen Unternehmen ist eindeutig: Mitarbeiter nutzen ChatGPT bereits massenhaft für ihre tägliche Arbeit. Studien zeigen, dass 67% der Angestellten KI-Tools ohne offizielle Freigabe verwenden – ein klassisches Shadow-IT-Phänomen.

Das Problem dabei: Jede Eingabe in ChatGPT wird an OpenAI-Server in den USA übertragen. Diese Datenübermittlung erfolgt ohne angemessene Schutzmaßnahmen und verstößt in vielen Fällen gegen die DSGVO. Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs ist der Transfer personenbezogener Daten in die USA ohne zusätzliche Garantien rechtlich problematisch.

Das Risiko verstärkt sich durch die fehlende Transparenz: Unternehmen wissen oft nicht, welche Daten ihre Mitarbeiter an KI-Systeme übermitteln. Ein einfacher Prompt wie "Schreibe eine E-Mail an Herrn Müller bezüglich des Vertrags XY" enthält bereits personenbezogene Daten und Geschäftsgeheimnisse.

Die 5 größten DSGVO-Risiken

Risiko 1 — Datenübermittlung in die USA

OpenAI verarbeitet alle ChatGPT-Eingaben auf Servern in den Vereinigten Staaten. Diese Datenübermittlung ist nach der DSGVO nur unter strengen Voraussetzungen erlaubt. Das Privacy Shield-Abkommen wurde 2020 für ungültig erklärt, und die neuen Standardvertragsklauseln bieten keinen automatischen Schutz.

Unternehmen müssen vor jeder Datenübermittlung in die USA eine Risikoanalyse durchführen und prüfen, ob zusätzliche Schutzmaßnahmen erforderlich sind. Bei ChatGPT ist dies praktisch unmöglich, da Nutzer keine Kontrolle über die Datenverarbeitung haben.

Risiko 2 — Training mit Ihren Firmendaten

OpenAI nutzte bis April 2023 alle Nutzereingaben zur Verbesserung ihrer KI-Modelle. Das bedeutet: Ihre vertraulichen Firmendaten konnten Teil der Trainingsdaten werden und anderen Nutzern als Antworten ausgegeben werden.

Auch wenn OpenAI mittlerweile eine Opt-out-Möglichkeit bietet, bleibt das Risiko bestehen. Die Daten werden weiterhin 30 Tage gespeichert und können für Sicherheitsprüfungen eingesehen werden.

Risiko 3 — Kein Auftragsverarbeitungsvertrag (AVV)

Die Standard-Version von ChatGPT kommt ohne Auftragsverarbeitungsvertrag. Rechtlich betrachtet ist OpenAI damit nicht Ihr Auftragsverarbeiter, sondern ein eigenständiger Verantwortlicher. Sie haben keine Kontrolle über die Datenverarbeitung und können Ihren DSGVO-Pflichten nicht nachkommen.

Ein AVV ist jedoch nach Artikel 28 DSGVO zwingend erforderlich, wenn Sie personenbezogene Daten an Dritte weitergeben. Ohne diesen Vertrag drohen Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.

Risiko 4 — Keine Kontrolle über Mitarbeiter-Eingaben

Unternehmen können nicht kontrollieren, welche Daten ihre Mitarbeiter in ChatGPT eingeben. Selbst bei klaren Richtlinien besteht das Risiko, dass versehentlich oder bewusst sensible Informationen übermittelt werden.

Problematisch sind bereits scheinbar harmlose Eingaben:

• Namen von Kunden oder Kollegen
• Projektbezeichnungen mit Kundenbezug
• Interne Prozessbeschreibungen
• Finanzinformationen oder Geschäftszahlen

Risiko 5 — Verstoß gegen Berufsgeheimnisse

Besonders kritisch ist die Situation für Anwälte, Steuerberater, Ärzte und andere Berufsgruppen mit gesetzlicher Schweigepflicht. Die Übermittlung von Mandanten- oder Patientendaten an ChatGPT kann einen Verstoß gegen das Berufsgeheimnis darstellen.

Die Schweigepflicht gilt auch gegenüber KI-Systemen und kann nicht durch Einverständniserklärungen aufgehoben werden. Ein Verstoß kann berufsrechtliche Konsequenzen haben und das Vertrauensverhältnis zu Mandanten oder Patienten zerstören.

Was sagen die Datenschutzbehörden?

Die deutschen Datenschutzbehörden haben bereits mehrfach vor den Risiken von ChatGPT gewarnt. Der Landesbeauftragte für Datenschutz Baden-Württemberg veröffentlichte konkrete Empfehlungen für Unternehmen und rät von der uneingeschränkten Nutzung ab.

Auch international gibt es bereits Präzedenzfälle: Italien verhängte 2023 zeitweise ein ChatGPT-Verbot und forderte von OpenAI Nachbesserungen beim Datenschutz. Die italienische Datenschutzbehörde kritisierte insbesondere die fehlende Rechtsgrundlage für die Datenverarbeitung und die mangelnde Transparenz.

Die Hamburger Datenschutzbehörde empfiehlt Unternehmen, vor der ChatGPT-Nutzung eine Datenschutz-Folgenabschätzung durchzuführen. Bayern und andere Bundesländer haben ähnliche Stellungnahmen veröffentlicht, die alle vor ungeprüfter KI-Nutzung warnen.

ChatGPT Enterprise / Team — löst das die Probleme?

OpenAI bietet mit ChatGPT Enterprise und ChatGPT Team Business-Versionen an, die besseren Datenschutz versprechen. Diese Varianten kommen mit einem Auftragsverarbeitungsvertrag und verzichten auf die Nutzung der Eingaben für das Training.

Dennoch bleiben zentrale Probleme bestehen:

• Datenverarbeitung erfolgt weiterhin in den USA
• US-Geheimdienste können weiterhin Zugriff verlangen
• OpenAI kann die Daten für Sicherheitsprüfungen einsehen
• Bei Berufsgeheimnissen reichen die Garantien nicht aus

Für manche Unternehmen kann ChatGPT Enterprise eine akzeptable Lösung sein – insbesondere wenn keine hochsensiblen Daten verarbeitet werden. Für Kanzleien, Steuerberatungen, Arztpraxen und Unternehmen mit strengen Compliance-Anforderungen bleiben jedoch erhebliche Risiken.

Die sicheren Alternativen

Glücklicherweise gibt es Alternativen zu ChatGPT, die besseren Datenschutz bieten. Diese lassen sich in drei Kategorien unterteilen:

Deutsche Cloud-Plattformen: Einige Anbieter hosten KI-Modelle in deutschen Rechenzentren und bieten umfassende Auftragsverarbeitungsverträge. Diese Lösung eignet sich für Unternehmen, die Cloud-Services nutzen möchten, aber deutsche oder europäische Anbieter bevorzugen.

Lokale KI-Systeme: Die sicherste Variante sind KI-Lösungen, die komplett auf eigenen Servern laufen. Hier findet keine Datenübertragung statt, und Unternehmen behalten die vollständige Kontrolle über ihre Informationen.

Jenius – Ihre eigene KI im Büro: Jenius kombiniert die Leistungsfähigkeit moderner KI-Modelle mit maximalem Datenschutz. Das System läuft vollständig auf Ihrer eigenen Hardware, und alle Daten bleiben physisch in Ihrem Unternehmen. Keine Cloud, keine Datenübertragung, keine DSGVO-Risiken.

Checkliste — Darf ich ChatGPT im Unternehmen nutzen?

Diese 7-Punkte-Checkliste hilft Ihnen bei der Entscheidung, ob ChatGPT für Ihr Unternehmen geeignet ist:

1. Datentypen prüfen: Verarbeiten Sie personenbezogene Daten, Geschäftsgeheimnisse oder vertrauliche Informationen?
2. Branche beachten: Unterliegen Sie besonderen Schweigepflichten (Anwalt, Arzt, Steuerberater)?
3. Compliance-Anforderungen: Haben Sie strenge interne oder externe Compliance-Vorgaben?
4. Risikobewertung: Können Sie das Risiko von Datenschutzverstößen und möglichen Bußgeldern tragen?
5. Mitarbeiterschulung: Können Sie sicherstellen, dass alle Mitarbeiter die Datenschutz-Richtlinien einhalten?
6. Technische Kontrollen: Haben Sie Möglichkeiten, die ChatGPT-Nutzung technisch zu überwachen und zu beschränken?
7. Alternative Lösungen: Haben Sie datenschutzkonforme Alternativen geprüft?

Die Entscheidung für oder gegen ChatGPT sollte nicht leichtfertig getroffen werden. Die DSGVO-Risiken sind real und können erhebliche finanzielle und rechtliche Konsequenzen haben. Gleichzeitig bieten moderne Alternativen wie lokale KI-Systeme die Möglichkeit, die Vorteile künstlicher Intelligenz zu nutzen, ohne dabei Datenschutz-Risiken einzugehen.