KI und Datenschutz: Was Sie über die DSGVO und ChatGPT wissen müssen

KI und Datenschutz: Was Sie über die DSGVO und ChatGPT wissen müssen

KI und Datenschutz: Was Sie über die DSGVO und ChatGPT wissen müssen

Viele Unternehmen nutzen ChatGPT, Claude oder andere KI-Tools für Geschäftsprozesse — aber ohne Datenschutzsicherheit. Das kann teuer werden. Dieser Leitfaden erklärt, was die DSGVO regelt und wie Sie legal KI nutzen.

Die Basics: DSGVO und KI

Die Europäische Datenschutzgrundverordnung (DSGVO) regelt, wie personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind: Namen, E-Mail-Adressen, Konto-Nummern, IP-Adressen, Verhaltensprofile, Cookies, und vieles mehr.

Wenn du ChatGPT nutzt, um Kundendaten zu verarbeiten, greift die DSGVO. Punkt.

Das Kernproblem: OpenAI (und andere KI-Anbieter) speichern deine Input-Daten. Sie sagen, dass sie es für “Modellverbesserung” nutzen. Das ist legal in den USA, aber nicht in der EU.

Quelle: EU: Offizielle DSGVO-Dokumentation

Das Risiko: Was kann schiefgehen

Szenario 1: Kundendaten in ChatGPT eingeben
Du sagst ChatGPT: “Analysiere diese Kundenliste: [100 Namen, Adressen, Telefon]. Was ist unser Upsell-Potential?” OpenAI speichert jetzt diese Daten. Wenn eine Datenschutzbehörde das erfährt, zahlt dein Unternehmen CHF 20’000–1’000’000 Strafe (DSGVO-Bußgelder können bis zu 4% des Jahresumsatzes sein). Ein junges Startup mit CHF 500k Umsatz könnte CHF 20k zahlen. Ein großer Konzern mit 1 Mrd. Umsatz könnte CHF 40 Millionen zahlen.

Szenario 2: Mitarbeiterdaten an KI-Tools schicken
Dein HR-Team gibt Slack in Claude-Integration, weil es schneller ist. Claude liest jetzt deine internen Personaldaten (Gehälter, Performance-Reviews, Kündigungen). Das ist nicht DSGVO-konform, es sei denn, du hast einen Datenverarbeitungsvertrag (DPA) mit Anthropic.

Szenario 3: Medizin- oder Finanz-Daten
Noch schlimmer: Wenn du Gesundheitsdaten oder Finanzinformationen an öffentliche KI sendest, ist das in den meisten Fällen verboten — auch mit DPA. (Finanzdienstleister haben zusätzliche Regeln wie MiFID II.)

Rechtlicher Status: Was ist erlaubt?

Erlaubt (mit Voraussetzungen):

• ChatGPT Plus (private Nutzung) mit allgemeinen Geschäftstexten, keine Kundendaten.
• OpenAI API mit OpenAI Enterprise Privacy (Daten werden nicht für Training genutzt).
• Self-Hosted KI (Ollama, Llama 2 auf deinem Server) — vollständige Kontrolle.
• KI-Tools mit EU Data Residency (z.B. Mistral, wenn sie EU-Server nutzen).

Nicht erlaubt:

• Kundenlisten in Standard ChatGPT eingeben.
• Persönliche Mitarbeiterdaten (Namen, Gehälter, Adresse) an öffentliche KI schicken.
• Medizin-/Finanzdaten ohne spezielle Compliance-Zertifizierung.

Praktischer Leitfaden: Wie du DSGVO-sicher KI nutzt

Schritt 1: Klassifizierung
Frag dich für jede Aufgabe: “Sind da personenbezogene Daten dabei?”

• Keine Personendaten: “Schreib mir Ideen für eine Marketing-Kampagne” — OK mit Standard ChatGPT.
• Anonymisierte Daten: “Analysiere diese Verkaufs-Trends [Numbers, keine Namen]” — OK, aber prüf, dass es wirklich anonym ist.
• Personendaten: “Schreib einen Brief an diesen Kunden [Name + Adresse]” — Nur OK mit OpenAI Enterprise Privacy oder Self-Hosted.

Schritt 2: Datenverarbeitungsvertrag (Data Processing Agreement)
Wenn du KI-Tools mit Kundendaten nutzen willst, brauchst du einen schriftlichen DPA mit dem KI-Anbieter. Dieser DPA muss regeln:

• Wo werden die Daten gespeichert?
• Wie lange?
• Werden Sie für Training genutzt?
• Wer hat Zugriff?
• Wie werden die Daten gelöscht?

OpenAI bietet einen Standard-DPA für Enterprise-Kunden. Anthropic hat einen DPA für Claude API.

Schritt 3: Mitarbeiter-Training
Deine Team sollte wissen:

• Keine Kundendaten in öffentliche KI eingeben.
• Wenn zweifelhaft: Fragen Sie Ihren Datenschutzbeauftragten (DSB).
• KI ist ein Tool, nicht eine geheime Abkürzung zu Compliance.

Schritt 4: Monitoring
Regelmäßig prüfen: Welche KI-Tools nutzt euer Team? Welche Daten gehen raus? Gehört dazu ein DPA?

Spezialfälle: Weitere Regeln je nach Branche

Finanzdienstleistungen: MiFID II, PSD2, und nationale Banking-Reglements gelten zusätzlich. KI-Nutzung für Kreditvergabe oder Anlage-Beratung braucht extra Genehmigungen.

Medizin/Gesundheit: HIPAA (USA), GDPR (EU), und lokale Gesundheits-Reglements (z.B. Schweizer Datenschutzgesetz DSG). Patienten-Daten dürfen fast nie an öffentliche KI.

Anwaltskanzleien / Rechtsberater: Berufsgeheimnis ist heilig. KI-Tools müssen ein sehr hohes Sicherheits-Level haben. Viele verwenden Self-Hosted oder spezialisierte Lösungen wie Westlaw/LexisNexis (mit KI-Funktionen).

Fazit und Handlungsleitfaden

KI ist legal und sicher, wenn Sie:

1. Ihre Daten klassifizieren (Personal vs. allgemein).
2. Einen DPA haben (falls nötig).
3. Dein Team trainieren.
4. Monitoring durchführen.

Wenn Sie die gesamte DSGVO-Konformität sicherstellen wollen, engagieren Sie einen Datenschutzberater. Das kostet CHF 2000–10’000 initial, spart aber potenzielle Bußgelder von Hunderttausenden.

Lesetipps:

• EU: GDPR Official Guidance
• InterSoft Consulting: Legal Basis for Data Processing
• OpenAI: Enterprise Privacy & Compliance
• Anthropic: Data Processing Agreement