ChatGPT & Datenschutz: Ein Leitfaden für Unternehmen in der EU

ChatGPT basiert auf einem General Purpose AI-System (GPAI), das mit Milliarden öffentlich zugänglicher Texte trainiert wurde. Ein kritischer Punkt aus Datenschutzsicht ist, dass Nutzereingaben unter bestimmten Bedingungen zur Weiterentwicklung der Modelle verwendet werden können. Genau hier liegt die datenschutzrechtliche Problematik: Eine klare Abgrenzung, welche Daten wie gespeichert, verarbeitet oder für das Modelltraining genutzt werden, ist bislang oft nur eingeschränkt möglich. Dies erfordert von Unternehmen ein tiefes Verständnis der Datenverarbeitungsprozesse von KI-Systemen.

Die Integration von ChatGPT in Unternehmensprozesse bringt spezifische Datenschutzrisiken mit sich. Hier sind die Hauptprobleme, die Unternehmen adressieren müssen:

Datenflüsse & Auftragsverarbeitung: Die Krux bei Drittlandtransfers

Viele Unternehmen nutzen ChatGPT über Cloud-Plattformen wie Azure OpenAI. Doch selbst bei EU-Hosting bestehen häufig Unsicherheiten bezüglich Datenweitergaben, komplexen Subunternehmerstrukturen und deren Auswirkungen auf Drittlandtransfers (z.B. in die USA). Ohne saubere vertragliche Regelungen, insbesondere Auftragsverarbeitungsverträge (AVV) und ein Transfer Impact Assessment (TIA), droht eine Verletzung der DSGVO-Grundsätze und hohe Bußgelder.

Transparenz & Informationspflichten: Schwer umsetzbar bei KI-Modellen

Die Artikel 13 und 14 der DSGVO verpflichten Verantwortliche zur umfassenden Offenlegung von Zweck, Art und Umfang der Datenverarbeitung gegenüber Betroffenen. Bei LLMs sind diese Informationen aufgrund ihrer Komplexität und der dynamischen Natur der Datenverarbeitung oft schwer zugänglich. Dies macht eine DSGVO-konforme Aufklärung der Nutzer:innen und Mitarbeiter:innen über die KI-Datennutzung nahezu unmöglich, ohne entsprechende technische und organisatorische Maßnahmen.

Der unbedachte Einsatz von ChatGPT kann in verschiedenen Unternehmensbereichen zu erheblichen Datenschutzverletzungen führen. Hier sind typische Szenarien und die damit verbundenen Datenschutzrisiken durch KI:

• Marketing: Beim Erstellen von Text- oder Inhaltsvorschlägen besteht die Gefahr, dass Prompts vertrauliche CRM-Daten wie Kundeninformationen oder strategische Pläne enthalten.
• Personalwesen (HR): In Bereichen wie der Bewerberkommunikation oder bei Schulungsmaterialien stellt die Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten oder ethnische Herkunft von Bewerbern) ein erhebliches Risiko dar.
• Recht & Compliance: Beim Einsatz von KI für Recherchen oder Vertragsprüfungen besteht die Gefahr, dass die KI-Ausgabe trotz mangelnder Nachvollziehbarkeit als Grundlage für rechtliche Entscheidungen verwendet wird oder vertrauliche Rechtsdokumente in das System eingegeben werden.
• Kundenservice: Bei Aufgaben wie der Beantwortung häufig gestellter Fragen oder der Bearbeitung von Support-Chats besteht das Risiko der unbeabsichtigten Offenlegung persönlicher Kundendaten, einschließlich Namen, Adressen oder Bestellhistorie.
• Forschung & Entwicklung: Bei der Codegenerierung oder Datenanalyse sehen sich Unternehmen dem Risiko ausgesetzt, Betriebsgeheimnisse oder geschützte Daten einzugeben, die dann für das Modelltraining verwendet werden könnten.

Am 2. August 2025 treten ergänzende Vorgaben des EU AI Acts in Kraft, die speziell auf GPAI-Modelle wie ChatGPT abzielen. Für Unternehmen, die diese Tools nutzen, ergeben sich daraus indirekte, aber hochrelevante Pflichten, um die rechtskonforme Nutzung von KI zu gewährleisten:

• Dokumentations- und Transparenzpflichten: Nutzer:innen müssen nachvollziehbar machen können, wie und warum KI in internen Prozessen eingesetzt wird. Dies beinhaltet auch die Protokollierung der KI-Nutzung.
• Sicherheitsmaßnahmen und Missbrauchsschutz: Unternehmen sind angehalten, Schutz vor Manipulation zu implementieren und kritische Eingaben zu protokollieren, um KI-Sicherheitsrisiken zu minimieren.
• Governance-Prozesse für interne KI-Nutzung: Die Einführung von Einsatzrichtlinien, gezielten Mitarbeiterschulungen und Risikoabschätzungen für den KI-Einsatz ist unerlässlich, um KI-Compliance sicherzustellen.

Besonders der freiwillige, aber faktisch verpflichtende "Code of Practice" für LLMs gewinnt an Bedeutung. Anbieter wie Microsoft und OpenAI richten ihre Produkte zunehmend daran aus – mit direkten Auswirkungen auf die Compliance der nutzenden Unternehmen.

Um LLMs wie ChatGPT datenschutzkonform und sicher in Ihrem Unternehmen zu integrieren, sind proaktive Maßnahmen entscheidend. Hier sind unsere Best Practices für KI-Compliance:

1. Nutzungskontext festlegen: Definieren Sie klar, in welchen Abteilungen ChatGPT eingesetzt werden darf und zu welchen Zwecken. Eine klare KI-Nutzungsrichtlinie ist unerlässlich.
2. Risikobasierte Klassifikation: Führen Sie eine detaillierte Risikobewertung für KI-Anwendungen durch. Welche Daten dürfen verarbeitet werden? Welche Tools greifen auf personenbezogene Daten zu und welche nicht?
3. Technische & organisatorische Maßnahmen (TOMs): Implementieren Sie technische Sicherheiten wie Logging von KI-Eingaben, Eingabefilter zur Anonymisierung von Daten und strikte Zugriffskontrollen.
4. Vertragliche Absicherung: Schließen sie Auftragsverarbeitungsverträge (AVVs) mit den Anbietern ab und führen Sie bei Drittlandbezug ein Transfer Impact Assessment (TIA) durch, um die internationale Datenübermittlung rechtssicher zu gestalten.
5. Mitarbeiterschulungen zur AI Literacy: Eine Schulungspflicht für alle Mitarbeiter, die mit KI-Systemen arbeiten, ist essellnziell. Schärfen Sie das Bewusstsein für Datenschutzrisiken bei KI-Nutzung.
6. Governance- und Kontrollmechanismen: Etablieren Sie klare Richtlinien für den KI-Einsatz, definieren Sie Auditverfahren und weisen Sie Verantwortlichkeiten für die KI-Compliance zu.

heyData bietet keine juristische AI Act-Beratung im klassischen Sinne. Unsere Leistungen im KI-Kontext sind darauf ausgelegt, Unternehmen zu befähigen und smarte Lösungen anzubieten:

• Risikobewertung der KI-Nutzung in deinem Unternehmen.
• Trainings zur AI Literacy & zur datenschutzkonformen Nutzung von KI-Systemen.
• Bereitstellung DSGVO-konformer Vorlagen und Policies für den KI-Einsatz

ChatGPT und ähnliche KI-Systeme sind gekommen, um zu bleiben. Wer jedoch dauerhaft auf der sicheren Seite agieren möchte, braucht klare interne Prozesse, technische Schutzmaßnahmen und ein grundlegendes Verständnis der regulatorischen Rahmenbedingungen. Der EU AI Act und die DSGVO sind dabei keine Hindernisse, sondern vielmehr Leitplanken für eine verantwortungsvolle und innovative KI-Nutzung.

Mit heyData erhalten Unternehmen genau die Werkzeuge, Schulungen und Strukturen, die sie brauchen, um Innovation sicher und DSGVO- sowie AI Act-konform zu gestalten.

Kann man ChatGPT überhaupt datenschutzkonform nutzen? 
Ja, eine konforme Nutzung ist möglich, erfordert aber proaktive Maßnahmen. Unternehmen müssen spezielle Sicherheitsvorkehrungen treffen, wie die Verwendung von Enterprise-Versionen (z. B. ChatGPT Enterprise oder Team), die konsequente Vermeidung der Eingabe von sensiblen oder personenbezogenen Daten und die Etablierung klarer interner Nutzungsrichtlinien. Diese Schritte sind entscheidend, um den Grundsätzen des Datenschutzes und der Datenminimierung gerecht zu werden.

Welche sind die größten Datenschutzrisiken für mein Unternehmen bei der Verwendung von ChatGPT? 
Die Hauptrisiken liegen in der unbeabsichtigten Offenlegung vertraulicher oder personenbezogener Daten in Prompts, die für das Modelltraining oder in Protokollen verwendet werden könnten. Ein weiteres großes Problem ist die Übermittlung von Daten in Drittländer, insbesondere in die USA. Hier sind rechtskonforme vertragliche Regelungen wie Auftragsverarbeitungsverträge (AVVs) und Transfer Impact Assessments (TIAs) unerlässlich, um die DSGVO-Anforderungen zu erfüllen.

Wie hängen der EU AI Act und die DSGVO zusammen? 
Der EU AI Act und die DSGVO sind sich ergänzende, aber separate Gesetze. Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten generell. Der AI Act hingegen führt spezifische Anforderungen an Sicherheit, Transparenz und Governance für KI-Systeme ein, wozu auch GPAI-Modelle wie ChatGPT gehören. Der AI Act schafft somit eine neue Compliance-Ebene, die zusätzlich zu den bestehenden DSGVO-Pflichten erfüllt werden muss. Bei der Nutzung von KI-Systemen kommen oft beide Regelwerke gleichzeitig zur Anwendung.

Welche neuen Pflichten bringt der EU AI Act ab August 2025 mit sich? 
Ab dem 2. August 2025 treten für Unternehmen, die GPAI-Systeme wie ChatGPT nutzen, neue indirekte, aber sehr relevante Pflichten in Kraft. Dazu gehören die Notwendigkeit, die KI-Nutzung nachvollziehbar zu dokumentieren, Sicherheitsmaßnahmen zum Schutz vor Missbrauch zu implementieren und klare Governance-Prozesse zu etablieren. Unternehmen müssen sicherstellen, dass sie ihre KI-Einsätze nach den neuen Transparenz- und Sicherheitsstandards nachvollziehbar und begründbar machen können.

Welche praktischen Schritte sollte mein Unternehmen jetzt unternehmen, um sich auf diese Vorschriften vorzubereiten? 
Ein Unternehmen sollte als ersten Schritt eine klare Richtlinie für die KI-Nutzung definieren. Es ist entscheidend, eine Risikobewertung für jede KI-Anwendung durchzuführen, die notwendigen vertraglichen Vereinbarungen (wie AVVs) mit den Anbietern zu treffen und alle Mitarbeiter in Bezug auf "AI Literacy" und die damit verbundenen Datenschutzrisiken zu schulen.