Was bedeutet die Nutzung von ChatGPT im Unternehmen aus Sicht des Datenschutzes? 

Die Nutzung von KI-gestützten Tools wie ChatGPT hat sich in vielen Unternehmen rasant etabliert – ob zur Textgenerierung, im Kundenservice, zur Code-Unterstützung oder für interne Analysen. Doch mit der Einführung solcher Systeme stellen sich zunehmend auch Fragen zum Datenschutz – insbesondere im Hinblick auf die DSGVO (Datenschutz-Grundverordnung). 

In diesem Beitrag beleuchten wir, was Unternehmen beachten müssen, wenn sie die bekannte künstliche Intelligenz datenschutzkonform einsetzen wollen. 

1. Was ist ChatGPT eigentlich?

ChatGPT ist ein künstlich intelligenter Textgenerator, entwickelt von OpenAI. Er verarbeitet Benutzereingaben und erstellt daraufhin menschlich klingende Texte – auf Basis von Milliarden Parametern, die auf öffentlich zugänglichen Texten trainiert wurden. Die Eingaben, die Nutzer tätigen, können dabei analysiert und in anonymisierter Form zur Verbesserung des Modells verwendet werden – ein Aspekt, der aus Datenschutzsicht besonders relevant ist. 

2. Rechtliche Grundlage: Darf ich ChatGPT im Unternehmen einsetzen?

Grundsätzlich ja – aber nicht ohne Prüfung. 

Die DSGVO verlangt bei der Verarbeitung personenbezogener Daten eine rechtliche Grundlage, etwa: 

• Einwilligung der betroffenen Person 

• Vertragserfüllung 

• Berechtigtes Interesse 

Sobald personenbezogene Daten (z. B. Kundennamen, E-Mail-Adressen, Inhalte von Support-Tickets, interne Personal- oder Gesundheitsinformationen) in ChatGPT eingegeben werden, liegt eine Datenverarbeitung vor, die strengen Regeln unterliegt. 

3. Wo liegen die datenschutzrechtlichen Risiken?

a) Weitergabe von personenbezogenen Daten an Dritte

Eingaben in ChatGPT werden an Server von OpenAI (aktuell mit Sitz in den USA) übertragen. Die Datenverarbeitung außerhalb der EU kann mit Übermittlungsrisiken verbunden sein – besonders nach dem Ende des Privacy Shield und den hohen Anforderungen des Schrems II-Urteils. 

b) Keine Kontrolle über die Datenverarbeitung

Nutzer haben keinen Einblick, wie genau die Daten verarbeitet, gespeichert oder gelöscht werden. Eine Auftragsverarbeitung im Sinne der DSGVO liegt nicht automatisch vor. 

c) Gefahr unbeabsichtigter Datenlecks

Wer sensible Informationen oder Geschäftsgeheimnisse in KI-Systeme eingibt, läuft Gefahr, diese unbeabsichtigt in die Hände Dritter zu geben – z. B. durch zukünftige Prompts, die auf ähnliche Inhalte trainiert wurden. 

4. Wie kann ChatGPT datenschutzkonform eingesetzt werden?

✅ Do: Interne Richtlinien erstellen 

Erstellen Sie klare Nutzungsrichtlinien für ChatGPT, in denen festgelegt wird, welche Daten eingegeben werden dürfen – und welche nicht. 

✅ Do: Keine personenbezogenen Daten oder vertraulichen Geschäftsinformationen eingeben 

Verzichten Sie darauf, Namen, Adressen, Kundendaten oder ähnliche identifizierbare Informationen zu verwenden. 

✅ Do: Nutzung nur über DSGVO-konforme Angebote 

OpenAI bietet in der kostenpflichtigen „ChatGPT Team“ und „Enterprise“-Version Admin- und Datenschutzfunktionen, inkl. Deaktivierung von Datentraining. Prüfen Sie, ob ein Vertrag zur Auftragsverarbeitung (AVV) vorliegt. 

✅ Do: Transparenz & Dokumentation 

Dokumentieren Sie, zu welchem Zweck ChatGPT genutzt wird, welche Daten eingegeben werden und welche Sicherheitsmaßnahmen getroffen wurden. 

5. Fazit: Chancen nutzen – aber mit Bedacht

ChatGPT kann Prozesse im Unternehmen enorm beschleunigen – von Content-Erstellung über Kundenservice bis hin zur Softwareentwicklung. Doch mit großer Effizienz kommt auch große Verantwortung: Unternehmen, die personenbezogene Daten mit KI-Systemen verarbeiten, müssen strenge Datenschutzvorgaben beachten und klare Prozesse definieren. 

Datenschutz ist kein Showstopper – aber ein notwendiger Kompass. 

Tipp: Lassen Sie sich von Ihrer Datenschutzbeauftragten oder einem spezialisierten Juristen beraten, bevor Sie ChatGPT produktiv in sensiblen Bereichen einsetzen.