Um das Risiko zu verstehen, muss man verstehen, wie öffentliche KI-Modelle wie ChatGPT (in der kostenlosen oder Standard-Pro-Version) funktionieren.

Jede einzelne Eingabe (jeder „Prompt“), den Sie tätigen, wird an die Server des Anbieters – in diesem Fall OpenAI – gesendet. Diese Server stehen in den meisten Fällen nicht in Deutschland oder der EU, sondern in den USA.

Das allein ist aus DSGVO-Sicht bereits problematisch (Stichwort „Drittlandtransfer“). Doch das eigentliche Problem ist ein anderes:

Ihre Eingaben können potenziell zum Training zukünftiger KI-Modelle verwendet werden.

Sie füttern das System nicht nur, um eine Antwort zu erhalten; Sie füttern es auch, damit es lernt. Was Sie eingeben – sei es eine Liste Ihrer Kunden, der Entwurf eines geheimen Vertrags oder interner Strategie-Code – verlässt Ihr Unternehmen und wird Teil eines riesigen, globalen Datentopfs.

Sie verlieren die Kontrolle, die Hoheit und die Vertraulichkeit über diese Daten!

Die sorglose Eingabe von Firmendaten in öffentliche KI-Tools ist kein kleines Versehen, sondern ein potenzieller Verstoß gegen zwei der wichtigsten deutschen Wirtschaftsgesetze.

1. Die DSGVO (Datenschutz-Grundverordnung)

Sobald Ihre Eingabe personenbezogene Daten enthält – und sei es nur der Name eines Kunden in einer Beschwerde-E-Mail, die Sie zusammenfassen lassen – wird es kritisch.

• Keine Rechtsgrundlage: Sie haben keine gültige Rechtsgrundlage (wie einen Auftragsverarbeitungsvertrag, AVV), um diese Daten an OpenAI zur freien Verwendung zu übermitteln.
• Fehlende Kontrolle: Die DSGVO garantiert Betroffenen Rechte (Auskunft, Löschung). Wie wollen Sie Daten löschen lassen, die bereits in ein KI-Modell „eintrainiert“ wurden? Das ist praktisch unmöglich.
• Drittlandtransfer: Der Datentransfer in die USA ist nach dem Ende des „Privacy Shield“ (Schrems II) rechtlich hochkomplex und oft nur mit speziellen Garantien (Standardvertragsklauseln) zulässig, die hier nicht greifen.

Bei Verstößen drohen Bußgelder in Millionenhöhe!

2. Das GeschGehG (Geschäftsgeheimnisgesetz)

Noch viel häufiger als personenbezogene Daten landen Geschäftsgeheimnisse in der KI. Das können sein:

• Interne Finanzpläne
• Marketingstrategien
• Quellcode und Software-Architekturen
• Konstruktionspläne
• Entwürfe für Patente

Wenn Sie diese Daten in ein öffentliches Tool eingeben, dessen Betreiber sich das Recht vorbehält, mit den Daten zu trainieren, verlieren diese Informationen ihren Status als Geschäftsgeheimnis. Sie haben das Geheimnis aktiv preisgegeben. Der wirtschaftliche Schaden kann verheerend sein.

Wie real die Gefahr ist, zeigte 2023 ein Vorfall bei Samsung. Mitarbeiter des Konzerns nutzten ChatGPT, um ihre Arbeit zu erleichtern. Das Problem: Sie gaben dabei hochsensible Daten ein.

• Ein Mitarbeiter kopierte fehlerhaften Quellcode hinein, um eine Lösung zu finden.
• Ein anderer ließ interne Meeting-Protokolle zusammenfassen, die neue Strategien und Hardware-Pläne enthielten.

Diese Daten waren unwiederbringlich aus dem Unternehmen abgeflossen. Samsung hat daraufhin die Nutzung von ChatGPT auf Firmengeräten drastisch eingeschränkt. Es ist der Albtraum jedes CISO (Chief Information Security Officer).

Die Situation ist nicht hoffnungslos. KI zu verbieten, ist keine zukunftsfähige Strategie. Der Wettbewerb schläft nicht. Die Lösung liegt in einem kontrollierten und intelligenten Einsatz.

1. Sofortmaßnahme: Klare Richtlinien (Policies)

Das Wichtigste, was Sie sofort tun müssen: Sprechen Sie mit Ihren Mitarbeitern! Viele handeln nicht aus böser Absicht, sondern aus Unwissenheit.

Erstellen Sie eine klare KI-Nutzungsrichtlinie, die unmissverständlich sagt:

• Verbot: Die Eingabe von personenbezogenen Daten, Kundendaten, internen Dokumenten oder jeglicher Form von Geschäftsgeheimnissen in öffentliche KI-Tools (wie die kostenlose Version von ChatGPT) ist strikt verboten.
• Faustregel: „Behandle ChatGPT wie einen öffentlichen Blog. Schreibe nichts hinein, was nicht am nächsten Tag auf der Titelseite der Zeitung stehen dürfte.“
• Sensibilisierung: Schulen Sie Ihr Team über die Risiken (DSGVO, Geheimnisverrat).

2. Anonymisierung (Der „Workaround“)

Für einfache Aufgaben (z. B. einen Text umformulieren) kann die KI genutzt werden, wenn alle sensiblen Daten entfernt werden.

• Schlecht: „Fasse mir die Beschwerde von Kunde ‚Müller GmbH‘ (KdNr. 4711) zu unserem Produkt ‚X-Bot‘ zusammen…“
• Gut: „Fasse mir folgende Kundenbeschwerde zusammen: [Text eingefügt, bei dem alle Namen, Firmen und Produkte durch Platzhalter wie ‚KUNDE-A‘ oder ‚PRODUKT-B‘ ersetzt wurden].“

3. Die Enterprise-Lösung (Der Königsweg)

Für Unternehmen, die KI ernsthaft und skaliert nutzen wollen, ist dies die einzige tragfähige Lösung. Anbieter wie Microsoft und OpenAI haben das Problem erkannt und bieten Business-Lösungen an.

Die Zauberworte heißen: Azure OpenAI Service oder ChatGPT Enterprise.

Diese Modelle bieten entscheidende Vorteile:

• Datenschutzgarantie: Die Anbieter (z.B. Microsoft) garantieren vertraglich, dass Ihre Eingabedaten NICHT zum Training der globalen Modelle verwendet werden.
• Datenhoheit: Ihre Daten bleiben Ihre Daten. Sie fließen nicht in einen öffentlichen Pool.
• Private Instanz: Sie erhalten quasi Ihre eigene, abgeschottete Version der KI.
• AVV-Verträge: Sie können einen sauberen Auftragsverarbeitungsvertrag (AVV) nach DSGVO-Standards abschließen.
• EU-Server: Oft kann der Server-Standort (z. B. „Europa“) gewählt werden, was den Drittlandtransfer entschärft.

4. Eigene (On-Premise) Modelle

Für Unternehmen mit extrem hohen Sicherheitsanforderungen (Banken, Forschung) gibt es die Möglichkeit, Open-Source-Modelle (wie Llama 3) auf den eigenen Servern im eigenen Rechenzentrum zu betreiben. Dies bietet maximale Kontrolle, erfordert aber erhebliches technisches Know-how.

Checkliste: KI-Nutzung in meinem Unternehmen

• IST-Analyse: Wo wird KI bei uns bereits genutzt? (Schatten-IT aufdecken)
• Richtlinie erstellen: Ein klares Regelwerk definieren (Was ist verboten? Was ist erlaubt?)
• Mitarbeiter schulen: Aktive Kommunikation und Schulung der Risiken.
• Alternativen prüfen: Evaluieren Sie Enterprise-Lösungen (z. B. Azure OpenAI, ChatGPT Enterprise).
• DSGVO-Prüfung: Den Datenschutzbeauftragten von Anfang an ins Boot holen.
• „Public Verbot“: Den Zugriff auf die öffentliche ChatGPT-Version für sensible Abteilungen ggf. technisch sperren, bis eine Enterprise-Lösung implementiert ist.

Die Frage ist nicht ob, sondern wie Unternehmen KI nutzen. ChatGPT und ähnliche Tools sind mächtige Werkzeuge, aber in ihrer öffentlichen Form sind sie für deutsche Unternehmensdaten ein datenschutzrechtliches Minenfeld.

„Darf ich Firmendaten in ChatGPT eingeben?“ Nein.

„Darf ich KI im Unternehmen nutzen?“ Ja, unbedingt! Aber nur mit klaren Regeln, geschulten Mitarbeitern und der richtigen Technologie (z.B. Enterprise-Versionen), die Ihnen die Datenhoheit garantiert. Gehen Sie das Thema proaktiv an, bevor Sie der nächste „Samsung-Fall“ werden.