Das Wichtigste in 60 Sekunden

  • Das Hauptrisiko ist Schatten-KI: Mitarbeiter nutzen private Accounts, weil es keine offizielle Lösung gibt.
  • Kernregeln: keine personenbezogenen Daten in Consumer-Accounts, Business-Versionen mit AVV nutzen, Geheimnisse abstrahieren.
  • Output immer prüfen, bevor er an Kunden, Behörden oder in Verträge geht.
  • Eine Ein-Seiten-Richtlinie plus dokumentierte Schulung erfüllt zugleich die KI-Kompetenz-Pflicht aus Artikel 4.

Das eigentliche Problem heißt Schatten-KI

Wenn es keine offizielle Lösung gibt, entsteht eine inoffizielle: Mitarbeiter kopieren Kundenmails, Vertragsentwürfe oder Bewerberdaten in private ChatGPT-Accounts, weil es ihnen Arbeit abnimmt. Das Datenschutzproblem entsteht also nicht durch das Tool, sondern durch die fehlenden Spielregeln. Die folgenden Regeln sind so formuliert, dass Sie sie fast unverändert in eine interne Richtlinie übernehmen können.

Regel 1: Keine personenbezogenen Daten in private oder kostenlose Accounts

Namen, Kontaktdaten, Kundennummern, Gesundheitsdaten, Bewerberunterlagen, nichts davon gehört in einen Consumer-Account. Bei kostenlosen Versionen können Eingaben zum Training der Modelle verwendet werden, und es fehlt der Auftragsverarbeitungsvertrag, den die DSGVO für die Verarbeitung personenbezogener Daten durch Dienstleister verlangt.

Regel 2: Business-Versionen nutzen und zwar vom Unternehmen bereitgestellt

ChatGPT Team/Enterprise, Microsoft 365 Copilot oder vergleichbare Business-Angebote bieten Auftragsverarbeitungsverträge und verwenden Eingaben standardmäßig nicht zum Training. Das Unternehmen stellt die Accounts, nicht der Mitarbeiter. Erst damit gibt es überhaupt eine datenschutzkonforme Grundlage.

Regel 3: Geschäftsgeheimnisse abstrahieren

Auch im Business-Account gilt: Kalkulationsgrundlagen, Quellcode, M&A-Pläne oder Kundenlisten nur dann verwenden, wenn es dafür eine interne Freigabe gibt. Oft reicht Abstraktion: Statt der echten Zahlen ein „Unternehmen mit rund 80 Mitarbeitern und 12 Mio. € Umsatz“. Das Ergebnis ist meist genauso brauchbar.

Regel 4: Output prüfen, bevor er das Haus verlässt

Sprachmodelle erfinden Fakten, Zahlen und Quellen, überzeugend formuliert. Alles, was an Kunden, Behörden oder in Verträge geht, wird fachlich geprüft. Die Verantwortung für den Inhalt bleibt beim Menschen, der ihn versendet.

Regel 5: Eine klare Richtlinie statt eines stillen Verbots

Eine Seite reicht: Welche Tools sind freigegeben, welche Daten sind tabu, wer beantwortet Fragen. Unternehmen, die nur verbieten, verlieren doppelt, die Nutzung wandert in den Privat-Account, und niemand fragt mehr nach.

Regel 6: Transparenz, wo der Empfänger sie erwarten darf

KI-generierte Texte, Bilder oder Übersetzungen dort kennzeichnen, wo es auf die Urheberschaft ankommt, etwa bei Gutachten, Bewerbungsabsagen oder offiziellen Stellungnahmen. Der EU AI Act verlangt Kennzeichnung zudem für bestimmte Fälle wie Deepfakes und Chatbots im Kundenkontakt.

Regel 7: Schulen und die Schulung dokumentieren

Regeln, die niemand erklärt, werden nicht befolgt. Seit Februar 2025 verlangt Artikel 4 des EU AI Act ohnehin nachweisbare KI-Kompetenz. Eine dokumentierte Teamschulung erledigt beides auf einmal: Die Regeln kommen an, und der Nachweis liegt in der Ablage.

So setzen Sie die Regeln in einer Woche um

  • Business-Accounts für die Teams beschaffen, die KI bereits nutzen.
  • Die sieben Regeln als Ein-Seiten-Richtlinie verabschieden.
  • Eine kompakte Schulung ansetzen, in der die Regeln am echten Arbeitsalltag geübt werden.

Für den dritten Punkt ist der KI-Führerschein gebaut: drei Stunden Präsenz, Datenschutz als Arbeitsregel statt Fußnote, Zertifikat als Nachweis.

Weiterlesen

FAQ: Häufige Fragen

Ist ChatGPT im Unternehmen DSGVO-konform nutzbar?

Ja, unter Bedingungen: Business-Version mit Auftragsverarbeitungsvertrag, keine Verwendung der Eingaben fürs Training, klare interne Regeln, welche Daten eingegeben werden dürfen, und geschulte Mitarbeiter. Die kostenlose Consumer-Version ist für personenbezogene Daten nicht geeignet.

Dürfen Mitarbeiter private ChatGPT-Accounts beruflich nutzen?

Davon ist dringend abzuraten, sobald personenbezogene Daten oder Geschäftsgeheimnisse im Spiel sind: Es fehlen Auftragsverarbeitungsvertrag und Kontrolle, und Eingaben können je nach Einstellung zum Training verwendet werden. Besser: Das Unternehmen stellt freigegebene Business-Accounts.

Gelten die Regeln auch für Microsoft Copilot und andere Tools?

Ja. Die sieben Regeln sind toolunabhängig formuliert. Auch bei Copilot, Gemini oder branchenspezifischen KI-Funktionen kommt es auf Vertragsgrundlage, Datenkategorien und menschliche Prüfung an.

Muss KI-generierter Text gekennzeichnet werden?

Nicht generell. Der EU AI Act verlangt Kennzeichnung für bestimmte Fälle wie Deepfakes und Chatbots im Kundenkontakt. Darüber hinaus gilt: Transparenz dort, wo der Empfänger sie berechtigterweise erwartet, etwa bei Gutachten oder offiziellen Stellungnahmen.

Stand: 2. Juli 2026. Produktkonditionen von KI-Anbietern (Training-Opt-out, Auftragsverarbeitung) ändern sich laufend; verbindlich sind die aktuellen Vertragsunterlagen des jeweiligen Anbieters.