Patrick Grihn

KI in der Unternehmenspraxis: ChatGPT, Copilot & Co. im Unternehmen, datenschutzkonform und sicher

KI sicher einsetzen

Künstliche Intelligenz (KI) ist längst keine Zukunftsmusik mehr. Tools wie ChatGPT, Copilot oder Gemini haben Einzug in den Arbeitsalltag vieler Unternehmen gehalten. Sie versprechen Effizienzsteigerung, kreative Impulse und Arbeitserleichterung – vom Entwurf einer Marketing-E-Mail über die Zusammenfassung von Meeting-Protokollen bis hin zur Erstellung von Programmcode. Doch bei aller Begeisterung für die neuen Möglichkeiten bleibt eine entscheidende Frage oft unbeantwortet: Ist der Einsatz dieser Werkzeuge mit der Datenschutz-Grundverordnung (DSGSVO) vereinbar?

Die Antwort ist ein klares "Es kommt darauf an". Unternehmen, die KI unbedacht einsetzen, begeben sich auf rechtlich dünnes Eis. Wer jedoch die Spielregeln kennt und proaktiv handelt, kann die enormen Potenziale dieser Technologie sicher nutzen.

Die Problematik: Wo genau liegt das Datenschutz-Risiko beim Einsatz von KI-Tools?

Auf den ersten Blick wirkt die Nutzung eines KI-Chatbots harmlos. Man gibt eine Frage ein und erhält eine Antwort. Doch im Hintergrund laufen komplexe Datenverarbeitungsprozesse ab, die aus DSGVO-Sicht hochrelevant sind:

  • Offenlegung personenbezogener Daten: Mitarbeiter könnten versucht sein, sensible Daten in die Eingabemaske ("Prompt") einzugeben, um relevantere Ergebnisse zu erhalten. Dies können Kundennamen, Kontaktdaten aus E-Mails, Details aus Personalakten oder Informationen aus internen Dokumenten sein.
  • Verarbeitung zu Trainingszwecken: Viele Standard-KI-Modelle nutzen die eingegebenen Daten, um ihre Algorithmen weiter zu trainieren. Einmal eingegebene Informationen – inklusive personenbezogener und vertraulicher Geschäftsgeheimnisse – können so Teil des "Wissens" der KI werden und potenziell in Antworten für andere Nutzer wieder auftauchen.
  • Fehlender Auftragsverarbeitungsvertrag (AVV): Sobald Sie einen externen Dienstleister wie einen KI-Anbieter systematisch nutzen, um unternehmensbezogene Daten zu verarbeiten, agiert dieser als Auftragsverarbeiter. Nach Art. 28 DSGVO ist hierfür ein spezieller Vertrag zwingend erforderlich: der AVV. Viele kostenfreie oder Standard-Versionen von KI-Tools bieten keine Möglichkeit, einen DSGVO-konformen AVV abzuschließen. Deren geschäftlicher Einsatz zur Verarbeitung personenbezogener Daten ist somit schlicht unzulässig.
  • Ungewollte Lizenzvergabe (Lizenzproblematik): Ein oft übersehenes, aber existenzielles Risiko liegt in den Nutzungsbedingungen. Mit der Eingabe von Inhalten räumen Nutzer dem KI-Anbieter oft weitreichende, weltweite und unbefristete Lizenzen an diesen Inhalten ein. Gibt ein Entwickler also internen Programmcode ein oder ein Produktmanager eine neue, geheime Geschäftsstrategie, könnte das Unternehmen dem KI-Anbieter unbeabsichtigt Rechte an seinem wertvollsten geistigen Eigentum übertragen.
  • Fehlende Transparenz (Blackbox-Effekt): Es ist oft unklar, auf welcher Datengrundlage die KI ihre Antworten generiert und welche Server in welchen Ländern die Daten verarbeiten. Insbesondere bei Anbietern aus den USA stellt sich schnell die Frage nach der Rechtmäßigkeit des internationalen Datentransfers.
  • Fehlende Rechtsgrundlage: Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage gemäß Art. 6 DSGVO (z.B. eine Einwilligung oder eine vertragliche Notwendigkeit). Bei der "zufälligen" Eingabe von Daten in ein KI-Tool fehlt diese in der Regel.

Die Praxisrelevanz: Warum jedes Unternehmen betroffen ist

Die Risiken sind nicht theoretisch, sondern betreffen konkrete, alltägliche Arbeitsprozesse in verschiedenen Abteilungen:

  • Personalabteilung: Ein HR-Mitarbeiter bittet die KI, ein Kündigungsschreiben basierend auf Notizen zu erstellen, die den Namen, die Adresse und Kündigungsgründe eines Mitarbeiters enthalten.
  • Marketing & Vertrieb: Ein Teammitglied lässt eine Liste von Messekontakten (inklusive Namen, Firma, E-Mail) von einer KI analysieren und in Zielgruppen segmentieren.
  • Entwicklung: Ein Programmierer kopiert fehlerhaften Code in ChatGPT, um eine Lösung zu finden. Der Code enthält möglicherweise sensible Parameter oder Kommentare mit internen Informationen und das Unternehmen verliert durch die Lizenzbedingungen die exklusiven Rechte daran.
  • Geschäftsführung: Eine Assistentin fasst ein vertrauliches Verhandlungsprotokoll mit einem KI-Tool zusammen und gibt dabei Namen von Verhandlungspartnern und strategische Details preis.

In all diesen Fällen werden unkontrolliert personenbezogene und teils hochsensible Daten an einen Dritten übermittelt, ohne dass hierfür die notwendigen datenschutz- und urheberrechtlichen Vorkehrungen getroffen wurden.

Fazit: KI als Chance – aber nur mit klaren Regeln

Künstliche Intelligenz ist ein mächtiges Werkzeug, das Unternehmen im Ruhrgebiet einen echten Wettbewerbsvorteil verschaffen kann. Ein Verbot dieser Technologien ist weder zielführend noch realistisch. Der Schlüssel liegt in einem bewussten und geregelten Einsatz. Ignorieren Sie die rechtlichen Herausforderungen nicht, sondern gestalten Sie den Prozess aktiv.

Sie sollten folgende Schritte beachten:

  • Schaffen Sie klare Regeln (AI Policy): Erstellen Sie eine verbindliche interne Richtlinie. Legen Sie fest, welche Werkzeuge erlaubt sind, welche Arten von Daten (niemals personenbezogene, vertrauliche oder urheberrechtlich geschützte Informationen!) eingegeben werden dürfen und unter welchen Bedingungen.
  • Sensibilisieren Sie Ihre Mitarbeiter: Die größte Schwachstelle ist der Mensch. Schulen Sie Ihr Team regelmäßig über die Risiken – insbesondere zum Datenschutz, aber auch zur Wahrung von Geschäftsgeheimnissen und geistigem Eigentum.
  • Setzen Sie auf Business-Lösungen: Nutzen Sie, wenn möglich, Enterprise-Versionen der KI-Anbieter. Diese bieten oft erweiterte Datenschutzeinstellungen, wie die Deaktivierung des Datentrainings, und ermöglichen den Abschluss eines Auftragsverarbeitungsvertrages (AVV). Prüfen Sie deren Nutzungsbedingungen genau auf Klauseln zur Lizenzvergabe.
  • Prüfen Sie den Datentransfer: Stellen Sie sicher, dass bei der Nutzung von US-Anbietern die Voraussetzungen für einen internationalen Datentransfer erfüllt sind. Verlassen Sie sich nicht blind auf Zertifizierungen.
  • Führen Sie eine Datenschutz-Folgenabschätzung (DSFA) durch: Insbesondere bei einem umfassenden oder systematischen Einsatz von KI ist eine DSFA gemäß Art. 35 DSGVO oft unumgänglich, um Risiken zu identifizieren und zu bewerten.

Die Implementierung einer datenschutzkonformen KI-Strategie kann komplex sein. Es gilt, technische Möglichkeiten, rechtliche Anforderungen und die praktischen Bedürfnisse Ihrer Mitarbeiter in Einklang zu bringen.

Sie möchten KI sicher und rechtskonform in Ihrem Unternehmen etablieren?

Lassen Sie uns gemeinsam eine maßgeschneiderte Strategie für Ihr Unternehmen entwickeln. Als Ihr externer Datenschutzbeauftragter im Herzen des Ruhrgebiets unterstützen wir Sie bei der Erstellung von Richtlinien, der Vertragsprüfung und der Schulung Ihrer Mitarbeiter.