Was darf man in ChatGPT eingeben? Do's und Don'ts für Unternehmen
Firmendaten in ChatGPT? Kundendaten? Verträge? Wir zeigen klar, was Sie in KI-Tools eingeben dürfen – und was auf keinen Fall.
Was darf man in ChatGPT eingeben? Do's und Don'ts für Unternehmen
Das Wichtigste in Kürze: Geben Sie niemals personenbezogene Daten, Geschäftsgeheimnisse oder vertrauliche Dokumente in ChatGPT ein. Alles, was Sie in die freie Version eingeben, kann zum Training des Modells verwendet werden. Nutzen Sie KI-Tools nur mit anonymisierten, öffentlich verfügbaren oder unkritischen Informationen. Unternehmen brauchen klare interne Richtlinien und geschulte Mitarbeitende, um ChatGPT sicher und DSGVO-konform einzusetzen.
ChatGPT ist aus dem Arbeitsalltag vieler Unternehmen nicht mehr wegzudenken. Texte formulieren, Ideen entwickeln, Recherchen beschleunigen -- die Produktivitätsgewinne sind real. Doch mit jeder Eingabe stellt sich eine entscheidende Frage: Was darf ich hier eigentlich eingeben?
Die Antwort ist weniger kompliziert, als viele denken. Aber die Konsequenzen bei Fehlern sind erheblich: DSGVO-Bußgelder, Verlust von Geschäftsgeheimnissen, Reputationsschäden. Dieser Leitfaden gibt Ihnen klare Regeln an die Hand.
Warum ist die Eingabe in ChatGPT überhaupt ein Problem?
Wenn Sie einen Prompt in ChatGPT eingeben, wird dieser Text an die Server von OpenAI übermittelt -- in der Regel in die USA. Das bedeutet:
- Datenübermittlung in ein Drittland: Personenbezogene Daten verlassen den EU-Rechtsraum. Ohne angemessene Schutzmaßnahmen verstößt das gegen die DSGVO (Art. 5 VO (EU) 2016/679).
- Mögliche Nutzung als Trainingsdaten: In der kostenlosen Version und bei ChatGPT Plus kann OpenAI Ihre Eingaben verwenden, um das Modell weiterzuentwickeln -- sofern Sie nicht aktiv widersprechen.
- Keine Löschungsgarantie: Einmal eingegebene Daten lassen sich nicht zuverlässig aus einem trainierten Modell entfernen.
- Kontrollverlust: Sie wissen nicht, wer bei OpenAI Zugriff auf Ihre Eingaben hat und wie lange diese gespeichert werden.
Aus Sicht der Compliance sind das keine theoretischen Risiken. Samsung hat bereits 2023 erlebt, wie vertraulicher Quellcode über ChatGPT abfloss. Seitdem haben zahlreiche Unternehmen den Zugang gesperrt oder streng reguliert.
Die Ampel-Übersicht: Was ist erlaubt, was nicht?
Erlaubt (Grün)
| Eingabe | Warum unbedenklich |
|---|---|
| Allgemeine Recherche zu öffentlichen Themen | Keine personenbezogenen oder vertraulichen Daten betroffen |
| Öffentlich verfügbare Informationen zusammenfassen | Bereits publizierte Inhalte genießen keinen besonderen Schutz |
| Anonymisierte Daten ohne Personenbezug | Kein DSGVO-Bezug, wenn echte Anonymisierung vorliegt |
| Textvorlagen ohne Personenbezug erstellen | z. B. generische E-Mail-Templates, Gliederungen, Formulierungen |
| Brainstorming und Ideenentwicklung | Solange keine internen Strategien oder vertraulichen Projekte beschrieben werden |
| Öffentliche Rechtstexte und Normen erklären lassen | Gesetze und Verordnungen sind öffentlich zugänglich |
Verboten (Rot)
| Eingabe | Warum problematisch | Rechtsgrundlage |
|---|---|---|
| Kundennamen und Kundendaten | Personenbezogene Daten ohne Rechtsgrundlage an Dritte übermittelt | Art. 6 DSGVO |
| Mitarbeiterdaten (Name, Gehalt, Beurteilungen) | Besonders schutzbedürftig im Beschäftigtenkontext | Art. 6, 88 DSGVO, §26 BDSG |
| Vertrauliche Verträge | Geschäftsgeheimnisse gehen verloren; Vertraulichkeitsklauseln werden gebrochen | §2 GeschGehG |
| Geschäftsgeheimnisse (Strategien, Rezepturen, Kalkulationen) | Verlust des Geheimnisschutzes bei Offenlegung ohne angemessene Maßnahmen | §2 Abs. 1 GeschGehG |
| Passwörter und Zugangsdaten | Sicherheitsrisiko; Zugang zu Systemen wird kompromittiert | IT-Sicherheitsrichtlinien, Art. 32 DSGVO |
| Gesundheitsdaten | Besondere Kategorie personenbezogener Daten mit strengstem Schutz | Art. 9 DSGVO |
| Finanzdaten von Kunden | Personenbezogene Daten mit hohem Missbrauchspotenzial | Art. 6 DSGVO |
| Quellcode mit API-Keys oder Zugangsdaten | Sicherheitslücken; Zugang zu Diensten wird offengelegt | Art. 32 DSGVO, IT-Sicherheit |
Mit Vorsicht (Gelb)
| Eingabe | Bedingung | Empfehlung |
|---|---|---|
| Pseudonymisierte Daten | Nur wenn Re-Identifizierung praktisch ausgeschlossen ist | Prüfen Sie, ob die Pseudonymisierung wirklich ausreicht; im Zweifel: nicht eingeben |
| Aggregierte Statistiken | Nur wenn keine Rückschlüsse auf Einzelpersonen möglich sind | Mindestgruppengrößen beachten (in der Regel >10 Datensätze) |
| Interne Prozessbeschreibungen | Nur wenn keine vertraulichen Details oder Geschäftsgeheimnisse enthalten sind | Generisch formulieren; konkrete Tools, Partner oder Kennzahlen weglassen |
Faustregel: Wenn Sie zögern, ob eine Eingabe in Ordnung ist -- geben Sie sie nicht ein. Fragen Sie stattdessen Ihre Datenschutzbeauftragte oder Ihren Compliance-Verantwortlichen.
Warum genau ist das problematisch? Die rechtlichen Grundlagen
DSGVO: Personenbezogene Daten brauchen eine Rechtsgrundlage
Nach Art. 5 DSGVO müssen personenbezogene Daten rechtmäßig, zweckgebunden und datensparsam verarbeitet werden. Die Eingabe in ChatGPT ist eine Übermittlung an einen Dritten (OpenAI) und damit eine Verarbeitung im Sinne der DSGVO. Dafür brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO -- und die haben Sie in den meisten Fällen schlicht nicht.
Ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) lässt sich selten rechtfertigen, wenn es datensparsamere Alternativen gibt. Eine Einwilligung der betroffenen Personen ist praktisch kaum einholbar, wenn Mitarbeitende ad hoc Kundendaten in ChatGPT eingeben.
GeschGehG: Vertrauliche Informationen verlieren ihren Schutz
Das Geschäftsgeheimnisgesetz (§2 GeschGehG) schützt Informationen nur dann als Geschäftsgeheimnis, wenn der Inhaber angemessene Geheimhaltungsmaßnahmen trifft. Wer vertrauliche Daten in ein KI-Tool eingibt, das diese Daten potenziell für Modelltraining nutzt, handelt dem Geheimnisschutz zuwider. Im schlimmsten Fall verlieren die Informationen ihren rechtlichen Status als Geschäftsgeheimnis.
EU AI Act: Kompetenz und Transparenz sind Pflicht
Der EU AI Act (VO (EU) 2024/1689) verlangt in Art. 4, dass alle Personen, die KI-Systeme betreiben oder nutzen, über ausreichende KI-Kompetenz verfügen. Das bedeutet: Ihre Mitarbeitenden müssen wissen, was sie eingeben dürfen und was nicht. Unwissenheit schützt nicht vor Bußgeldern.
Art. 50 des AI Acts fordert zudem Transparenz im Umgang mit KI-generierten Inhalten. Unternehmen müssen nachvollziehen können, wo und wie KI eingesetzt wird.
ChatGPT Enterprise und Team vs. Free und Plus: Die Unterschiede
Nicht jede ChatGPT-Version ist gleich. Die Datenschutzunterschiede sind erheblich:
| Merkmal | Free / Plus | Team / Enterprise / Edu |
|---|---|---|
| Training mit Ihren Daten | Standardmäßig ja (Opt-out möglich) | Nein -- Daten werden nicht für Training genutzt |
| Datenverarbeitung | Server in den USA, kein DPA Standard | DPA (Auftragsverarbeitungsvertrag) verfügbar |
| Datenspeicherung | Bis zu 30 Tage durch OpenAI | Kürzere Aufbewahrungsfristen, mehr Kontrolle |
| Admin-Kontrolle | Keine | Zentrale Verwaltung, SSO, Audit-Logs |
| SOC 2 Compliance | Nicht garantiert | SOC 2 Type II zertifiziert |
| Geeignet für Unternehmen? | Nur für unkritische Aufgaben | Grundlage für professionellen Einsatz |
Wichtig: Auch bei ChatGPT Enterprise gilt: Personenbezogene Daten ohne Rechtsgrundlage einzugeben, bleibt unzulässig. Die Enterprise-Version reduziert das Risiko, beseitigt es aber nicht vollständig. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist zwingend erforderlich, bevor personenbezogene Daten verarbeitet werden.
Achtung: Training-Opt-out richtig einstellen
In der kostenlosen Version und bei ChatGPT Plus können Sie verhindern, dass Ihre Eingaben zum Training verwendet werden. So geht es:
- Öffnen Sie die ChatGPT-Einstellungen (Settings).
- Navigieren Sie zu Data Controls.
- Deaktivieren Sie "Improve the model for everyone".
Beachten Sie: Diese Einstellung gilt nur für Ihr persönliches Konto. In einem Unternehmen müsste jeder einzelne Mitarbeitende diese Einstellung vornehmen -- ein organisatorisches Risiko. Deshalb sind zentral verwaltete Versionen (Team/Enterprise) für den Geschäftseinsatz die bessere Wahl.
Zudem gilt: Auch bei deaktiviertem Training werden Ihre Eingaben weiterhin an OpenAI übermittelt und dort temporär gespeichert. Die DSGVO-Problematik bleibt also bestehen.
5 Regeln für sicheren ChatGPT-Einsatz im Unternehmen
Regel 1: Keine personenbezogenen Daten eingeben
Klingt einfach, wird aber ständig gebrochen. Keine Namen, keine E-Mail-Adressen, keine Telefonnummern, keine Kundennummern. Wenn Sie einen Text über einen konkreten Fall formulieren wollen, anonymisieren Sie vorher konsequent.
Praxisbeispiel: Statt "Schreibe eine Antwort an Herrn Müller, Kunde seit 2019, der sich über die Rechnung Nr. 4711 beschwert" formulieren Sie: "Schreibe eine freundliche Antwort auf eine Kundenbeschwerde wegen einer fehlerhaften Rechnung."
Regel 2: Vertrauliche Dokumente niemals hochladen
Verträge, Strategiepapiere, Kalkulationen, interne Analysen -- all das hat in ChatGPT nichts verloren. Auch nicht als Datei-Upload. Nutzen Sie ChatGPT stattdessen, um generische Vorlagen oder Strukturen zu erstellen, die Sie dann intern mit den vertraulichen Details befüllen.
Regel 3: Immer den "Zeitungstest" machen
Bevor Sie einen Prompt absenden, fragen Sie sich: Wäre es ein Problem, wenn diese Eingabe morgen in der Zeitung stünde? Wenn ja -- nicht eingeben.
Regel 4: Unternehmensweite Richtlinie einführen
Verlassen Sie sich nicht darauf, dass einzelne Mitarbeitende die richtige Entscheidung treffen. Erstellen Sie eine schriftliche KI-Nutzungsrichtlinie, die klar regelt:
- Welche KI-Tools sind freigegeben?
- Welche Daten dürfen eingegeben werden?
- Welche Genehmigungen sind erforderlich?
- Wer ist Ansprechpartner bei Unsicherheiten?
Regel 5: Mitarbeitende regelmäßig schulen
Eine Richtlinie allein reicht nicht. Der EU AI Act fordert in Art. 4 ausdrücklich, dass alle Beschäftigten, die mit KI arbeiten, über ausreichende Kompetenzen verfügen. Regelmäßige Schulungen stellen sicher, dass Ihre Teams die Risiken kennen und die Regeln einhalten.
Häufige Fehler in der Praxis
Selbst gut gemeinte Nutzung führt oft zu Datenschutzverstößen. Diese Szenarien sehen wir regelmäßig:
- HR-Abteilung: Bewerbungsunterlagen in ChatGPT eingefügt, um eine Absage zu formulieren -- Verstoß gegen Art. 6 und Art. 9 DSGVO.
- Vertrieb: Kundenliste mit Namen und Umsätzen hochgeladen, um eine Analyse zu erstellen -- Verletzung der DSGVO und möglicherweise vertraglicher Vertraulichkeitspflichten.
- Entwicklung: Quellcode mit hartcodierten API-Keys in den Prompt kopiert -- Sicherheitsrisiko und möglicher Verlust des Geschäftsgeheimnisschutzes.
- Buchhaltung: Rechnungsdaten mit Kundennamen eingegeben, um eine Auswertung zu erstellen -- Übermittlung personenbezogener Daten ohne Rechtsgrundlage.
FAQ: Häufig gestellte Fragen
Darf ich ChatGPT im Unternehmen überhaupt nutzen?
Ja, grundsätzlich schon. Entscheidend ist, wie Sie es nutzen. Für allgemeine Recherche, Textformulierungen ohne Personenbezug und Brainstorming ist ChatGPT ein wertvolles Werkzeug. Für alles, was personenbezogene Daten oder Geschäftsgeheimnisse betrifft, gelten strenge Grenzen. Ihr Unternehmen sollte eine klare KI-Nutzungsrichtlinie haben.
Reicht es, den Namen eines Kunden zu entfernen?
Nicht unbedingt. Wenn die restlichen Informationen ausreichen, um die Person zu identifizieren (z. B. Berufsbezeichnung + Unternehmen + Ort), liegt weiterhin ein Personenbezug vor. Echte Anonymisierung bedeutet, dass eine Re-Identifizierung mit verhältnismäßigem Aufwand unmöglich ist.
Ist ChatGPT Enterprise DSGVO-konform?
ChatGPT Enterprise bietet bessere Voraussetzungen: kein Training mit Ihren Daten, Auftragsverarbeitungsvertrag (AVV) verfügbar, mehr Kontrolle. Aber "DSGVO-konform" ist kein Zustand des Tools, sondern hängt davon ab, wie Sie es einsetzen. Auch mit Enterprise brauchen Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten und müssen Ihre Pflichten als Verantwortlicher erfüllen.
Was passiert, wenn ein Mitarbeiter versehentlich vertrauliche Daten eingibt?
Das ist ein Datenschutzvorfall, der dokumentiert werden muss. Je nach Risiko für die betroffenen Personen kann eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden erforderlich sein (Art. 33 DSGVO). Informieren Sie sofort Ihre Datenschutzbeauftragte und dokumentieren Sie den Vorfall.
Welche Strafen drohen bei Verstößen?
DSGVO-Verstöße können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes nach sich ziehen. Der EU AI Act sieht bei Verstößen gegen die Kompetenzanforderungen (Art. 4) Bußgelder von bis zu 15 Millionen Euro oder 3 % des Umsatzes vor. Dazu kommen mögliche Schadensersatzansprüche betroffener Personen und Reputationsschäden, die sich kaum beziffern lassen.
Fazit: ChatGPT sicher nutzen ist kein Hexenwerk
Die Regeln sind klar: Keine personenbezogenen Daten, keine Geschäftsgeheimnisse, keine vertraulichen Dokumente in ChatGPT eingeben. Nutzen Sie das Tool für das, was es gut kann -- und schützen Sie das, was geschützt werden muss.
Der Schlüssel liegt in drei Maßnahmen: eine klare Unternehmensrichtlinie, die richtige ChatGPT-Version für den Geschäftseinsatz und regelmäßige Schulungen für alle Mitarbeitenden.
Sie möchten sicherstellen, dass Ihr Team ChatGPT und andere KI-Tools verantwortungsvoll nutzt? Mit den praxisnahen Schulungen von KI Comply erfüllen Sie die Kompetenzanforderungen des EU AI Acts (Art. 4) und geben Ihren Mitarbeitenden klare Leitplanken an die Hand. Verständlich, rechtskonform und in unter 30 Minuten pro Modul. Jetzt kostenlos testen.
Rechtsquellen
- DSGVO Grundsätze – Art. 5 VO (EU) 2016/679 (Quelle)
- Rechtsgrundlage Verarbeitung – Art. 6 VO (EU) 2016/679
- Geschäftsgeheimnisschutz – §2 GeschGehG
- KI-Kompetenz – Art. 4 VO (EU) 2024/1689
- Transparenzpflichten – Art. 50 VO (EU) 2024/1689
Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.
Artikel teilen:
Machen Sie Ihr Team KI-fit
Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.
Preise ansehen