CERTISCAN
Allgemein

ChatGPT im Unternehmen: Datenschutz & Richtlinie

Christoph Schulz23. Juli 20266 Min. Lesezeit
ChatGPTDatenschutzDSGVOKI-RichtlinieUnternehmenClaude API

ChatGPT im Unternehmen: Datenschutz & Richtlinie 2026

Mehr als 68% der deutschen Unternehmen setzen inzwischen KI-Tools wie ChatGPT ein – doch nur 23% haben eine schriftliche Richtlinie dafür (Bitkom, 2025). Das ist ein massives Risiko: Ohne klare Regeln geben Mitarbeiter unwissentlich personenbezogene Daten, Geschäftsgeheimnisse und Kundendaten in KI-Tools ein. In diesem Artikel erfahren Sie, wie Sie ChatGPT DSGVO-konform im Unternehmen einsetzen, welche Daten tabu sind und warum CERTISCAN auf die Claude API mit EU-Hosting setzt.

Das Problem: Unkontrollierter KI-Einsatz

Eine Studie von Cyberhaven (2025) zeigt alarmierende Zahlen:

  • 11% aller Daten, die in ChatGPT eingegeben werden, sind vertraulich
  • 4,7% der Mitarbeiter haben bereits Kundendaten in ChatGPT eingegeben
  • 3,1% haben Quellcode eingefügt
  • 2,3% haben interne Strategiepapiere oder Finanzdaten geteilt

Reale Fälle

UnternehmenVorfallKonsequenz
SamsungIngenieure gaben Quellcode in ChatGPT einUnternehmensweites ChatGPT-Verbot
JP MorganMitarbeiter nutzten ChatGPT für KundenkommunikationRegulatorische Untersuchung
AmazonInterne Daten tauchten in ChatGPT-Antworten aufWarnung an alle Mitarbeiter

API vs. Web-Oberfläche: Der entscheidende Unterschied

Nicht alle ChatGPT-Zugänge sind gleich. Die Unterschiede sind erheblich:

MerkmalChatGPT Free/Plus (Web)ChatGPT EnterpriseOpenAI APIClaude API (Anthropic)
Daten zum TrainingJa (opt-out möglich)NeinNeinNein
DPA/AV-VertragNeinJaJaJa
EU-HostingNeinAuf AnfrageNeinJa (via AWS EU)
SOC 2NeinJaJaJa
Preis0-25 USD/User/Mo60 USD/User/MoPay-per-TokenPay-per-Token
Für Unternehmen geeignetNeinJaJa (mit Aufbau)Ja
Kernaussage: Die kostenlose ChatGPT-Web-Oberfläche ist für Unternehmen mit personenbezogenen Daten nicht geeignet. Verwenden Sie mindestens ChatGPT Enterprise oder die API mit einem AV-Vertrag.

DSGVO-Anforderungen an KI im Unternehmen

Die Datenschutz-Grundverordnung stellt klare Anforderungen an den Einsatz von KI:

1. Rechtsgrundlage (Art. 6 DSGVO)

Für die Verarbeitung personenbezogener Daten durch KI brauchen Sie eine Rechtsgrundlage:

  • Einwilligung (Art. 6 Abs. 1 lit. a): Unrealistisch für jeden einzelnen KI-Einsatz

  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Möglich, erfordert Abwägung

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Nur wenn KI direkt zur Vertragserfüllung nötig ist


2. Auftragsverarbeitung (Art. 28 DSGVO)

Wenn ein KI-Anbieter personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag). Ohne AV-Vertrag ist die Nutzung bei personenbezogenen Daten rechtswidrig.

3. Transparenz (Art. 13/14 DSGVO)

Betroffene Personen müssen informiert werden, wenn ihre Daten durch KI verarbeitet werden. Das betrifft insbesondere:

  • Kunden, deren Anfragen per KI beantwortet werden

  • Mitarbeiter, deren Daten für KI-gestützte Entscheidungen verwendet werden

  • Bewerber, wenn KI im Recruiting eingesetzt wird


4. Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Bei hohem Risiko ist eine DSFA erforderlich. Das ist bei KI häufig der Fall, insbesondere bei:

  • Profiling und automatisierten Einzelentscheidungen

  • Verarbeitung besonderer Kategorien personenbezogener Daten

  • Systematischer Überwachung öffentlicher Bereiche


Muster-Richtlinie: KI im Unternehmen

Eine wirksame KI-Richtlinie sollte folgende Punkte abdecken:

Erlaubte Nutzung

AnwendungsfallErlaubt?Bedingung
Texte formulieren/umschreibenJaKeine vertraulichen Inhalte
Code-UnterstützungJaKein proprietärer Code
Recherche & ZusammenfassungenJaNur öffentliche Quellen
E-Mail-EntwürfeJaKeine Kundennamen/Daten
ÜbersetzungenJaKeine vertraulichen Dokumente
DatenanalyseNur APIAnonymisierte Daten

Verbotene Nutzung

  • Personenbezogene Daten: Namen, E-Mails, Adressen, Telefonnummern
  • Kundendaten: Vertragsinhalte, Bestellungen, Reklamationen
  • Finanzdaten: Gehälter, Umsätze, Bilanzen
  • Gesundheitsdaten: Krankmeldungen, BEM-Daten, Behinderungen
  • Geschäftsgeheimnisse: Patente, Rezepturen, Strategiepapiere
  • Zugangsdaten: Passwörter, API-Keys, Zertifikate
Beachten Sie auch die Anforderungen des Hinweisgeberschutzgesetzes – KI-generierte Inhalte dürfen keine Meldungen aus dem Meldekanal enthalten.

Technische Maßnahmen

  • ChatGPT-Web blockieren: Browser-Plugin oder Firewall-Regel
  • Zugelassene Tools definieren: Nur API oder Enterprise-Versionen
  • DLP einsetzen: Data Loss Prevention erkennt vertrauliche Daten vor dem Versand
  • Logging aktivieren: Alle KI-Anfragen protokollieren (nicht den Inhalt, aber Nutzung)

Wie CERTISCAN KI datenschutzkonform einsetzt

CERTISCAN nutzt KI an mehreren Stellen – bewusst mit der Claude API von Anthropic statt mit ChatGPT:

FeatureKI-EinsatzDatenschutz
CleanScoreFotobewertungKeine Personen auf Bildern
HinweisgeberschutzRisikobewertung von MeldungenAnonymisierte Analyse
ESG-BerichterstattungCO₂-BerechnungNur Sachdaten, keine PII
Blog-UnterstützungContent-GenerierungKeine Kundendaten involviert
Warum Claude statt ChatGPT?
  • EU-Hosting: Anthropic bietet EU-basiertes Hosting via AWS Frankfurt
  • Kein Training mit Kundendaten: Die API nutzt eingegebene Daten explizit nicht zum Training
  • AV-Vertrag: Anthropic bietet ein DSGVO-konformes DPA
  • Keine Datenweiterleitung: Daten werden nicht an Dritte weitergegeben

EU AI Act: Was kommt auf Unternehmen zu?

Seit dem 2. Februar 2025 gelten erste Teile des EU AI Act. Für Unternehmen, die KI einsetzen (nicht nur entwickeln), sind folgende Pflichten relevant:

PflichtFristBetrifft
Verbot unzulässiger KI-Systeme02.02.2025Social Scoring, manipulative KI
KI-Kompetenz der Mitarbeiter02.02.2025Alle Unternehmen mit KI-Einsatz
Hochrisiko-KI-Systeme02.08.2026HR-Entscheidungen, Kreditvergabe
Transparenzpflicht für generative KI02.08.2025Wenn KI-generierte Inhalte veröffentlicht werden
Besonders wichtig: Art. 4 EU AI Act verpflichtet alle Unternehmen, die KI einsetzen, zur KI-Kompetenz ihrer Mitarbeiter. Das bedeutet: Schulungen sind seit Februar 2025 Pflicht. Mehr zum Thema KI im operativen Einsatz finden Sie in unserem Artikel zu KI im Facility Management.

7 Schritte zur KI-Richtlinie

  • Bestandsaufnahme: Welche KI-Tools werden bereits genutzt? (Oft mehr als gedacht)
  • Risikoklassifizierung: Welche Daten werden verarbeitet? Welches Risiko besteht?
  • Toolauswahl: Nur DSGVO-konforme Tools mit AV-Vertrag zulassen
  • Richtlinie formulieren: Erlaubte/verbotene Nutzung, technische Maßnahmen
  • Schulung durchführen: Alle Mitarbeiter müssen die Richtlinie kennen (EU AI Act Pflicht!)
  • Technische Maßnahmen umsetzen: Blockierung, DLP, Logging
  • Regelmäßig überprüfen: Quartalsweise Review der Richtlinie und der genutzten Tools

Checkliste: Ist Ihr KI-Einsatz DSGVO-konform?

  • [ ] Schriftliche KI-Richtlinie vorhanden
  • [ ] AV-Vertrag mit KI-Anbieter abgeschlossen
  • [ ] Datenschutz-Folgenabschätzung durchgeführt (falls erforderlich)
  • [ ] Mitarbeiter geschult (EU AI Act Art. 4)
  • [ ] Verarbeitungsverzeichnis aktualisiert
  • [ ] Betroffene informiert (Datenschutzerklärung erweitert)
  • [ ] Technische Maßnahmen umgesetzt (DLP, Logging)
  • [ ] ChatGPT-Web blockiert (nur API/Enterprise erlaubt)

Fazit

ChatGPT und andere KI-Tools bieten enormes Potenzial – aber ohne Richtlinie und technische Maßnahmen riskieren Sie DSGVO-Bußgelder bis zu 20 Millionen EUR oder 4% des Jahresumsatzes. Erstellen Sie jetzt eine KI-Richtlinie, schulen Sie Ihre Mitarbeiter und setzen Sie nur DSGVO-konforme Tools ein. CERTISCAN geht mit gutem Beispiel voran: EU-Hosting, AV-Vertrag und keine Verarbeitung personenbezogener Daten durch KI.

Kostenloser Datenschutz-Check →

14 Tage kostenlos testen →

Häufig gestellte Fragen

Dürfen Mitarbeiter ChatGPT für die Arbeit nutzen?

Grundsätzlich ja, aber nur mit klaren Regeln. Ohne Unternehmensrichtlinie riskieren Sie Datenschutzverstöße, weil Mitarbeiter möglicherweise personenbezogene Daten, Geschäftsgeheimnisse oder Kundendaten eingeben. Eine schriftliche KI-Richtlinie ist daher Pflicht.

Welche Daten dürfen nicht in ChatGPT eingegeben werden?

Verboten sind: personenbezogene Daten (Namen, E-Mails, Adressen), Kundendaten, Gesundheitsdaten, Finanzdaten, Geschäftsgeheimnisse, Vertragsdetails, Passwörter und interne Strategiepapiere. Alles, was unter die DSGVO oder das GeschGehG fällt, hat in ChatGPT nichts verloren.

Was ist der Unterschied zwischen ChatGPT Web und API?

Bei der Web-Oberfläche (chat.openai.com) werden eingegebene Daten standardmäßig zum Training verwendet – es sei denn, Sie deaktivieren dies in den Einstellungen. Bei der API werden Daten laut OpenAI nicht zum Training genutzt. Für Unternehmen ist daher nur die API oder ChatGPT Enterprise empfehlenswert.

Brauche ich einen AV-Vertrag mit OpenAI?

Ja, wenn personenbezogene Daten verarbeitet werden. OpenAI bietet ein Data Processing Agreement (DPA) an. Für ChatGPT Enterprise und die API ist ein solcher Vertrag verfügbar. Für die kostenlose Web-Version gibt es kein DPA – daher ist diese für Unternehmen mit personenbezogenen Daten nicht geeignet.

Gibt es eine europäische ChatGPT-Alternative?

Ja. Anthropic bietet mit Claude eine leistungsfähige Alternative an, die auf EU-Servern gehostet werden kann. Weitere Alternativen: Aleph Alpha (deutsch), Mistral AI (französisch), oder selbst gehostete Open-Source-Modelle wie Llama. CERTISCAN nutzt die Claude API mit EU-Hosting.

Ist Ihr Unternehmen konform?

Testen Sie CERTISCAN 14 Tage kostenlos und bringen Sie Ihre Compliance auf den neuesten Stand.

CERTISCAN kostenlos testen →Demo anfragen
CS
Christoph Schulz
Gründer & CEO, CERTISCAN