Die kurze Antwort lautet: Ja, aber nicht ohne Regeln. ChatGPT und andere KI-Werkzeuge sind im Arbeitsalltag angekommen, und genau deshalb stellt sich die Frage, unter welchen Bedingungen der Einsatz mit der DSGVO und der Vertraulichkeit Ihres Unternehmens vereinbar ist. Dieser Leitfaden ordnet die wichtigsten Punkte, ohne ein bestimmtes Produkt zu empfehlen.
Worum es datenschutzrechtlich geht
Sobald Sie personenbezogene Daten in ein KI-Werkzeug eingeben, verarbeiten Sie diese Daten im Sinne der DSGVO. Wird das Werkzeug von einem externen Anbieter betrieben, liegt in der Regel eine Auftragsverarbeitung vor, die einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erfordert. Entscheidend sind drei Fragen: welche Daten Sie eingeben, wer sie verarbeitet und was anschließend damit geschieht.
Der Unterschied zwischen den Versionen
- Kostenlose Verbraucherversion: Eingaben können zur Verbesserung der Modelle verwendet werden, und es liegt üblicherweise kein Auftragsverarbeitungsvertrag vor. Für personenbezogene oder vertrauliche Daten ist sie daher nicht geeignet.
- Geschäftliche Versionen (Team, Enterprise, API): Hier wird standardmäßig nicht mit Ihren Eingaben trainiert, und ein Auftragsverarbeitungsvertrag ist verfügbar. Das ist die Grundlage für einen datenschutzkonformen Einsatz.
Datenübermittlung in Drittländer
Viele Anbieter verarbeiten Daten teilweise außerhalb der EU. Dann sind die Regeln zur Drittlandübermittlung nach Art. 44 ff. DSGVO zu beachten. Für die USA besteht seit Juli 2023 das EU-US Data Privacy Framework, dem sich Anbieter zertifizieren können. Wo das nicht greift, dienen Standardvertragsklauseln als Grundlage.
Vertraulichkeit und Geschäftsgeheimnisse
Unabhängig vom Datenschutz sollten Geschäftsgeheimnisse und vertrauliche Mandanten- oder Kundendaten nicht ungeprüft in ein KI-Werkzeug gelangen. Für reglementierte Berufe wie Anwältinnen und Anwälte gelten zusätzlich strenge Verschwiegenheitspflichten.
Mitbestimmung
Besteht ein Betriebsrat, ist die Einführung von KI-Werkzeugen in der Regel mitbestimmungspflichtig. § 87 Abs. 1 Nr. 6 BetrVG erfasst die Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Da solche Werkzeuge Eingaben und Zeitpunkte protokollieren können, greift dieses Mitbestimmungsrecht regelmäßig.
Was Unternehmen konkret tun sollten
- Eine klare KI-Richtlinie aufstellen: was darf eingegeben werden, was nicht.
- Geschäftliche Versionen mit Auftragsverarbeitungsvertrag und ohne Training nutzen.
- Personenbezogene und vertrauliche Daten vermeiden oder vorher anonymisieren.
- Mitarbeitende schulen und den Betriebsrat einbeziehen.
- Die Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO aufnehmen.
Fazit
KI im Unternehmen ist erlaubt, wenn die Rahmenbedingungen stimmen: die richtige Vertragsversion, klare interne Regeln und ein bewusster Umgang mit personenbezogenen und vertraulichen Daten. Wer ohne diese Grundlagen startet, riskiert Datenschutzverstöße und den Verlust von Vertraulichkeit.