ChatGPT & Co im Unternehmen: Was KMUs beim Datenschutz beachten müssen
Sicherer Einsatz von KI in Deutschland, Österreich und der Schweiz
Jeder spricht über KI. Aber sobald es um Kundendaten geht, zucken viele Geschäftsführer zusammen. Zu Recht. Die DSGVO (Datenschutz-Grundverordnung) kennt keine Ausnahmen für "coole neue Technologie". Ein Bußgeld wegen einer Datenpanne kann existenzbedrohend sein.
Die Goldene Regel
Geben Sie niemals personenbezogene Daten (Namen, Adressen, Gesundheitsdaten) in die kostenlose Version von ChatGPT ein.
Warum? Weil OpenAI diese Daten standardmäßig nutzen darf, um das Modell weiter zu trainieren. Stellen Sie sich vor, ChatGPT lernt aus Ihrem vertraulichen Kundengespräch und gibt diese Info später einem anderen Nutzer preis. Ein DSGVO-Albtraum.
Wie man es richtig macht: 4 Wege zur Compliance
Es gibt Wege, KI sicher und konform zu nutzen. Unternehmen wie Microsoft und OpenAI bieten spezielle Business-Tarife an, die genau dieses Problem lösen.
1. Enterprise-Lizenzen & API
Nutzen Sie die API-Schnittstellen (wie wir bei unseren Lösungen) oder ChatGPT Enterprise. Hier garantiert OpenAI vertraglich, dass die Daten nicht zum Training der Modelle verwendet werden. Die Daten bleiben Ihre Daten.
2. Lokale Modelle (Open Source)
Für sehr sensible Daten (z.B. im Gesundheitswesen) empfiehlt sich der Einsatz von Open-Source-Modellen (wie Llama 3 oder Mistral), die auf eigenen Servern in Deutschland gehostet werden.
3. Anonymisierung und Pseudonymisierung
Der sicherste Schutz ist, gar keine personenbezogenen Daten zu senden. Bevor Daten an eine KI gesendet werden, sollten Namen und Adressen entfernt ("geschwärzt") oder pseudonymisiert werden.
- Statt "Max Müller, Hauptstraße 1, Berlin" senden Sie "Kunde A, Stadt B".
- Die KI verarbeitet den Inhalt (z.B. "Beschwerde über Lieferzeit"), ohne die Identität zu kennen.
- Das Ergebnis wird lokal wieder mit dem Kunden verknüpft.
4. Auftragsverarbeitungsvertrag (AVV)
Wenn Sie KI-Dienste nutzen, müssen Sie einen AVV (Data Processing Addendum) mit dem Anbieter schließen. Das ist gesetzlich vorgeschrieben. Bei US-Anbietern ist zudem auf das "Data Privacy Framework" zu achten, das den Datentransfer in die USA regelt. Microsoft Azure bietet hier sehr robuste Standards für europäische Kunden.
Checkliste für Mitarbeiter
Technik ist nur die halbe Miete. Die meisten Datenpannen passieren durch menschliche Fehler. Führen Sie eine KI-Richtlinie ein:
- Keine Klarnamen in öffentliche KI-Tools (wie das kostenlose ChatGPT).
- Keine Betriebsgeheimnisse (Quellcode, Bilanzen, Strategiepapiere) in kostenlose Tools.
- Ergebnisse der KI immer prüfen (Faktencheck gegen Halluzinationen).
- Nutzung nur über genehmigte Firmen-Accounts, nicht über private E-Mail-Adressen.
Fazit
Verteufeln Sie die Technologie nicht, aber seien Sie nicht naiv. Mit dem richtigen Setup (API statt Web-Interface) ist KI auch in DACH-KMUs rechtskonform einsetzbar. Der Wettbewerbsvorteil ist zu groß, um ihn aus Angst liegen zu lassen – aber Sicherheit geht vor.
Themen in diesem Artikel
Artikel teilen
Fanden Sie diesen Beitrag hilfreich?
