ChatGPT und Datenschutz — Was Unternehmen beachten sollten

ChatGPT im Unternehmensalltag — Datenschutz nicht vergessen

ChatGPT hat sich seit 2023 zu einem weit verbreiteten Werkzeug in Unternehmen entwickelt — für Texterstellung, Recherche, Kundenservice und interne Prozesse. Doch wer ChatGPT geschäftlich nutzt, verarbeitet dabei in der Regel Daten, die unter die DSGVO fallen können. Dieser Artikel gibt einen Überblick über die datenschutzrechtlichen Anforderungen.

Warum Datenschutz bei ChatGPT relevant ist

ChatGPT wird von OpenAI betrieben, einem US-amerikanischen Unternehmen. Jede Eingabe wird an Server von OpenAI übertragen und dort verarbeitet. Das wirft mehrere datenschutzrechtliche Fragen auf:

• Welche Daten werden verarbeitet? Alle Texteingaben — einschließlich möglicherweise personenbezogener Daten
• Wo werden die Daten verarbeitet? Auf Servern in den USA (Drittlandtransfer gemäß Art. 44 DSGVO)
• Werden Eingaben gespeichert? In der Standardkonfiguration ja — und können laut OpenAI für das Modelltraining verwendet werden
• Wer ist verantwortlich? Das Unternehmen, das ChatGPT einsetzt, bleibt in der Regel datenschutzrechtlich verantwortlich

Welche Daten verarbeitet ChatGPT?

Eingabedaten (Prompts)

Alles, was Nutzer in ChatGPT eingeben, wird an OpenAI übermittelt. Das können harmlose Fragen sein — aber auch:

• Namen, E-Mail-Adressen, Telefonnummern von Kunden oder Mitarbeitern
• Gesundheitsdaten, Finanzdaten oder andere besondere Kategorien (Art. 9 DSGVO)
• Vertrauliche Geschäftsinformationen wie Verträge, Strategien oder interne Kommunikation
• Quelltexte und technische Dokumentationen mit sensiblen Informationen

Laut OpenAI werden in der kostenlosen und Plus-Version Eingaben standardmäßig gespeichert und können für das Training des Modells genutzt werden. Nutzer können dies in den Einstellungen unter “Data Controls” deaktivieren.

Account- und Nutzungsdaten

OpenAI erhebt darüber hinaus technische Daten: IP-Adresse, Browsertyp, Nutzungszeiten und Interaktionsmuster. Diese Daten sind in der Datenschutzrichtlinie von OpenAI beschrieben.

Ausgabedaten

Die von ChatGPT generierten Antworten können personenbezogene Daten enthalten — etwa wenn das Modell auf Basis der Eingabe Namen oder Kontaktdaten in der Antwort wiederholt. Auch die Ausgabedaten unterliegen der DSGVO, wenn sie personenbezogene Daten beinhalten.

DSGVO-Anforderungen bei der Nutzung von ChatGPT

Rechtsgrundlage nach Art. 6 DSGVO

Für die Verarbeitung personenbezogener Daten über ChatGPT wird eine Rechtsgrundlage gemäß Art. 6 DSGVO benötigt. In Betracht kommen:

• Art. 6 Abs. 1 lit. a — Einwilligung: Wenn Nutzer oder Kunden aktiv zustimmen, dass ihre Daten über ChatGPT verarbeitet werden
• Art. 6 Abs. 1 lit. b — Vertragserfüllung: Wenn die Nutzung von ChatGPT zur Erfüllung eines Vertrags erforderlich ist (in der Praxis selten allein ausreichend)
• Art. 6 Abs. 1 lit. f — Berechtigtes Interesse: Wenn das Unternehmen ein berechtigtes Interesse an der Nutzung hat und die Interessen der betroffenen Personen nicht überwiegen

Welche Rechtsgrundlage in der Praxis tragfähig ist, hängt vom konkreten Einsatzszenario ab. Empfehlenswert ist, dies vor der Einführung von ChatGPT im Unternehmen zu klären.

Drittlandtransfer in die USA

Die Übermittlung von Daten an OpenAI in den USA stellt einen Drittlandtransfer dar. Seit dem EU-US Data Privacy Framework (DPF) vom Juli 2023 gibt es für zertifizierte Unternehmen eine Rechtsgrundlage. OpenAI ist auf der DPF-Liste eingetragen.

Dennoch empfehlen Datenschutzexperten, ergänzende Maßnahmen zu prüfen — insbesondere:

• Prüfen, ob OpenAI aktuell auf der DPF-Liste steht
• Standardvertragsklauseln (SCCs) als zusätzliche Absicherung
• Transfer Impact Assessment (TIA) durchführen
• Keine sensiblen Daten (Art. 9 DSGVO) ohne besondere Schutzmaßnahmen eingeben

Auftragsverarbeitungsvertrag (AVV)

Wenn ChatGPT im Auftrag des Unternehmens personenbezogene Daten verarbeitet, kann ein AVV gemäß Art. 28 DSGVO erforderlich sein. OpenAI bietet ein Data Processing Addendum (DPA) an, das die wesentlichen Anforderungen abdecken soll.

Empfehlenswert ist, das DPA vor der geschäftlichen Nutzung abzuschließen und zu dokumentieren. Für Unternehmen, die bereits AVV-Verträge mit anderen Dienstleistern abgeschlossen haben, ist der Prozess vertraut.

Informationspflichten nach Art. 13 DSGVO

Wenn personenbezogene Daten über ChatGPT verarbeitet werden, müssen betroffene Personen darüber informiert werden. Das betrifft:

• Mitarbeiter: Wer ChatGPT am Arbeitsplatz einführt, sollte die Mitarbeiter über die Datenverarbeitung informieren — idealerweise über eine interne Richtlinie
• Kunden: Wenn Kundendaten über ChatGPT verarbeitet werden (z. B. Kundenservice-Chatbot), muss die Datenschutzerklärung entsprechend ergänzt werden
• Website-Besucher: Bei Einbindung eines KI-Chatbots auf der Website ist ein Hinweis in der Datenschutzerklärung erforderlich

ChatGPT auf der Website: Chatbot und KI-Funktionen

Datenschutzrechtliche Anforderungen

Immer mehr Unternehmen binden ChatGPT-basierte Chatbots auf ihrer Website ein. Dabei sind besondere Anforderungen zu beachten:

• Datenschutzerklärung ergänzen: Art der Datenverarbeitung, Empfänger (OpenAI), Zweck, Rechtsgrundlage und Drittlandtransfer beschreiben
• Einwilligung einholen: Je nach Implementierung kann eine aktive Einwilligung der Nutzer erforderlich sein, bevor der Chatbot Daten an OpenAI übermittelt
• Cookie-Hinweis prüfen: Wenn der Chatbot Cookies setzt, muss dies im Cookie Banner berücksichtigt werden
• Keine personenbezogenen Daten ohne Einwilligung verarbeiten: Der Chatbot sollte so konfiguriert sein, dass Nutzer nicht aufgefordert werden, sensible Daten einzugeben

Technische Empfehlungen

• Chatbot-Eingaben über eine eigene API-Schnittstelle leiten (nicht direkt an OpenAI)
• Eingaben vor der Übermittlung filtern — sensible Daten automatisch entfernen
• Logging und Speicherung der Chatbot-Konversationen minimieren
• Regelmäßige Überprüfung, ob die OpenAI-API-Nutzungsbedingungen eingehalten werden

Tipp: Wer KI-Funktionen auf der Website nutzt, sollte auch die weiteren Aspekte der KI-Sichtbarkeit und Robots.txt im Blick behalten — insbesondere, wie AI-Crawler mit den eigenen Inhalten umgehen.

EU AI Act: Was kommt auf Unternehmen zu?

Der EU AI Act (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft und wird schrittweise anwendbar. Für Unternehmen, die ChatGPT nutzen, sind insbesondere folgende Aspekte relevant:

Transparenzpflichten

Ab Februar 2025 gelten Transparenzpflichten: Wenn KI-generierte Inhalte veröffentlicht werden, kann eine Kennzeichnungspflicht bestehen. Das betrifft beispielsweise:

• KI-generierte Texte auf der Website
• KI-basierte Chatbots im Kundenkontakt
• KI-generierte Bilder oder Videos

Die genauen Anforderungen hängen vom Risiko und Einsatzbereich ab. Für die meisten KMU-Websites dürfte ein transparenter Hinweis (“Dieser Text wurde mit KI-Unterstützung erstellt”) ausreichend sein.

Risikokategorien

Der AI Act unterscheidet vier Risikokategorien. ChatGPT als General-Purpose AI fällt unter die Kategorie “Limited Risk” — es gelten vor allem Transparenzpflichten. Für bestimmte Einsatzbereiche (z. B. Personalauswahl, Kreditwürdigkeitsprüfung) können strengere Anforderungen gelten.

Praktische Empfehlungen für Unternehmen

Interne ChatGPT-Richtlinie erstellen

Eine interne Richtlinie sollte festlegen:

• Welche Daten dürfen eingegeben werden? Keine personenbezogenen Kundendaten, keine Gesundheitsdaten, keine vertraulichen Verträge
• Welche Version wird genutzt? ChatGPT Enterprise oder API mit deaktiviertem Training bieten mehr Datenschutz
• Wer darf ChatGPT nutzen? Zugriffsrechte und Verantwortlichkeiten klären
• Wie werden Ausgaben verwendet? KI-generierte Inhalte prüfen, bevor sie veröffentlicht oder an Dritte weitergegeben werden

Datenschutzerklärung aktualisieren

Wenn ChatGPT im Unternehmen genutzt wird und dabei personenbezogene Daten verarbeitet werden, sollte die Datenschutzerklärung entsprechend ergänzt werden. Mindestens folgende Angaben empfehlen sich:

• Nennung von OpenAI als Empfänger
• Hinweis auf Drittlandtransfer (USA) und Rechtsgrundlage (DPF, SCCs)
• Zweck der Datenverarbeitung
• Speicherdauer und Rechte der betroffenen Personen

Verzeichnis der Verarbeitungstätigkeiten ergänzen

Gemäß Art. 30 DSGVO sollten Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten führen. Die Nutzung von ChatGPT sollte dort als eigene Verarbeitungstätigkeit aufgenommen werden — mit Angaben zu Zweck, Rechtsgrundlage, Kategorien betroffener Daten und Empfänger.

Checkliste: ChatGPT DSGVO-konform nutzen

• Rechtsgrundlage für die Verarbeitung personenbezogener Daten bestimmen
• Data Processing Addendum (DPA) mit OpenAI abschließen
• Interne Richtlinie erstellen: Was darf eingegeben werden, was nicht?
• Mitarbeiter über Datenschutzanforderungen informieren
• Datenschutzerklärung aktualisieren (wenn Kundendaten betroffen)
• Verzeichnis der Verarbeitungstätigkeiten ergänzen
• Training-Modus in ChatGPT-Einstellungen prüfen und ggf. deaktivieren
• Bei Website-Chatbot: Einwilligung, Datenschutzhinweis und Cookie-Handling prüfen
• EU AI Act Transparenzpflichten für KI-generierte Inhalte beachten
• Regelmäßig prüfen: OpenAI DPF-Zertifizierung und aktuelle Datenschutzrichtlinie

Häufige Fragen

Darf ich ChatGPT in meinem Unternehmen nutzen?

Grundsätzlich ja, sofern bestimmte Datenschutzanforderungen eingehalten werden. Dazu gehört insbesondere, keine personenbezogenen Daten von Kunden oder Mitarbeitern ohne Rechtsgrundlage in ChatGPT einzugeben. OpenAI bietet mit ChatGPT Enterprise und der API Versionen an, bei denen Eingaben laut Anbieter nicht für das Modelltraining verwendet werden. Empfehlenswert ist, vor der Einführung eine interne Richtlinie zu erstellen und die DSGVO-Checkliste zu prüfen.

Werden meine Eingaben bei ChatGPT gespeichert?

Laut OpenAI werden Eingaben in der kostenlosen und Plus-Version standardmäßig gespeichert und können für die Verbesserung des Modells genutzt werden. In den Einstellungen unter “Data Controls” kann das Modelltraining deaktiviert werden. Bei ChatGPT Enterprise und der API mit deaktiviertem Logging erfolgt laut Anbieter keine Nutzung für das Training. Eine vollständige Löschung der Daten kann über einen Antrag bei OpenAI beantragt werden.

Brauche ich einen AVV, wenn ich ChatGPT nutze?

Wenn über ChatGPT personenbezogene Daten verarbeitet werden, kann ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO erforderlich sein. OpenAI stellt ein Data Processing Addendum (DPA) bereit, das die wesentlichen Anforderungen abdecken soll. Empfehlenswert ist, dieses vor der Nutzung abzuschließen und die Dokumentation aufzubewahren.

Darf ich einen ChatGPT-Chatbot auf meiner Website einbinden?

Die Einbindung eines KI-Chatbots erfordert besondere Sorgfalt: Die Datenschutzerklärung sollte die Datenverarbeitung beschreiben, ein Hinweis auf den Drittlandtransfer ist Pflicht, und je nach Konfiguration kann eine Einwilligung der Nutzer erforderlich sein. Technisch empfehlen wir, Eingaben über eine eigene API zu leiten und sensible Daten vor der Übermittlung zu filtern.