Stellen Sie sich Folgendes vor: Ein Mitarbeiter in einem 40-köpfigen Unternehmen fügt einen Kundenvertrag in ChatGPT ein, um vor einem Meeting eine kurze Zusammenfassung zu erhalten. Das dauert 10 Sekunden und wirkt vollkommen routinemäßig. Und es geschieht völlig außerhalb der Datenverarbeitungskontrollen, zu deren Einhaltung Ihr Unternehmen gemäß DSGVO gesetzlich verpflichtet ist. ChatGPT auf Firmengeräten ist mittlerweile für die meisten Teams Alltag, doch die Mehrheit der kleinen und mittleren Unternehmen verfügt über keine Richtlinien, die regeln, wie Mitarbeiter generative KI am Arbeitsplatz nutzen dürfen. Dieser Artikel erläutert die Compliance-Risiken nicht genehmigter KI-Nutzung, was die DSGVO tatsächlich von Arbeitgebern verlangt und welche praktischen Schritte Sie unternehmen können, um die Kontrolle zu behalten, ohne KI vollständig zu verbieten.

Haftungsausschluss: Dieser Artikel enthält allgemeine Informationen zu Themen des Datenschutzes und der IT-Compliance. Er stellt keine Rechtsberatung dar. Bitte wenden Sie sich an einen qualifizierten Datenschutzfachmann, um Rat für Ihre spezifische Situation zu erhalten.

Warum die unerlaubte Nutzung von ChatGPT ein Compliance-Risiko darstellt

Wie Datenlecks durch alltägliche Eingaben entstehen

Die gefährlichsten Datenlecks kommen nicht von Hackern. Sie kommen von hilfsbereiten Mitarbeitern, die ihre Arbeit erledigen. Jemand fügt Kundennamen und E-Mail-Adressen in ChatGPT ein, um eine Folgenachricht zu verfassen. Ein Kollege lädt einen Vertrag hoch, um vor einer Verhandlung wichtige Klauseln zu extrahieren. Ein Vertriebsleiter gibt Pipeline-Daten in ein Prompt ein, um eine wöchentliche Zusammenfassung zu erstellen.

Keine dieser Handlungen ist böswillig. Aber jede einzelne sendet Daten an die Server von OpenAI – außerhalb der Infrastruktur Ihres Unternehmens. Sobald diese Daten das Gerät verlassen, können Sie nicht mehr garantieren, wie sie gespeichert, verarbeitet oder aufbewahrt werden. Laut einer Untersuchung von Cyberhaven machen sensible Daten 11 % dessen aus, was Mitarbeiter in ChatGPT einfügen, und 4,7 % der Mitarbeiter haben mindestens einmal sensible Daten in das Tool eingefügt (Cyberhaven).

Das Problem ist nicht, dass Mitarbeiter leichtsinnig sind. Es liegt vielmehr daran, dass sie das Eingeben in ein Chatfenster nicht als „externes Senden von Daten" betrachten. Aber funktional ist es genau das.

Shadow AI: der blinde Fleck der Compliance

Die meisten IT-Verantwortlichen kennen Shadow-IT: Mitarbeiter, die nicht genehmigte Apps installieren oder privaten Cloud-Speicher für Arbeitsdateien nutzen. Shadow AI ist dasselbe Problem – nur in verstärktem Ausmaß. Es beschreibt jede Nutzung von KI-Tools, bei der die IT-Abteilung keinen Einblick hat. Keine Prüfspur, keine Nutzungsdaten und keine Möglichkeit zu reagieren, wenn etwas schiefgeht.

Der entscheidende Unterschied zur herkömmlichen Shadow-IT ist die Angriffsfläche. Generative KI ist darauf ausgelegt, große Textmengen zu verarbeiten. Ein einziges Prompt kann mehr sensible Daten enthalten, als ein typischer Dateianhang jemals würde. Laut dem Bericht von LayerX Security aus dem Jahr 2025 stammen 77 % der Unternehmensdaten, die über KI-Tools geteilt werden, von Mitarbeitern, die sich der damit verbundenen Risiken oft nicht bewusst sind. Dieselbe Untersuchung ergab, dass 50 % der Mitarbeiter zugaben, sensible Geschäftsdaten in generative KI-Tools eingefügt zu haben, und 18 % gaben an, hochsensible Informationen einschließlich proprietärer Entwicklungsdaten weitergegeben zu haben (Cybersecurity Insiders).

Shadow AI ist im Grunde ein Problem der Geräteverwaltung und der Software-Transparenz. Unternehmen, die ihre Geräte über eine Plattform wie deeploi verwalten, können sehen, auf welche Anwendungen und Web-Tools Mitarbeiter zugreifen, nicht genehmigte Software kennzeichnen und Nutzungsrichtlinien durchsetzen, bevor es zu einem Datenvorfall kommt. Dies ist dieselbe Governance-Ebene, die herkömmliche Shadow-IT in Schach hält – nun auf KI-Tools ausgeweitet. Das Software-Management-Modul von deeploi wurde speziell entwickelt, um Shadow-IT – und damit auch Shadow AI – zu verhindern, indem es IT-Managern vollständige Transparenz darüber verschafft, welche Tools auf allen Geräten installiert sind und genutzt werden.

[Fordern Sie eine Demo an, um zu sehen, wie es funktioniert →]

Finanzielle und rufschädigende Folgen

Für KMUs sind die Folgen einer unkontrollierten KI-Nutzung keine hypothetische Angelegenheit. DSGVO-Bußgelder für einen nachweisbaren Datenverstoß mit Bezug zu personenbezogenen Daten können bis zu 4 % des weltweiten Jahresumsatzes betragen. Doch für die meisten kleineren Unternehmen ist das Bußgeld selbst oft weniger schädlich als das, was danach kommt: die Prüfung, der Behebungsprozess, die Anwaltskosten und das Kundenvertrauen, das über Nacht schwindet.

Stellen Sie sich ein unmittelbareres Szenario vor. Ein Mitarbeiter einer Beratungsfirma fügt die Finanzprognosen eines Kunden in ChatGPT ein, um eine Präsentationsgliederung zu erstellen. Das dauert zwei Minuten. Sechs Monate später führt der Kunde ein routinemäßiges Datenschutz-Audit durch und bittet die Firma um Bestätigung, wie seine Daten behandelt wurden. Die Firma hat keine Aufzeichnungen, keine Richtlinie und keine Antwort. Selbst wenn technisch gesehen kein Verstoß vorliegt, sieht sich die Beratungsfirma nun mit einem Vertragsbruch, potenziellen Haftungsansprüchen und einer Kundenbeziehung konfrontiert, die dieses Gespräch nicht überstehen wird.

Unvollständige Verarbeitungsprotokolle führen zudem zu Audit-Fehlern. Wenn Ihr Unternehmen nicht nachweisen kann, wie personenbezogene Daten verarbeitet wurden – auch durch KI-Tools –, sind Sie angreifbar, unabhängig davon, ob tatsächlich ein Verstoß stattgefunden hat. Das Rechenschaftsprinzip der DSGVO wartet nicht darauf, dass etwas schiefgeht.

Was die DSGVO für den Einsatz von KI-Tools am Arbeitsplatz bedeutet

In diesem Abschnitt werden allgemeine DSGVO-Grundsätze im Zusammenhang mit der Nutzung von KI-Tools erläutert. Dies ist keine Rechtsberatung. Wenden Sie sich für Ihre spezifische Situation an einen qualifizierten Datenschutzfachmann.

Kernprinzipien für KI-Szenarien

Die DSGVO erwähnt ChatGPT nicht namentlich, aber ihre Grundsätze gelten in dem Moment, in dem personenbezogene Daten in ein Prompt eingegeben werden. Drei Grundsätze sind hier besonders wichtig:

Zweckbindung: Daten, die zur Pflege einer Kundenbeziehung erhoben wurden (Namen, Kontaktdaten, Projektverlauf), dürfen nicht durch die Verarbeitung in einem KI-Tool eines Drittanbieters für andere Zwecke verwendet werden. Der ursprüngliche Zweck der Erhebung umfasste nicht die „Verarbeitung durch ein externes Sprachmodell". Eine solche Nutzung erfordert möglicherweise eine neue Rechtsgrundlage.

Datenminimierung: Selbst wenn der Einsatz von KI erlaubt ist, sollten Prompts nicht mehr personenbezogene Daten enthalten, als für die Aufgabe unbedingt erforderlich. Sie möchten einen Vertrag zusammenfassen? Entfernen Sie zuerst Namen, Adressen und Kontonummern. Der Grundsatz ist klar: Nehmen Sie nur auf, was die Aufgabe wirklich erfordert.

Rechenschaftspflicht: Unternehmen müssen nachweisen können, wie personenbezogene Daten verarbeitet wurden, auch durch KI-Tools. „Wir wussten nicht, dass Mitarbeiter ChatGPT nutzen" ist keine Entschuldigung. Die Verantwortung liegt beim Verantwortlichen – also beim Arbeitgeber.

Datenverarbeitungsvereinbarungen mit KI-Anbietern

Wenn Mitarbeiter ChatGPT auf Firmengeräten nutzen und dabei personenbezogene Daten verarbeitet werden, benötigt das Unternehmen möglicherweise eine Datenverarbeitungsvereinbarung (DPA) mit OpenAI. Eine DPA ist ein rechtsverbindlicher Vertrag, der festlegt, wie ein Auftragsverarbeiter (in diesem Fall OpenAI) personenbezogene Daten im Auftrag des Verantwortlichen (Ihres Unternehmens) verarbeitet.

OpenAI bietet Unternehmensverträge an, die DPA-Bestimmungen für Geschäftskunden enthalten. Ein kostenloses ChatGPT-Konto, das von einem einzelnen Mitarbeiter genutzt wird, erfüllt diese Anforderungen jedoch mit ziemlicher Sicherheit nicht. Leser sollten ihre aktuelle Rechtslage mit einem Datenschutzexperten klären, insbesondere wenn Mitarbeiter kostenlose oder private Konten für berufliche Aufgaben nutzen.

Dokumentationspflichten, die Sie nicht ignorieren dürfen

Das Rechenschaftsprinzip der DSGVO verpflichtet Unternehmen dazu, ein Verzeichnis der Verarbeitungstätigkeiten (RoPA) zu führen – eine dokumentierte Bestandsaufnahme darüber, wie Ihr Unternehmen personenbezogene Daten verarbeitet, wer dafür verantwortlich ist, welche Schutzmaßnahmen getroffen wurden und wie lange die Daten aufbewahrt werden. Es muss nicht komplex sein, aber es muss vorhanden und aktuell sein. Wenn Mitarbeiter KI-Tools in einer Weise nutzen, die personenbezogene Daten betrifft, sollte diese Verarbeitungstätigkeit in Ihren Aufzeichnungen erfasst werden. Das bedeutet nicht, dass jede einzelne Eingabe protokolliert werden muss. Es muss jedoch dokumentiert werden, dass KI-Tools verwendet werden, welche Datenkategorien davon betroffen sein können und welche Schutzmaßnahmen getroffen wurden. Ein klarer Eintrag in Ihrem RoPA ist mehr wert als hundert Seiten einer Richtlinie, die niemand liest.

So erstellen Sie eine interne Richtlinie zur KI-Nutzung

Eine eigenständige „KI-Richtlinie" in einem separaten Dokument ist schwerer durchzusetzen als Regeln, die nahtlos in die IT-Richtlinien eingebunden sind, an die sich Mitarbeiter ohnehin halten. Der effektivste Ansatz behandelt die KI-Nutzung als Erweiterung Ihrer bestehenden Richtlinien zur akzeptablen Nutzung und zum Umgang mit Daten.

Festlegen, was Mitarbeiter eingeben dürfen und was nicht

Klare Kategorien beseitigen Unklarheiten. Mitarbeiter sollten nicht jedes Mal, wenn sie ChatGPT öffnen, selbst entscheiden müssen, was als „sensibel" gilt.

• Verboten: personenbezogene Daten von Kunden, Mitarbeitern oder Interessenten; Verträge und Geheimhaltungsvereinbarungen; Finanzunterlagen; Anmeldedaten; Gesundheitsdaten; alle Informationen, die unter Vertraulichkeitsvereinbarungen mit Kunden fallen
• Mit Vorsicht erlaubt: interne Entwürfe ohne personenbezogene Daten, allgemeine Rechercheanfragen, Ideenfindung für Inhalte, öffentlich zugängliche Informationen
• Erfordert vorherige Genehmigung: alles, was Kundendaten, regulierte Informationen, geschützte Produktdetails oder vertraglich beschränkte Daten betrifft

Legen Sie auch Eskalationswege fest. Mitarbeiter müssen genau wissen, an wen sie sich wenden können, wenn sie unsicher sind, ob ein bestimmter Anwendungsfall zulässig ist. Eine Richtlinie ohne klaren Ansprechpartner wird ignoriert.

Integration von KI-Regeln in bestehende IT-Richtlinien

KI-Nutzungsregeln sollten neben Ihren bestehenden Richtlinien zur App-Installation, den Browser-Richtlinien und den Verfahren zum Datenumgang stehen. Wenn Sie sie als natürliche Erweiterung Ihres Software-Lizenzmanagement-Frameworks behandeln, ist die Wahrscheinlichkeit deutlich höher, dass sie auch befolgt werden.

Unternehmen, die Geräte bereits zentral verwalten, können die akzeptable Nutzung auf Geräteebene durchsetzen. Dadurch wird die Richtliniendurchsetzung zur technischen Kontrolle statt zu einer rein verhaltensbezogenen Maßnahme. Anstatt darauf zu hoffen, dass sich Mitarbeiter an die Regeln erinnern, richten Sie Schutzmechanismen ein, die Verstöße verhindern, bevor sie passieren.

Kommunikation und Durchsetzung der Richtlinie

Formulieren Sie die Richtlinie in klarer, verständlicher Sprache. Informieren Sie die Mitarbeiter schriftlich und verlangen Sie eine ausdrückliche Bestätigung. Legen Sie anschließend einen Überprüfungsrhythmus fest: Überprüfen Sie die Richtlinie mindestens einmal jährlich. KI-Tools und das damit verbundene regulatorische Umfeld entwickeln sich rasant weiter. Das EU-KI-Gesetz führt bereits neue Verpflichtungen ein. Eine im Jahr 2024 verfasste Richtlinie könnte 2026 schon veraltet sein.

Regelmäßige Schulungen halten die Richtlinie lebendig. Eine zehnminütige Auffrischung während eines Teammeetings ist effektiver als ein 30-seitiges Dokument, das in einem gemeinsamen Ordner schlummert. Das Ziel ist Sensibilisierung, nicht Bürokratie.

Wie Audit-Protokolle und Geräteverwaltung die KI-Compliance unterstützen

Was Audit-Protokolle erfassen sollten

Bei der Nutzung von KI-Tools umfassen nützliche Audit-Log-Daten: auf welche Anwendungen oder Web-Tools zugegriffen wurde, Zeitstempel und die Identität des Nutzers. Das bedeutet nicht, den Inhalt der Prompts zu protokollieren. Es bedeutet, zu dokumentieren, dass KI-Tools genutzt wurden – wann und von wem.

Diese Aufzeichnung ist es, die die Rechenschaftspflicht nach der DSGVO von einer theoretischen Behauptung in eine nachweisbare Tatsache verwandelt. Wenn eine Aufsichtsbehörde fragt, wie Sie Datenverarbeitungsaktivitäten mit KI überwachen, brauchen Sie eine Antwort, die über „Wir haben den Mitarbeitern gesagt, sie sollen es nicht tun" hinausgeht.

Audit-Protokolle erfüllen noch eine zweite Funktion: Sie helfen Ihnen, Muster zu erkennen. Wenn 80 % Ihres Teams ChatGPT täglich nutzen, ist eine Richtlinie, die jegliche Nutzung verbietet, unrealistisch. Protokolle liefern Ihnen die Daten, um Richtlinien zu entwickeln, die tatsächlich zur Arbeitsweise Ihres Unternehmens passen.

Aufbewahrung von Protokollen für die DSGVO und ISO 27001

Die Aufbewahrung von Protokollen muss mit dem Grundsatz der Speicherbegrenzung der DSGVO übereinstimmen: Bewahren Sie Aufzeichnungen so lange auf, wie es ihr Zweck erfordert, aber nicht unbegrenzt. Für Unternehmen, die eine ISO 27001-Zertifizierung anstreben oder aufrechterhalten, sind mehrere Kontrollen aus Anhang A unmittelbar relevant. Diese betreffen die Zugriffsverwaltung, die zulässige Nutzung von Informationsressourcen und Lieferantenbeziehungen.

ISO 27001 schreibt keine bestimmte Aufbewahrungsfrist für Protokolle vor, verlangt jedoch dokumentierte Richtlinien und den Nachweis, dass diese Richtlinien eingehalten werden. Wenn Ihr Unternehmen personenbezogene Daten mithilfe von KI-Tools verarbeitet, sollte Ihr Protokollierungsansatz robust genug sein, um sowohl die Rechenschaftspflichten der DSGVO als auch die Audit-Anforderungen von ISO 27001 zu erfüllen.

Zentralisierte Geräteverwaltung als Grundlage für die Compliance

Die Verwaltung von Audit-Protokollen auf einzelnen Laptops und Smartphones ist für jedes Unternehmen mit mehr als einer Handvoll Mitarbeitern unpraktisch. Zentralisierte Geräteverwaltung löst dieses Problem, indem Protokolldaten von allen verwalteten Geräten an einem Ort gesammelt werden.

deeploi bietet zentralisierte Gerätetransparenz für alle verwalteten macOS-, Windows- und iOS-Geräte – einschließlich Software-Bestandsaufnahme in Echtzeit, Überwachung der Geräteaktivitäten und Compliance-Dokumentation –, sodass Unternehmen jederzeit einen klaren Überblick darüber erhalten, was auf jedem Gerät läuft. Als ISO 27001-zertifizierte und DSGVO-konforme Plattform ist der Protokollierungsansatz von deeploi so konzipiert, dass er beide Rahmenwerke von Haus aus erfüllt. Diese Protokolldaten können direkt zur Erfüllung der Rechenschaftspflichten der DSGVO sowie für interne oder externe IT-Audits genutzt werden. Für Unternehmen, die den KI-Einsatz in der gesamten Belegschaft absichern möchten, ist diese Art von Transparenz die Grundlage, auf der alles andere aufbaut.

Compliance-Risiken reduzieren, ohne die Produktivität zu beeinträchtigen

Warum pauschale Verbote selten funktionieren

Manche Unternehmen reagieren auf die Herausforderung der KI-Compliance, indem sie ChatGPT vollständig sperren. Auf dem Papier beseitigt das das Risiko. In der Praxis treibt es die Nutzung jedoch in den Untergrund. Mitarbeiter wechseln auf private Geräte oder private Konten, wodurch selbst die begrenzte Transparenz, die zuvor bestand, verloren geht.

Ein pauschales Verbot verschafft Ihrem Unternehmen zudem einen Wettbewerbsnachteil. KI-Tools verbessern die Produktivität bei Aufgaben wie Recherche, Texterstellung und Datenanalyse nachweislich. Das Ziel ist nicht, den Einsatz von KI zu unterbinden, sondern ihn zu steuern.

Ein ausgewogener Ansatz: regeln, nicht verbieten

Die effektivste Strategie kombiniert drei Ebenen:

1. Richtlinien: Klare, schriftlich festgelegte Regeln, die in bestehende IT-Richtlinien integriert sind und definieren, was erlaubt, was verboten und was genehmigungspflichtig ist
2. Technische Kontrollen: Durchsetzung auf Geräteebene durch zentralisierte Verwaltung, einschließlich der Möglichkeit, bestimmte Anwendungen zu blockieren, den Browserzugriff einzuschränken und die Softwareinstallation zu überwachen
3. Transparenz: Audit-Protokolle und Nutzungsberichte, die IT- und Compliance-Teams die Daten liefern, die sie benötigen, um die Einhaltung der Richtlinien zu überprüfen und auf Vorfälle zu reagieren

Dieser mehrschichtige Ansatz erfordert kein spezielles Compliance-Team. Für KMUs ist eine Plattform erforderlich, die Geräteverwaltung, Software-Transparenz und Audit-Protokollierung an einem Ort vereint – ohne dass ein eigenes IT-Team für den Betrieb benötigt wird. deeploi ist eine All-in-One-IT-Management-Plattform, die Geräteverwaltung, Software-Kontrolle, Cybersicherheit und Compliance über ein einziges Dashboard abdeckt und speziell für Unternehmen ohne interne IT-Expertise entwickelt wurde.

Praktische Schritte, um noch heute loszulegen

Führen Sie ein Audit zur KI-Nutzung durch

Bevor Sie Richtlinien verfassen, sollten Sie herausfinden, was tatsächlich vor sich geht. Überprüfen Sie, welche KI-Tools Ihre Mitarbeiter nutzen, wie häufig und zu welchen Zwecken. Eine einfache Umfrage in Kombination mit Software-Bestandsdaten auf Geräteebene liefert einen realistischen Ausgangspunkt.

Entwerfen und verteilen Sie klare Richtlinien

Verwenden Sie das oben beschriebene Rahmenwerk mit verbotenen, erlaubten und genehmigungspflichtigen Aktivitäten. Halten Sie die Sprache einfach. Fügen Sie die Richtlinien Ihrer bestehenden IT-Nutzungsrichtlinie hinzu. Verlangen Sie von jedem Mitarbeiter eine schriftliche Bestätigung.

Technische Kontrollen implementieren

Konfigurieren Sie Ihre Geräteverwaltungsplattform so, dass nicht genehmigte KI-Anwendungen gekennzeichnet oder blockiert werden. Stellen Sie sicher, dass die Audit-Protokollierung auf allen verwalteten Geräten aktiv ist. Wenn Sie noch keine zentralisierte Geräteverwaltung haben, ist das die erste Lücke, die Sie schließen müssen. deeploi verwaltet macOS-, Windows- und iOS-Geräte über ein einziges Dashboard, setzt Konfigurationsprofile durch, verfolgt installierte Software nach und führt ein vollständiges Protokoll über Software- und Geräteaktivitäten in Ihrem gesamten Gerätepark.

Überprüfen und wiederholen

Planen Sie eine vierteljährliche Überprüfung Ihrer KI-Richtlinie und der Nutzungsdaten ein. Aktualisieren Sie die Richtlinie, wenn sich Tools, Vorschriften und die Anforderungen Ihres Unternehmens ändern. Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der mit der richtigen Infrastruktur zunehmend einfacher wird.

Fazit

Die ungenehmigte Nutzung von ChatGPT ist in den meisten kleinen und mittleren Unternehmen eine akute Compliance-Lücke. Die DSGVO ist die Grundvoraussetzung, aber sie wird nicht das letzte Wort sein – das EU-KI-Gesetz führt neue Transparenz- und Dokumentationspflichten ein, und die Aktualisierung der ISO 27001 von 2022 spiegelt bereits ein umfassenderes Verständnis von Informationssicherheit wider, das auch die Datenverarbeitung durch Dritte einschließt. Unternehmen, die jetzt eine Governance-Infrastruktur aufbauen, werden sich deutlich leichter anpassen können, wenn die Anforderungen strenger werden.

Die gute Nachricht: Praktische Kontrollmaßnahmen – eine klare Richtlinie, Transparenz auf Geräteebene und eine zentralisierte Verwaltung – machen Compliance nachhaltig, ohne die Produktivität zu beeinträchtigen. KI-Tools werden nicht verschwinden. Die Unternehmen, die sie gut verwalten, werden besser aufgestellt sein, wenn die Regulierung strenger wird und die Erwartungen der Kunden steigen. Diejenigen, die dies nicht tun, werden sich früher oder später einer unangenehmen Unterhaltung mit einer Aufsichtsbehörde, einem Kunden oder beiden stellen müssen. Wenn Sie die Lücke zwischen Ihrer aktuellen Situation und den tatsächlichen Anforderungen der DSGVO schließen möchten, ist eine zentralisierte Geräteverwaltung der praktischste Ausgangspunkt.

FAQ

Brauche ich die Zustimmung der Mitarbeiter, bevor ich ChatGPT auf Arbeitsgeräten zulasse?

Nicht unbedingt. Die DSGVO bietet mehrere Rechtsgrundlagen für die Datenverarbeitung, und das berechtigte Interesse des Arbeitgebers kann greifen, wenn KI-Tools für legitime geschäftliche Zwecke mit angemessenen Schutzmaßnahmen eingesetzt werden. In bestimmten Szenarien kann jedoch eine Einwilligung erforderlich sein, insbesondere wenn besondere Kategorien personenbezogener Daten betroffen sind. Konsultieren Sie einen Datenschutzbeauftragten, um die richtige Rechtsgrundlage für Ihre Situation zu ermitteln.

Kann ich ChatGPT auf Firmengeräten vollständig sperren?

Ja, und mit einer zentralisierten Geräteverwaltung ist das technisch unkompliziert. Sie können die Anwendung blockieren und den Browserzugriff auf die ChatGPT-Domain einschränken. Bedenken Sie jedoch die Vor- und Nachteile. Ein vollständiges Verbot kann dazu führen, dass die Nutzung auf private Geräte verlagert wird, wo Sie keinerlei Einblick haben. Viele Unternehmen stellen fest, dass eine geregelte Einführung mit klaren Regeln und technischen Kontrollen effektiver ist als ein pauschales Verbot.

Was passiert, wenn ein Mitarbeiter versehentlich personenbezogene Daten in ChatGPT einfügt?

Wenn der Vorfall eine Verletzung des Schutzes personenbezogener Daten darstellt, die wahrscheinlich ein Risiko für die Rechte und Freiheiten von Personen mit sich bringt, verlangt die DSGVO eine Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden. Nicht jedes versehentliche Einfügen erreicht automatisch diese Schwelle, aber Sie sollten jeden Vorfall sofort anhand dieses Maßstabs bewerten und Ihre Einschätzung in jedem Fall dokumentieren. Dokumentieren Sie den Vorfall, die Bewertung und alle ergriffenen Abhilfemaßnahmen. Dies ist ein weiterer Bereich, in dem sich Audit-Protokolle als unschätzbar wertvoll erweisen. Wenden Sie sich umgehend an Ihren Datenschutzbeauftragten oder Rechtsberater.

Ist für die Nutzung von ChatGPT eine Datenverarbeitungsvereinbarung mit OpenAI erforderlich?

Wenn Mitarbeiter im Rahmen ihrer beruflichen Tätigkeit personenbezogene Daten über ChatGPT verarbeiten, ist gemäß DSGVO wahrscheinlich eine Datenverarbeitungsvereinbarung (DPA) mit OpenAI erforderlich. OpenAI bietet Unternehmenspakete an, die DPA-Bestimmungen enthalten. Kostenlose oder private Konten erfüllen in der Regel nicht die vertraglichen Anforderungen der DSGVO. Überprüfen Sie Ihre aktuelle Vereinbarung mit OpenAI und holen Sie rechtlichen Rat ein, um Ihre Verpflichtungen zu klären.

Welche Compliance-Standards gelten neben der DSGVO für die Nutzung von KI-Tools?

ISO 27001 ist das relevanteste Rahmenwerk, insbesondere die darin enthaltenen Kontrollen zur zulässigen Nutzung von Informationsressourcen, zur Zugriffsverwaltung und zu Lieferantenbeziehungen. Das EU-KI-Gesetz führt neue Transparenz- und Risikomanagementpflichten ein, die für bestimmte KI-Anwendungen gelten werden. Unternehmen in regulierten Branchen (Finanzwesen, Gesundheitswesen, Rechtswesen) müssen möglicherweise zusätzliche branchenspezifische Anforderungen erfüllen. Sich über neue Vorschriften auf dem Laufenden zu halten, ist für jedes Unternehmen, das KI in seine Arbeitsabläufe integriert, unerlässlich.