Vorsicht beim Einsatz US-basierter KI in dEUtschen Unternehmen
Viele mittelständische Unternehmen in Deutschland testen derzeit KI-Tools wie ChatGPT, um produktiver zu arbeiten, Kundenservice zu verbessern oder Marketingtexte zu erstellen. Dabei wird jedoch oft übersehen: Die Nutzung solcher Tools kann rechtliche und datenschutztechnische Risiken mit sich bringen – vor allem, wenn persönliche, vertrauliche oder geschäftskritische Informationen verarbeitet werden.
Ein aktueller Fall aus den USA zeigt, worauf sich deutsche Unternehmen keinesfalls verlassen sollten: OpenAI muss laut Medienberichten künftig alle Eingaben in ChatGPT dauerhaft speichern – auch auf Wunsch von Klägern im Rahmen von Sammelklagen. Für deutsche Firmen bedeutet das: Wer sensible Daten in das Standard-ChatGPT eingibt, läuft Gefahr, dass diese Daten außerhalb des eigenen Kontrollbereichs gespeichert, verarbeitet oder sogar später ausgewertet werden.
Warum ChatGPT in der Basisversion problematisch ist
ChatGPT wird vom US-Unternehmen OpenAI betrieben und unterliegt damit nicht dem europäischen Datenschutzrecht (DSGVO), sondern US-amerikanischem Recht. Auch wenn OpenAI beteuert, Eingaben nicht zu Trainingszwecken zu verwenden (sofern die Option deaktiviert ist), gibt es keine Garantie dafür, dass Daten in der Cloud nicht durch Dritte eingesehen oder im Rahmen rechtlicher Verfahren offengelegt werden können.
Folgende Risiken bestehen konkret:
1. DSGVO-Verstöße
Bereits die Eingabe personenbezogener Daten (Name, E-Mail, Gesundheitsdaten etc.) in die kostenlose Version kann eine Verarbeitung außerhalb der EU darstellen – ohne gültige Rechtsgrundlage oder Standardvertragsklauseln. Das stellt einen klaren Verstoß gegen die DSGVO dar.
2. Geheimhaltung gefährdet
Auch unternehmensinterne Informationen wie Kundendaten, Preise, Projektpläne oder Quellcode sollten nicht in ein US-basiertes System eingegeben werden, das außerhalb der eigenen Kontrolle liegt. Selbst wenn es „nur eine kleine Anfrage“ ist – der einmalige Verlust einer sensiblen Information kann teuer werden.
3. Kein Abschluss eines AV-Vertrags möglich
Mit der Standard-Version von ChatGPT lässt sich kein rechtsgültiger Auftragsverarbeitungsvertrag (AV-Vertrag nach Art. 28 DSGVO) abschließen. Somit fehlt jede Grundlage für die Verarbeitung von geschäftlichen Daten auf rechtssicherem Weg.
Was sind die Alternativen?
a) Microsoft Copilot
Copilot für Microsoft 365 (Word, Excel, Outlook etc.) basiert ebenfalls auf OpenAI-Technologie, wird aber in einer geschützten Microsoft-Cloud betrieben. Bei Nutzung von Microsoft 365 Enterprise-Lizenzen und aktiviertem „Commercial Data Protection“ bleiben die Daten laut Microsoft im europäischen Datenraum. Zudem ist hier ein AV-Vertrag enthalten. Wichtig: Die Copilot-Daten werden nicht fürs Training verwendet.
Fazit: Für viele KMU, die bereits Microsoft-Produkte einsetzen, ist das eine deutlich sicherere Alternative – allerdings mit zusätzlichen Kosten und technischem Aufwand verbunden.
b) EU-ansässige KI-Anbieter
Immer mehr europäische Anbieter entwickeln eigene Sprachmodelle, etwa Aleph Alpha (Deutschland), Mistral (Frankreich) oder die „LLM4EU“-Initiativen. Diese Anbieter garantieren oft explizit DSGVO-Konformität, Datenspeicherung innerhalb der EU und schließen AV-Verträge ab.
Fazit: Noch nicht auf ChatGPT-Niveau, aber vielversprechend – vor allem, wenn Datensouveränität im Vordergrund steht.
c) ChatGPT Enterprise / ChatGPT Edu / API mit ZDR-Vertrag
OpenAI bietet spezielle Enterprise- und Education-Versionen an. Hier ist laut Angaben des Unternehmens eine klare Trennung der Daten vorgesehen, inklusive AV-Vertrag („Zero Data Retention“, kurz ZDR) – bei Nutzung über die API oder bestimmte Lizenzverträge. Daten aus diesen Sitzungen werden laut OpenAI nicht gespeichert und nicht für das Training verwendet.
Fazit: Rechtssicher nutzbar – aber nur mit explizit abgeschlossenem ZDR-Vertrag und API-Setup. Komplexer in der Einrichtung, aber technisch und rechtlich sauber.
d) Lokale KIs (LM Studio, Ollama, GPT4All)
Eine andere Möglichkeit ist, KI komplett lokal auf dem eigenen PC oder Server zu betreiben – z. B. mit Tools wie LM Studio, Ollama oder GPT4All. Dabei werden Open-Source-Modelle (z. B. Mistral, LLaMA oder Phi-3) genutzt, die nicht mit dem Internet verbunden sind und keine Daten nach außen senden. Ideal für datensensible Anwendungen, etwa in der Buchhaltung, im medizinischen Bereich oder in der Entwicklung.
Fazit: Technisch anspruchsvoller, aber maximale Kontrolle und volle DSGVO-Konformität.
e) Was oft vergessen wird: Klassische regelbasierte Automatisierung
Viele Aufgaben, für die heute „KI“ bemüht wird, lassen sich effizienter, günstiger und rechtssicher mit klassischen Mitteln lösen: SQL, Power Automate, RPA oder einfache Skripte mit VBA oder Python. Keine Cloud, keine Rechtsunsicherheit, kein Trainingsaufwand.
Fazit: Erst Prozesse optimieren – dann KI. Wer Müll automatisiert, bekommt automatisch Müll.
Zusammenfassung: Was ist rechtlich erlaubt – und was nicht?
In Deutschland gilt: Personenbezogene oder sensible Daten dürfen nur verarbeitet werden, wenn eine gültige Rechtsgrundlage besteht und alle technischen und organisatorischen Maßnahmen zur Datensicherheit eingehalten werden. Dazu gehört zwingend ein AV-Vertrag und die Einhaltung der DSGVO.
Die kostenlose Version von ChatGPT (chat.openai.com) erfüllt diese Voraussetzungen nicht. Unternehmen, die sie dennoch produktiv einsetzen, handeln rechtlich riskant – vor allem, wenn Kundendaten oder Betriebsgeheimnisse ins Spiel kommen.
Besser: Auf Copilot mit Datenschutzmodus umsteigen, EU-basierte Alternativen prüfen oder lokale LLMs einsetzen.
Und am wichtigsten: Vor dem KI-Einsatz den Keller aufräumen. Denn ohne saubere Daten und Prozesse bringt auch die beste KI nur Chaos.
Quellen
t3n: https://t3n.de/news/openai-muss-chatgpt-daten-wegen-klage-speichern-1691701
OpenAI: https://openai.com/enterprise-privacy
Microsoft: https://learn.microsoft.com/en-us/microsoft-365-copilot/privacy
LM Studio: https://lmstudio.ai/
Aleph Alpha: https://www.aleph-alpha.com/
Ollama: https://ollama.com/
Wenn Du wissen willst, wie Du KI sicher und sinnvoll im Mittelstand nutzen kannst – melde Dich. Ich zeig Dir, was geht. Und was nicht.
📈 Datenschäfer: Analyse, Auswertung und Automatisierung für KMU im Norden 🐑