← Alle Artikel Datenschutz

Darf ich Kundendaten in ChatGPT eingeben?

7 Minuten Lesezeit H&B Studio München

Die kurze Antwort lautet: Im kostenlosen ChatGPT, nein. Mit einem Geschäftskonto und den richtigen Vereinbarungen, ja, unter Bedingungen. Und in den allermeisten Fällen ist die Frage sowieso die falsche.

Warum die Frage falsch gestellt ist, kommt gleich. Zuerst das, was du wissen musst.

Was überhaupt ein Kundendatum ist

Die DSGVO spricht von personenbezogenen Daten. Das ist jede Information, mit der sich eine Person identifizieren lässt. Der Name gehört dazu, die Adresse, die E-Mail-Adresse, die Telefonnummer. Aber auch die Kundennummer, wenn du sie zuordnen kannst. Und die Kombination aus Beruf, Wohnort und Alter, wenn sie eindeutig genug ist.

Sobald so ein Datum in ein KI-Tool wandert, verarbeitest du es. Und für jede Verarbeitung brauchst du eine Rechtsgrundlage, außerdem muss der Empfänger die Daten sicher behandeln.

Das Problem mit dem kostenlosen Konto

Wenn du ChatGPT kostenlos nutzt, gehen deine Eingaben an Server in den USA. Sie können zum Training des Modells verwendet werden. Du hast keinen Vertrag mit OpenAI, der regelt, was mit den Daten passiert.

Rechtlich fehlt dir damit der sogenannte Auftragsverarbeitungsvertrag, die schriftliche Vereinbarung, dass ein Dienstleister Daten in deinem Auftrag und nach deinen Weisungen verarbeitet. Ohne ihn ist die Verarbeitung personenbezogener Daten durch diesen Dienstleister rechtlich angreifbar.

Achtung

Das ist keine theoretische Sorge. Datenschutzbehörden haben KI-Dienste bereits geprüft, und in Italien war ChatGPT 2023 zeitweise gesperrt. Für dich als Unternehmen zählt: Ein Verstoß kann ein Bußgeld nach sich ziehen, und ein Kunde, der davon erfährt, hat ein berechtigtes Problem damit.

Was mit einem Geschäftskonto anders ist

OpenAI, Anthropic, Google und Microsoft bieten alle Geschäftskonten an. Dort gilt in der Regel: Deine Eingaben werden nicht zum Training verwendet, es gibt einen Auftragsverarbeitungsvertrag, und teilweise lässt sich die Verarbeitung in der EU einstellen.

Microsoft Copilot ist in dieser Hinsicht am weitesten, weil er sich in Microsoft 365 mit EU-Datengrenze betreiben lässt. DeepL ist ein deutscher Anbieter mit Servern in der EU. Beides sind für Unternehmen die bequemeren Wege.

Aber auch mit Geschäftskonto brauchst du: einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten, eine Information an deine Mitarbeitenden, und eine Prüfung, ob die konkrete Verarbeitung überhaupt nötig ist.

Warum die Frage meistens die falsche ist

Und jetzt kommt der eigentliche Punkt. In neun von zehn Fällen, in denen jemand Kundendaten in eine KI eingeben will, braucht die KI diese Daten überhaupt nicht.

Du willst eine Antwort auf eine Beschwerdemail formulieren? Die KI muss nicht wissen, dass der Kunde Herr Bernhard Grasegger aus der Lindwurmstraße 42 ist. Sie muss wissen: Ein Kunde beschwert sich über eine verspätete Lieferung, du willst dich entschuldigen und eine Erstattung der Versandkosten anbieten.

Beispiel

Statt: „Antworte auf die Beschwerde von Bernhard Grasegger, Lindwurmstraße 42, Kundennummer 88421 …“, besser: „Antworte auf die Beschwerde eines Kunden über eine zwei Wochen verspätete Lieferung. Ich möchte die Versandkosten erstatten. Ton: verständnisvoll, aber sachlich.“

Das Ergebnis ist identisch. Du kopierst den Text, setzt Namen und Anrede ein, fertig. Der Unterschied: Im zweiten Fall hat kein personenbezogenes Datum den Rechner verlassen.

Tipp

Diese Technik heißt Anonymisierung mit Platzhaltern. Sie ist der wichtigste Trick im Umgang mit KI und der Grund, warum du in den meisten Fällen gar keinen Auftragsverarbeitungsvertrag brauchst.

Die Faustregel für den Alltag

Frag dich vor jeder Eingabe: Könnte jemand anhand dieser Information erkennen, um welche Person es geht?

Wenn du diese Regel befolgst, kannst du KI in fast jedem Alltagsfall nutzen, ohne dir Sorgen machen zu müssen.

Wann du trotzdem einen Vertrag brauchst

Es gibt Fälle, in denen sich personenbezogene Daten nicht vermeiden lassen. Du willst hundert Kundenanfragen automatisch kategorisieren lassen. Du willst Bewerbungsunterlagen vorsortieren. Du willst Termine aus E-Mails extrahieren.

Dann brauchst du ein Geschäftskonto mit Auftragsverarbeitungsvertrag, einen Eintrag im Verarbeitungsverzeichnis und eine ehrliche Prüfung, ob der Nutzen das Risiko rechtfertigt. Bei Bewerbungen und Gesundheitsdaten wird die Antwort oft „nein“ lauten.

Was Unternehmen konkret tun sollten

Und wenn schon etwas passiert ist?

Falls du in der Vergangenheit versehentlich Kundendaten eingegeben hast: kein Grund zur Panik, aber ein Grund zu handeln. In den meisten Tools kannst du einzelne Unterhaltungen löschen und in den Einstellungen die Speicherung deaktivieren.

Ein einzelner Vorfall ist kein meldepflichtiger Datenschutzverstoß. Systematisches Eingeben von Kundendaten über Monate hinweg schon eher. Im Zweifel sprich mit einem Datenschutzbeauftragten, der Anruf ist günstiger als das Bußgeld.

Hinweis

Dieser Artikel gibt eine verständliche Orientierung, ist aber keine Rechtsberatung. Bei konkreten Fragen zur Verarbeitung personenbezogener Daten in eurem Unternehmen wendet euch bitte an eine fachkundige Beratung oder euren Datenschutzbeauftragten.

Willst du tiefer einsteigen?

Unser Guide „KI-Starterpaket mit DSGVO-Leitfaden“ liefert dir fertige Vorlagen zum Kopieren, sofort einsetzbar.

Guide ansehen →