Vertrauliche, interne oder personenbezogene Daten gehören nicht in KI-Tools wie ChatGPT oder andere cloudbasierte Systeme, sofern keine DSGVO-konforme Vereinbarung und technische Schutzmassnahmen vorliegen. Unternehmen riskieren Datenschutzverstösse, Reputationsschäden und rechtliche Konsequenzen. Es braucht klare Richtlinien und Alternativen wie On-Premise-Lösungen oder spezialisierte, datenschutzkonforme KI-Systeme.
- Warum dieses Thema hochrelevant ist
Mit dem Aufkommen generativer KI-Systeme wie ChatGPT, Copilot, Gemini oder Claude wächst auch der Bedarf, diese Systeme produktiv in Arbeitsprozesse zu integrieren. Viele Nutzer:Innen übersehen dabei, dass sie durch die Eingabe von internen Informationen oder personenbezogenen Daten massive Datenschutz- und Sicherheitsrisiken verursachen – oft unwissentlich.
2. Die zentrale Unterscheidung: Welche Daten sind betroffen?
Es geht vor allem um drei sensible Datenkategorien:
• Vertrauliche Daten (z. B. Strategiepapiere, Finanzzahlen, Innovationspläne)
• Interne Informationen (z. B. Projektinhalte, technische Spezifikationen, Teamstrukturen)
• Personenbezogene Daten (z. B. Namen, Adressen, Gesundheitsdaten, E-Mails)
Alle drei unterliegen strengen Regelungen nach Datenschutz-Grundverordnung (DSGVO) und Schweizer Datenschutzgesetz (DSG).
3. Risiken bei der Nutzung von KI-Tools
a) Datenabfluss in nicht kontrollierbare Systeme
Die meisten KI-Tools sind cloudbasiert. Werden Daten eingegeben, verlassen sie die eigene Infrastruktur – häufig ohne Rückweg. Das bedeutet: Einmal hochgeladen, können Daten potenziell für Trainingszwecke verwendet, zwischengespeichert oder analysiert werden – je nach Anbieter.
b) Verstoss gegen Datenschutzgesetze
Die Weitergabe personenbezogener Daten ohne Rechtsgrundlage oder explizite Einwilligung verstösst gegen die DSGVO. Die Büssgeldrisiken sind erheblich – bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes (Art. 83 DSGVO).
c) Reputations- und Vertrauensverlust
Wird bekannt, dass ein Unternehmen Kund:Innendaten oder interne Informationen unsachgemäss behandelt hat, drohen Image-Schäden, der Verlust von Geschäftspartnern und öffentliche Kritik – insbesondere in regulierten Branchen.
4. Was ist erlaubt – und was nicht?
Nicht erlaubt (ohne ausdrückliche Schutzmassnahmen):
• Eingabe von Klient:Innen-Daten
• Nutzung vertraulicher Berichte oder Verträge als Prompt
• Upload von internen Excel-Sheets, CRM-Daten oder E-Mails
Erlaubt mit Vorsicht:
• Allgemeine, anonymisierte Fragestellungen
• Nutzung intern gehosteter KI-Modelle (On-Premise oder Private Cloud)
• Einsatz von Tools mit zertifizierter DSGVO-Konformität und AV-Vertrag
5. Lösungen für den sicheren Einsatz von KI
a) Nutzung lokaler Modelle
Modelle wie GPT4 All, Mistral oder Llama 2 können lokal oder in isolierten Infrastrukturen betrieben werden – mit vollständiger Kontrolle über die Daten.
b) Zugriffsmanagement und Richtlinien
Unternehmen sollten klare Policies formulieren:
• Was darf in KI-Tools eingegeben werden?
• Welche Tools sind erlaubt?
• Wer ist verantwortlich für die Einhaltung?
c) Awareness und Schulung
Mitarbeitende müssen sensibilisiert werden. Digital Literacy umfasst heute auch den reflektierten Umgang mit KI. Datenschutz gehört zur Grundkompetenz.
Der unkritische Einsatz von KI-Tools birgt enorme Gefahren für den Schutz sensibler Informationen.
Wer personenbezogene oder vertrauliche Daten in Systeme eingibt, die nicht vollumfänglich kontrolliert oder vertraglich geregelt sind, handelt fahrlässig. Unternehmen müssen Verantwortung übernehmen – durch technische Schutzmassnahmen, durch rechtliche Klarheit und durch gezielte Aufklärung der Mitarbeitenden.
Wenn ich helfen kann, melde dich gerne: KONTAKT
