Was mit Ihren Daten passiert, wenn Mitarbeiter ChatGPT nutzen

Der Weg einer Eingabe

Sobald ein Mitarbeiter eine Frage in ChatGPT eintippt und abschickt, verlässt dieser Text das Unternehmen. Die Eingabe – der sogenannte Prompt – wird an die Server des Anbieters übertragen, dort verarbeitet und beantwortet. Die Server stehen je nach Dienst und Tarif häufig in den USA.

Das ist zunächst nichts Verbotenes. Problematisch wird es erst dann, wenn in dieser Eingabe Informationen stecken, die nicht für Dritte bestimmt sind: Kundennamen, Vertragsdetails, Gesundheitsangaben, interne Zahlen. Genau das passiert im Alltag erfahrungsgemäß schneller, als vielen bewusst ist.

Wird damit das Modell trainiert?

Das hängt vom genutzten Produkt und den Einstellungen ab – und der Unterschied ist groß:

• Bei den privaten Varianten ChatGPT Free und Plus können Eingaben standardmäßig zur Verbesserung der Modelle herangezogen werden. Das lässt sich in den Einstellungen abschalten.
• Bei ChatGPT Team, Enterprise und über die API werden die Inhalte nach Angaben des Anbieters standardmäßig nicht zum Training verwendet.

Die entscheidende Frage im Unternehmen ist daher nicht nur „Nutzen wir ChatGPT?“, sondern „Welche Variante, mit welchen Einstellungen – und wer hat das überprüft?“ Eine private Anmeldung über den dienstlichen Browser fällt selten unter die schützenden Tarife.

Was die DSGVO daraus macht

Sobald personenbezogene oder vertrauliche Daten eingegeben werden, greift der Datenschutz. Es braucht eine tragfähige Rechtsgrundlage, in der Regel einen Auftragsverarbeitungsvertrag mit dem Anbieter und – bei Verarbeitung außerhalb der EU – eine saubere Grundlage für den Drittlandtransfer.

Das Kernproblem ist dabei selten die Technik, sondern das Verhalten: Wer unter Zeitdruck einen Schriftsatz, eine Patientenakte oder eine Gehaltsliste in ein Eingabefeld kopiert, denkt nicht an Art. 44 DSGVO. Datenschutzbehörden in Deutschland weisen genau auf diese unbedachte Eingabe als zentrales Risiko hin.