Trotz der laufenden Datenschutz-Diskussion rund um ChatGPT kommt der KI-Dienst bereits betrieblich zum Einsatz. Leserinnen und Leser fragten, ob sich denn ChatGPT überhaupt datenschutzkonform nutzen lässt. Wir haben Prof. Dieter Kugelmann, Leiter der KI-Taskforce der Datenschutzkonferenz (DSK) und Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, dazu befragt.
Als Unternehmen sollte man zurückhaltend bei der Nutzung eines Dienstes wie ChatGPT sein. Es empfiehlt sich, die weiteren Ergebnisse der Datenschutzaufsichtsbehörden genau zu beachten.
(Bild: phonlamaiphoto - stock.adobe.com)
Viele Startups sind sehr innovativ und entsprechend aufgeschlossen für neue Technologie wie Künstliche Intelligenz (KI). Wie eine Umfrage des Digitalverbands Bitkom ergab, kommt in mehr als der Hälfte der deutschen Startups (53 Prozent) generative KI zur Textgenerierung wie ChatGPT bereits zum Einsatz. Weitere elf Prozent nutzen solche Tools noch nicht, haben dies aber bereits geplant, 21 Prozent können es sich für die Zukunft vorstellen.
Betrachtet man die Unternehmen in Deutschland generell, ist der Einsatz von ChatGPT zwar noch nicht so verbreitet wie unter den Startups, geplant wird die Nutzung aber dennoch: Jedes sechste Unternehmen (17 Prozent) plant den Einsatz solcher KI-Anwendungen, weitere 23 Prozent haben keine konkreten Planungen, können sich die Nutzung aber vorstellen. Demgegenüber stehen 29 Prozent der Unternehmen, die einen solchen KI-Einsatz für sich ausschließen, so Bitkom.
Im Bereich Datenschutz gibt es offene Fragen
Einer der Gründe, solche KI-Dienste für sich auszuschließen, werden im Datenschutz gesehen. So sieht sich eine Mehrheit von 58 Prozent bei KI vor neue Herausforderungen gestellt, etwa beim Datenschutz.
Leserinnen und Leser von Security-Insider stellen sich konkret die Frage: Gibt es für Unternehmen bei ChatGPT einen Weg zum Beispiel über Datenschutz-Folgenabschätzung (DSFA), Nutzungsbedingungen und Schulung, um diesen KI-Dienst datenschutzgerecht nützen zu können? Fragen wie diese sollte man vor dem Einsatz von ChatGPT & Co klären.
Was sagen die Aufsichtsbehörden für den Datenschutz in Deutschland beziehungsweise das Gremium der unabhängigen Datenschutzbehörden in Deutschland, also die Datenschutzkonferenz (DSK), dazu? Wir haben Prof. Dieter Kugelmann, Leiter der KI-Taskforce der Datenschutzkonferenz (DSK) und Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, dazu befragt.
Hinweise einer Datenschutzaufsicht zu ChatGPT
Seit dem 1. Oktober 2015 ist Prof. Dr. Dieter Kugelmann Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz.
(Bild: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz)
Worauf sollten Unternehmen bei einer Datenschutz-Folgenabschätzung (DSFA) für ChatGPT achten?
Um die möglichen Risiken durch die Nutzung eines KI-basierten Dienstes wie ChatGPT zu minimieren, sollten Unternehmen den Zweck, für den ein solcher Dienst genutzt werden darf, möglichst eng begrenzen.
Aus Sicht des Datenschutzes bedeutet dies auch, den Personenbezug so gering wie möglich zu halten. Viele KI-Anwendungen benötigen gar keinen direkten Personenbezug, vielmehr reicht die Verwendung von Pseudonymen oder noch besser anonymen Daten völlig aus.
Wichtig ist es zudem, einem Dienst wie ChatGPT die Übernahme der Eingabedaten (Prompts) in den Trainingsdatenbestand zu verbieten. Hierzu gibt es spezielle Einstellungen, die OpenAI inzwischen vorgesehen hat.
Insgesamt sollten Unternehmen einen solchen Dienst nur zur schnellen Recherche und zur Vorbereitung menschlichen Entscheidens verwenden und nicht etwa für eine automatisierte Entscheidung im Einzelfall oder Profiling.
Können Sie bereits etwas zu den Nutzungsbedingungen von ChatGPT sagen?
Wir sind noch in der Prüfung, jedoch kann man schon sagen, dass die Nutzungsbedingungen vieles offen lassen. Alleine ein Verweis auf derartige Nutzungsbedingungen wird also aus Datenschutzsicht nicht ausreichen, um hinreichende Transparenz für die Nutzung herzustellen.
Was sollten interne Richtlinien im Unternehmen zu ChatGPT mit Blick auf die Datenschutz-Grundverordnung (DSGVO) enthalten? Kann man hier schon etwas empfehlen?
Was man schon sagen kann: Grundsätzlich sollten Unternehmen solche Dienste, wenn überhaupt, nur für die Unternehmenszwecke verwenden und freigeben. Eine Privatnutzung am Arbeitsplatz sollte nicht erlaubt werden, um die Daten der Beschäftigten keinem möglichen Datenrisiko auszusetzen.
Vertrauliche und personenbezogene Daten sollten in entsprechende Dienste nicht eingegeben werden. Das gilt insbesondere auch für sensible Daten iSd Art. 9 DS-GVO.
Zudem sollte die Weitergabe der Ergebnisse eines solchen Dienstes an unbefugte Dritte ausgeschlossen werden.
Was sollte in einer Schulung zu ChatGPT nicht vergessen werden?
Natürlich sollten die internen Richtlinien des Unternehmens nicht nur aufgestellt, sondern auch in einer Schulung vermittelt werden. Wichtig ist zudem der Hinweis: ChatGPT kann auch falsche Ergebnisse liefern. Man muss also immer nachprüfen.
Und: Spaß mit der offenen Version ist eine Sache, sachorientierte Ergebnisse zu erreichen, eine andere.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Kann die KI Taskforce schon etwas sagen zur Prüfung von ChatGPT? Bis wann rechnen Sie mit ersten Ergebnissen?
Wir sind noch mit der Prüfung der umfangreichen Antworten von OpenAI befasst. Es hat sich schon gezeigt, dass unsererseits wohl Bedarf an zusätzlichen Nachfragen besteht, der Abstimmungs- und Auswertungsprozess wird also noch einige Zeit dauern.
Fragenkatalog zu ChatGPT liefert Beispiel für eine KI-Prüfung
Es lohnt sich, den Fragenkatalog, den die Aufsichtsbehörden für den Datenschutz zur Beantwortung an OpenAI geschickt haben, genauer anzusehen. Man findet darin zentrale Fragen, die der Datenschutz an einen KI-basierten Dienst stellt. Damit kann der Fragenkatalog auch eine Hilfe sein, wenn ein Unternehmen selbst einen KI-Dienst hinterfragen will, zum Beispiel für eine Datenschutz-Folgenabschätzung (DSFA) nach DSGVO.
Es zeigt sich also: Als Unternehmen sollte man zurückhaltend bei der Nutzung eines Dienstes wie ChatGPT sein. Noch ist vieles offen. Alleine ein Verweis auf Nutzungsbedingung, eine Schulung und eine interne Risikoanalyse wird nicht ausreichen. Es empfiehlt sich, die weiteren Ergebnisse der Datenschutzaufsichtsbehörden genau zu beachten. Wir werden weiter berichten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/4b/fc/4bfc13816183f34114fbc6d8edaf5fa7/0124821309v2.jpeg "Trotz ihrer Vorteile wirft die Verwendung biometrischer Daten erhebliche Datenschutzbedenken auf. Da biometrische Daten unveränderlich sind, können Verstöße dauerhafte Folgen haben. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/18/c81861f4adabc30af75e3dad6d3d3881/0123773449v2.jpeg "Konkrete Regelungen des AI Act treten in Kraft. (Bild: KI-generiert)")