MENÜ

Blog
Podcast
KI-Bilder
KI-Tools
Über mich
Kontakt
  • Hier geht es um das Thema KI, Sicherheit

KI und Datenschutz: Warum du Firmengeheimnisse nicht in ChatGPT & Co werfen solltest

  • Alex Januschewsky
  • zuletzt aktualisiert: 4. Dezember 2025
  • Lesezeit: 8 Minuten
Darum geht es in diesem Artikel

Hand aufs Herz: Hast du schon mal eine unfertige E-Mail, einen Kundenvertrag oder vielleicht sogar Code-Schnipsel in ChatGPT oder Gemini kopiert? „Nur mal kurz drüberlesen lassen“, oder?

Ich verstehe das. Es ist verdammt bequem. Aber wir müssen reden. Denn was viele nicht wissen – oder verdrängen – ist, was mit diesen Daten passiert, sobald du auf „Senden“ drückst. Du fütterst das Biest. Und im schlimmsten Fall taucht dein vertraulicher Strategieplan als Trainingsmuster in der Antwort für jemand anderen wieder auf.

Klingt paranoid? Vielleicht. Aber in der IT-Sicherheit ist Paranoia eine Tugend. Schauen wir uns an, was hinter den Kulissen passiert und wie du KI nutzen kannst, ohne deine Hosen runterzulassen.

Gratis ist nicht umsonst: Wie du mit deinen Daten bezahlst

Die Grundregel des Internets gilt auch für KI: Wenn das Produkt kostenlos ist, bist du das Produkt.

Sowohl OpenAI (ChatGPT) als auch Google (Gemini) sind datenhungrig. Sie brauchen riesige Mengen an Text, um ihre Modelle zu verbessern. Wenn du die kostenlosen Versionen nutzt, landest du fast immer im Trainingstopf.

Das bedeutet konkret: Deine Eingaben, deine hochgeladenen PDFs und deine Dialoge werden genutzt, um das Modell klüger zu machen. Das System lernt Muster aus deinem Text. Zwar sagen die Anbieter, dass sie persönliche Daten entfernen („scrubben“), aber verlassen würde ich mich darauf bei sensiblen Inhalten nicht.

OpenAI und Google: Wer lernt was?

Es gibt einen riesigen Unterschied zwischen den Versionen für Privatnutzer und den Business-Lösungen. Hier tappen die meisten in die Falle.

  • ChatGPT Free & Plus: Standardmäßig wird hier trainiert. Du kannst das zwar in den Einstellungen unter „Data Controls“ deaktivieren (Opt-out), aber standardmäßig ist der Schalter oft an.
  • ChatGPT Team & Enterprise: Hier sieht die Sache anders aus. OpenAI sagt klar: Daten aus diesen Business-Abos werden nicht für das Training genutzt. Das ist der sichere Hafen für Unternehmen.
  • Google Gemini (Consumer Apps): Wenn du Gemini als Privatperson nutzt (oder die „Smart Features“ in Gmail aktiviert hast), gelten lockerere Regeln. Google nutzt Interaktionen oft zur Verbesserung der Dienste.
  • Google Workspace (Bezahlt): In der Firmenumgebung von Google Workspace werden deine Daten nicht zum Trainieren der öffentlichen Modelle verwendet, ohne dass du explizit zustimmst. Deine Daten bleiben in deinem Container isoliert.

Das Missverständnis: Viele glauben, nur weil sie für ChatGPT Plus 20 Dollar im Monat zahlen, sei alles privat. Falsch. Auch Plus ist ein „Consumer Product“. Erst ab den Team/Enterprise-Lösungen greifen die strengen Datenschutz-Verträge.

Die echte Gefahr: Datenlecks und „Model Inversion“

Warum ist das überhaupt schlimm? „Ich habe doch nichts zu verbergen.“

Doch, hast du. Stell dir vor, du bist Anwalt und lädst Fallakten hoch. Oder Arzt mit Patientenberichten. Diese Daten liegen jetzt auf Servern in den USA.

Das Risiko ist zweigeteilt:

  1. Training: Das Modell könnte theoretisch Muster aus deinen Daten lernen und diese Informationen (wenn auch selten wörtlich) reproduzieren. Forscher haben gezeigt, dass man durch gezielte Fragen (sogenannte Model Inversion Attacks) manchmal Trainingsdaten aus der KI herauskitzeln kann.
  2. Sicherheit & Leaks: Cloud-Dienste können gehackt werden. Deine Chat-Historie ist auf den Servern gespeichert. Ein Leck bei OpenAI oder Google, und deine „geheimen“ Chats sind öffentlich. Erinnerst du dich an den Bug, bei dem ChatGPT-Nutzer plötzlich die Chat-Titel fremder Leute sahen? Genau das meine ich.

Die lokale Alternative: LLMs für Paranoide (und Profis)

Wenn du wirklich sensible Daten hast – Bilanzen, medizinische Daten, Patente –, dann haben diese nichts in der Cloud verloren. Punkt.

Hier schlägt die Stunde der lokalen LLMs.

Ein lokales LLM läuft auf deinem eigenen Computer oder dem Firmenserver. Keine Daten verlassen jemals dein Gerät. Du ziehst quasi das Internetkabel und die KI funktioniert trotzdem.

Tools, die du kennen solltest:

  • LM Studio / Ollama: Damit kannst du Modelle wie Llama 3 oder Mistral ganz einfach auf deinem Laptop installieren.
  • GPT4All oder AnythingLLM: Eine weitere nutzerfreundliche Variante für den Desktop.

Der Nachteil? Du brauchst Hardware-Power (gute Grafikkarte, viel RAM) und die Modelle sind vielleicht nicht ganz so schlau wie das allerneueste GPT-5.1. Aber für Zusammenfassungen sensibler Dokumente reicht es allemal – und du schläfst nachts ruhiger.

KI und Datenschutz: Warum du Firmengeheimnisse nicht in ChatGPT & Co werfen solltest - KI - digitalhandwerk

Deine Checkliste: Do’s und Don’ts

Damit du morgen nicht in den Schlagzeilen landest, hier mein schneller Guide für den Alltag.

DOs

  • Anonymisieren: Ersetze Namen („Herr Müller“) durch Platzhalter („Kunde A“) und entferne alle Adressen, bevor du promptest.
  • Opt-out nutzen: Geh sofort in deine ChatGPT-Einstellungen („Datenkontrollen“ –> „Das Modell für alle verbessern“) und deaktiviere das, wenn du kein Enterprise-Nutzer bist.
  • Enterprise-Verträge: Wenn du KI im Team nutzt, hol dir die Enterprise- oder Team-Lizenzen. Das kostet mehr, sichert dich aber rechtlich ab.
  • Lokale KI nutzen: Für alles, was unter „Streng Vertraulich“ fällt, installiere dir Ollama oder LM Studio.

DON’Ts

  • Passwörter & API-Keys: Niemals, unter keinen Umständen, Passwörter oder Zugangsschlüssel in einen Chatbot pasten.
  • Personenbezogene Daten (PII): Keine Klarnamen, keine Gesundheitsdaten, keine Finanzdaten von Dritten hochladen. Das ist ein direkter DSGVO-Verstoß.
  • Blindes Vertrauen: Verlass dich nicht darauf, dass der „Löschen“-Button sofort alles von den Backup-Servern fegt. Oft bleiben Daten bis zu 30 Tage gespeichert.

Und dann ist da noch die DSGVO

Viele denken bei Datenschutz nur an nervige Cookie-Banner. Aber wenn du KI im Unternehmen nutzt, ist die DSGVO (Datenschutz-Grundverordnung) dein Regelwerk, das entscheidet, ob du smart arbeitest oder mit einem Bein im Bußgeld stehst.

Hier ist der Klartext-Überblick, was du wirklich musst und wo die rote Linie verläuft.

Das Grundprinzip: Wen schützt du eigentlich?

Die DSGVO interessiert sich nicht für deine Firmengeheimnisse. Wenn du deinen geheimen Marketingplan hochlädst, ist das „nur“ dumm, aber kein DSGVO-Verstoß. Die DSGVO greift sofort, sobald personenbezogene Daten im Spiel sind.

  • Namen von Kunden („Herr Müller“)
  • E-Mail-Adressen
  • Mitarbeiterdaten
  • Fotos von Gesichtern

Sobald so etwas im Prompt steht, bist du gesetzlich der „Verantwortliche“ (Controller) und die KI ist dein „Auftragsverarbeiter“ (Processor).

Wozu bist du gezwungen? (Deine Pflichten)

Wenn du KI geschäftlich mit Personendaten nutzen willst, kommst du aus folgenden Pflichten nicht raus:

Der Auftragsverarbeitungsvertrag (AVV / DPA)

Das ist der Knackpunkt, an dem 90% der Nutzer scheitern. Du bist verpflichtet, einen Vertrag mit dem KI-Anbieter zu schließen, der regelt, dass er die Daten weisungsgebunden verarbeitet.

  • Das Problem: In den kostenlosen Versionen (ChatGPT Free/Plus, Gemini Consumer) gibt es diesen Vertrag meist nicht oder er ist rechtlich unzureichend.
  • Die Folge: Die Nutzung der Gratis-KI mit Kundendaten ist damit fast immer illegal.
  • Die Lösung: Erst in den Business/Enterprise-Tarifen bieten OpenAI und Google korrekte AV-Verträge (Data Processing Addendums) an.

Transparenzpflicht (Sag es den Leuten)

Du musst deine Kunden oder Mitarbeiter informieren, dass ihre Daten an eine KI in die USA gehen. Das gehört zwingend in deine Datenschutzerklärung. Heimlich KI nutzen ist nicht drin.

Rechtsgrundlage (Warum tust du das?)

Du brauchst einen Grund (Art. 6 DSGVO). „Weil es praktisch ist“, reicht oft nicht.

  • Einwilligung: Du fragst den Kunden vorher (umständlich).
  • Vertragserfüllung: Es ist notwendig, um den Job zu machen (eher selten bei KI).
  • Berechtigtes Interesse: Möglich, aber wackelig, wenn die Daten zum KI-Training genutzt werden.

Die USA-Falle (Drittlandtransfer)

OpenAI und Google sitzen in den USA. Datenübermittlung in die USA ist rechtlich immer heikel. Zwar gibt es das neue „Data Privacy Framework“, das den Transfer erleichtert, aber du bist trotzdem in der Pflicht zu prüfen, ob die Daten dort sicher sind (Stichwort: TIA – Transfer Impact Assessment).

Warnung bei Gemini & Co: In der Consumer-Version von Gemini schauen sich teilweise echte Menschen (Reviewer) die Chatverläufe an, um die KI zu verbessern. Das steht so in den Bedingungen. Wenn da Patientendaten dabei sind: Viel Spaß beim Erklären.

Deine Strategie: So bleibst du sauber

Du hast genau drei Optionen, um nicht verklagt zu werden:

  1. Die „Sichere Nummer“ (Anonymisierung): Der einfachste Hack. Entferne vorher alle Namen und Identifikationsmerkmale. Mach aus „Kunde Hans Müller in Berlin“ einfach „Kunde A in Großstadt“. Wenn keine Person erkennbar ist, greift die DSGVO nicht. Problem gelöst.
  2. Die „Profi-Nummer“ (Enterprise & Verträge): Zahle für ChatGPT Team/Enterprise oder Google Workspace. Dort schließt du den AV-Vertrag ab, die Daten werden nicht für das Training genutzt und bleiben (eher) in deinem Hoheitsgebiet.
  3. Die „Paranoide Nummer“ (Lokal): Wie erwähnt: Nutze lokale LLMs. Da verlassen die Daten nie dein Haus, die DSGVO-Problematik bezüglich Datentransfer fällt komplett weg.

Zusammenfassung für Eilige

  • Gratis-KI + Kundendaten = Illegal (wegen fehlendem Vertrag).
  • Personenbezogene Daten = DSGVO-Alarm.
  • Anonymisieren = Dein bester Freund.

Hirn einschalten

KI ist ein Werkzeug, kein digitaler Mülleimer für deine Geheimnisse. Die großen Anbieter wie Google und OpenAI machen Fortschritte bei Business-Lösungen, aber die Verantwortung liegt am Ende bei dir. Überlege vor jedem Upload kurz: „Wäre es schlimm, wenn das morgen in der Zeitung stünde?“ Wenn die Antwort „Ja“ ist, lass die Cloud weg und mach es lokal.

Bleib neugierig, aber bleib sicher.

Wenn dir der Beitrag gefallen oder weitergeholfen hat, teile ihn gern in deinem Netzwerk – und hinterlass mir eine Bewertung und/oder einen Kommentar. Dein Feedback zeigt mir, was ankommt – und motiviert mich, noch mehr davon zu machen.

Genug gelesen – jetzt wird gemacht!

Wenn du wissen willst, wie KI dein Business wirklich weiterbringt, lass uns reden. Kein theoretisches Blabla, keine Hypes, sondern klare Ansätze, mit denen du sofort starten kannst. Ich zeige dir, wie du generative KI sinnvoll einsetzt – verständlich, kreativ und so, dass sie zu dir passt.
Schreib mir – und wir machen aus deiner Idee dein erstes KI-Projekt.
Picture of Alex Januschewsky

Alex Januschewsky

GenAI-Evangelist, Digitalpionier und "Prompt Rocker". Seit über 30 Jahren entwickle ich Kommunikation, die nicht auf Hype setzt, sondern auf echte Wirkung – klar, klug und mit einem tiefen Verständnis für Technologie und Sprache. Auf digitalhandwerk.rocks teile ich Ideen, Impulse und erprobtes Wissen für Unternehmer, Entscheider und KI-Enthusiasten, die mehr wollen als Schlagwörter und bunte Versprechen. Hier geht es um Substanz, nicht um Show – um echte Werkzeuge für Menschen, die gestalten wollen, nicht nur konsumieren.

Hinterlasse einen Kommentar

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The reCAPTCHA verification period has expired. Please reload the page.

Suche
Verwandte Beiträge