DSGVO & KI: Welche Daten dürfen Sie wirklich an OpenAI & Co. schicken?

„Können wir das in ChatGPT eingeben?” ist die häufigste Datenschutz-Frage in unseren Beratungen. Hier die ehrliche Antwort — mit Entscheidungsbaum, Beispielen und Empfehlungen für Tiroler KMU.

Die Grundregel

Personenbezogene Daten dürfen nur dann an einen KI-Anbieter, wenn (1) eine Rechtsgrundlage nach DSGVO besteht, (2) ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen wurde und (3) die betroffenen Personen über den Einsatz informiert sind. Wer eine dieser drei Säulen ignoriert, hat ein Compliance-Problem — unabhängig davon, ob die Daten am Ende „nur” zur Mail-Beantwortung dienen.

Was ist überhaupt „personenbezogen”?

• Klar personenbezogen: Namen, Adressen, E-Mails, Telefonnummern, Kundenkonten, Mitarbeiter-Beurteilungen, Bewerbungsunterlagen, Gesundheitsdaten.
• Auch personenbezogen: IP-Adressen, Cookie-IDs, Foto-Metadaten, Standortdaten, Verhaltensdaten.
• Nicht personenbezogen: Anonymisierte Statistiken (echt anonym, nicht nur pseudonymisiert), interne Produktdaten ohne Personenbezug, allgemeine Branchen-Recherchen.

Der Entscheidungsbaum

Bevor ihr Daten in ein KI-Tool gebt, beantwortet der Reihe nach:

1. Sind die Daten personenbezogen? Wenn nein → ihr seid auf der sicheren Seite, jedes Tool ist okay.
2. Habt ihr eine Rechtsgrundlage? Vertrag mit Betroffenem, berechtigtes Interesse, Einwilligung. Wenn keine → nicht eingeben.
3. Habt ihr einen AVV mit dem Anbieter? Bei Free-Tier praktisch nie. Wenn nein → nicht eingeben.
4. Sind die Betroffenen informiert? Datenschutzerklärung muss KI-Nutzung erwähnen. Wenn nein → erst Datenschutzerklärung anpassen.
5. Sind die Daten besonders sensibel? (Gesundheit, Religion, Sexualität, ethnische Herkunft) → zusätzliche Auflagen, oft besser nicht oder nur on-premise.

Welche Tools haben einen AVV?

• Microsoft Copilot (M365): AVV ist Teil der bestehenden M365-Verträge. EU-Daten-Residency möglich. Empfohlen.
• ChatGPT Team / Enterprise: AVV verfügbar, EU-Region buchbar. Empfohlen für Business-Nutzung.
• Claude Pro / Team / API: AVV mit Anthropic verfügbar. EU-Verarbeitung optional.
• Gemini Business: Über Google Workspace AVV-konform.
• ChatGPT Free / Claude Free / Gemini Free: Kein AVV. Im Unternehmenskontext nicht zulässig für personenbezogene Daten.

Konkrete Beispiele

• Erlaubt: Branchen-Recherche zu „Tourismus-Trends in Tirol” über ChatGPT Team — keine personenbezogenen Daten.
• Erlaubt mit AVV: Mail-Beantwortungs-Workflow in Outlook mit Microsoft Copilot — bestehender M365-Vertrag deckt das.
• Nicht erlaubt: Bewerbungsunterlagen in ChatGPT Free hochladen, um sie zu bewerten.
• Nur mit zusätzlicher Vorsicht: Mitarbeiter-Beurteilungen via KI — auch mit AVV ist hier eine separate Risiko-Bewertung nötig (HR-Daten sind besonders sensibel).

Wenn die Daten zu sensibel sind

Für besonders heikle Anwendungsfälle (Gesundheit, Anwaltskanzleien, Steuerberatung mit Detail-Daten) gibt es zwei Wege:

• On-premise-KI: lokale Modelle wie Llama oder Mistral, die im eigenen Rechenzentrum laufen. Höherer Aufwand, dafür keine Daten-Übermittlung.
• Pseudonymisierung vorab: Daten werden vor dem KI-Einsatz von Personen-Identifikatoren befreit, nach der KI-Verarbeitung wieder zugeordnet.

Häufige Fragen

Reicht ein einfacher AVV oder brauche ich zusätzliche Standardvertragsklauseln?

Wenn die Daten in einem Drittland (z. B. USA) verarbeitet werden, braucht es zusätzlich Standardvertragsklauseln (SCC). Bei US-Anbietern wie OpenAI, Anthropic, Microsoft sind diese Teil des Business-Vertrags.

Was muss in der Datenschutzerklärung stehen?

Welcher KI-Anbieter genutzt wird, zu welchem Zweck, welche Datenkategorien betroffen sind, in welchem Land verarbeitet wird, welche Rechtsgrundlage gilt, welche Aufbewahrungsfristen bestehen.

Brauche ich eine Datenschutz-Folgenabschätzung (DSFA)?

Bei Hochrisiko-Verarbeitung (HR-Entscheidungen, Profiling, große Datenmengen) ja. Für Standard-Office-KI (Mail, Recherche) typischerweise nicht — eine kurze schriftliche Risiko-Bewertung reicht.

Wie sieht es mit dem EU AI Act aus?

Datenschutz und EU AI Act sind zwei separate Themen, beide gelten parallel. Mehr dazu im Beitrag zum EU AI Act für Tiroler Unternehmen.

Wie es weitergeht

Wenn ihr für eure konkreten Use-Cases Klarheit über DSGVO-Konformität braucht, ist ein unverbindliches Erstgespräch der schnellste Einstieg. Wir prüfen gemeinsam, welche Daten ihr in welche Tools geben dürft und welche Vorbereitungen nötig sind. Mehr zu unserem Beratungsangebot unter KI-Leistungen.