„Duerfen wir ChatGPT eigentlich benutzen?"
Diese Frage hoere ich staendig. Von Teamleitern, Freelancern, Geschaeftsfuehrern – alle wollen KI nutzen, aber niemand will der sein, der einen DSGVO-Verstoss verursacht.
Und dann passiert meistens eins von zwei Dingen:
Option A: Das ganze Team nutzt KI heimlich, ohne Policy, ohne Richtlinien. Option B: KI wird komplett verboten. „Zu riskant."
Beides ist falsch.
Die Wahrheit liegt irgendwo in der Mitte – und ist viel weniger kompliziert, als die meisten denken.
Was die DSGVO wirklich verlangt
Kurze Rechts-Erinnerung (ich bin kein Anwalt, das hier ist keine Rechtsberatung):
Die DSGVO schuetzt personenbezogene Daten. Das sind:
- Namen
- E-Mail-Adressen
- Telefonnummern
- IP-Adressen
- Alles, womit man eine Person identifizieren kann
Was die DSGVO nicht reguliert:
- Allgemeine Geschaeftsinformationen
- Produktbeschreibungen
- Marketing-Texte
- Code (solange keine Personendaten drin stecken)
- Kreative Inhalte
Die Frage ist also nicht „Darf ich KI nutzen?" sondern „Welche Daten gebe ich der KI?"
Die goldene Regel
Gib der KI keine personenbezogenen Daten.
Das klingt simpel – und ist es auch. Aber schauen wir uns an, was das praktisch bedeutet:
Okay:
„Schreib einen Blog-Artikel ueber Projektmanagement"
„Erstell eine Produktbeschreibung fuer kabelllose Kopfhoerer"
„Analysier diesen Geschaeftsbericht (nur Zahlen, keine Namen)"
Problematisch:
„Hier ist eine E-Mail von Thomas Mueller (thomas@firma.de), bitte antworte darauf"
„Analysier diese Kundenliste mit Namen und Adressen"
„Fass dieses Meeting-Protokoll zusammen (mit Teilnehmernamen)"
Die Loesung fuer problematische Faelle:
„Hier ist eine E-Mail von einem Kunden (anonymisiert), bitte antworte darauf"
„Analysier diese anonymisierte Kundenliste"
„Fass dieses Meeting-Protokoll zusammen: [Namen durch Rollen ersetzen]"
Der praktische Workflow fuer Teams
Hier ist, wie ich es in meinen Projekten handhabe:
Schritt 1: Anonymisieren vor dem Einfuegen
Bevor irgendetwas in ChatGPT oder Claude landet:
- Namen → Rolle (z.B. „Thomas Mueller" → „Projektleiter")
- E-Mails → Entfernen oder [anonymisiert]
- Telefonnummern → Entfernen
- Firmennamen (wenn vertraulich) → „Kunde A", „Partner B"
Schritt 2: Sensible Projekte lokal verarbeiten
Fuer wirklich vertrauliche Daten (Vertraege, Personalakten, Finanzdaten):
- Whisper lokal statt Cloud-Transkription
- LLaMA/Mistral lokal statt ChatGPT
- Stable Diffusion lokal statt Midjourney
Alles bleibt auf deinem Rechner. Nichts geht in die Cloud.
Schritt 3: Team-Guidelines festlegen
Ein einfaches Dokument reicht:
KI-Nutzungsrichtlinie
DO:
- KI fuer allgemeine Texte, Code, Recherche nutzen
- Oeffentliche Informationen eingeben
- Anonymisierte Daten eingeben
DON'T:
- Kundennamen/-daten eingeben
- Interne E-Mails komplett reinkopieren
- Vertrauliche Unternehmensdaten eingeben
BEI UNSICHERHEIT:
- Erst anonymisieren, dann eingeben
- Oder: Lokale KI-Loesung nutzen
Die kostenlosen Skills – und warum sie DSGVO-unkritisch sind
Hier ist, was bei KI-Skills passiert:
- Du kopierst einen Skill (=Prompt) in ChatGPT/Claude
- Der Skill enthaelt nur Anweisungen – keine Daten
- Du gibst deine Inhalte ein
- Die KI verarbeitet sie
Der Skill selbst ist datenschutzrechtlich irrelevant. Es ist Text. Es sind Anweisungen wie „Schreib eine E-Mail" oder „Erstell eine Zusammenfassung".
Die Frage ist nur: Was gibst du danach ein?
Und da gilt: Anonymisieren, fertig.
Use Cases nach Risiko sortiert
Niedriges Risiko (einfach machen)
| Use Case | Warum unproblematisch |
|---|---|
| Blog-Posts schreiben | Keine Personendaten |
| Produktbeschreibungen | Keine Personendaten |
| Code generieren | Keine Personendaten |
| Social Media Posts | Keine Personendaten |
| Marketingtexte | Keine Personendaten |
| Praesentation erstellen | Keine Personendaten |
Fuer diese Faelle: Einfach loslegen. Kein Risiko.
Mittleres Risiko (anonymisieren)
| Use Case | Was tun |
|---|---|
| E-Mail-Antworten | Absender anonymisieren |
| Meeting-Zusammenfassungen | Namen durch Rollen ersetzen |
| Kundenfeedback analysieren | Namen entfernen |
| Bewerbungen screenen | Namen schwaerzen |
Fuer diese Faelle: 30 Sekunden anonymisieren, dann loslegen.
Hohes Risiko (lokale Loesung)
| Use Case | Was tun |
|---|---|
| Vertrauliche Vertraege | Lokal mit LLaMA/Mistral |
| Personalakten | Lokal verarbeiten |
| Finanzberichte | Lokal oder gar nicht |
| Medizinische Daten | Lokale Loesung oder spezialisierte Software |
Fuer diese Faelle: Cloud-KI vermeiden. Lokale Alternativen nutzen.
Lokale KI-Optionen (100% DSGVO-konform)
Wenn du wirklich auf Nummer sicher gehen willst – oder musst:
Ollama + LLaMA/Mistral
Laeuft auf deinem Laptop. Keine Cloud-Verbindung.
Setup:
- ollama.ai herunterladen
- Terminal:
ollama run llama3.2 - Fertig. Lokale KI, keine Daten nach aussen.
Qualitaet: Mittlerweile sehr nah an ChatGPT fuer die meisten Aufgaben.
LM Studio
Grafische Oberflaeche fuer lokale KI-Modelle. Einsteigerfreundlicher als Ollama.
Vorteile:
- Schicke UI
- Einfache Modell-Auswahl
- Laeuft offline
Whisper (Transkription)
Fuer Meeting-Aufnahmen:
- Laeuft lokal
- 99 Sprachen
- Qualitaet besser als die meisten Cloud-Dienste
Was deutsche Unternehmen falsch machen
Ich seh staendig diese Fehler:
Fehler 1: KI komplett verbieten
Das Ergebnis? Das Team nutzt ChatGPT trotzdem – nur heimlich, ohne Richtlinien, ohne Schulung. Das ist gefaehrlicher als eine klare Policy.
Fehler 2: Teure „DSGVO-konforme KI-Tools" kaufen
Manche Anbieter verkaufen ueberteuertes Zeug mit „DSGVO-konform"-Label. In Wahrheit ist die DSGVO-Konformitaet meistens eine Frage der Nutzung, nicht des Tools.
Fehler 3: Keine Guidelines haben
Ohne klare Regeln macht jeder was anderes. Der eine kopiert Kundendaten rein, der andere anonymisiert brav. Chaos.
Fehler 4: Ueberreagieren
„Wir duerfen die Firmenstrategie nicht mit KI besprechen!" – Doch, duerft ihr. Solange keine Personendaten drin sind, ist das DSGVO-irrelevant.
Der Realitaets-Check
Ich frag mal so:
- Hast du schon mal was bei Google gesucht? → Daten gingen an US-Server.
- Nutzt du Microsoft 365? → Cloud-Verarbeitung.
- Verwendest du Slack oder Teams? → Cloud-Nachrichten.
- Surfst du im Internet? → Tracking ueberall.
ChatGPT ist nicht gruseliger als diese Tools. Es ist einfach neuer.
Die DSGVO fordert verhaeltnismaessigen Umgang mit personenbezogenen Daten. Sie verbietet nicht, Cloud-Dienste zu nutzen.
Konkrete Empfehlung fuer dein Team
Fuer kleine Teams (< 10 Personen):
- Baseline: ChatGPT/Claude Free fuer taegliche Aufgaben
- Guidelines: 1 Seite mit Do’s und Don’ts
- Bei sensiblen Daten: Anonymisieren vor Eingabe
- Optional: Ollama lokal fuer wirklich vertrauliches
Fuer groessere Teams:
- Baseline: ChatGPT Team oder Claude Team (bessere Datenschutz-Features)
- Schulung: 30-Minuten-Einweisung fuer alle
- Guidelines: Dokumentierte Richtlinie
- Audit: Regelmaessig pruefen, ob Guidelines eingehalten werden
Fuer regulierte Branchen (Gesundheit, Finanzen, Recht):
- Default: Lokale KI (Ollama, LM Studio)
- Cloud nur: Fuer nicht-sensible Aufgaben
- Dokumentation: Verfahrensverzeichnis aktualisieren
- Beratung: Bei Unsicherheit den Datenschutzbeauftragten fragen
Die Skills und DSGVO
Unsere kostenlosen Skills sind:
- Reine Text-Anweisungen (keine Daten)
- Open Source (du siehst, was drin steht)
- Tool-agnostisch (funktionieren mit ChatGPT, Claude, lokalen Modellen)
Sie sind genauso DSGVO-relevant wie eine Word-Vorlage. Das heisst: gar nicht.
Die DSGVO-Relevanz kommt von dem, was du eingibst – nicht von der Anweisung, die du der KI gibst.
Fazit: KI ja, Panik nein
Die DSGVO ist kein KI-Verbot. Sie ist ein Rahmen fuer den Umgang mit Personendaten.
Wenn du:
- Keine Personendaten eingibst
- Oder vorher anonymisierst
- Oder lokale Loesungen nutzt
…dann nutzt du KI DSGVO-konform. So einfach ist das.
Lass dich nicht von Angst lahmlegen. Lass dich nicht von teuren „Compliance-Loesungen" ueber den Tisch ziehen.
Nutz die kostenlosen Tools. Halte dich an simple Guidelines. Profitier von KI.
Deutschland kann es sich nicht leisten, KI zu ignorieren, weil jemand Angst vor der DSGVO hat.
Bereit loszulegen? Unsere kostenlosen KI-Skills funktionieren mit ChatGPT, Claude und lokalen Modellen. Ein Klick kopiert, sofort nutzbar – datenschutzkonform ist nur eine Frage der richtigen Eingabe.