ChatGPT, Claude und Co. im Unternehmen:

Generative KI-Tools wie ChatGPT und Claude haben sich schneller in den Arbeitsalltag eingeschlichen als die rechtlichen Rahmenbedingungen dafür geschaffen wurden. Die Aufsichtsbehörden adressieren diese Lücke zunehmend aktiv. Viele Organisationen wissen, dass sie etwas regeln müssten, aber die meisten haben es noch nicht getan, weil sie schlicht nicht wissen, wo und wie man damit anfängt.

Das Wichtigste auf einen Blick

• Ohne abgeschlossenen Auftragsverarbeitungsvertrag (AVV) mit dem jeweiligen KI-Anbieter ist jede betriebliche Nutzung, bei der personenbezogene Daten verarbeitet werden, ein offener Verstoß gegen Art. 28 DSGVO.
• Weder ChatGPT noch Claude verfügen aktuell über eine Zertifizierung nach dem EU-U.S. Data Privacy Framework. Die Übermittlung von Daten in die USA stützt sich deswegen einzig auf Standardvertragsklauseln (SCCs) nach Art. 46 DSGVO. Diese verpflichten die Parteien nach Klausel 14 des Durchführungsbeschlusses zu SCCs, ein Transfer Impact Assessment durchzuführen und zu dokumentieren.

• Eine Aktualisierung der Datenschutzinformationen für Betroffene und je nach Einsatzszenario eine Datenschutz-Folgenabschätzung sind keine optionalen Governance Maßnahmen, sondern gesetzliche Pflichten. Eine interne KI-Richtlinie ist es nicht, aber ohne sie lassen sich die anderen Anforderungen in der Praxis kaum erfüllen.

   

Was derzeit in den meisten Unternehmen fehlt

• Auftragsverarbeitung bei der Nutzung von ChatGPT, Claude und Co.

Sobald Mitarbeiter personenbezogene Daten eingeben, also auch den Namen eines Kunden, die Emailadresse eines Vertragspartners oder Informationen über Kollegen, findet eine Auftragsverarbeitung statt, die Art. 28 DSGVO unterfällt.

Anbieter wie OpenAI oder Anthropic stellen für ihre Businesspläne einen Auftragsverarbeitungsvertrag bereit, der automatisch Bestandteil der jeweiligen Geschäftsbedingungen wird. Voraussetzung ist jedoch, dass das Unternehmen einen entsprechenden Business Account abgeschlossen hat.

Wer die Nutzung privater Accounts duldet, hat also gar keinen Auftragsverarbeitungsvertrag in der Hand, weil normale Consumerpläne keinen vorsehen. Wer personenbezogene Daten über einen solchen Dienst verarbeitet, ohne zuvor einen Auftragsverarbeitungsvertrag abgeschlossen zu haben, verstößt gegen Art. 28 DSGVO.

• Datentransfer in die USA und Standardvertragsklauseln

Parallel dazu stellt sich die Frage des Datentransfers in die USA. ChatGPT (OpenAI) und Claude (Anthropic) sind Dienste von US-amerikanischen Unternehmen.

Da beide Anbieter nicht unter dem EU-U.S. Data Privacy Framework zertifiziert sind, stützt sich die Übermittlung ausschließlich auf die in den Auftragsverarbeitungsverträgen automatisch enthaltenen Standardvertragsklauseln.

Klausel 14 des Durchführungsbeschlusses über Standardvertragsklauseln verpflichtet die Parteien, ein Transfer Impact Assessment durchzuführen, in der das Schutzniveau im Empfängerland bewertet und dokumentiert wird. Diese Dokumentation ist auf Anfrage der Aufsichtsbehörde vorzulegen.

• KI-Kompetenz nach Art. 4 KI-Verordnung

Parallel dazu gilt aus der KI-Verordnung seit dem 2. Februar 2025 die Pflicht nach Art. 4, dass Unternehmen sicherstellen müssen, dass ihr Personal über ausreichende Kenntnisse für den verantwortungsvollen Umgang mit KI-Systemen verfügt.

Wer Mitarbeitern KI-Tools zur Verfügung stellt, trägt also nicht nur eine datenschutzrechtliche, sondern auch eine KI-rechtliche Verantwortung für den Rahmen, in dem diese Tools genutzt werden.

Was bedeutet das konkret?

Gilt das auch, wenn Mitarbeiter ihren privaten Account für die Arbeit nutzen?

Ja. Wer als Arbeitgeber von der Nutzung weiß oder sie duldet, ist datenschutzrechtlich mitverantwortlich für das, was dabei verarbeitet wird.

Über einen privaten Account schließt das Unternehmen zudem keinen Auftragsverarbeitungsvertrag ab, was die Situation noch exponierter macht.

Wann brauchen wir zusätzlich eine Datenschutz-Folgenabschätzung?

Art. 35 DSGVO verlangt eine formale Folgenabschätzung, wenn die Verarbeitung voraussichtlich ein hohes Risiko für betroffene Personen mit sich bringt.

Bei KI-Tools ist das normalerweise der Fall, wenn das System zur systematischen Bewertung von Mitarbeitern oder Kunden eingesetzt wird, wenn es um besondere Kategorien personenbezogener Daten geht wie Gesundheits- oder Beschäftigtendaten, oder wenn der Einsatz umfangreich und regelmäßig ist und viele Personen betrifft.

Wer diese Tools also z.B. für die automatisierte Analyse von Kundenfeedback, Bewerbungsunterlagen oder Bewertung von Gesundheitsdaten nutzt, wird eine Folgenabschätzung kaum vermeiden können.

Bei solchen Einsatzszenarien könnte außerdem eine Hochrisikoeinstufung nach der KI-Verordnung greifen, die eigene Anforderungen an Dokumentation und Konformität auslöst.

Was sind unsere Informationspflichten gegenüber Betroffenen?

Art. 13 DSGVO verlangt, dass Personen bei Erhebung ihrer Daten informiert werden. Das gilt auch dann, wenn ein Mitarbeiter Kundendaten oder Daten von Vertragspartnern in ein KI-Tool eingibt.

Die Datenschutzerklärung des Unternehmens muss den Einsatz von KI-Dienstleistern als Auftragsverarbeiter ausweisen, einschließlich der Übermittlung in die USA und der genutzten Transferbasis.

Für Beschäftigte greift Art. 13 DSGVO über die interne Datenschutzinformation. Wer KI-Tools einführt, ohne die Belegschaft darüber zu informieren, verletzt diese Pflicht unabhängig davon, ob ein Betriebsrat vorhanden ist.

Brauchen wir eine eigene KI-Richtlinie?

Eine KI-Richtlinie ist gesetzlich nicht vorgeschrieben, aber aus gutem Grund in der Praxis dringend zu empfehlen.

Nur wenn Mitarbeiter wissen, welche Tools unter welchen Bedingungen erlaubt sind, welche Eingaben sie vermeiden sollen und warum, können sie selbst einschätzen, was sie dürfen und was nicht.

Hinzu kommt, dass Art. 4 der KI-Verordnung Unternehmen bereits seit Februar 2025 dazu verpflichtet, sicherzustellen, dass Mitarbeiter, die KI-Systeme nutzen, über die dafür nötige Kompetenz verfügen. Eine KI-Richtlinie ist dafür das naheliegendste Instrument.

Unsere Einschätzung und der nächste Schritt

Die Rechtslage ist komplex, die Lücken in der Praxis sind es weniger. Fast immer fehlen dieselben Dinge: die vertragliche Grundlage, die Dokumentation und der Rahmen für die Mitarbeiter. Das lässt sich lösen.

Wir prüfen bestehende Auftragsverarbeitungsverträge mit KI-Anbietern auf Vollständigkeit, begleiten Transfer Impact Assessments und Datenschutz-Folgenabschätzungen, entwickeln praxistaugliche interne KI-Richtlinien, und aktualisieren Datenschutzinformationen für Kunden und Mitarbeiter.

Als Teil des Bitkom Verbands kennen wir die Prüfpraxis der Aufsichtsbehörden aus direkter Erfahrung und sind nah an der Regulierungsentwicklung auf beiden Rechtsgebieten.

Ob als einmaliges Beratungsmandat oder als laufende Compliance-Partnerschaft: wir begleiten Sie dabei, KI-Nutzung rechtssicher zu gestalten.