Darf man Kundendaten in ChatGPT eingeben?

Das Wichtigste in Kürze

• Kundendaten mit Personenbezug fallen unter das revDSG und in vielen Fällen auch unter die DSGVO.

• Die kostenlose ChatGPT-Version und ChatGPT Plus können Eingaben standardmässig für das Modelltraining verwenden, sofern Sie nicht aktiv widersprechen.

• ChatGPT Enterprise und die OpenAI API sind datenschutzfreundlicher, erfordern aber einen Auftragsverarbeitungsvertrag.

• Für Datentransfers in die USA braucht es eine Transfergrundlage; seit September 2024 gilt für zertifizierte US-Unternehmen das Swiss-US Data Privacy Framework, das die Übermittlung erleichtert, aber den AVV nicht ersetzt.

• Eine interne KI-Nutzungsrichtlinie mit klarer Datenklassifikation ist der wichtigste Schutz.

Was gilt als Kundendaten im Sinne des Datenschutzrechts?

Kundendaten sind Personendaten, sobald sie sich auf eine bestimmte oder bestimmbare Person beziehen. Das revDSG (revidiertes Bundesgesetz über den Datenschutz, in Kraft seit September 2023) schützt alle solchen Informationen: Name, E-Mail-Adresse, Telefonnummer, aber auch indirekte Angaben wie Kaufverhalten, Jahresumsatz oder Unternehmensrolle, wenn diese einer konkreten Person zugeordnet werden können.

In der Praxis sind das exakt jene Angaben, die Mitarbeitende aus dem CRM ziehen, wenn sie einen Kunden beschreiben: "Monika Huber, Geschäftsführerin bei Huber Treuhand AG, interessiert an Produkt X, zuletzt kontaktiert am 14. März." Damit ist die Schwelle zum Personendatum längst überschritten.

Besondere Vorsicht ist bei besonders schützenswerten Personendaten angebracht: Gesundheitsdaten, finanzielle Verhältnisse, politische Ansichten, Religionszugehörigkeit. Wer beispielsweise ein Angebot für einen Kunden aus dem Pflegebereich formuliert und dabei Informationen über Bewohnende einbezieht, bewegt sich in einer anderen Risikoklasse als jemand, der einen generischen Begleittext verfasst.

Welche ChatGPT-Version verwenden Ihre Mitarbeitenden?

Nicht alle ChatGPT-Versionen behandeln Eingabedaten gleich. Free und Plus können Gespräche für das Modelltraining nutzen. Teams und Enterprise tun das nicht, stellen einen AVV bereit und sind damit ein naheliegender Weg, ChatGPT mit einem minimalen Datenschutzanspruch im Unternehmenskontext einzusetzen.

ChatGPT Free und ChatGPT Plus: OpenAI behielt sich in den Nutzungsbedingungen vor, Konversationen für das Training der Modelle zu verwenden. Seit einigen Versionen gibt es in den Einstellungen eine Opt-out-Option. Wer diese nicht aktiv deaktiviert, nimmt am Training teil. In der Praxis ist das opt-out wenig bekannt und kaum systematisch eingerichtet.

ChatGPT Teams und ChatGPT Enterprise: Diese Business-Versionen schliessen das Training auf Basis von Gesprächen standardmässig aus. Dazu stellt OpenAI einen Auftragsverarbeitungsvertrag (AVV) bereit. Für Unternehmen mit ernsthaftem Datenschutzanspruch ist das der Mindeststandard, kein optionaler Luxus. ChatGPT Teams ist für die meisten KMU die pragmatischere Wahl, weil Enterprise oft erst ab einer höheren Mindestanzahl an Lizenzen verfügbar ist.

Achtung: Memory-Funktion. ChatGPT verfügt über eine Gedächtnisfunktion. Wenn ein Mitarbeitender dort einmal Kundendaten eingibt ("Merke dir: Kunde Huber hat Budget X"), bleiben diese dauerhaft im Nutzerprofil gespeichert, auch über einzelne Gespräche hinaus. Diese Funktion sollte in der internen KI-Nutzungsrichtlinie explizit geregelt sein: entweder deaktiviert oder regelmässig bereinigt, sobald Kundendaten im Spiel sind.

OpenAI API: Über die API übermittelte Daten verwendet OpenAI standardmässig nicht für das Training. Auch hier ist ein AVV notwendig, und je nach Art der Verarbeitung braucht es zusätzlich eine Datenschutz-Folgenabschätzung gemäss revDSG Art. 22.

Was passiert mit Ihren Daten bei OpenAI?

Wenn Sie Daten in ChatGPT eingeben, verarbeitet OpenAI diese auf Servern in den USA. Damit wird OpenAI zum Auftragsverarbeiter, und die Übermittlung von Personendaten in ein Drittland ausserhalb der EU und der Schweiz löst zusätzliche Anforderungen aus.

Zur Transfergrundlage: Seit September 2024 hat der Bundesrat das Swiss-US Data Privacy Framework (DPF) in Kraft gesetzt. Damit gilt für US-Unternehmen, die unter diesem Framework zertifiziert sind, ein von der Schweiz anerkanntes angemessenes Schutzniveau. OpenAI ist zertifiziert. Das erleichtert den Transfer grundsätzlich. Es entbindet Schweizer KMU aber nicht vom AVV, der nur in den Business-Versionen verfügbar ist, und auch nicht von der Transparenzpflicht in der eigenen Datenschutzerklärung.

Für Nutzerinnen und Nutzer der kostenlosen Versionen ändert das DPF wenig: Ohne AVV fehlt weiterhin die vertragliche Grundlage für eine regelkonforme Auftragsverarbeitung. Der EDOEB erwartet, dass Unternehmen Datentransfers in Drittstaaten dokumentieren und absichern, unabhängig davon, ob ein Angemessenheitsbeschluss vorliegt.

Was sagt das revDSG konkret zu ChatGPT?

Das revDSG nennt ChatGPT nicht. Es gilt trotzdem.

Wer Personendaten verarbeitet oder durch einen Dienstleister verarbeiten lässt, braucht eine Rechtsgrundlage: die Einwilligung der betroffenen Person, ein überwiegendes privates Interesse oder eine gesetzliche Grundlage. Bei systematischer Nutzung externer KI-Plattformen ist in vielen Fällen keine dieser Grundlagen ohne weiteres gegeben und muss im Einzelfall sauber hergeleitet und dokumentiert werden.

Das Argument "Das steht in unseren AGB" trägt selten. Der EDOEB und europäische Datenschutzbehörden haben klare Anforderungen an eine informierte, freiwillige und spezifische Einwilligung gestellt. Eine Formulierung im Kleingedruckten erfüllt diese Anforderungen in der Regel nicht.

Wenn die Nutzung von ChatGPT als Auftragsverarbeitung gilt, also wenn OpenAI in Ihrem Auftrag Daten verarbeitet, ist ein AVV verpflichtend. Ohne diesen Vertrag ist die Verarbeitung unabhängig von der Risikohöhe nicht regelkonform. Für Unternehmen mit Kunden in der EU gilt die DSGVO parallel, was die Anforderungen noch einmal verschärft.

Wann ist die Eingabe von Kundendaten in ChatGPT erlaubt?

Eine pauschale Freigabe gibt es nicht. Es gibt aber Situationen, in denen die Nutzung mit vertretbarem Risiko möglich ist.

Szenario 1: Echte Anonymisierung. Wer alle identifizierenden Merkmale entfernt, hat kein Personendatum mehr. Aus "Monika Huber, Huber Treuhand, Zürich, Budget CHF 60.000" wird "mittelständisches Treuhandunternehmen in der Deutschschweiz, ähnliche Grössenordnung." Das ist aufwendiger, funktioniert aber rechtlich. Wichtig: Pseudonymisierung reicht nicht, wenn eine Reidentifizierung anhand anderer Daten möglich bleibt.

Szenario 2: ChatGPT Enterprise mit AVV. Mit einem gültigen Auftragsverarbeitungsvertrag, deaktiviertem Training und einer internen Richtlinie, die den Einsatz regelt, ist eine eingeschränkte Nutzung möglich. "Eingeschränkt" bedeutet: keine besonders schützenswerten Daten, keine Vertragsdokumente, keine Bankdaten.

Szenario 3: Öffentlich zugängliche Informationen. Informationen, die ohnehin öffentlich sind, zum Beispiel der Firmenname und die Website-URL, fallen nicht unter den gleichen Schutz. Vorsicht gilt aber, sobald öffentliche mit internen Daten kombiniert werden, weil dann ein Personenbezug entstehen kann.

Besonders schützenswerte Personendaten, Bankverbindungen und Gesundheitsinformationen sollten in Consumer-Versionen von ChatGPT grundsätzlich nicht eingegeben werden. Eine regelkonforme Nutzung ist nur dort möglich, wo eine tragfähige Rechtsgrundlage und geeignete Schutzmassnahmen vorliegen, also in der Praxis nur mit einem AVV und einer freigegebenen Business-Version.

Was tun, wenn Mitarbeitende bereits Kundendaten eingegeben haben?

Das passiert. Wenn man ehrlich ist, passiert es in den meisten KMU bereits heute, meistens ohne böse Absicht und ohne dass es jemand als Problem erkannt hat.

Erstens: Kein Panikverbot. Verbote produzieren Shadow AI. Mitarbeitende nutzen die Tools weiterhin, nur unbeobachtet und ohne interne Kontrolle. Das ist datenschutzrechtlich schlechter als eine dokumentierte Nutzung mit klaren Regeln.

Zweitens: Den konkreten Vorfall einschätzen. Wenn durch die Eingabe von Personendaten eine Datenschutzverletzung entstanden ist und dadurch voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person besteht, ist eine Meldung an den EDOEB nach Art. 24 revDSG erforderlich. Ob das der Fall ist, muss im Einzelfall beurteilt werden.

Drittens: Nachschulung, nicht Sanktion. Mitarbeitende handeln nicht bösartig. Sie wollen effizienter arbeiten, und das ist legitim. Die Lösung liegt darin, ihnen zu zeigen, was erlaubt ist und was nicht, und ihnen sinnvolle Alternativen zu geben.

Wie schützen Sie Ihr Unternehmen mit einer KI-Nutzungsrichtlinie?

Eine KI-Nutzungsrichtlinie legt in verständlicher Sprache fest, welche Daten in welche KI-Tools eingegeben werden dürfen. Sie muss kein hundert-seitiges Dokument sein. Ein Ampelsystem reicht als Ausgangspunkt:

Grün: Öffentliche Informationen, interne Texte ohne Personendaten, eigene Arbeitsnotizen und generische Formulierungen ohne Kundenbezug.

Gelb: Interne Dokumente mit allgemeinen Unternehmensangaben, nicht sensible Projektbeschreibungen ohne Personenbezug. Erlaubt unter bestimmten Bedingungen und nur in freigegebenen, vertraglich abgesicherten Tools.

Rot: Kundendaten mit Personenbezug, Finanzunterlagen, Vertragsdetails, besonders schützenswerte Daten. Nicht erlaubt ohne spezifische Freigabe, Rechtsgrundlage und AVV.

Diese Richtlinie wirkt nur, wenn sie kommuniziert, regelmässig wiederholt und in der Einarbeitung neuer Mitarbeitender besprochen wird. Erfahrungsgemäss vergessen drei Viertel der Belegschaft den Inhalt einer Schulung nach zwei Wochen, wenn es keine Erinnerungssysteme gibt.

Sinnvoll ist auch ein KI-Inventar: eine überschaubare Liste aller KI-Tools, die im Unternehmen eingesetzt werden, mit Angabe der Datenschutzkategorie, des AVV-Status und des verantwortlichen Teams. In vielen KMU lässt sich das in einem halben Tag erstellen, wenn man weiss, wonach man sucht.

Ein Punkt, der in der Praxis oft vergessen geht: die Memory-Funktion von ChatGPT. Wenn ein Mitarbeitender dort einmal Kundendaten hinterlegt ("Merke dir: Kunde Huber bevorzugt Angebote unter CHF 50.000"), bleiben diese dauerhaft im Nutzerprofil gespeichert. Die Nutzungsrichtlinie sollte explizit festhalten, ob und wie Memory bei der Arbeit mit Kundendaten eingesetzt werden darf, und wer dafür verantwortlich ist, das Gedächtnis regelmässig zu bereinigen.