Ist KI im Unternehmen erlaubt? Datenschutz & Praxis erklärt

Künstliche Intelligenz (KI) wie ChatGPT, Perplexity oder Microsoft Copilot halten rasant Einzug in den Alltag vieler Unternehmen. Gleichzeitig herrscht Unsicherheit: Ist der Einsatz solcher Tools im Unternehmen überhaupt erlaubt? Verstößt man automatisch gegen die DSGVO? Und was passiert mit Daten, die an KI-Systeme übermittelt werden?

Dieser Artikel erklärt die wichtigsten Grundlagen für Mitarbeitende aus Fachabteilungen – leicht verständlich, ohne Juristensprache und mit praktischen Beispielen.

1. KI im Unternehmen: große Chancen, aber viele Fragezeichen

KI kann Routineprozesse beschleunigen, Wissen verfügbar machen und Mitarbeitende entlasten. Typische Einsatzbeispiele sind:

• Texte schreiben und überarbeiten
• Zusammenfassungen und Analysen
• Recherche
• Vorbereitung von Präsentationen
• Unterstützung bei Meetings
• Kreativarbeit (z. B. Ideen, Entwürfe)

Trotz dieser Chancen stehen viele Unternehmen vor der gleichen Frage: Ist das alles eigentlich erlaubt?

2. Ist KI im Unternehmen grundsätzlich erlaubt?

Kurze Antwort: Ja.

Längere Antwort: Ja – aber nicht grenzenlos und nicht ohne Regeln.

Die DSGVO verbietet KI nicht. Sie regelt lediglich, wie personenbezogene Daten verarbeitet werden dürfen und welche Sicherheitsmaßnahmen eingehalten werden müssen. Das bedeutet:

• KI kann erlaubt sein
• KI kann verboten sein
• KI kann reguliert erlaubt sein

Das hängt vom Kontext ab – insbesondere davon, welche Daten verarbeitet werden.

3. DSGVO und KI: worum geht es wirklich?

Die DSGVO schützt personenbezogene Daten wie Namen, E-Mails, Geburtstage, Kundendaten oder Symptome im Gesundheitsbereich.

Für die Nutzung von Tools wie ChatGPT oder Perplexity gibt es daher zwei entscheidende Fragen:

1. Werden personenbezogene Daten verarbeitet?
2. Werden vertrauliche Unternehmensinformationen verarbeitet?

Wenn beides verneint wird, ist die Nutzung in den meisten Fällen problemlos möglich.

Wenn eines davon zutrifft, braucht es Regeln, Schutzmaßnahmen und in bestimmten Fällen Verträge und technische Lösungen.

4. Public KI vs. Enterprise KI vs. interne GPTs

Aktuell existieren drei Kategorien von KI-Lösungen:

A) Öffentliche KI-Tools (z. B. ChatGPT kostenlos, Perplexity, Claude Free)

→ Daten gehen an externe Anbieter → für vertrauliche Inhalte ungeeignet

B) Unternehmenslösungen (z. B. ChatGPT Business/Enterprise, Microsoft Copilot)

→ keine Trainingsnutzung → Vertragsbeziehung → besser datenschutzregelbar

C) Firmeninterne GPTs / Private Instanzen (Azure OpenAI, On-Premise, S3)

→ volle Datenkontrolle → DSGVO-freundlichste Variante

Zu letzterem existiert ein guter Anwendungsfall-Bericht hier:

https://www.yakup-ai.com/blogs/ki-datenschutz-firmeninterne-gpt-phillip-pham

Hier wird erklärt, wie Unternehmen eigene GPT-Instanzen datenschutzkonform nutzen können, inklusive echter Praxisbeispiele.

5. Tool-Überblick: was geht und was geht nicht?

ChatGPT (free):

• nicht für personenbezogene oder vertrauliche Daten
• sinnvoll für Ideen, Erklärungen, Entwürfe, Brainstorming
• keine Schatten-Daten einfüttern

Perplexity:

• perfekt für Recherche + Quellen
• keine vertraulichen Inhalte eingeben

Microsoft Copilot:

• arbeitet im eigenen Tenant
• Zugriff auf M365-Daten (je nach Berechtigung)
• für Unternehmen oft datenschutzfreundlicher

Firmeninterne GPT-Instanzen:

• volle Kontrolle über Datenfluss
• DSGVO-freundlich
• strategisch sinnvoll für Fachbereiche

6. Was ist im Arbeitsalltag erlaubt?

Erlaubt:

✔ generische Infos

✔ Recherchen

✔ Ideen

✔ öffentliche Daten

✔ Texthilfen

✔ Lernzwecke

✔ Vorbereitungen ohne reale Daten

Nicht erlaubt:

✘ personenbezogene Daten

✘ Unternehmensgeheimnisse

✘ Quellcode

✘ Budgets

✘ Kundenlisten

✘ medizinische Daten

✘ Verträge

✘ HR-Fälle

7. Schatten-IT vermeiden

Viele Unternehmen machen den Fehler, KI komplett zu verbieten. Das führt automatisch zu Schatten-IT:

• Private Endgeräte
• Private Accounts
• Keine Kontrolle
• Mehr Risiko

Die bessere Lösung sind klare Spielregeln, nicht Verbote.

8. KI und Datenschutz: Praxis statt Panik

Datenschutz bedeutet nicht „KI ist verboten“, sondern:

„KI ist erlaubt, wenn Daten verarbeitet werden dürfen.“

Im Detail bedeutet Datenschutz:

• Zweckbindung
• Datenminimierung
• Informationspflicht
• Schutz durch Technik
• Transparenz

Unternehmen, die das früh angehen, profitieren – wie im folgenden Artikel beschrieben:

https://www.yakup-ai.com/blogs/ki-datenschutz-dsgvo-vorteil

Darin wird gezeigt, dass Datenschutz sogar ein Wettbewerbsvorteil sein kann, statt ein Innovationshindernis.

9. Wie Unternehmen KI sicher nutzen können (Praxisplan)

Stufe 1: Grundlagen schaffen

→ Schulung, Ängste abbauen, Begriffe klären

Stufe 2: Spielregeln definieren

→ Prompting-Richtlinien, Datenkategorien, Tool-Listen

Stufe 3: Technische Lösungen wählen

→ Copilot, Enterprise GPT, interne GPTs

Stufe 4: Governance etablieren

→ Datenschutz, IT-Sicherheit, Betriebsrat, Compliance

Stufe 5: Rollout + Feedback

→ Use Cases priorisieren → Fachbereiche befähigen

10. Warum Mitarbeitende jetzt weitergebildet werden sollten

Der größte Engpass im KI-Rollout ist nicht Technik, sondern Kompetenz.

Die meisten Fachabteilungen haben:

• keine Angst vor KI
• aber Angst „etwas falsch zu machen“

Kompetenz baut diese Angst ab.

11. Weiterbildung: KI-Manager (IHK)

Wer KI im Unternehmenskontext einsetzen oder managen möchte, braucht Grundlagen in:

• Datenschutz
• DSGVO
• Governance
• Use Cases
• Prompting
• Tools
• Change Management

Hier setzt der IHK-Zertifikatslehrgang „KI-Manager“ an.

Er vermittelt genau diese Brücke zwischen Fachabteilung, Datenschutz, IT und Management.

Mehr Infos, Termine & Anmeldung:

https://linktr.ee/Yakup_AI

12. Fazit

KI im Unternehmen ist erlaubt – und zwar heute schon.

Nicht alles ist erlaubt.

Aber auch nicht alles ist verboten.

Die Zukunft liegt in:

• Weiterbildung
• Klarheit
• Datenkompetenz
• Governance
• DSGVO + KI-Kompetenz

Wer das früh begreift, profitiert wirtschaftlich, organisatorisch und strategisch.