Künstliche Intelligenz ist in vielen Büros längst angekommen. Auch ChatGPT im Unternehmen wird inzwischen ganz selbstverständlich eingesetzt – etwa zum Formulieren von E-Mails oder zum Strukturieren von Angeboten, für Gesprächsnotizen oder zur Vorbereitung von Präsentationen.
Oft geschieht das zunächst ganz pragmatisch. Ein Mitarbeiter probiert das Tool aus, stellt fest, dass es den Arbeitsalltag erleichtert – und schon gehört es zum Büroalltag.
Viele Geschäftsführer gehen dabei davon aus, dass mit einer ChatGPT-Business- oder Team-Lizenz automatisch auch alle datenschutzrechtlichen Fragen erledigt sind.
So einfach ist es jedoch nicht.
Denn sobald Mitarbeiter KI-Tools im Unternehmensalltag einsetzen, stellt sich eine organisatorische Frage, die in vielen Betrieben zunächst übersehen wird:
==> Wie wird der Umgang mit personenbezogenen Daten im Zusammenhang mit solchen Tools geregelt und dokumentiert?
Genau an dieser Stelle kommt die sogenannte Auftragsverarbeitungsvereinbarung ins Spiel.
Was ist eine Auftragsverarbeitungsvereinbarung (AVV)?
Eine Auftragsverarbeitungsvereinbarung regelt nach Art. 28 DSGVO, wie ein externer Dienstleister mit personenbezogenen Daten umgeht, die im Auftrag eines Unternehmens verarbeitet werden.
Typische Inhalte sind u. a.:
→ Zweck und Umfang der Datenverarbeitung
→ technische und organisatorische Schutzmaßnahmen
→ Verantwortlichkeiten zwischen Unternehmen und Dienstleister
→ Lösch- und Aufbewahrungsregelungen
→ Kontrollrechte des Auftraggebers
Viele Software- und Cloudanbieter stellen dafür standardisierte Verträge bereit.
Bei OpenAI heißt dieses Dokument Data Processing Addendum (DPA).
Wo personenbezogene Daten im Alltag tatsächlich auftauchen
In der Praxis geraten personenbezogene Daten schneller in KI-Tools, als vielen bewusst ist.
Beispiele aus dem Büroalltag eines Transport- oder Projektlogistikunternehmens:
→ E-Mail-Korrespondenz mit Ansprechpartnern von Kunden
→ Bewerbungsunterlagen von Fahrern oder technischen Mitarbeitern
→ Gesprächsnotizen aus Kundenbesuchen
→ Angebots- und Kalkulationsdokumente
→ interne Projektberichte
→ Schadens- oder Unfallmeldungen
Wer solche Inhalte in eine KI-Anwendung kopiert oder dort bearbeiten lässt, bewegt sich bereits im Bereich personenbezogener Datenverarbeitung.
Damit greift grundsätzlich die Systematik der DSGVO.
Business-Account bedeutet nicht automatisch vollständige Dokumentation
Viele Anbieter von KI-Tools – auch OpenAI – stellen inzwischen Funktionen für den Unternehmenseinsatz bereit. Dazu gehören etwa organisatorische Sicherheitsfunktionen, Administrationsmöglichkeiten oder Regelungen zur Datennutzung.
Für Unternehmen relevant ist zusätzlich die Möglichkeit, eine Auftragsverarbeitungsvereinbarung mit dem Anbieter abzuschließen. Bei OpenAI erfolgt dies über das sogenannte Data Processing Addendum (DPA).
Dieser Schritt wird in vielen Betrieben schlicht übersehen, weil davon ausgegangen wird, dass die Business-Lizenz die datenschutzrechtliche Dokumentation bereits automatisch abdeckt.
Tatsächlich handelt es sich jedoch um zwei unterschiedliche Ebenen:
→ die technische Nutzung eines Tools
→ die formale Dokumentation der Datenverarbeitung im Unternehmen
Praxis-Checkliste für Unternehmen
Unternehmen, die KI-Tools im Büroalltag einsetzen, sollten einige organisatorische Punkte kurz prüfen
→ Welche Inhalte dürfen Mitarbeiter grundsätzlich in KI-Tools eingeben?
→ Können dabei personenbezogene Daten verarbeitet werden?
→ Gibt es interne Regeln für die Nutzung solcher Systeme?
→ Ist die entsprechende Auftragsverarbeitungsvereinbarung mit dem Anbieter dokumentiert?
→ Sind Mitarbeiter über den Umgang mit sensiblen Informationen informiert?
In vielen Betrieben werden diese Fragen erst gestellt, wenn KI-Werkzeuge bereits im Alltag genutzt werden. Das ist nicht ungewöhnlich – entscheidend ist lediglich, dass diese Punkte anschließend sauber geregelt werden.
Ein kurzer Blick in die Praxis
In zahlreichen mittelständischen Unternehmen entsteht derzeit ein ähnliches Bild: Die Mitarbeiter arbeiten bereits mit KI-Tools, weil sie den Arbeitsalltag deutlich erleichtern. Gleichzeitig laufen organisatorische und datenschutzrechtliche Fragen im Hintergrund noch nach.
Das ist ein typisches Muster bei technologischen Umbrüchen. Neue Werkzeuge verbreiten sich zunächst über den praktischen Nutzen – die formale Klärung folgt oft erst im zweiten Schritt.
Für Unternehmen bedeutet das vor allem eines: Nicht jedes Detail muss von Anfang an perfekt geregelt sein. Aber sobald KI-Werkzeuge regelmäßig eingesetzt werden, sollten auch die organisatorischen Rahmenbedingungen geprüft und dokumentiert werden.
Fazit
Der Einsatz von KI-Tools wie ChatGPT wird in vielen Unternehmen zunehmend selbstverständlich. Gerade im Büroalltag von Transport- und Projektunternehmen entstehen dadurch spürbare Effizienzgewinne.
Mit der technischen Nutzung allein ist das Thema jedoch noch nicht vollständig abgeschlossen. Sobald personenbezogene Daten verarbeitet werden können, gehört auch die organisatorische Seite dazu – etwa die Prüfung, ob eine entsprechende Auftragsverarbeitungsvereinbarung mit dem Anbieter vorliegt.
Für Unternehmen ist das kein komplizierter Schritt.
Aber einer, der in der Praxis erstaunlich oft übersehen wird.
Quelle: https://openai.com/de-DE/policies/data-processing-addendum/
Titelbild: erstellt mit Unterstützung von Künstlicher Intelligenz
