ChatGPT revolutioniert die Arbeitswelt – doch wie steht es um den Datenschutz? Seit dem revidierten Schweizer Datenschutzgesetz (DSG) ab 1. September 2023 müssen KMU besonders vorsichtig sein. In diesem Leitfaden erfahren Sie, wie Sie ChatGPT rechtskonform einsetzen.
Das neue Schweizer Datenschutzgesetz (DSG) im Überblick
Das revidierte DSG bringt wesentliche Änderungen für den Umgang mit personenbezogenen Daten:
Zentrale Neuerungen
- Erweiterte Informationspflichten: Unternehmen müssen transparent über Datenbearbeitung informieren
- Privacy by Design: Datenschutz muss von Anfang an in Prozesse integriert werden
- Datenschutz-Folgenabschätzung (DSFA): Bei risikoreichen Datenbearbeitungen obligatorisch
- Meldepflicht bei Datenschutzverletzungen: Schwerwiegende Verstösse müssen dem EDÖB gemeldet werden
- Höhere Bussgelder: Bis zu CHF 250'000 bei vorsätzlichen Verstössen
Wichtig: Das DSG gilt für alle Unternehmen in der Schweiz, unabhängig von ihrer Grösse. Auch KMU müssen die Anforderungen vollständig erfüllen.
ChatGPT und Datenschutz: Die kritischen Punkte
1. Datenübermittlung in die USA
ChatGPT wird von OpenAI betrieben, einem US-amerikanischen Unternehmen. Das bedeutet:
- Ihre Eingaben werden auf Servern in den USA verarbeitet
- US-Behörden könnten theoretisch auf diese Daten zugreifen (CLOUD Act)
- Das Schweizer DSG verlangt besondere Schutzmassnahmen bei Auslandübermittlungen
2. Verwendung der Trainingsdaten
OpenAI hat seine Datenschutzrichtlinien mehrfach angepasst:
- Kostenlose Version: Eingaben können standardmässig für KI-Training verwendet werden (sofern nicht deaktiviert)
- ChatGPT Plus/Enterprise: Daten werden nicht für Training verwendet
- API-Nutzung: Geschäftskunden können Opt-out für Datennutzung wählen
3. Fehlende Transparenz
Herausforderungen bei der DSG-Compliance:
- Nicht vollständig nachvollziehbar, wie Daten verarbeitet werden
- Unklarheit über Speicherdauer und Löschfristen
- Begrenzte Auskunfts- und Löschmöglichkeiten für betroffene Personen
Praktische Richtlinien für KMU
✅ Das dürfen Sie bedenkenlos eingeben
- Allgemeine Fachfragen ohne Personenbezug
- Öffentlich verfügbare Informationen
- Anonymisierte Daten (vollständig ohne Rückführbarkeit)
- Beispieltexte ohne reale Kundendaten
- Theoretische Szenarien und Konzepte
❌ Das sollten Sie niemals eingeben
- Personenbezogene Daten: Namen, Adressen, E-Mails, Telefonnummern von Kunden/Mitarbeitern
- Besonders schützenswerte Daten: Gesundheitsdaten, biometrische Daten, politische Ansichten
- Geschäftsgeheimnisse: Vertrauliche Verträge, Preiskalkulationen, Strategiepläne
- Vertragsdokumente: Vollständige Kundenverträge, AGBs mit Kundenbezug
- Interne Kommunikation: E-Mails, Chat-Verläufe mit identifizierbaren Personen
5 Schritte zur DSG-konformen ChatGPT-Nutzung
Schritt 1: Datenschutz-Richtlinien erstellen
Dokumentieren Sie, wie ChatGPT in Ihrem Unternehmen verwendet werden darf. Definieren Sie klar, welche Daten eingegeben werden dürfen und welche nicht.
Schritt 2: Mitarbeiter schulen
Führen Sie Workshops durch, in denen Sie Beispiele für erlaubte und verbotene Eingaben zeigen. Sensibilisieren Sie für Datenschutzrisiken.
Schritt 3: Technische Massnahmen umsetzen
Erwägen Sie ChatGPT Enterprise oder API-Lösungen mit Datenschutzgarantien. Implementieren Sie Anonymisierungs-Tools vor der Eingabe.
Schritt 4: Verzeichnis der Bearbeitungstätigkeiten aktualisieren
Dokumentieren Sie die ChatGPT-Nutzung in Ihrem Datenbearbeitungsverzeichnis gemäss Art. 12 DSG.
Schritt 5: Regelmässig überprüfen
Führen Sie quartalsweise Audits durch. Passen Sie Ihre Richtlinien an neue Entwicklungen an (z.B. Änderungen bei OpenAI).
ChatGPT Enterprise vs. Free: Datenschutz-Vergleich
*Kann in den Einstellungen deaktiviert werden (Settings → Data Controls)
Alternative KI-Tools mit besserem Datenschutz
Wenn Ihnen Datenschutz besonders wichtig ist, erwägen Sie diese Alternativen:
🇨🇭 Schweizer Lösungen
- AlpineAI: Schweizer KI-Plattform mit lokaler Datenspeicherung
- SwissGPT: Datenschutzkonforme ChatGPT-Alternative für Behörden und Unternehmen
🇪🇺 Europäische Alternativen
- Aleph Alpha: Deutsches KI-Unternehmen mit DSGVO-konformen Lösungen
- Mistral AI: Französischer Anbieter mit EU-Datenspeicherung
🔒 On-Premise Lösungen
- Llama 2/3 (Meta): Open-Source Modell für lokale Installation
- GPT4All: Kostenlose, lokal laufende KI für Desktop
Häufige Fragen (FAQ)
Darf ich Kundennamen anonymisieren und dann in ChatGPT eingeben?
Nur, wenn die Anonymisierung wirklich vollständig ist. Ersetzen Sie nicht nur Namen, sondern auch alle anderen identifizierenden Merkmale (Projektnamen, Ortsnamen, spezifische Details). Im Zweifel: lieber verzichten.
Kann ich ChatGPT für Marketing-Texte verwenden?
Ja, für allgemeine Marketing-Texte ohne Kundenbezug ist ChatGPT problemlos nutzbar. Vermeiden Sie es jedoch, spezifische Kundeninformationen oder Targeting-Daten einzugeben.
Muss ich meine Kunden informieren, wenn ich ChatGPT nutze?
Wenn Sie Kundendaten in ChatGPT eingeben würden (was Sie nicht sollten!), ja. Für allgemeine Nutzung ohne Personendaten ist keine Kundeninformation erforderlich. Aktualisieren Sie jedoch Ihre Datenschutzerklärung, wenn Sie KI-Tools für Datenverarbeitung nutzen.
Ist ChatGPT Plus datenschutzrechtlich besser als die Free-Version?
Ja, bei ChatGPT Plus werden Ihre Eingaben standardmässig nicht für KI-Training verwendet. Für Unternehmen ist jedoch ChatGPT Enterprise oder eine API-Lösung mit Auftragsverarbeitungsvertrag empfehlenswerter.
Was passiert bei einem Datenschutzverstoss?
Bei vorsätzlichen Verstössen gegen das DSG drohen Bussen bis CHF 250'000. Zusätzlich können Kunden Schadenersatzansprüche geltend machen, und Ihr Unternehmensruf kann erheblich leiden.
Fazit: ChatGPT verantwortungsvoll nutzen
ChatGPT ist ein mächtiges Werkzeug, das die Produktivität in KMU erheblich steigern kann. Der Schlüssel zu einer rechtssicheren Nutzung liegt in:
- Klaren internen Richtlinien: Definieren Sie genau, was eingegeben werden darf
- Mitarbeiterschulungen: Sensibilisieren Sie Ihr Team für Datenschutzrisiken
- Technischen Schutzmassnahmen: Nutzen Sie Business-Versionen mit besseren Garantien
- Regelmässigen Kontrollen: Überprüfen Sie die Einhaltung Ihrer Richtlinien
Mit diesen Massnahmen können Sie ChatGPT nutzen, ohne gegen das DSG zu verstossen – und profitieren von den enormen Produktivitätsgewinnen, die KI bietet.
Benötigen Sie Unterstützung bei der datenschutzkonformen KI-Einführung?
Wir helfen Ihrem KMU, ChatGPT und andere KI-Tools DSG-konform einzusetzen. Inklusive Datenschutz-Audit, Mitarbeiterschulung und massgeschneiderter Richtlinien.
Kostenloses Erstgespräch vereinbaren