CWS
CyberWerkSuite
← Zurück zum Blog
GDPRDSGVOChatGPTMicrosoft CopilotGeminiEDPBZDRZero Data RetentionDPAShadow AIArticle 28Prompt PrivacyLLMDSKAI Act

ChatGPT, Copilot oder Gemini: Was geschieht mit personenbezogenen Daten in dem Moment, in dem Sie sie in eine KI eingeben?

Jeder Prompt ist eine Verarbeitung — und oft eine Drittlandübermittlung. Der AVV lässt sie nicht verschwinden, und auf Verbraucher- oder kostenlosen Diensten kann der Name Ihrer Kollegin zur Dienst- oder Modellverbesserung verwendet werden, sofern Einstellungen, temporärer Modus oder Business-/Enterprise-Bedingungen dies nicht ausschließen. Warum die Frage nicht lautet, welche KI Sie nutzen, sondern wer liest, was Sie eingegeben haben — und was sie behalten dürfen.

DS
Dr. Sait Yalazay, PhD / LLM / MBA
CISO — DPO — Author | CISM — CIPP — AAISM — LA 27001, 27701, 22301, 42001
Architekt automatisierter Compliance-Systeme für NIS2, DSGVO, ISMS, BCM, DORA, Cloud Security (C5), Tisax & AI Act

Veröffentlicht am 2. Juni 2026

ChatGPT, Copilot oder Gemini: Was geschieht mit personenbezogenen Daten in dem Moment, in dem Sie sie in eine KI eingeben?

KERNTHESE Personenbezogene Daten in eine KI einzugeben ist keine „Nutzung” — es ist eine Verarbeitung und häufig eine Drittlandübermittlung. Ein unterzeichneter Auftragsverarbeitungsvertrag regelt diese Übermittlung; er macht sie nicht ungeschehen. Und auf einer kostenlosen oder Verbraucher-Ebene hat der Arbeitgeber in der Regel überhaupt keinen Auftragsverarbeitungsvertrag nach Art. 28: Je nach Anbieter, Einstellungen und Produkt durchläuft die Eingabe den Anbieter nicht nur — sie kann zu Trainings- oder Dienstverbesserungsmaterial werden. Die entscheidende Frage lautet nie „Welche KI nutze ich?” Sie lautet: Wer liest, was ich eingebe, und was darf er behalten?

Eine Kollegin leitete mir letzte Woche einen Screenshot weiter, der das gesamte Problem in einem einzigen Bild einfängt. Eine Teamleiterin — kompetent, gutwillig, unter Termindruck — hatte eine Leistungsbeurteilung in die kostenlose Version eines KI-Chatbots eingefügt, mit der Anweisung: „Mach das diplomatischer.” Die Beurteilung enthielt den vollständigen Namen einer Mitarbeiterin, ihre Anwesenheitsbilanz, einen Satz über eine gesundheitsbedingte Abwesenheit und eine offene Einschätzung ihres Arbeitsverhältnisses zu einer namentlich genannten zweiten Kollegin. Die Antwort kam binnen Sekunden geschliffen und taktvoll zurück. Die Kollegin war zufrieden. Sie ahnte nicht, dass sie in diesen wenigen Sekunden eine Übermittlung der personenbezogenen Daten zweier Personen — eine davon möglicherweise besondere Kategorien nach Art. 9 DSGVO — an einen US-Anbieter durchgeführt hatte, auf einer Rechtsgrundlage von nichts, mit einer Speicherdauer, die sie nicht benennen konnte, und einer nachgelagerten Nutzung, die sie nicht ausschließen konnte.

Dies ist eines der am häufigsten beobachteten — und am seltensten dokumentierten — aufkommenden Datenschutzrisiken in europäischen Arbeitsumgebungen im Jahr 2026. Sie lösen keine Firewall aus. Sie erscheinen in keinem Protokoll, das die Datenschutzbeauftragte prüft. Sie geschehen in einem Browser-Tab, zwischen einer Kollegin und einem Chatbot, und sie fühlen sich weniger wie eine Übermittlung personenbezogener Daten an als wie die Benutzung eines Taschenrechners. Dieses Gefühl ist das Problem. Der Akt des Eintippens in eine KI hat die Textur einer privaten, flüchtigen, harmlosen Interaktion. Ihre rechtliche Natur ist das Gegenteil: eine dokumentierte Verarbeitung mit einem Verantwortlichen, einem Auftragsverarbeiter, einer Pflicht zur Rechtsgrundlage und — weit häufiger als irgendjemand zugibt — einer Drittlandübermittlung nach Art. 44 ff. DSGVO.

Die bisher teuerste Demonstration davon fand nicht im Büro einer Aufsichtsbehörde statt; sie geschah in einem der technologisch ausgereiftesten Unternehmen der Welt. Ende März 2023 hob Samsungs Halbleitersparte ein internes ChatGPT-Verbot auf und erlaubte ihren Ingenieuren die Nutzung. Innerhalb von zwanzig Tagen hatte das Unternehmen mindestens drei separate Vorfälle festgestellt, bei denen vertrauliche Daten das Haus durch ein Chatfenster verließen: Ein Ingenieur fügte proprietären Halbleiter-Quellcode in ChatGPT ein, um ihn zu debuggen; ein zweiter übermittelte Code für eine Fehlererkennungs-Testsequenz; ein dritter zeichnete eine interne Besprechung auf, transkribierte sie und speiste das Transkript in ChatGPT ein, um ein Protokoll zu erzeugen.1 Samsungs Reaktion war kein Memo. Das Unternehmen verbot generative KI auf Firmengeräten und ‑netzwerken vollständig, warnte, dass Verstöße zur Kündigung führen könnten, und beschleunigte den Aufbau eigener interner Werkzeuge.2 Samsung war nach den Maßstäben von 2023 nicht sorglos — es war früh dran. Amazon hatte seine Belegschaft bereits im Januar 2023 gewarnt, keine vertraulichen Informationen mit ChatGPT zu teilen, nachdem Modellausgaben aufgefallen waren, die dem eigenen internen Material ähnelten; Apple schränkte ChatGPT und GitHub Copilot intern ein; JPMorgan, Goldman Sachs, Citigroup, die Deutsche Bank und Verizon verhängten im selben Zeitraum eigene Beschränkungen.3 Was jede dieser Organisationen erfasst hat, ist Gegenstand dieses Artikels: In dem Moment, in dem Daten in eine universell einsetzbare KI gelangen, hat die Organisation die Fähigkeit verloren zu sagen, wohin sie gehen und wer sie behält — es sei denn, sie hat im Voraus eine einzige Frage beantwortet.

Diese Frage ist die, die zu wenige Menschen stellen, bevor sie Enter drücken: Wenn Sie personenbezogene Daten in ChatGPT, Copilot oder Gemini eingeben, wer liest sie, und was dürfen sie behalten? Alles, was für die DSGVO-Konformität zählt, ergibt sich aus der Antwort.

Ein Prompt ist eine Verarbeitung, keine Suchanfrage

Das mentale Modell, das die meisten Menschen in ein KI-Werkzeug mitbringen, ist das, was sie für Suchmaschinen aufgebaut haben: Ich tippe eine Frage ein, ich erhalte eine Antwort, nichts von mir wird in irgendeinem bedeutsamen Sinne „behalten”. Dieses Modell war für die Suche nie ganz zutreffend, und für generative KI ist es grundlegend falsch.

Nach Art. 4 Nr. 2 DSGVO bedeutet „Verarbeitung” jeden Vorgang im Zusammenhang mit personenbezogenen Daten — Erhebung, Erfassung, Speicherung, Verwendung, Offenlegung durch Übermittlung. Den Namen, die Situation oder die Merkmale einer Person in einen Prompt einzutippen ist mindestens eine Offenlegung durch Übermittlung an den Anbieter, der das Modell betreibt. Der Europäische Datenschutzausschuss zog im Bericht seiner ChatGPT-Taskforce die Linie klar: Ein Anbieter, der ein universell einsetzbares Modell öffentlich verfügbar macht, muss davon ausgehen, dass Personen früher oder später personenbezogene Daten eingeben werden, und der Anbieter kann die Verantwortung nicht durch eine Klausel in seinen Nutzungsbedingungen, die Nutzer für ihre eigenen Eingaben verantwortlich erklärt, auf den Nutzer abwälzen.4 Die Eingabe ist Verarbeitung. Die einzigen offenen Fragen sind, wer der Verantwortliche dafür ist, was die Rechtsgrundlage ist und wohin sie geht.

In einem organisatorischen Kontext ist der Verantwortliche in der Regel der Arbeitgeber. Wenn eine Beschäftigte die Daten einer Kundin, einer Kollegin oder einer Bürgerin im Rahmen ihrer Arbeit in ein KI-Werkzeug einfügt, ist die Organisation der Verantwortliche dieser Verarbeitung — unabhängig davon, ob die Organisation weiß, dass das Werkzeug genutzt wird, und unabhängig davon, ob sie es genehmigt hat. Dies ist die unbequeme Mechanik der sogenannten Shadow AI, und der Samsung-Fall ist ihr Musterbeispiel: Keiner dieser drei Ingenieure hatte vor, geistiges Eigentum preiszugeben. Sie versuchten, ihre Arbeit schneller zu erledigen. Die rechtliche Verantwortung des Verantwortlichen hängt nicht von seinem Bewusstsein ab, und die Absicht ändert nichts am Ergebnis. Eine undokumentierte, nicht bewertete, nicht genehmigte Nutzung eines kostenlosen Chatbots zur Verarbeitung personenbezogener Daten ist kein kleineres Compliance-Problem als eine genehmigte. Es ist dieselbe Verarbeitung, abzüglich aller Schutzmaßnahmen.

Die deutsche Datenschutzkonferenz (DSK) — die Versammlung der Datenschutzaufsichtsbehörden des Bundes und der Länder — machte die operative Konsequenz in ihrer Orientierungshilfe zu KI deutlich. Die Orientierungshilfe richtet sich in erster Linie nicht an die Entwickler von KI-Systemen, sondern an die Verantwortlichen, die sie einsetzen, und sie behandelt die Eingabephase als ein eigenständiges Risiko, das eigene Vorsicht erfordert: Besondere Sorgfalt ist geboten, wenn personenbezogene Daten und vor allem besondere Kategorien von Daten während der Nutzung eingegeben werden.5 Die Behörden weisen ferner auf das hin, was Praktiker auf die harte Tour entdecken — dass selbst pseudonymisierte Eingaben häufig immer noch personenbezogene Daten sind, weil der umgebende Kontext sie re-identifiziert.6

Die erste Korrektur des mentalen Modells lautet also: Ein Prompt ist keine Anfrage, die sich verflüchtigt. Es ist eine Verarbeitung, für die jemand — in der Regel der Arbeitgeber — der Verantwortliche ist, und für die eine Rechtsgrundlage bestehen muss, bevor die Daten eingetippt werden, nicht nachträglich gerechtfertigt.

Die kostenlose Ebene: wo die Eingabe zum Produkt wird

Die folgenreichste einzelne Tatsache über KI-Werkzeuge in Verbraucherqualität ist eine, die ihre Oberflächen bewusst nicht in den Vordergrund stellen: Auf den kostenlosen und persönlichen Ebenen kann Ihre Eingabe zum Training des Modells verwendet werden.

Dies ist kein verborgener Verrat; es ist das erklärte Geschäftsmodell, offengelegt in den Bedingungen, die die meisten Menschen akzeptieren, ohne sie zu lesen. Die Unterscheidung, die die Anbieter selbst treffen, ist die, auf die es ankommt. Microsoft ist eindeutig, dass auf seiner Enterprise-Oberfläche Prompts und Antworten nicht zum Training von Basismodellen verwendet werden; seine Verbraucherprodukte unterliegen ihren eigenen, gesonderten Bedingungen, die für sich geprüft werden müssen — die Enterprise-Garantie überträgt sich nicht auf sie.7 Das Muster wiederholt sich über die Anbieter hinweg: Die Enterprise- und Verbraucherprodukte derselben Marke sind, datenschutzrechtlich betrachtet, zwei verschiedene Produkte, die zufällig ein Logo teilen. Anthropics eigener Werdegang macht den Punkt anschaulich: Nach seinen kommerziellen Bedingungen werden Daten von Claude for Work und Enterprise nicht zum Training verwendet; eine 2025 in Kraft getretene Aktualisierung der Verbraucherrichtlinie führte jedoch eine Nutzerwahl ein — wenn eine einzelne Nutzerin Training erlaubt, können ihre Gespräche bis zu fünf Jahre gespeichert werden, während kommerzielle Bedingungen ausgenommen bleiben.8 Dieselbe Marke, dasselbe zugrunde liegende Modell, zwei völlig unterschiedliche Datenschutzregime, je nachdem, durch welche Tür Sie eingetreten sind.

Im Lichte der DSGVO gelesen hat das Training-auf-Eingaben eine spezifische und schwerwiegende Konsequenz. Erinnern Sie sich an den Samsung-Ingenieur, der Quellcode einfügte, um einen Fehler zu finden. Der Grund, warum dieser Vorfall ein echter Notfall war und nicht bloß eine Peinlichkeit, ist, dass proprietäre Inhalte, sobald sie in ein auf seine Eingaben trainiertes Modell gelangen, nicht zuverlässig wieder herausgezogen werden können. Dasselbe gilt für personenbezogene Daten. Wenn die Teamleiterin in meinem Eingangsbeispiel eine Leistungsbeurteilung in einen kostenlosen Chatbot einfügte und diese Eingabe in den Trainingskorpus fließt, dann wurden die personenbezogenen Daten zweier Personen — einschließlich eines gesundheitsbezogenen Details — nicht nur zu einem definierten, vorübergehenden Zweck an einen Auftragsverarbeiter übermittelt. Sie wurden in ein System einverleibt, aus dem die Extraktion nach dem eigenen Bekunden der Modellentwickler technisch schwierig ist und aus dem die Löschung auf Anfrage entsprechend heikel ist. Die EDSA-Stellungnahme vom Dezember 2024 zu KI-Modellen ringt unmittelbar damit: Ein auf personenbezogenen Daten trainiertes Modell wird nur dann als anonym behandelt, wenn der Verantwortliche mit Belegen nachweisen kann, dass die personenbezogenen Daten nicht extrahiert werden können und dass die Ausgaben sich nicht auf die Personen beziehen, deren Daten verwendet wurden — eine hohe Hürde, die die meisten eingesetzten Verbrauchermodelle nicht einmal zu nehmen beanspruchen.9

Die Durchsetzungsrealität ist nicht länger hypothetisch, und sie betrifft unmittelbar die Eingaben. In seiner Entscheidung vom 2. November 2024 verhängte die italienische Garante eine Geldbuße von 15 Millionen Euro gegen OpenAI und stellte fest, dass das Unternehmen die personenbezogenen Daten der Nutzer zum Training von ChatGPT ohne angemessene Rechtsgrundlage verarbeitet, seine Transparenzpflichten verletzt und keinen angemessenen Mechanismus zur Altersverifizierung gehabt hatte.10 Ein Gericht in Rom hob diese Geldbuße im März 2026 auf — jedoch aus einem verfahrensrechtlichen Punkt darüber, welche Behörde zuständig war, sobald OpenAI seine irische Niederlassung gegründet hatte, wobei die materiellen Fragen zur Rechtsgrundlage und Transparenz ausdrücklich unentschieden gelassen wurden, sodass das zugrunde liegende rechtliche Risiko, das die Entscheidung identifizierte, nicht zugunsten von OpenAI geklärt wurde. Die Garante hatte bereits Anfang 2023 ChatGPT in Italien wegen derselben Bedenken vorübergehend offline genommen — die erste westliche Aufsichtsbehörde, die dies tat. Und das Muster beschränkt sich nicht auf einen Anbieter. Clearview AI, ein US-Unternehmen, das eine Gesichtserkennungsdatenbank durch das Scrapen von Milliarden Bildern aus dem öffentlichen Web aufbaute, wurde von der französischen, italienischen und griechischen Behörde mit jeweils 20 Millionen Euro und von der niederländischen Behörde mit 30,5 Millionen Euro belegt — wobei jede unter anderem feststellte, dass das Unternehmen keine gültige Rechtsgrundlage hatte, weil das „berechtigte Interesse” eines kommerziellen Akteurs die massenhafte Aufnahme der Daten von Menschen nicht rechtfertigt.11 Clearviews Daten wurden gescrapt statt eingetippt, aber die rechtliche Lehre ist identisch: Personenbezogene Daten ohne Rechtsgrundlage in ein KI-System einzuspeisen ist ein Verstoß, unabhängig davon, wie die Daten dorthin gelangten, und europäische Aufsichtsbehörden behandeln die Aufnahme personenbezogener Daten durch KI nun als klar in ihrem Zuständigkeitsbereich.

Die praktische Anweisung hier ist eindeutig und es lohnt sich, sie klar auszusprechen: Ein universell einsetzbares KI-Werkzeug der kostenlosen oder persönlichen Ebene ist im Regelfall kein rechtmäßiger Ort, um die personenbezogenen Daten anderer Menschen in einem Arbeitskontext zu verarbeiten. Der Arbeitgeber hat normalerweise keinen Auftragsverarbeitungsvertrag nach Art. 28, der diese Verarbeitung abdeckt. Je nach Anbieter, Einstellungen und Produkt kann die Eingabe zum Training oder zur Dienstverbesserung verwendet werden. Es gibt typischerweise keine kontrollierte Speicherung, auf die Sie sich verlassen können. Und eine Rechtsgrundlage ist schwer zu konstruieren, weil die Verarbeitung nie darauf ausgelegt war, eine zu haben. Die korrekte Haltung gegenüber der kostenlosen Ebene ist nicht „nutze sie vorsichtig” — sie ist „gib die personenbezogenen Daten anderer Menschen überhaupt nicht hinein”. Samsung kam zu diesem Schluss auf die teure Art, nach dem Vorfall. Der Sinn dieses Artikels ist, ihn zu erreichen, bevor der Screenshot landet.

Der AVV leistet die Arbeit — aber lesen Sie, was er tatsächlich verspricht

Die Enterprise-Ebenen sind ein echt anderes Angebot, und hier konzentriert sich der größte Teil der organisatorischen Compliance-Anstrengung zu Recht. ChatGPT Enterprise, Microsoft 365 Copilot, Gemini Enterprise und Claude Enterprise arbeiten alle für Geschäftskunden unter einem Auftragsverarbeitungsvertrag, in dem der Anbieter als Auftragsverarbeiter im Sinne von Art. 28 DSGVO handelt, sich verpflichtet, Kunden-Prompts und ‑Antworten nicht zum Training seiner Basismodelle zu verwenden, und den üblichen Apparat von Auftragsverarbeiterpflichten akzeptiert — Vertraulichkeit, Sicherheit, Unterauftragsverarbeiter-Kontrollen, Unterstützung bei Betroffenenrechten.12 Microsofts Enterprise-Rahmen ist repräsentativ, und er ist präzise hinsichtlich der Unterscheidung, auf die es im Samsung-Fall ankam: Wenn eine Organisation Microsoft 365 Copilot nutzt, ist die Verarbeitung durch den Microsoft Products and Services Data Protection Addendum abgedeckt, Microsoft handelt als Auftragsverarbeiter, und Prompts, Antworten und über Microsoft Graph abgerufene Daten werden nicht zum Training von Basismodellen verwendet.13 Mit anderen Worten: Ein Enterprise-Copilot-Einsatz ist vertraglich genau das, was Samsungs Ingenieure nicht hatten: eine begrenzte Auftragsverarbeiterbeziehung statt einer offenen Spende an eine Trainingspipeline.

Dies ist echter Schutz, und eine Organisation, die ihre KI-Nutzung auf eine ordnungsgemäß vertraglich geregelte Enterprise-Ebene verlagert hat, hat das wichtigste einzelne Ding getan. Aber es gibt eine Unterscheidung innerhalb des AVV, die in der Beschaffung routinemäßig zusammengeschoben wird, und dieses Zusammenschieben erzeugt ein falsches Sicherheitsgefühl. Ein unterzeichneter AVV ist nicht dasselbe wie eine Zero-Data-Retention-Vereinbarung (ZDR).

Ein AVV regelt, wie der Auftragsverarbeiter die Daten behandeln darf, und verbietet die Trainingsnutzung. Er bedeutet nicht von sich aus, dass die Daten nicht gespeichert werden. Die Enterprise-Chatprodukte sind konstruktionsbedingt Produkte mit kontrollierter Speicherung, keine ohne Speicherung: Persistenter Chatverlauf, Speicherfunktionen und mandantenseitige Aufbewahrung sind bewusste Merkmale des Angebots, protokolliert und gespeichert nach den eigenen Aufbewahrungsrichtlinien des Kunden.14 Microsofts eigene Dokumentation ist eindeutig: Mit Enterprise-Datenschutz werden Prompts und Antworten protokolliert, gespeichert und für Audit, eDiscovery und Purview-Funktionen verfügbar gemacht.15 Das ist genau das, was ein Verantwortlicher in vielen Fällen will — Prüfbarkeit, die Möglichkeit, zu einem früheren Chat zurückzukehren — aber es ist das Gegenteil von „die Daten verschwinden nach der Sitzung”. Zero Data Retention, bei der der Anbieter nichts über die unmittelbare Verarbeitung der Anfrage hinaus behält, ist eine gesonderte vertragliche Vereinbarung, die für bestimmte Oberflächen gilt und ausdrücklich vereinbart werden muss. Anthropics Dokumentation veranschaulicht, wie eng sie tatsächlich ist: Seine Produktoberflächen Claude Teams und Enterprise sind nicht ZDR-fähig — nur kommerzielle API-Schlüssel sind es (und, in einer Ausnahme, Claude Code, genutzt über Enterprise).16 ZDR ist ein bewusster, oberflächenspezifischer Vertrag; sie ist niemals etwas, das ein Verantwortlicher aus der bloßen Existenz eines AVV ableiten sollte.

Die Compliance-Konsequenz ist konkret. Wenn ein Beschaffungsdokument oder ein internes Memo behauptet, „unsere Enterprise-KI ist speicherfrei, weil wir einen AVV haben”, behandeln Sie das als unbestätigte Behauptung, bis der Vertrag gelesen ist. Für das Verzeichnis von Verarbeitungstätigkeiten eines Verantwortlichen und seine Betroffenenrechte-Workflows ist die Speicherfrage nicht akademisch: Gespeicherte Daten sind Daten, die auffindbar, auf ein Auskunftsersuchen exportierbar und auf ein Löschersuchen nach Art. 17 löschbar sein müssen. Ein gespeicherter Prompt, der die personenbezogenen Daten eines Dritten enthält, ist eine fortbestehende Pflicht, keine abgeschlossene Transaktion.

Dies ist auch der Punkt, an dem eine weitere Frage unumgänglich wird, sogar auf der Eingabeseite. Denn derselbe AVV, der das Training verbietet, beantwortet von sich aus nicht eine gesonderte Frage: Wohin gehen die Daten physisch und gerichtsbarkeitsmäßig, und wer kann gezwungen werden, sie herauszugeben? Ein Enterprise-AVV mit einem in den USA eingetragenen Anbieter sitzt auf derselben CLOUD-Act- und FISA-702-Realität wie jeder andere US-Cloud-Dienst. Das Trainingsverbot und die Übermittlungsexposition sind zwei getrennte Achsen; ein Vertrag kann auf der ersten exzellent und auf der zweiten stumm sein. Vorerst ist der Punkt enger: Der AVV ist notwendig, er ist nicht hinreichend, und „wir haben einen AVV” beantwortet weniger Fragen, als die Leute annehmen.

Ein Belastungstest: derselbe Prompt in einem Krankenhaus

Um zu sehen, warum die Eingabefrage keine Formalität ist, lassen Sie das Eingangsszenario durch eine Umgebung laufen, in der die Daten gravierender sind. Ersetzen Sie die Teamleiterin durch eine Stationssekretärin in einem Krankenhaus und die Leistungsbeurteilung durch einen Entlassungsbericht: eine namentlich genannte Patientin, eine Diagnose, eine Medikamentenliste, eine Freitextnotiz über eine psychische Episode. Die Sekretärin fügt ihn unter genau demselben Termindruck in einen kostenlosen Chatbot ein, mit der Anweisung „schreibe das in einfacher Sprache für die Patientin um”.

Nichts an der Mechanik hat sich geändert — es ist immer noch ein Browser-Tab, immer noch ein paar Sekunden, immer noch eine geschliffene Antwort. Aber drei Dinge an den Einsätzen haben sich stark verschärft. Erstens ist jedes Feld in diesem Bericht eine besondere Kategorie nach Art. 9, bei der das grundsätzliche Verarbeitungsverbot der DSGVO gilt, sofern keine spezifische Ausnahme erfüllt ist — und „der Chatbot war praktisch” gehört nicht dazu. Zweitens ist die Re-Identifizierungsschwelle weit niedriger, als die Leute annehmen: Eine Diagnose plus ein ungefähres Alter plus ein behandelndes Krankenhaus reicht oft aus, um eine Einzelperson herauszugreifen, sodass selbst ein „leicht anonymisierter” Bericht mit entferntem Namen häufig personenbezogene Daten bleibt. Drittens ist die nachgelagerte Konsequenz in einer Weise unumkehrbar, wie es eine gewöhnliche Verletzung nicht ist — wenn die Eingabe das Modell trainiert, gibt es keinen Rückruf, keine Eindämmung, keine erneute Absicherung eines Perimeters. Die Daten sind in den Gewichten.

Dies ist der Wert des Belastungstests: Er entfernt das beruhigende Gefühl, dass ein harmlos aussehender Prompt eine harmlose Handlung ist. Der Prompt der Sekretärin und der Prompt der Teamleiterin sind rechtlich dieselbe Verarbeitung. Das Einzige, was sich geändert hat, ist, wie sichtbar der Schaden ist — und Sichtbarkeit ist nicht der Maßstab, den die DSGVO setzt. Wenn die Antwort einer Organisation auf „dürfen unsere Beschäftigten personenbezogene Daten in einen kostenlosen Chatbot einfügen?” etwas anderes ist als ein klares Nein mit einer bereitgestellten rechtmäßigen Alternative, dann ist die Krankenhausversion des Szenarios das, was sie implizit akzeptiert.

Vier Fragen, bevor jemand tippt

Die obige Architektur reduziert sich auf eine kurze Diagnostik, die eine Datenschutzbeauftragte, eine Teamleiterin oder eine sorgfältige Einzelperson in unter einer Minute durchlaufen kann, bevor sie entscheidet, ob eine bestimmte KI-Interaktion rechtmäßig ist.

Erstens: Ist dies eine Business-Ebene mit einem AVV oder eine kostenlose/persönliche Ebene? Handelt es sich um die kostenlose oder persönliche Ebene, endet die Analyse hier für jede Eingabe, die die personenbezogenen Daten anderer Menschen enthält: Geben Sie sie nicht ein. Das Fehlen eines Auftragsverarbeitungsvertrags und die Voreinstellung der Trainingsnutzung sind entscheidend — dies ist die Linie, die Samsung organisationsweit zog, nachdem es sie zwanzig Tage lang auf die harte Tour gelernt hatte.

Zweitens: Enthält der Prompt überhaupt personenbezogene Daten — und habe ich die Daten bemerkt, an die ich nicht denke? Namen sind offensichtlich. Die Daten, die die Leute übersehen, sind die eingebetteten: ein Gesundheitsdetail in einer E-Mail-Entwurf, die Adresse einer Kundin in einem „nur zur Formatierung” eingefügten Dokument, der Name einer Kollegin in einem zur Zusammenfassung hochgeladenen Besprechungstranskript — genau das Besprechungstranskript-Muster, das den dritten Samsung-Ingenieur erwischte. Besondere Kategorien nach Art. 9 — Gesundheit, Religion, Gewerkschaftszugehörigkeit, sexuelle Orientierung, biometrische und genetische Daten — heben die Hürde stark an und verstecken sich überproportional wahrscheinlich in Text, der zu einem nicht zusammenhängenden Zweck eingefügt wurde.

Drittens: Habe ich eine Rechtsgrundlage für diese Verarbeitung, durch dieses Werkzeug, zu diesem Zweck? Die Rechtsgrundlage kann nicht die Bequemlichkeit des KI-Werkzeugs sein. Für Beschäftigtendaten ist es selten die Einwilligung (das Machtungleichgewicht im Beschäftigungsverhältnis untergräbt ihren freiwilligen Charakter); es ist häufiger ein Erforderlichkeitsgrund, der tatsächlich zum Zweck passen muss. Wenn Sie die Grundlage nicht benennen können, haben Sie keine — genau das Versäumnis, auf das die Garante ihre 15-Millionen-Euro-Entscheidung gegen OpenAI stützte (eine Geldbuße, die später aus gerichtsbarkeitsbezogenen, nicht materiellen Gründen aufgehoben wurde).

Viertens: Was sagt der Vertrag konkret über Speicherung und Training — nicht nach Ruf? „Es ist Enterprise, also ist es in Ordnung” ist keine Antwort. Die Antwort lautet: Training ist vertraglich ausgeschlossen (überprüfen), die Speicherung unterliegt unserer eigenen Richtlinie (die Richtlinie überprüfen), und wenn Speicherfreiheit behauptet wird, ist sie für die Oberfläche, die wir tatsächlich nutzen, in den Vertrag geschrieben (die Oberfläche überprüfen).

Wenn eine dieser Fragen mit einem Achselzucken beantwortet wird, ist der Prompt nicht bereit, gesendet zu werden.

Shadow AI ist ein Governance-Problem, kein Technologie-Problem

Die instinktive organisatorische Reaktion auf all dies ist, zu einem Werkzeug zu greifen: ein DLP-Filter, eine Browser-Richtlinie, eine Netzwerksperre für Verbraucher-KI-Domains. Diese haben ihren Platz, aber sie behandeln ein Governance-Versagen als ein Klempnerversagen, und sie liefern verlässlich zu wenig. Beschäftigte, die eine Leistungsbeurteilung in einen Chatbot einfügen, um sie „diplomatischer” zu machen, handeln nicht böswillig; sie lösen ein echtes Problem mit dem besten Werkzeug vor ihnen, und eine Netzwerksperre verschiebt das Verhalten einfach auf ein privates Telefon, an das keine Richtlinie reicht. Es lohnt sich, daran zu erinnern, dass die Samsung-Lecks geschahen, nachdem das Unternehmen die Belegschaft bereits gewarnt hatte, vorsichtig mit ChatGPT zu sein — eine Warnung änderte für sich genommen nichts.

Die dauerhafte Antwort hat drei Teile, und eine Organisation kann jeden von ihnen in diesem Quartal angehen, statt sie als Bestrebungen zu behandeln.

Erstens: Stellen Sie eine rechtmäßige Alternative bereit, bevor — oder gleichzeitig mit — Sie die unrechtmäßige einschränken. Eine Sperre ohne ein sanktioniertes, vertraglich geregeltes Enterprise-Werkzeug entfernt nicht die Nachfrage nach der Fähigkeit; sie kriminalisiert nur die Art, wie die Nachfrage derzeit gedeckt wird, und schiebt sie auf private Telefone, an die keine Richtlinie reicht. Dies ist die in Samsungs Reaktion vergrabene Lehre: Das Verbot war Schritt eins; die Beschleunigung eines internen, kontrollierten Werkzeugs war der Schritt, der die Nachfrage tatsächlich adressierte. In der Praxis bedeutet dies, eine vertraglich geregelte Enterprise-Ebene aufzustellen (Training ausgeschlossen, Speicherung geregelt), sie als das genehmigte Werkzeug zu veröffentlichen und sie mindestens so leicht erreichbar zu machen wie den kostenlosen Tab, den sie ersetzt.

Zweitens: Sensibilisieren Sie die Belegschaft für genau das, was sie derzeit nicht sehen kann — dass ein Prompt eine Verarbeitung ist und oft eine Übermittlung. Die DSK behandelt die Sensibilisierung der Belegschaft und die transparente Dokumentation nicht als Nice-to-haves, sondern als vorgesehene Maßnahmen.17 Eine Warnung für sich genommen ändert nichts — Samsungs Lecks geschahen, nachdem es der Belegschaft gesagt hatte, vorsichtig zu sein. Was funktioniert, ist konkret: kurze, rollenspezifische Schulungen, die den Menschen beibringen, die eingebetteten personenbezogenen Daten zu erkennen, die sie gewohnheitsmäßig übersehen (das Gesundheitsdetail in einem Entwurf, der Name in einem Transkript), und eine einzeilige Regel, die sie sich tatsächlich merken können — wenn es eine Person benennt oder beschreibt, kommt es nicht in ein Werkzeug, das wir nicht genehmigt haben.

Drittens: Dokumentieren Sie die Verarbeitung einmal, in einer DSFA, statt sie tausendmal zu improvisieren. Die Nutzung einer universell einsetzbaren KI zur Verarbeitung personenbezogener Daten wird in vielen Konfigurationen eine Datenschutz-Folgenabschätzung erfordern, und die DSK ist eindeutig, dass dort, wo der Verantwortliche nicht zugleich der Anbieter des KI-Systems ist, der Verantwortliche dennoch seine eigene Risikobewertung schuldet.18 Behandeln Sie die DSFA nicht als Reibung, sondern als das Instrument, das die obigen vier Fragen zwingt, einmal auf Papier beantwortet zu werden, für eine ganze Klasse von Verarbeitung — die Rechtsgrundlage festlegend, die Speicherregel und die Liste genehmigter Werkzeuge, die die Schulung in Schritt zwei dann lehrt.

Eine Netzwerksperre, ein DLP-Filter, eine Browser-Richtlinie haben weiterhin einen Platz — aber als die letzte Schicht über diesen dreien, nicht als Ersatz für sie. Sie behandeln ein Governance-Versagen als ein Klempnerversagen, und für sich genommen liefern sie verlässlich zu wenig.

Das Fazit

ZUSAMMENFASSUNG FÜR ENTSCHEIDUNGSTRÄGER Jeder Prompt, der personenbezogene Daten enthält, ist eine Verarbeitung und oft eine Drittlandübermittlung — der Arbeitgeber ist der Verantwortliche, ob er weiß, dass das Werkzeug genutzt wird, oder nicht, wie Samsung entdeckte, als drei Ingenieure in zwanzig Tagen Quellcode preisgaben. Kostenlose und persönliche Ebenen geben dem Arbeitgeber normalerweise keinen Auftragsverarbeitungsvertrag nach Art. 28 für Beschäftigten- oder Kundendaten, und ihre Bedingungen können menschliche Überprüfung, Dienstverbesserung oder Modelltraining erlauben, je nach Anbieter, Einstellungen und Produktoberfläche; in einem Arbeitskontext sind sie kein rechtmäßiger Ort, um die Daten anderer Menschen zu verarbeiten. Die Enterprise-Ebenen verbieten unter einem AVV nach Art. 28 das Training und sind die richtige Grundlage — aber ein AVV ist keine Zero-Data-Retention-Vereinbarung, und „wir haben einen AVV” lässt sowohl die Speicherfrage als auch die US-Übermittlungsfrage unbeantwortet. Die Verteidigung ist keine Netzwerksperre; es sind Beschäftigte, die personenbezogene Daten erkennen können, ein ihnen bereitgestelltes rechtmäßiges Werkzeug und eine DSFA, die die vier Fragen beantwortet, bevor jemand tippt.

Ein Prompt ist keine Suchanfrage. Es ist eine Verarbeitung mit einem Verantwortlichen, einer Pflicht zur Rechtsgrundlage und oft einer Drittlandübermittlung — und das Gefühl, dass er harmlos ist, ist genau das, was ihn zu einem der am häufigsten beobachteten, aber selten dokumentierten Datenschutzrisiken in europäischen Arbeitsumgebungen heute macht.

Die kostenlose Ebene ist kein Problem der vorsichtigen Nutzung; sie ist ein Gib-die-personenbezogenen-Daten-anderer-nicht-hinein-Problem, weil der Arbeitgeber normalerweise keinen Auftragsverarbeitungsvertrag nach Art. 28 hat und die Bedingungen je nach Anbieter und Einstellungen Training oder Dienstverbesserung erlauben können. Die Enterprise-Ebene ist die richtige Grundlage, aber die Arbeit ist mit der Unterschrift erst halb getan: Ein AVV verbietet das Training, er garantiert keine Speicherfreiheit, und er sagt nichts darüber, wer gezwungen werden kann, die Daten herauszugeben.

Die Frage, die in jede KI-Interaktion mitzunehmen ist, ist die, mit der dieser Artikel begann: Wer liest, was ich eingebe, und was darf er behalten? Beantworten Sie sie, bevor Sie Enter drücken, und die Compliance-Haltung erledigt sich von selbst. Lassen Sie sie ungestellt, und kein Filter, keine Richtlinie und kein Vertrag wird die Organisation vor dem Screenshot bewahren, der nächste Woche auf jemandes Schreibtisch landet.

Glossar der Abkürzungen

BegriffDefinition
VerantwortlicherDie Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO) — in der Regel der Arbeitgeber
AuftragsverarbeiterDie Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO) — der KI-Anbieter, auf Enterprise-Ebenen
AVVAuftragsverarbeitungsvertrag — der Vertrag nach Art. 28 zwischen Verantwortlichem und Auftragsverarbeiter
DSFADatenschutz-Folgenabschätzung (Art. 35 DSGVO) — erforderlich bei Verarbeitung mit hohem Risiko
DSKDatenschutzkonferenz — die Versammlung der Datenschutzaufsichtsbehörden des Bundes und der Länder Deutschlands
EDSAEuropäischer Datenschutzausschuss — das Gremium der Datenschutzaufsichtsbehörden auf EU-Ebene
ZDRZero Data Retention — eine vertragliche Vereinbarung, bei der der Anbieter nichts über die unmittelbare Verarbeitung hinaus behält
Shadow AINutzung von KI-Werkzeugen durch die Belegschaft außerhalb der autorisierten, vertraglich geregelten Kanäle der Organisation
Besondere KategorienSensible Daten nach Art. 9 DSGVO (Gesundheit, Religion, Biometrie usw.)
Quasi-IdentifikatorEin Datenfeld, das allein nicht identifiziert, aber in Kombination eine Zuordnung ermöglicht

Rechtlicher Hinweis: Dieser Artikel dient allgemeinen Informationszwecken und stellt keine Rechtsberatung dar. Für eine rechtssichere Beurteilung im konkreten Einzelfall wird die Konsultation einer auf Datenschutz spezialisierten Anwältin oder eines Anwalts empfohlen. Stand: Juni 2026.

  1. Die Samsung-Vorfälle wurden zuerst von The Economist Korea berichtet und vielfach bestätigt; innerhalb von etwa zwanzig Tagen, nachdem die Sparte ChatGPT erlaubt hatte, ereigneten sich drei separate Lecks — Halbleiter-Quellcode (zum Debuggen eingefügt), Code einer Fehlererkennungs-Testsequenz und ein transkribiertes internes Meeting. Siehe Bloomberg-Berichterstattung und Vorfall-Zusammenfassungen, z. B. https://www.bloomberg.com/news/articles/2023-05-02/samsung-bans-chatgpt-and-other-generative-ai-use-by-staff-after-leak (abgerufen Juni 2026) und https://incidentdatabase.ai/cite/768/ (abgerufen Juni 2026).

  2. Samsungs internes Memo, das generative KI auf Firmengeräten und ‑netzwerken verbot und vor Disziplinarmaßnahmen bis hin zur Kündigung warnte, wurde von Bloomberg und Fortune am 2. Mai 2023 berichtet. Samsung kündigte zudem die Beschleunigung eigener interner KI-Werkzeuge an. Verfügbar unter: https://fortune.com/2023/05/02/samsung-bans-employee-use-chatgpt-data-leak/ (abgerufen Juni 2026).

  3. Zeitgleiche Beschränkungen von ChatGPT/generativer KI durch Amazon (Warnung, Januar 2023), Apple (ChatGPT und GitHub Copilot), JPMorgan, Goldman Sachs, Citigroup, Deutsche Bank und Verizon wurden Anfang bis Mitte 2023 vielfach berichtet. Siehe Zusammenfassung unter https://stealthcloud.ai/ai-privacy/samsung-chatgpt-incident/ (abgerufen Juni 2026).

  4. Europäischer Datenschutzausschuss, „Report of the work undertaken by the ChatGPT Taskforce”, angenommen am 23. Mai 2024 — insbesondere die Feststellung, dass Anbieter öffentlich verfügbarer LLMs davon ausgehen müssen, dass personenbezogene Daten eingegeben werden, und die Verantwortung nicht über Nutzungsbedingungen auf die betroffenen Personen übertragen können. Verfügbar unter: https://www.edpb.europa.eu/system/files/2024-05/edpb_20240523_report_chatgpt_taskforce_en.pdf (abgerufen Juni 2026).

  5. Datenschutzkonferenz (DSK), „Orientierungshilfe Künstliche Intelligenz und Datenschutz”, v1.0, 6. Mai 2024 — Orientierungshilfe, die sich in erster Linie an Verantwortliche (Art. 4 Nr. 7 DSGVO) richtet, die KI-Anwendungen einsetzen, wobei die Nutzungsphase als eigenständiges Risiko behandelt wird; Sensibilisierung der Belegschaft und transparente Dokumentation als vorgesehene Maßnahmen. Verfügbar unter: https://www.datenschutzkonferenz-online.de/orientierungshilfen.html (abgerufen Juni 2026).

  6. DSK Orientierungshilfe KI (2024), zu dem Punkt, dass selbst pseudonymisierte Eingaben in LLMs häufig immer noch personenbezogene Daten sind, weil der umgebende Kontext eine Re-Identifizierung ermöglicht.

  7. Microsoft Learn, „Frequently asked questions about Microsoft 365 Copilot Chat” — unter Enterprise-Datenschutz werden „prompts and responses aren’t used to train foundation models”. Microsofts Verbraucherprodukte unterliegen ihren eigenen, gesonderten Bedingungen, die unter jenen Bedingungen zu prüfen sind, statt aus der Enterprise-Position abgeleitet zu werden. Verfügbar unter: https://learn.microsoft.com/en-us/copilot/faq (abgerufen Juni 2026).

  8. Anthropics kommerzielle Bedingungen schließen Daten von Claude for Work / Enterprise vom Training aus; eine Änderung der Verbraucherrichtlinie von 2025 versetzte einzelne Nutzer in ein Opt-out-Modell mit einer Speicherung von bis zu fünf Jahren für diejenigen, die nicht widersprechen, während kommerzielle Kunden ausdrücklich von dieser Änderung ausgenommen wurden. Siehe Analysen unter https://anarlog.so/blog/anthropic-data-retention-policy/ und https://amstlegal.com/anthropics-claude-ai-updated-terms-explained/ (abgerufen Juni 2026).

  9. Europäischer Datenschutzausschuss, „Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models”, angenommen am 17. Dezember 2024 — die Anonymität eines trainierten Modells erfordert den Nachweis, dass personenbezogene Daten nicht extrahiert werden können und dass die Ausgaben sich nicht auf die Trainingspersonen beziehen. Verfügbar unter: https://www.edpb.europa.eu/system/files/2024-12/edpb_opinion_202428_ai-models_en.pdf (abgerufen Juni 2026).

  10. Garante per la protezione dei dati personali, Entscheidung vom 2. November 2024 (Pressemitteilung 20. Dezember 2024), Geldbuße von 15 Millionen Euro gegen OpenAI für die Verarbeitung personenbezogener Daten zum Training von ChatGPT ohne angemessene Rechtsgrundlage, Transparenzversäumnisse und unzureichende Altersverifizierung; Verstöße u. a. gegen Art. 5, 6, 12, 13 und 33 DSGVO. Das Tribunale Ordinario di Roma hob die Geldbuße am 18. März 2026 auf (Verfahren R.G. 4785/2025) aufgrund eines einzigen verfahrensrechtlichen Punktes — dass mit der Gründung der irischen Niederlassung von OpenAI die Rolle der federführenden Behörde an die irische DPC überging und der Garante damit die Zuständigkeit zur Verhängung der Sanktion entzogen war — wobei die materiellen Fragen zur Rechtsgrundlage und Transparenz ausdrücklich unentschieden gelassen wurden. Die Garante hatte ChatGPT zuvor 2023 in Italien vorübergehend offline genommen. Siehe https://www.dataprotectionreport.com/2025/01/the-edpb-opinion-on-training-ai-models-using-personal-data-and-recent-garante-fine-lawful-deployment-of-llms/ sowie die Entscheidung vom März 2026, wie berichtet von PPC Land / Cross-Border Data Forum (abgerufen Juni 2026).

  11. Clearview AI wurde von der französischen (CNIL, 2022), der italienischen (Garante, 10. Februar 2022) und der griechischen (HDPA) Behörde mit jeweils 20 Millionen Euro und von der niederländischen Behörde (September 2024) mit 30,5 Millionen Euro belegt, für das Scrapen biometrischer Daten ohne gültige Rechtsgrundlage — die Behörden lehnten das „berechtigte Interesse” als Grundlage für die massenhafte biometrische Aufnahme ab — neben Verstößen gegen Transparenz, Zweckbindung und weiteren. Siehe EDSA-Zusammenfassungen nationaler Nachrichten, z. B. https://www.edpb.europa.eu/news/national-news/2022/facial-recognition-italian-sa-fines-clearview-ai-eur-20-million_en (abgerufen Juni 2026).

  12. Enterprise-KI-AVV-vs-ZDR-Einkaufsleitfaden — Vergleich von ChatGPT Enterprise, Claude Enterprise, Gemini Enterprise und Microsoft 365 Copilot als Enterprise-Produkte mit kontrollierter Speicherung, die unter AVVs nach Art. 28 mit Trainingsausschlüssen betrieben werden. Verfügbar unter: https://aiprivacy.pro/guides/enterprise-ai-dpa-vs-zdr/ (abgerufen Juni 2026).

  13. Microsoft Learn, „Enterprise data protection in Microsoft 365 Copilot and Microsoft 365 Copilot Chat” und „Data, Privacy, and Security for Microsoft 365 Copilot” — Microsoft handelt als Auftragsverarbeiter unter dem AVV und den Produktbedingungen; Prompts, Antworten und Microsoft-Graph-Daten werden nicht zum Training von Basis-LLMs verwendet. Verfügbar unter: https://learn.microsoft.com/en-us/microsoft-365/copilot/enterprise-data-protection (abgerufen Juni 2026).

  14. Enterprise-KI-AVV-vs-ZDR-Einkaufsleitfaden (a. a. O.) — die vier größten Enterprise-KI-Chatprodukte sind konstruktionsbedingt mit kontrollierter Speicherung; persistenter Verlauf, Speicher und mandantenseitige Aufbewahrung sind Funktionen, keine Fehler; keines ist auf der Chat-Oberfläche ZDR, sofern der Vertrag dies nicht ausdrücklich sagt.

  15. Microsoft Learn, „Frequently asked questions about Microsoft 365 Copilot Chat” — „With enterprise data protection (EDP), prompts and responses are logged, retained, and available for audit, eDiscovery, and advanced Microsoft Purview capabilities.” Verfügbar unter: https://learn.microsoft.com/en-us/copilot/faq (abgerufen Juni 2026).

  16. Anthropic, Dokumentation „API and data retention” — „Claude Teams and Claude Enterprise product interfaces are not ZDR-eligible, except for Claude Code when used through Claude Enterprise with ZDR enabled for the organization. For other product interfaces, only Commercial organization API keys are eligible for ZDR.” Verfügbar unter: https://platform.claude.com/docs/en/manage-claude/api-and-data-retention (abgerufen Juni 2026).

  17. DSK Orientierungshilfe KI — Sensibilisierung der Belegschaft und transparente Dokumentation der Verarbeitung als vorgesehene (verbindlich vorgesehene) Maßnahmen während der Nutzungsphase. Siehe DataAgenda-Zusammenfassung, 17. Juni 2025. Verfügbar unter: https://dataagenda.de/dsk-veroeffentlicht-orientierungshilfe-fuer-datenschutzkonformen-ki%E2%80%91einsatz/ (abgerufen Juni 2026).

  18. DSK Orientierungshilfe KI — wo der Verantwortliche nicht zugleich der Anbieter des KI-Systems ist, bleibt der Verantwortliche verpflichtet, seine eigene Risikobewertung / DSFA durchzuführen. Siehe Zusammenfassung der Stiftung Datenschutz. Verfügbar unter: https://stiftungdatenschutz.org/veroeffentlichungen/datenschutzwoche (abgerufen Juni 2026).