ChatGPT im Unternehmen einrichten: DSGVO‑konform nutzen

Der Einsatz von ChatGPT kann Geschäftsprozesse erheblich optimieren – von automatisiertem Kundenservice bis hin zu internen Wissensdatenbanken. Doch gerade im Unternehmenskontext müssen Sie sicherstellen, dass die Nutzung des KI-Tools DSGVO‑konform erfolgt. In diesem Artikel finden Sie praxisnahe Hinweise zur Einrichtung und den wichtigsten Einstellungen.

1. Rechtliche Grundlagen und Verantwortlichkeiten

• DSGVO‑Grundlagen: Gemäß Art. 5 DSGVO müssen personenbezogene Daten rechtmäßig, transparent und zweckgebunden verarbeitet werden. OpenAI tritt dabei als Auftragsverarbeiter auf.

• Vertrag zur Auftragsverarbeitung (AVV): Bevor Sie ChatGPT nutzen, schließen Sie einen AVV mit OpenAI ab. Dies regelt Pflichten und Haftung bei Datenverarbeitung.

Weitere Informationen zur Datenschutz-Grundverordnung: DSGVO-Text auf eur-lex.europa.eu

2. Organisation und Benutzerverwaltung

1. Unternehmens-Account: Legen Sie ein zentrales Unternehmenskonto an (Organisation in ChatGPT Dashboard).

2. Rollen und Berechtigungen:

   • Administratoren: Volle Kontrolle über Einstellungen und AVV-Verwaltung.

   • Standardnutzer: Zugriff auf Chat, ohne Einsicht in Abrechnungs- und Vertragsdaten.

3. Single Sign-On (SSO): Nutzen Sie SSO (z. B. SAML, OAuth), um zentrale Identitätsverwaltung zu gewährleisten und unautorisierte Zugriffe zu verhindern.

3. Datenschutzeinstellungen im ChatGPT Dashboard

• Daten‑Einstellung „Chatverlauf & Training“: Deaktivieren Sie die Option, Chatverläufe zur Modellverbesserung zu verwenden, um Datenweitergabe an OpenAI zu unterbinden.

• Konversationslöschung: Legen Sie interne Richtlinien fest, nach welcher Frist Chat-Protokolle gelöscht oder anonymisiert werden.

• IP-Filter und Geofencing: Falls verfügbar, beschränken Sie den Zugriff auf festgelegte IP-Bereiche in Ihrem Firmennetzwerk.

4. Umgang mit personenbezogenen Daten

• Datensparsamkeit: Vermeiden Sie die Eingabe sensibler oder personenbezogener Daten (z. B. Kundendaten, Gesundheitsinformationen) in Prompts.

• Pseudonymisierung: Wenn Daten notwendig sind, verwenden Sie Pseudonyme oder allgemeine Platzhalter.

• Interner Bot-Review: Führen Sie stichprobenartige Prüfungen der Konversationen durch, um versehentliche Datenschutzverstöße zu erkennen.

5. Technische und organisatorische Maßnahmen (TOMs)

• Verschlüsselung:

  • Transport Layer Security (TLS): Standardmäßig aktiviert bei ChatGPT‑Verbindungen.

  • Ende-zu-Ende: Prüfen Sie, ob Zusatzmodule für E2E-Verschlüsselung verfügbar sind.

• Zugriffskontrolle: Setzen Sie mehrstufige Authentifizierung (MFA) für alle Nutzer durch.

• Monitoring und Logging: Protokollieren Sie administrative Änderungen und sicherheitsrelevante Ereignisse.

6. Schulung und Governance

• Schulung der Mitarbeitenden: Regelmäßige Workshops zu DSGVO und sicherem Umgang mit KI-Tools.

• Nutzungsrichtlinie (AI Policy): Definieren Sie klare Regeln für erlaubte und verbotene Anwendungsfälle.

• Kontinuierliche Überprüfung: Evaluieren Sie vierteljährlich Datenschutz- und Sicherheitsmaßnahmen.

7. Praxis-Tipps und Ressourcen

1. Checkliste vor Live-Betrieb:

   • AVV abgeschlossen

   • SSO eingerichtet

   • Datenschutzeinstellungen überprüft

2. Fachliche Beratung: Bei komplexen Anforderungen empfiehlt sich die Zusammenarbeit mit spezialisierten Dienstleistern wie Rockstein Consulting.

3. Offizielle OpenAI-Ressourcen:

   • Datenschutz und Sicherheit: OpenAI Privacy Policy

   • Enterprise-Dokumentation: https://platform.openai.com/docs/enterprise

Hinweis: Dieser Artikel dient zur ersten Orientierung und ersetzt keine individuelle Rechtsberatung.