25.11.2025, 15:25
Eine unbequeme Frage, die ich Geschäftsführungen gerne stelle: Können Sie nachvollziehen, welche Informationen Ihre Mitarbeitenden in den letzten 30 Tagen in KI-Tools eingegeben haben? In 90 % der Fälle ist die Antwort: nein.
Das ist ein Problem. Aus Datenschutzsicht und ebenso in Bezug auf Geschäftsgeheimnisse. Wenn ein Konstrukteur ein CAD-Detail in einen öffentlichen Chat schiebt, um sich beim Tolerieren helfen zu lassen, ist das im Zweifel ein Vorgang, der bei einer späteren Auseinandersetzung — Patentstreit, Schutz nach Geschäftsgeheimnisgesetz — relevant wird.
Mein praktischer Vorschlag: Erstens ein Unternehmens-Account beim KI-Anbieter, NICHT private Logins. Damit haben Sie zumindest serverseitig Logs und können Datenverarbeitungsvereinbarungen schließen. Zweitens eine kurze Richtlinie, was rein darf und was nicht (Personendaten, Lieferantenkonditionen, unveröffentlichte Produktdetails — typischerweise nicht). Drittens eine Stelle im Unternehmen, an die sich Mitarbeitende wenden können, wenn sie unsicher sind. Lieber einmal fragen als zweimal löschen.
Und ja, Sie können solche Logs auch missbrauchen, um Mitarbeitende zu kontrollieren. Tun Sie es nicht. Das vergiftet jede Awareness-Kultur.
Hinweis: Keine Rechtsberatung und kein Ersatz dafür. Für DSGVO, EU AI Act und Mitbestimmungsfragen holen Sie sich Fachleute ins Haus.
Wie regeln Sie das bei sich — Pauschalverbot, freie Wildbahn, oder etwas dazwischen?
Das ist ein Problem. Aus Datenschutzsicht und ebenso in Bezug auf Geschäftsgeheimnisse. Wenn ein Konstrukteur ein CAD-Detail in einen öffentlichen Chat schiebt, um sich beim Tolerieren helfen zu lassen, ist das im Zweifel ein Vorgang, der bei einer späteren Auseinandersetzung — Patentstreit, Schutz nach Geschäftsgeheimnisgesetz — relevant wird.
Mein praktischer Vorschlag: Erstens ein Unternehmens-Account beim KI-Anbieter, NICHT private Logins. Damit haben Sie zumindest serverseitig Logs und können Datenverarbeitungsvereinbarungen schließen. Zweitens eine kurze Richtlinie, was rein darf und was nicht (Personendaten, Lieferantenkonditionen, unveröffentlichte Produktdetails — typischerweise nicht). Drittens eine Stelle im Unternehmen, an die sich Mitarbeitende wenden können, wenn sie unsicher sind. Lieber einmal fragen als zweimal löschen.
Und ja, Sie können solche Logs auch missbrauchen, um Mitarbeitende zu kontrollieren. Tun Sie es nicht. Das vergiftet jede Awareness-Kultur.
Hinweis: Keine Rechtsberatung und kein Ersatz dafür. Für DSGVO, EU AI Act und Mitbestimmungsfragen holen Sie sich Fachleute ins Haus.
Wie regeln Sie das bei sich — Pauschalverbot, freie Wildbahn, oder etwas dazwischen?