ChatGPT für interne Dokumente: sicher und DSGVO-konform?
Viele Teams wollen ChatGPT auf ihre eigenen Unterlagen loslassen. Welche Risiken dabei entstehen, wann der Einsatz DSGVO-konform ist und worin sich eine dedizierte Lösung vom öffentlichen Chatbot unterscheidet.
Das öffentliche ChatGPT ist für vertrauliche Unternehmensdokumente nicht ohne Weiteres geeignet. Eingaben können außerhalb der EU verarbeitet und je nach Tarif zur Modellverbesserung genutzt werden. DSGVO-konform wird der Einsatz erst mit EU-Hosting, einem Auftragsverarbeitungsvertrag, vertraglich ausgeschlossener Trainingsnutzung und nachvollziehbaren Antworten mit Quellenangabe. Das leisten dedizierte B2B-Systeme, nicht der Standard-Chatbot.
Kann man ChatGPT mit internen Unternehmensdokumenten nutzen?
Der Wunsch ist verständlich. ChatGPT beantwortet Fragen in Sekunden, und das eigene Handbuch oder die Spezifikation einfach hineinzukopieren liegt nahe. Technisch funktioniert das. Die Frage ist nicht, ob es geht, sondern ob es darf.
Sobald vertrauliche Konstruktionsdaten, Kundeninformationen oder personenbezogene Daten ins Spiel kommen, wird aus einer Komfortfrage eine Compliance-Frage. Und die beantwortet sich nicht am Funktionsumfang, sondern an Datenstandort, Vertragslage und Nachvollziehbarkeit.
Welche Risiken entstehen beim Hochladen interner Dokumente?
Datenstandort. In der kostenlosen Version ist oft nicht transparent, wo Eingaben verarbeitet werden. Bei einem Drittlandtransfer greifen zusätzliche Anforderungen der DSGVO.
Trainingsnutzung. Je nach Tarif und Einstellung können Eingaben zur Verbesserung der Modelle verwendet werden. Für interne Dokumente ist das ein No-Go, das vertraglich ausgeschlossen sein muss.
Fehlender Auftragsverarbeitungsvertrag. Ohne AVV fehlt die rechtliche Grundlage für die Verarbeitung personenbezogener Daten durch einen Dienstleister.
Keine Nachvollziehbarkeit. Ein allgemeiner Chatbot formuliert aus seinem Trainingswissen und belegt seine Aussagen nicht. Bei technischen Inhalten ist eine Antwort ohne Quelle nicht überprüfbar und damit nicht belastbar.
Öffentliches ChatGPT vs. dedizierte KI für interne Dokumente
| Kriterium | Öffentliches ChatGPT | Dedizierte KI für interne Dokumente |
|---|---|---|
| Datenstandort | oft USA oder Drittland | EU-Rechenzentrum |
| Trainingsnutzung der Eingaben | je nach Tarif möglich | vertraglich ausgeschlossen |
| Auftragsverarbeitungsvertrag | eingeschränkt | Standard |
| Quellenangabe | nein | ja, bis auf Datei und Seite |
| Zugriffskontrolle und Audit-Log | begrenzt | rollenbasiert und protokolliert |
| Wissensbasis | allgemeines Trainingswissen | ausschließlich Ihre Dokumente |
Worauf sollten Sie bei einer DSGVO-konformen Lösung achten?
Werden die Daten in der EU verarbeitet, und ist der Betreiber ohne US-Konzernmutter? Das entscheidet über die Anwendbarkeit des US Cloud Act. Die Details dazu stehen im Beitrag zu EU-Hosting und KI.
Ist die Trainingsnutzung vertraglich ausgeschlossen, nicht nur per Häkchen in den Einstellungen?
Belegt das System jede Antwort mit einer Quelle? Ohne Beleg bleibt jede Aussage ein Vertrauensvorschuss. Warum das gerade bei technischer Dokumentation zählt, zeigt der Beitrag zu KI mit Quellenangabe.
Gibt es eine rollenbasierte Zugriffskontrolle und ein Audit-Log? Nicht jeder im Unternehmen soll jedes Dokument abfragen können.
Was bedeutet das für die Praxis?
Das öffentliche ChatGPT ist ein hervorragendes Werkzeug für allgemeine Aufgaben. Für vertrauliche interne Dokumente ist es das falsche Werkzeug, nicht weil es zu schwach wäre, sondern weil es für einen anderen Zweck gebaut ist.
Was technische Teams brauchen, ist kein allwissender Chatbot, sondern ein System, das ausschließlich aus den eigenen Unterlagen antwortet, jede Aussage belegt und die Daten in einem rechtssicheren Rahmen verarbeitet. Der entscheidende Unterschied liegt nicht in der Intelligenz des Modells, sondern in Herkunft der Antwort und Kontrolle über die Daten.
Wie das mit Ihren eigenen Dokumenten aussieht, sehen Sie am besten direkt: Demo buchen.
Häufige Fragen
Darf ich interne Dokumente in das öffentliche ChatGPT hochladen?
Für vertrauliche oder personenbezogene Inhalte ist davon abzuraten, solange kein Auftragsverarbeitungsvertrag besteht und der Datenstandort sowie die Trainingsnutzung nicht geklärt sind. Viele Unternehmen untersagen das Hochladen interner Dokumente in öffentliche Chatbots daher per Richtlinie.
Ist ChatGPT Enterprise DSGVO-konform?
Enterprise- und Team-Tarife bieten gegenüber der kostenlosen Version mehr Kontrolle, etwa den Ausschluss der Trainingsnutzung und vertragliche Zusagen. Ob der Einsatz vollständig DSGVO-konform ist, hängt aber vom konkreten Datenstandort, vom Auftragsverarbeitungsvertrag und vom Anwendungsfall ab und sollte im Einzelfall geprüft werden.
Werden meine Eingaben zum Training der KI genutzt?
In kostenlosen Consumer-Versionen ist das je nach Einstellung möglich. In B2B-Tarifen lässt sich die Trainingsnutzung in der Regel ausschließen. Diese Zusage sollte vertraglich festgehalten und nicht nur in den Einstellungen aktiviert sein.
Was ist die Alternative zu ChatGPT für interne Dokumente?
Dedizierte B2B-Systeme verarbeiten Ihre Dokumente in einem EU-Rechenzentrum, schließen die Trainingsnutzung vertraglich aus und belegen jede Antwort mit Quelle. Sie antworten ausschließlich aus Ihren Unterlagen statt aus allgemeinem Modellwissen. Mehr dazu im Beitrag zu KI mit Quellenangabe.