ChatGPT im Team sicher einsetzen: Datenschutz-Leitfaden für KMU

Wie schule ich mein Team in ChatGPT, ohne dass vertrauliche Kundendaten preisgegeben werden? Konkreter Datenschutz-Leitfaden für KMU mit Checkliste und Prompting-Regeln.

“Wir würden ChatGPT gern einsetzen, aber wir wissen nicht, was wir eingeben dürfen.” Das ist einer der häufigsten Sätze im Vorgespräch. Die gute Nachricht: Mit klaren Regeln ist sicherer KI-Einsatz für KMU gut umsetzbar.

Das eigentliche Problem: Niemand hat es erklärt

Wenn Mitarbeitende ChatGPT nutzen, ohne Einweisung zu haben, raten sie. Manche sind vorsichtig und geben kaum etwas ein — und nutzen das Tool damit fast gar nicht. Andere sind zu freizügig und geben Kundennamen, Vertragsdaten oder interne Zahlen ein, ohne sich dabei etwas zu denken.

Beides ist ein Problem. Das erste kostet Produktivität. Das zweite kostet im Ernstfall Vertrauen und Haftung.

Was darf (und was darf nicht) in ChatGPT eingegeben werden?

Nicht erlaubt (öffentliche ChatGPT-Version ohne Enterprise-Vertrag):

  • Vollständige Namen von Kunden, Mandanten oder Patienten
  • Kundennummern, Vertragsnummern, Kontonummern
  • Interne Umsatzzahlen, Kalkulationen, Angebote mit echten Kundendaten
  • Inhalte, die unter Verschwiegenheitspflicht stehen (z.B. Steuerberatung, Anwaltskanzlei)
  • Personenbezogene Daten jeder Art ohne Anonymisierung

Erlaubt und empfehlenswert:

  • Allgemeine Texte, Vorlagen und Musterformulierungen
  • Anonymisierte Szenarien (“ein Kunde aus dem Handwerk hat folgendes Problem…”)
  • Brainstorming und Recherche ohne Firmenbezug
  • Protokollzusammenfassungen ohne Klarnamen
  • Wissensfragen, Erklärungen, Übersetzungen

Die 3-Minuten-Regel für Ihr Team

Bevor Mitarbeitende etwas in ChatGPT eingeben, hilft diese einfache Frage:

“Würde ich das auch per E-Mail an eine externe Person schicken?”

Wenn nein — nicht eingeben. Wenn ja — wahrscheinlich in Ordnung.

Welche technische Lösung passt für Ihr KMU?

LösungDatenschutzAufwandKosten
ChatGPT (kostenlos / Plus)Hohes Risiko ohne RegelnKeiner0–20 €/Monat
ChatGPT EnterpriseDSGVO-konform mit VertragEinrichtung nötigAb ~30 €/Nutzer
Microsoft Copilot (M365)Im bestehenden Vertrag geregeltMinimal wenn M365 vorhandenIm M365-Preis
Langdock / ähnliche DSGVO-LösungenEU-Server, DatenschutzvertragEinrichtung nötigAb ~15 €/Nutzer

Was eine Schulung dabei leistet

Technische Maßnahmen allein reichen nicht. Mitarbeitende müssen verstehen, warum bestimmte Daten nicht eingegeben werden dürfen — nicht nur wissen, dass es verboten ist. Ein Verbot ohne Verständnis wird im Alltag unterlaufen.

Im KI-Training lernt Ihr Team:

  • Wie ChatGPT und andere LLMs mit Eingabedaten umgehen
  • Welche Daten als personenbezogen gelten (DSGVO-Grundlagen)
  • Wie man KI-Anfragen so formuliert, dass sie nützlich und datenschutzkonform sind
  • Was im Ernstfall zu tun ist (Datenpanne melden)

Das Ergebnis: einheitliche Prompting-Standards für das gesamte Team, nicht eine Regel-PDF, die niemand liest.