Vor ein paar Wochen saß ich mit ein paar Kollegen zusammen. Kfz-Betriebe, alle selbstständig, alle pragmatisch. Irgendwann kam das Thema auf KI-Tools: ChatGPT, Sprachassistenten, automatische Antworten für Kunden.
Einer von ihnen sagte sinngemäß: “Ich benutze das einfach. Ich kenne mich da nicht so aus, also kann ich auch nicht dafür verantwortlich sein.”
Ich habe nichts gesagt. Aber ich habe gedacht: Genau das ist das Problem.
”Ich kenne das Tool nicht” ist keine Verteidigung
Die DSGVO kennt keinen Unwissenheitsparagraphen.
Als Betriebsinhaber bist du verantwortlich für alles, was mit personenbezogenen Daten in deinem Betrieb passiert, egal ob du weißt wie das Tool im Hintergrund funktioniert oder nicht. Das ist kein Vorwurf, das ist die rechtliche Realität. Und sie gilt auch dann, wenn dein Mitarbeiter den kostenlosen ChatGPT nutzt um eine Kundenanfrage zu beantworten, und dabei Kundennamen, Kennzeichen und Schadensbeschreibungen eintippt.
Das ist nämlich genau das was passiert. Täglich. In hunderten Betrieben.
Was du wahrscheinlich gerade machst, ohne es zu merken
Stell dir einen typischen Montag vor. Ein Kunde schreibt per E-Mail, beschreibt sein Problem, fragt nach einem Termin. Du oder jemand aus deinem Team öffnet ChatGPT, tippt die Anfrage rein, lässt eine Antwort generieren. Schnell, praktisch, gut formuliert.
Was dabei in den Hintergrund fließt: der Name des Kunden, vielleicht das Kennzeichen, das Fahrzeugproblem, womöglich eine Telefonnummer.
Das Problem: In der kostenlosen Version von ChatGPT können diese Daten für das Training des Modells verwendet werden. Damit verlässt personenbezogene Information deines Kunden deinen Betrieb, ohne dessen Wissen, ohne dessen Einwilligung, ohne Auftragsverarbeitungsvertrag.
Und du als Verantwortlicher im Sinne der DSGVO bist derjenige der das zu verantworten hat.
Was die DSGVO konkret von dir erwartet
Ich bin kein Jurist. Was ich dir schreibe, ist meine Einschätzung als Unternehmer der sich intensiv damit beschäftigt hat, kein Rechtsrat.
Aber ein paar Dinge sind ziemlich klar:
Erstens: Du brauchst einen Auftragsverarbeitungsvertrag (AVV). Sobald ein externer Dienstleister personenbezogene Daten für dich verarbeitet, also auch KI-Tools, ist ein AVV Pflicht. Die meisten kostenlosen Consumer-Tools bieten das nicht an. Enterprise-Versionen schon.
Zweitens: Der Zweckbindungsgrundsatz gilt. Kundendaten dürfen nur für den Zweck verwendet werden für den sie erhoben wurden. “ChatGPT hilft mir beim Antworten” ist kein definierter Zweck im Sinne der DSGVO.
Drittens: Bei einem Verstoß haftest du. Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes, das ist der gesetzliche Rahmen. Dass du das Tool “nicht kanntest” oder “nicht wusstest wie es funktioniert”, ist keine Entlastung.
Der Unterschied den die meisten nicht kennen
Es gibt einen Unterschied der entscheidend ist, und den kaum jemand auf dem Schirm hat:
Consumer-Nutzung (ChatGPT Free, Claude Free oder Pro, Google Gemini kostenlos): Daten können für das Modelltraining verwendet werden. Kein AVV verfügbar. Kein Datenschutz auf Unternehmensniveau.
API- und Enterprise-Nutzung (ChatGPT Enterprise, Claude über die API oder Vertex AI, Microsoft 365 Copilot mit entsprechenden Einstellungen): Kundendaten werden nicht für Training verwendet. AVV ist verfügbar und kann abgeschlossen werden. Datenresidenz in der EU ist möglich.
Der Unterschied klingt technisch. Er ist praktisch: Du kannst KI-Tools datenschutzkonform einsetzen, du musst nur wissen welche Version du nutzt.
Was du jetzt tun kannst
Kein großes Projekt, kein IT-Berater notwendig. Drei Fragen die du dir selbst stellen kannst:
1. Welche KI-Tools nutzen ich und meine Mitarbeiter gerade? Nicht die offiziellen. Die echten. ChatGPT auf dem Handy. Sprachassistenten. KI im E-Mail-Programm. Alles was den Alltag leichter macht.
2. Was geben wir dort ein? Kundennamen? Kennzeichen? Schadensbeschreibungen? Diagnosen? Je konkreter die Antwort, desto klarer das Risiko.
3. Gibt es eine Enterprise-Option mit AVV? Für die meisten gängigen Tools: ja. Sie kostet Geld, aber deutlich weniger als ein Datenschutzverstoß.
Das nimmst du mit
Unwissenheit ist kein Schutzschild. Das klingt hart, ist aber kein Vorwurf, weil die meisten Betriebe dieses Thema nicht ignorieren wollen, sondern schlicht keine Zeit hatten sich damit zu beschäftigen.
Das ändert sich nicht von selbst.
Aber der erste Schritt ist auch der einfachste: wissen was du einsetzt. Alles andere ergibt sich daraus.
Wenn dich das Thema beschäftigt, schreib mir gerne. Ich rede offen über das, was bei uns funktioniert und was nicht.
Markus Mangold, Kfz-Meister, Gründer von Torq.Li, Inhaber Zeos83 SocialSolutions