Letzte Woche hat mir ein Werkstattinhaber aus meinem Netzwerk geschrieben. Er nutzt seit ein paar Monaten ChatGPT für Angebotsbriefe und Kundenantworten, findet es praktisch, und hat mich gefragt ob das eigentlich okay ist.
Ich habe ihn zurückgefragt: Was tippst du da rein?
“Na, die Anfrage vom Kunden. Den Namen, das Problem, manchmal die Telefonnummer damit ich weiß um wen es geht.”
Und da war das Problem. Nicht das Tool. Die Nutzung.
Das ist kein Einzelfall. Das Missverständnis sitzt tiefer: Viele denken bei DSGVO an irgendwelche Cookie-Banner. Aber die eigentliche Frage im KI-Alltag ist eine andere, nämlich welche Daten ich überhaupt eintippen darf — und welche nicht.
Die eine Regel die alles vereinfacht
Du musst kein Jurist sein. Es reicht diese eine Frage:
Kann ich aus dieser Information erkennen um welche Person es geht?
Ja → Finger weg, außer du hast die richtige rechtliche Grundlage. Nein → In der Regel kein Problem.
Das ist keine vollständige Rechtsauskunft, aber eine Faustregel die in 90% der Alltagssituationen funktioniert. Und sie schützt dich vor den häufigsten Fehlern.
Die Tabelle: Was darf rein, was nicht?
| Datentyp | Warum | |
|---|---|---|
| Allgemeine Fehlerbeschreibung (“Motor läuft unrund nach Kaltstart”) | ✅ | Kein Personenbezug |
| Kundenname + Problembeschreibung | ❌ | Name = personenbezogene Daten |
| KFZ-Kennzeichen | ❌ | Personenbezogen, Person identifizierbar |
| Fahrzeug-VIN (Fahrgestellnummer) | ❌ | Lässt sich auf Halter zurückverfolgen |
| ”Schreib eine Antwort auf diese Beschwerde: [Kundentext kopiert]“ | ❌ | Namen und Kontext im Text = personenbezogen |
| Rechnungsbetrag ohne Kundenbezug (“Wie viel Mehrwertsteuer auf 240 €?”) | ✅ | Keine Person erkennbar |
| Angebotsentwurf ohne Kundendaten | ✅ | Nur allgemeiner Inhalt |
| Mitarbeitername in Prompt | ❌ | Beschäftigtendaten, besonders schützenswert |
| Allgemeine Arbeitsbeschreibung (“Wie formuliere ich eine Absage höflich?”) | ✅ | Kein Personenbezug |
| E-Mail-Adresse eines Kunden | ❌ | Eindeutig personenbezogen |
| Schadensfoto mit sichtbarem Kennzeichen | ❌ | Kennzeichen auf Bild = personenbezogen |
| Schadensfoto ohne erkennbare Personendaten | ✅ | Kein Personenbezug, wenn nichts zuordenbar |
Die Grauzone: Was wenn ich nicht sicher bin?
Manchmal ist es nicht so eindeutig. Ein Kundentext ohne Namen aber mit sehr spezifischen Details, eine Beschreibung die auf eine bestimmte Person schließen lässt, eine Kundennummer ohne Namen aber in Verbindung mit anderen Angaben.
Meine Empfehlung für diese Fälle: Anonymisieren bevor du eintippst.
Aus “Herr Müller aus Weinheim, der am 14. März sein Fahrzeug gebracht hat” wird “ein Kunde, Fahrzeug war eine Woche in der Werkstatt, Beschwerde wegen Rechnung.”
Das dauert 20 Sekunden. Das Ergebnis ist dasselbe. Und du bist rechtlich auf der sicheren Seite.
Wann ist es trotzdem erlaubt?
Es gibt Situationen wo du Kundendaten in ein KI-Tool eingeben kannst, nämlich wenn alle drei Punkte erfüllt sind:
- Du nutzt eine Business- oder API-Version des Tools (nicht die kostenlose Consumer-Version)
- Du hast einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter abgeschlossen
- Du hast eine Rechtsgrundlage für die Verarbeitung (meistens Vertragserfüllung oder berechtigtes Interesse)
ChatGPT Enterprise, Claude über die Anthropic API, Mistral Business — das sind Optionen die das ermöglichen. Die kostenlose Version von ChatGPT erfüllt diese Voraussetzungen nicht.
Solange du das nicht aufgesetzt hast, gilt: Keine Kundendaten in KI-Tools.
Praktischer Tipp für den Alltag
Wenn du Mitarbeiter hast die KI-Tools nutzen, reicht eine kurze Regel die du ausdruckst und aufhängst:
KI-Tools: Keine Namen, keine Kennzeichen, keine Kontaktdaten. Wenn du nicht sicher bist, frag kurz nach.
Das ist keine vollständige Datenschutzschulung. Aber es verhindert die häufigsten Fehler, ohne dass du einen zweistündigen Workshop veranstalten musst.
Die ausführlichere Version — eine Tabelle zum Ausdrucken, die du deinem Team an die Hand geben kannst — gibt es hier als PDF:
👉 PDF herunterladen: Was darf ins KI-Tool? — Kurzreferenz zum Ausdrucken
Das nimmst du mit
Die meisten KI-Fehler im Betrieb passieren nicht aus Böswilligkeit, sondern weil niemand erklärt hat wo die Grenze ist. Die Grenze ist: personenbezogene Daten gehören nicht in Consumer-KI-Tools.
Merke dir die eine Frage: Kann ich daraus erkennen um welche Person es geht? Wenn ja, lass es weg oder anonymisiere es vorher.
Das reicht für den Anfang. Und es schützt dich vor den häufigsten Problemen.
Markus Mangold, Kfz-Meister, Gründer von Torq.Li, Inhaber Zeos83 SocialSolutions