Dürfen meine Mitarbeiter ChatGPT nutzen? Der Praxis-Leitfaden

“Dürfen meine Mitarbeiter eigentlich ChatGPT nutzen?” Diese Frage hören wir in fast jedem Erstgespräch. Die kurze Antwort: ja. Es gibt kein Gesetz, das KI am Arbeitsplatz verbietet. Die längere Antwort: Es kommt darauf an, wie. Wer den Rahmen nicht setzt, handelt sich Datenschutz-Risiken ein. Wer ihn setzt, nutzt KI sicher und produktiv. Dieser Leitfaden zeigt, was Sie klären müssen.

Ein Hinweis vorab: Dieser Beitrag erklärt die Zusammenhänge verständlich, er ist keine Rechtsberatung. Für die verbindliche Bewertung eures Einzelfalls arbeiten wir mit einer spezialisierten Datenschutz-Kanzlei zusammen.

1. Die richtige Version: nicht das Privatkonto

Der häufigste Fehler ist, dass Mitarbeiter ihr privates, kostenloses KI-Konto für die Arbeit nutzen. Für die berufliche Nutzung mit Unternehmensdaten sind die Geschäfts-Versionen gedacht. Sie unterscheiden sich in zwei wichtigen Punkten vom Privatkonto: Sie bieten einen Vertrag zur Auftragsverarbeitung, und sie schließen die Nutzung eurer Eingaben zum Training des Modells in der Regel aus. Welche Version genau passt, hängt von eurem Setup und vom aktuellen Anbieter-Angebot ab.

2. Der Datenschutz: welche Daten dürfen hinein?

Das ist der Kern. Sobald personenbezogene Daten verarbeitet werden (Namen, E-Mail-Adressen, Kundeninformationen), greift die DSGVO. Daraus folgen zwei Dinge:

• Auftragsverarbeitungsvertrag (AVV). Mit dem Anbieter braucht es in der Regel einen solchen Vertrag. Die großen Anbieter stellen ihn für ihre Geschäfts-Versionen bereit.
• Klarheit, was hineingehört. Selbst mit AVV gilt: Besonders sensible Daten (Gesundheit, Verträge mit Geheimhaltung, interne Zahlen) gehören nur dann in ein KI-Werkzeug, wenn das bewusst geprüft und freigegeben wurde. Die einfachste Regel für den Alltag: Im Zweifel keine echten personenbezogenen oder vertraulichen Daten eingeben, sondern anonymisieren.

3. Die KI-Richtlinie: kurze, klare Regeln

Eure Mitarbeiter brauchen keine juristische Abhandlung, sondern Antworten auf die Fragen, die im Alltag auftauchen. Eine gute KI-Richtlinie passt auf ein bis zwei Seiten und klärt:

• Welche Werkzeuge sind freigegeben?
• Welche Daten dürfen hinein, welche nicht?
• Wer ist bei Unsicherheit ansprechbar?
• Wie geht man mit KI-Ergebnissen um (immer prüfen, nicht blind übernehmen)?

Eine kurze Richtlinie, die gelesen und verstanden wird, ist mehr wert als ein dickes Dokument, das niemand öffnet.

4. Die Schulungspflicht: seit Februar 2025 Gesetz

Hier kommt ein Punkt dazu, den viele noch nicht auf dem Schirm haben. Der EU AI Act verlangt seit dem 2. Februar 2025 in Artikel 4, dass Unternehmen für ein ausreichendes Maß an KI-Kompetenz ihrer Mitarbeiter sorgen. Die Bundesnetzagentur stellt dazu klar: Es braucht keine formale Zertifizierung, aber die Maßnahmen sollten dokumentiert werden. Heißt praktisch: Eure Leute brauchen eine zum Risiko passende Schulung, und ihr solltet belegen können, dass sie stattgefunden hat.

Mehr zu Artikel 4 und der konkreten Umsetzung steht in unserem Beitrag zur KI-Kompetenz-Pflicht.

Die Reihenfolge in der Praxis

Wenn Sie es richtig aufsetzen wollen, gehen Sie in dieser Reihenfolge vor:

1. Bestandsaufnahme: Welche KI ist schon im Einsatz, oft mehr als gedacht (Stichwort Schatten-KI).
2. Freigegebenes Werkzeug auswählen, mit AVV und passender Datenverarbeitung.
3. Kurze KI-Richtlinie schreiben und im Team bekannt machen.
4. Mitarbeiter schulen und die Schulung dokumentieren.

Fazit

Ja, Ihre Mitarbeiter dürfen ChatGPT nutzen, und sie tun es vermutlich längst. Die Aufgabe der Führung ist nicht, es zu verbieten, sondern den Rahmen zu setzen: richtige Version, klare Datenregeln, kurze Richtlinie, geschulte Leute. Dann wird aus einem diffusen Risiko ein echter Produktivitäts-Hebel.

Genau diesen Rahmen bauen wir mit euch auf. Im Erstgespräch schauen wir uns euren Stand an und sagen euch, wo ihr anfangen solltet. Der vorgelagerte Beratungs-Anteil kann BAFA-förderfähig sein.