Warum ChatGPT ein DLP-Problem ist — und was Sie jetzt tun können

KI-Tools wie ChatGPT sind in Unternehmen längst Alltag. Das Problem: Niemand kontrolliert, was hineinkopiert wird.

Das passiert in Ihrem Unternehmen — right jetzt.

Ein Vertriebsmitarbeiter öffnet ChatGPT, um eine E-Mail zu formulieren. Er kopiert den gesamten Kundenvertrag in das Eingabefeld — weil das Modell doch „alles versteht“. Eine HR-Managerin lädt eine Gehaltstabelle hoch, damit das Tool ihr eine Zusammenfassung erstellt. Ein Entwickler schickt Quellcode an ein Coding-Tool, um einen Bug zu erklären.

Was auf dem Bildschirm aussieht wie moderne Arbeitsproduktivität, ist in Wahrheit ein Datenabfluss. Täglich. In jedem Büro. Ohne dass jemand davon weiß.

Was mit diesen Daten passiert.

Die eingegebenen Daten landen auf Servern von OpenAI, Anthropic oder Google — in den USA, in anderen Nicht-EU-Ländern. Ohne Enterprise-Vertrag mit vertraglicher Datenschutzklausel bedeutet das: Diese Daten werden verarbeitet, potentially gespeichert, potentially zum Training verwendet. Ob das gegen die DSGVO verstößt? Ja, in vielen Fällen. Die Rechtslage ist eindeutig genug, um problematisch zu sein — und unscharf genug, um sich darauf nicht zu verlassen.

Was Sie heute tun können.

Erstens: Inventarisieren. Fragen Sie Ihre Mitarbeiter direkt — nicht über Umwege, nicht über die IT-Abteilung. Welche KI-Tools nutzen Sie? Die Antworten werden Sie überraschen. Diese Liste ist Ihr erstes Risiko-Inventar.

Zweitens: Regeln definieren. Erstellen Sie eine klare Liste: Welche Datenkategorien gehören niemals in ein externes KI-Tool? IBANs, Personaldaten, Vertragsinhalte, Quellcode? Dann ist das die rote Linie.

Drittens: Technische Kontrollen einsetzen. DLP-Lösungen erkennen sensible Muster — IBAN-Nummern, PERSONENDATEN, KUNDENNAMEN — wenn sie in Browser-Eingaben erscheinen. Diese können blockieren, warnen oder maskieren. Das ist der einzige Weg, Kontrolle zu behalten.