Du hast gelernt, wie du effektive Prompts schreibst, Fehler vermeidest und die KI als starkes Werkzeug einsetzt. Doch es gibt ein Thema, das viele KI-Nutzer sträflich vernachlässigen: den Datenschutz. Was du einer KI erzählst, kann weitreichende Konsequenzen haben. Nicht nur für dich persönlich, sondern auch für dein Unternehmen, deine Kunden und unter Umständen sogar rechtlich.
In diesem Artikel lernst du, welche Daten du bedenkenlos in KI-Prompts verwenden kannst, wo die Grenzen liegen und wie du sensible Informationen so umformulierst, dass du die KI trotzdem effektiv nutzen kannst. Am Ende wartet eine Praxisübung, in der du kritische Prompts analysierst und datenschutzkonform umschreibst.
Warum Datenschutz beim Prompting so wichtig ist
Wenn du einen Prompt in ein KI-Tool eingibst, verlässt diese Information in den meisten Fällen deinen Computer. Sie wird an einen Server übertragen, dort verarbeitet und möglicherweise gespeichert. Je nach Anbieter und Einstellungen können deine Eingaben sogar zum Training zukünftiger Modelle verwendet werden.
Das bedeutet: Alles, was du in einen Prompt eingibst, ist potenziell nicht mehr unter deiner alleinigen Kontrolle. Stell dir vor, du gibst vertrauliche Kundendaten in einen Prompt ein. Diese Daten liegen nun auf den Servern des Anbieters. Was damit passiert, bestimmt dessen Datenschutzrichtlinie, nicht du.
Die wichtigsten Risiken:
- Deine Eingaben könnten für das Training zukünftiger Modelle genutzt werden
- Mitarbeiter des Anbieters könnten theoretisch auf deine Daten zugreifen
- Sicherheitslücken könnten deine Daten für Dritte zugänglich machen
- Du könntest gegen Datenschutzgesetze wie die DSGVO verstoßen
- Geschäftsgeheimnisse könnten ihren Schutzstatus verlieren
Das soll dich nicht abschrecken. Es soll dich sensibilisieren. KI ist ein unglaublich mächtiges Werkzeug, aber du musst wissen, was du ihm anvertraust.
Personenbezogene Daten: Was die DSGVO sagt
In der Europäischen Union regelt die Datenschutz-Grundverordnung (DSGVO) den Umgang mit personenbezogenen Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das klingt abstrakt, ist in der Praxis aber sehr konkret.
Beispiele für personenbezogene Daten:
- Namen, Adressen, Telefonnummern
- E-Mail-Adressen
- Geburtsdaten
- IP-Adressen
- Standortdaten
- Gesundheitsdaten
- Finanzdaten wie Kontonummern oder Gehälter
- Fotos, auf denen Personen erkennbar sind
- Mitarbeiterbewertungen oder Leistungsdaten
Wenn du solche Daten in einen KI-Prompt eingibst, verarbeitest du sie im Sinne der DSGVO. Dafür brauchst du eine Rechtsgrundlage. In den meisten Fällen hast du die nicht, zumindest nicht für die Weitergabe an einen externen KI-Anbieter.
Konkret bedeutet das:
- Gib niemals echte Namen von Kunden, Mitarbeitern oder Dritten in Prompts ein
- Verwende keine echten E-Mail-Adressen oder Telefonnummern
- Gesundheitsdaten und Finanzdaten sind absolut tabu
- Auch Kombinationen von Daten können eine Person identifizierbar machen
Es reicht nicht, nur den Namen zu entfernen. Wenn du schreibst „die 45-jährige Marketingleiterin aus Stuttgart mit zwei Kindern", kann diese Person trotzdem identifizierbar sein, auch ohne Namen.
Geschäftsgeheimnisse: Einmal geteilt, nie mehr geheim
Neben personenbezogenen Daten gibt es eine zweite kritische Kategorie: Geschäftsgeheimnisse. Dazu gehören interne Strategien, unveröffentlichte Produkte, Preiskalkulationen, Quellcode, Vertragsdetails und alles andere, was deinem Unternehmen einen Wettbewerbsvorteil verschafft.
Das Problem mit KI und Geschäftsgeheimnissen: In vielen Rechtsordnungen verliert eine Information ihren Status als Geschäftsgeheimnis, wenn sie nicht angemessen geschützt wird. Die Eingabe in ein externes KI-Tool kann als mangelnder Schutz gewertet werden. Im schlimmsten Fall kannst du dich nach einer solchen Eingabe nicht mehr auf den rechtlichen Schutz deiner Geschäftsgeheimnisse berufen.
Beispiele, die du nicht eingeben solltest:
- Interne Preiskalkulationen und Margen
- Unveröffentlichte Produktideen oder Patentanmeldungen
- Quellcode proprietärer Software
- Vertragskonditionen mit Partnern oder Lieferanten
- Interne Strategiepapiere und Geschäftspläne
- Kundenlisten und deren Konditionen
- M&A-Pläne oder Finanzierungsdetails
So machst du es besser: Statt „Optimiere unsere Preiskalkulation für Produkt X. Unsere Herstellungskosten liegen bei 12,50 Euro, die Marge soll 35 Prozent betragen" schreibst du: „Erkläre mir verschiedene Strategien zur Preiskalkulation für ein Konsumprodukt mit mittleren Herstellungskosten. Welche Margenmodelle sind üblich und welche Faktoren sollte ich berücksichtigen?"
So bekommst du das Wissen, das du brauchst, ohne interne Zahlen preiszugeben.
Kundendaten: Besondere Verantwortung
Kundendaten verdienen besondere Aufmerksamkeit, weil sie gleich zwei Dimensionen betreffen: den Datenschutz der Personen und das Vertrauen deiner Kunden in dein Unternehmen.
Stell dir vor, ein Kunde erfährt, dass seine Beschwerde inklusive Name, Bestellnummer und Adresse in ein KI-Tool eingegeben wurde. Selbst wenn daraus kein konkreter Schaden entsteht, ist das Vertrauen zerstört. Und Vertrauen ist im Geschäftsleben durch nichts zu ersetzen.
Typische Szenarien, in denen Kundendaten in Prompts landen:
- Kundenservice: „Formuliere eine Antwort auf diese Kundenbeschwerde: Max Mustermann, Bestellnummer 12345, beschwert sich über..."
- Marketing: „Erstelle personalisierte E-Mails für unsere Kundenliste: Anna Schmidt, anna@email.de, hat zuletzt Produkt A gekauft..."
- Analyse: „Hier sind die Verkaufsdaten unserer Top-50-Kunden mit Umsätzen und Kontaktdaten..."
Alle diese Szenarien sind problematisch. Du verarbeitest personenbezogene Daten ohne Rechtsgrundlage, riskierst einen DSGVO-Verstoß und gefährdest das Kundenvertrauen.
So machst du es besser: Anonymisiere konsequent. Statt „Formuliere eine Antwort auf die Beschwerde von Max Mustermann über sein defektes Gerät Modell XY, Bestellnummer 12345" schreibst du: „Formuliere eine professionelle Antwort auf eine Kundenbeschwerde. Der Kunde hat ein defektes Elektronikgerät erhalten und möchte es umtauschen. Tonalität: verständnisvoll und lösungsorientiert."
Anonymisierung: Die wichtigste Technik
Anonymisierung ist dein wichtigstes Werkzeug, um KI datenschutzkonform zu nutzen. Die Grundidee ist einfach: Du entfernst oder ersetzt alle Informationen, die Rückschlüsse auf eine konkrete Person ermöglichen.
Stufen der Anonymisierung:
Stufe 1: Direkte Identifikatoren entfernen
- Namen durch Platzhalter ersetzen (Person A, Kunde B)
- E-Mail-Adressen, Telefonnummern und Adressen entfernen
- Bestellnummern und Kontonummern streichen
Stufe 2: Indirekte Identifikatoren verallgemeinern
- Genaues Alter durch Altersgruppe ersetzen (30 bis 40 statt 37)
- Exakte Orte durch Regionen ersetzen (Süddeutschland statt Stuttgart)
- Spezifische Jobtitel verallgemeinern (Führungskraft statt Marketingleiterin bei Firma X)
Stufe 3: Kontext prüfen
- Kann die Person trotz Anonymisierung noch erkannt werden?
- Gibt es einzigartige Kombinationen von Merkmalen?
- Könnte jemand mit Hintergrundwissen die Person identifizieren?
Praktische Anwendung:
Vorher: „Dr. Sabine Müller, 52, Chefärztin der Kardiologie am Klinikum Stuttgart, hat in der Abteilungsbesprechung am 15. Januar vorgeschlagen, die OP-Zeiten zu ändern. Formuliere eine Zusammenfassung."
Nachher: „Eine leitende Ärztin einer Krankenhausabteilung hat in einer Besprechung vorgeschlagen, die Operationszeiten zu ändern. Formuliere eine Zusammenfassung dieses Vorschlags mit möglichen Vor- und Nachteilen."
Beide Prompts führen zu einer brauchbaren Zusammenfassung. Aber nur der zweite schützt die betroffene Person.
DSGVO in der Praxis: Was du wissen musst
Die DSGVO ist für viele ein Schreckgespenst, aber ihre Grundprinzipien sind logisch und nachvollziehbar. Hier sind die wichtigsten Regeln, die du beim Prompting beachten solltest:
Grundsatz der Datenminimierung: Verwende nur die Daten, die für den Zweck wirklich notwendig sind. Wenn du die KI bittest, eine E-Mail-Vorlage zu erstellen, brauchst du dafür keine echten Kundendaten. Platzhalter reichen völlig aus.
Zweckbindung: Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Wenn ein Kunde dir seine E-Mail für eine Bestellbestätigung gegeben hat, darfst du sie nicht in ein KI-Tool eingeben, um Marketing-Texte zu generieren.
Auftragsverarbeitung: Wenn du ein KI-Tool beruflich nutzt und dabei personenbezogene Daten verarbeitest, brauchst du in der Regel einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Die großen Anbieter bieten das inzwischen an, aber du musst aktiv prüfen, ob ein solcher Vertrag besteht.
Informationspflicht: Betroffene Personen haben ein Recht zu erfahren, dass und wie ihre Daten verarbeitet werden. Wenn du Kundendaten in ein KI-Tool eingibst, müsstest du die Kunden theoretisch darüber informieren.
Praktische Checkliste für den Arbeitsalltag:
- Enthält mein Prompt personenbezogene Daten? Wenn ja, anonymisiere sie.
- Enthält mein Prompt Geschäftsgeheimnisse? Wenn ja, verallgemeinere sie.
- Könnte jemand aus meinem Prompt auf eine reale Person schließen? Wenn ja, überarbeite ihn.
- Nutze ich die KI für einen Zweck, der durch den AVV mit dem Anbieter gedeckt ist?
- Habe ich die Datenschutzrichtlinie des KI-Anbieters gelesen und verstanden?
Sichere Alternativen und Tipps für den Alltag
Datenschutz beim Prompting bedeutet nicht, dass du die KI nicht mehr nutzen kannst. Es bedeutet nur, dass du klüger damit umgehst. Hier sind konkrete Strategien für den Alltag:
1. Lokale KI-Modelle nutzen
Wenn du regelmäßig mit sensiblen Daten arbeitest, ziehe lokale KI-Modelle in Betracht. Diese laufen auf deinem eigenen Computer oder Server. Keine Daten verlassen dein Netzwerk. Tools wie Ollama oder LM Studio ermöglichen es dir, leistungsfähige Modelle lokal auszuführen.
2. Enterprise-Versionen mit Datenschutzgarantien
Viele KI-Anbieter bieten Enterprise-Versionen an, die vertraglich garantieren, dass deine Daten nicht zum Training verwendet werden. OpenAI, Anthropic und andere Anbieter haben spezielle Unternehmenslizenzen mit strengeren Datenschutzbestimmungen.
3. Die Platzhalter-Methode
Arbeite konsequent mit Platzhaltern. Statt echte Daten einzugeben, verwende Variablen: „Erstelle eine E-Mail-Vorlage mit [Kundenname], [Produktname] und [Bestelldatum] als Platzhalter." So bekommst du eine perfekte Vorlage, die du anschließend mit echten Daten befüllst, ohne diese jemals der KI gegeben zu haben.
4. Sensibilisierung im Team
Wenn du in einem Team arbeitest, erstelle klare Richtlinien für die KI-Nutzung. Was darf eingegeben werden, was nicht? Viele Datenschutzverletzungen passieren nicht aus böser Absicht, sondern aus Unwissenheit. Ein kurzes Training kann hier Wunder wirken.
5. Regelmäßige Prüfung der Anbieter-Richtlinien
KI-Anbieter ändern ihre Nutzungsbedingungen regelmäßig. Was heute gilt, kann morgen anders sein. Prüfe regelmäßig, ob die Datenschutzrichtlinien des von dir genutzten Tools noch deinen Anforderungen entsprechen.
6. Opt-out aus dem Modelltraining
Viele Anbieter bieten die Möglichkeit, der Nutzung deiner Daten zum Modelltraining zu widersprechen. Bei ChatGPT findest du diese Option in den Einstellungen. Nutze sie, besonders wenn du die KI beruflich verwendest.
Praxisübung: Sensible Prompts umformulieren
Jetzt bist du dran. Unten findest du fünf Prompts, die datenschutzrechtlich problematisch sind. Deine Aufgabe: Identifiziere das Problem und formuliere den Prompt so um, dass er datenschutzkonform ist, aber immer noch ein nützliches Ergebnis liefert.
Prompt 1: „Schreibe eine Antwort auf die Beschwerde von Thomas Weber, Kundennummer 78234, wohnhaft in der Berliner Straße 15 in München. Er beschwert sich, dass sein Laptop nach zwei Wochen defekt ist."
Problem: Name, Kundennummer und Adresse sind personenbezogene Daten.
Datenschutzkonform: „Schreibe eine professionelle Antwort auf eine Kundenbeschwerde. Situation: Ein Kunde hat vor zwei Wochen einen Laptop gekauft, der nun defekt ist. Tonalität: verständnisvoll und lösungsorientiert. Die Antwort soll einen Umtausch oder eine Reparatur anbieten."
Prompt 2: „Analysiere das Leistungsprofil meiner Mitarbeiterin Sabine K., 34 Jahre, Abteilung Buchhaltung. Sie hat in den letzten drei Monaten die Ziele um 20 Prozent verfehlt und war acht Tage krank."
Problem: Personenbezogene Daten einer Mitarbeiterin inklusive Gesundheitsdaten.
Datenschutzkonform: „Wie kann ich als Führungskraft ein konstruktives Mitarbeitergespräch führen, wenn eine Person in meinem Team die Quartalsziele deutlich verfehlt hat und gleichzeitig überdurchschnittlich viele Fehltage aufweist? Welche Gesprächstechniken sind empfehlenswert?"
Prompt 3: „Unsere neue Software hat folgende Architektur: [vollständiger Quellcode]. Finde die Sicherheitslücken."
Problem: Proprietärer Quellcode ist ein Geschäftsgeheimnis.
Datenschutzkonform: „Welche typischen Sicherheitslücken gibt es in einer Webanwendung, die mit Python und Django entwickelt wurde und eine PostgreSQL-Datenbank verwendet? Erstelle eine Checkliste für ein Sicherheitsaudit." Für die eigentliche Code-Prüfung verwende ein lokales KI-Modell oder spezialisierte Sicherheitstools.
Prompt 4: „Hier ist die E-Mail meines Geschäftspartners mit den neuen Vertragskonditionen: [vollständiger E-Mail-Text mit Konditionen]. Fasse sie zusammen."
Problem: Vertrauliche Vertragsdetails und Geschäftskorrespondenz.
Datenschutzkonform: „Ich habe ein Vertragsangebot erhalten mit folgenden allgemeinen Punkten: Laufzeit 24 Monate, automatische Verlängerung, Kündigungsfrist 3 Monate. Worauf sollte ich bei solchen Vertragsbedingungen besonders achten? Welche Klauseln sind potenziell nachteilig?" Lasse spezifische Konditionen und Beträge weg.
Prompt 5: „Die Patientin Lisa M., 28, hat folgende Symptome: [detaillierte Symptombeschreibung]. Welche Diagnose ist wahrscheinlich?"
Problem: Gesundheitsdaten sind besonders schützenswert nach DSGVO Art. 9.
Datenschutzkonform: „Welche allgemeinen Differentialdiagnosen kommen bei folgender Symptomkonstellation in Betracht: [Symptome ohne Personenbezug]. Hinweis: Dies dient nur der Fortbildung, nicht der Diagnosestellung." Zudem gilt: Medizinische Diagnostik gehört in die Hände von Fachpersonal, nicht in KI-Prompts.
Zusammenfassung und nächste Schritte
Datenschutz beim Prompting ist kein optionales Extra, sondern eine grundlegende Verantwortung. Die wichtigsten Regeln sind einfach: Keine personenbezogenen Daten, keine Geschäftsgeheimnisse, keine vertraulichen Kundendaten in KI-Prompts eingeben. Anonymisiere konsequent, nutze Platzhalter und arbeite bei sensiblen Daten mit lokalen Modellen.
Die DSGVO gibt dir einen klaren Rahmen vor. Wenn du die Grundprinzipien Datenminimierung, Zweckbindung und Informationspflicht verinnerlichst, bist du auf der sicheren Seite. Und im Zweifel gilt: Lieber einmal mehr anonymisieren als einmal zu wenig.
Deine Aufgabe für die Praxis: Gehe deine letzten zehn Prompts durch und prüfe sie auf datenschutzrechtliche Probleme. Überarbeite alle Prompts, die personenbezogene Daten oder Geschäftsgeheimnisse enthalten. Erstelle für dich oder dein Team eine kurze Checkliste mit Dos und Don'ts für die KI-Nutzung.
Datenschutz und KI-Nutzung schließen sich nicht aus. Im Gegenteil: Wer den Datenschutz beherrscht, kann KI mit einem guten Gewissen und voller Kreativität einsetzen. Und genau das ist das Ziel.