Alle Beiträge
Incident ResponseDSGVOKI-Governance

KI-Datenschutzvorfall: Was in den ersten 72 Stunden wirklich zählt

4 Min. LesezeitThomas Stermole

Es ist Dienstagnachmittag, als eine Mitarbeiterin bei Ihnen im Büro steht und leiser wird: „Ich glaube, ich habe da was Falsches in ChatGPT eingegeben." Eine komplette Kundenliste, zur schnelleren Formulierung eines Angebots. Kein Hacker, kein Datenleck im klassischen Sinn – und trotzdem läuft ab jetzt eine Uhr.

Dieser Beitrag ist bewusst kein Ratgeber zur Vorbeugung – wie Schatten-KI überhaupt entsteht und wie Sie sie verhindern, habe ich im Beitrag Schatten-KI im Unternehmen beschrieben. Hier geht es um den Moment danach: Es ist passiert, und Sie müssen jetzt richtig handeln. Denn ob aus diesem Moment ein meldepflichtiger Vorfall wird, entscheidet sich nicht am Fehler selbst, sondern an den nächsten Stunden.

Warum das kein Kavaliersdelikt ist

Sobald personenbezogene Daten in ein KI-Tool eingegeben werden, das Sie nicht kontrollieren, findet aus Sicht der DSGVO eine Verarbeitung durch einen Dritten statt. Bei vielen kostenlosen KI-Diensten kommt hinzu: Die Eingaben dürfen laut Nutzungsbedingungen zum Training der Modelle verwendet werden. Damit verlassen die Daten nicht nur Ihr Haus, sie werden potenziell Teil eines Systems, aus dem Sie sie praktisch nicht mehr zurückholen können.

Das Gesetz nennt so etwas eine „Verletzung des Schutzes personenbezogener Daten" (DSGVO Art. 4 Nr. 12). Und daran hängt die berühmte Frist.

Die 72-Stunden-Uhr: Was Art. 33 und 34 verlangen

Zwei Artikel der DSGVO sind hier zentral, und sie meinen zwei verschiedene Dinge:

  • Artikel 33 – Meldung an die Aufsichtsbehörde: Liegt ein Datenschutzvorfall vor, der voraussichtlich zu einem Risiko für die betroffenen Personen führt, müssen Sie ihn der zuständigen Datenschutzbehörde melden – „unverzüglich und möglichst binnen 72 Stunden", nachdem Ihnen der Vorfall bekannt wurde.
  • Artikel 34 – Benachrichtigung der Betroffenen: Besteht sogar ein hohes Risiko für die betroffenen Personen, müssen Sie zusätzlich diese Personen selbst informieren – in klarer, verständlicher Sprache.

Die 72 Stunden sind keine Bearbeitungszeit für die perfekte Lösung. Sie sind das Fenster, in dem die Behörde von relevanten Vorfällen erfahren soll. Und die Frist läuft ab dem Moment, in dem das Unternehmen vom Vorfall Kenntnis erlangt – nicht erst ab Ihrer internen Klärung.

Muss ich jetzt sofort melden?

Nicht jeder Vorfall ist meldepflichtig. Entscheidend ist die Risikoabwägung. Waren es öffentlich ohnehin bekannte Daten? Waren Betroffene überhaupt identifizierbar? Handelte es sich um sensible Kategorien wie Gesundheits- oder Finanzdaten? Genau hier liegt der häufigste Fehler: Unternehmen entscheiden aus dem Bauch heraus „ist schon nicht so schlimm" und dokumentieren nichts.

Der Punkt ist: Auch eine begründete Entscheidung gegen eine Meldung müssen Sie nachvollziehbar festhalten. Diese interne Dokumentationspflicht (ebenfalls Art. 33) gilt unabhängig davon, ob Sie am Ende melden oder nicht. Keine Dokumentation zu haben ist oft das größere Problem als der ursprüngliche Fehler.

Die ersten Schritte – in der richtigen Reihenfolge

  1. Eingrenzen. Stoppen Sie die weitere Verbreitung. Wurde ein geteilter Chat-Link erzeugt? Deaktivieren. Läuft der Zugriff über einen API-Key? Widerrufen oder rotieren.
  2. Dokumentieren. Was wurde wann von wem in welches Tool eingegeben? Screenshots, Zeitstempel, beteiligte Personen. Das ist keine Bürokratie, das ist Ihre Grundlage für jede weitere Entscheidung.
  3. Einordnen. Personenbezug ja/nein? Sensible Daten? Betroffene identifizierbar? Daraus ergibt sich, ob die 72-Stunden-Uhr für Sie tickt.
  4. Anbieter kontaktieren. Fordern Sie schriftlich die Löschung der Eingaben und Logs an und lassen Sie sich das bestätigen. Prüfen Sie, ob eine Trainings-Nutzung deaktiviert werden kann.
  5. Melden – wenn nötig. Bei Risiko: Meldung an die Datenschutzbehörde vorbereiten. Bei hohem Risiko: zusätzlich die Betroffenen informieren.
  6. Vorbeugen. Sorgen Sie dafür, dass derselbe Fehler nicht in zwei Wochen wieder passiert.

Wenn Sie diese Schritte gerade wirklich brauchen: Ich habe daraus ein kostenloses Sofort-Werkzeug gebaut. Die KI-Vorfall-Soforthilfe enthält eine Checkliste für die ersten Stunden und einen interaktiven Wizard, der Ihre konkrete Situation einordnet – inklusive Einschätzung zur Meldepflicht.

Der eigentliche Fix passiert danach

Ein einzelner Vorfall ist ein Betriebsunfall. Wenn er sich wiederholt, ist er ein Systemproblem. Die Mitarbeiterin aus dem Beispiel hat nichts falsch machen wollen – ihr fehlten schlicht eine klare Regel und ein freigegebenes, sicheres Werkzeug. Genau hier setzt nachhaltige Prävention an: eine schlanke KI-Nutzungsrichtlinie, die niemand umgehen will, und Tools mit sauberem Auftragsverarbeitungsvertrag, bei denen Eingaben nicht ins Training wandern.

Kurz gesagt

Kundendaten in ChatGPT sind kein Weltuntergang – aber auch nichts, was man aussitzt. Sichern, dokumentieren, einordnen, und dann eine bewusste Entscheidung über die Meldung treffen. Der Unterschied zwischen einem verwalteten Vorfall und einem echten Problem liegt fast immer in den ersten Stunden.

Nächster Schritt

Klingt relevant für Ihr Unternehmen?

In einem unverbindlichen Erstgespräch klären wir in 30 Minuten, ob und wo sich der Einstieg für Sie lohnt — ehrlich und ohne Verkaufsdruck.

Erstgespräch anfragen