Den Kolleginnen fiel es zuerst auf. Brauchte die Assistentin der Wirtschaftsprüfungsgesellschaft im Rheinland sonst immer sehr lange für einen Brief in englischer Sprache, so ging ihr das plötzlich ganz flott von der Hand. Dabei wussten alle, dass die Kollegin sich eigentlich mit Englisch schwertat, sowieso nicht gut in Wort und Schrift war und obendrein nicht die Fleißigste. Des Rätsels Lösung: Die Assistentin gab kurzerhand ganze E-Mail-Ketten – samt ihrer eigenen Antwort auf Deutsch – in ChatGPT ein und die KI generierte „menschenähnliche Antworten“, erzählt ihre Vorgesetzte. Ohne zu fragen, ob sie das überhaupt darf. Erst auf Nachfrage der Chefin rückte sie mit der Wahrheit über ihr plötzliches Arbeitstempo heraus.

Der Fall ist typisch: „Viele Mitarbeiter nutzen KI wie ChatGPT unkontrolliert und hinter dem Rücken ihres Arbeitgebers“, sagt Christoph Werkmeister, IT- und Datenschutzexperte bei der Kanzlei Freshfields. Ohne erst mal nachzufragen und eine Genehmigung oder firmeneigene KI-Angebote abzuwarten.

Das belegt auch eine weltweite Umfrage von Microsoft in Zusammenarbeit mit dem Netzwerk LinkedIn: In Deutschland nutzen 69 Prozent der Wissensarbeiter tagtäglich KI bei der Arbeit. Vor allem solche, die mit dem heutigen Arbeitstempo sowie dem Arbeitsvolumen zu kämpfen haben und damit Zeit sparen wollen, so das Ergebnis. Oder weil sie auf mehr Kreativität hoffen.

Viele motivierte Mitarbeiter wollen zum Beispiel mit ChatGPT ausprobieren, wie sie Produkte oder Prozesse optimieren können. Zum Beispiel, um ein gutes Marketinganschreiben – möglichst personalisiert mit vielen Kundendaten – zu kreieren, erzählt Werkmeister. Ein anderes Beispiel: Um an einer großen Kundenliste zu erkennen, wer was gekauft hat, wie viel Umsatz die Firma mit welchem Kunden macht oder wem man welches Produkt als nächstes anbieten will, so der Jurist.

Vertraulichkeitsvereinbarungen verletzen

Das ist für die Unternehmen riskant, denn viele dieser Mitarbeiter unterschätzen, welche Schäden sie damit anrichten und welche Konsequenzen ihr Tun haben kann. Sie bedenken nicht, dass die von ihnen eigegebenen Daten oft vertrauliche sind, die zum Beispiel durch Vertraulichkeitsvereinbarungen in Verträgen mit Kunden geschützt sind. Einmal in die KI eingeben, teilt diese die geheimen Zahlen, Daten und Fakten unkontrolliert mit weiteren KI-Nutzern.

Werkmeister berichtet von einem international tätigen Unternehmen aus der Baubranche, dessen Mitarbeiter die KI mit einem großen Kaufvertrag über eine Million Ziegel fütterte. Die Mitbewerber sollten keinesfalls seine Bezugsquelle und erst recht nicht den Einkaufspreis erfahren. Die Sorge war, dass ihm Wettbewerber den günstigen Lieferanten abspenstig machen könnten, indem sie ihn nur um wenig überbieten. „Im schlimmsten Fall riskiert ein Unternehmen nicht nur deftige Vertragsstrafen, sondern kann darüber hinaus enorme wirtschaftliche Schäden erleiden, wenn ihm sein Rohstoff ausgeht“, warnt der IT-Experte.

Nützliche Whistleblower-Hotlines

Genauso problematisch sei es, wenn Mitarbeiter urheberrechtlich geschütztes Material via KI an eine unüberschaubare Zahl von Menschen preisgeben.

Meist erfuhren seine Mandanten solche Übertritte durch die Whistleblower-Hotlines, sagt Werkmeister. Die Mitarbeiter wurden in den Fällen meistens nur abgemahnt. Immerhin hatten es die Unternehmen dann stets selbst versäumt, firmeninterne Richtlinien für KI-Nutzung zu erlassen. Zumal es technische Lösungen von ChatGPT und anderen Anbietern gebe, die dafür sorgen, dass geheime Daten nicht abfließen, sondern in geschützten Räumen bleiben, so der Experte.

Jedoch ist die Nutzung von KI auch aus Datenschutzgründen heikel. Geben Wissensarbeiter personenbezogene Daten in die KI ein, drohen im Extremfall Bußen von bis zu vier Prozent des globalen Firmenumsatzes, sagt Werkmeister. Das kann schon passieren, wenn Mitarbeiter sich beim Formulieren vermeintlich harmloser Briefe oder Mails von der KI helfen lassen. Vor allem aber sind Unternehmen verpflichtet, erheblichere Datenschutzverstöße des eigenen Unternehmens sofort den Behörden anzuzeigen und in besonders schweren Fällen öffentlich zu machen.

Eine Richtlinie und eine Schulung sind zu wenig

Sind solche Fälle erstmal öffentlich, muss sich das Unternehmen rechtfertigen: Eine Richtlinie und eine Schulung reichen im Zweifel nicht, sich zu entlasten, sagt Werkmeister. Das Unternehmen muss nachweisen, dass die Nutzung der KI am Arbeitsplatz nicht rechtswidrig erfolgt.

Problematisch wird es auch dann für die Unternehmen, wenn die Mitarbeiter aus Gründen der Arbeitsverdichtung KI nutzen. „Dann hat das Unternehmen die Ursache dafür, dass der Mitarbeiter die Arbeit nicht schafft und für sein Fehlverhalten womöglich selbst gesetzt“, sagt der Düsseldorfer.

Wenn Mitarbeiter persönlich Bußen riskieren

Angestellte von Unternehmen ohne firmeninterne Richtlinien haben ein geringeres Risiko. Wer Richtlinien allerdings missachtet kann auch als Privatpersonen mit 10.000 bis 20.000 Euro Bußgeld oder theoretisch noch mehr rechnen, warnt Werkmeister – zu bezahlen aus eigener Tasche.

Die Risiken im Umgang mit KI lassen sich nach Werkmeisters Erfahrung verhindern, indem die Firmen sich individuelle, datenschutzkonforme Lösungen auf separaten Servern von den KI-Anbietern anfertigen lassen und für die Mitarbeiter Lizenzen kaufen. Kostenpunkt: 20 bis 100 Euro je Mitarbeiter pro Monat, hinzukommen Rechenkapazitäten für mehrere hunderttausend Euro jährlich. Billig sind KI-Lösungen also nicht.

Die gemeldeten Datenschutzverstöße sind bisher noch selten, dafür ist das Phänomen noch zu neu, sagt Werkmeister. Würden die ersten größeren Fälle erst mal öffentlich, werde das eine Warnung für alle anderen Unternehmen.

KI-Anwendungen schlicht zu verbieten, sei keine Alternative. Doch die Mandanten, die erst ganz euphorisch sind, brauchen am Ende Geduld. Der Anwalt begleitet seit rund einem Jahr ein Projekt eines Versicherers, der KI einsetzen will, um eingehende Schadensmeldungen zu automatisieren. Mitarbeiter sollen danach nur noch auf Plausibilität prüfen. Die hinzugezogene hat keine Bedenken, dass die Daten am Ende rechtskonform genutzt werden können. Doch bis dahin wird es noch eine Weile dauern, denn schließlich müssen auch die Mitarbeiter noch trainiert werden.

Die Assistentin der Wirtschaftsprüfungsgesellschaft im Rheinland war sich ihrer Schuld gar nicht bewusst. Oder gab das jedenfalls vor. Sie habe doch mit ChatGPT nur schneller werden wollen, brachte sie zu ihrer Verteidigung vor. Doch das half ihr nicht. Dass sie auf diesem Weg die KI heimlich mit personenbezogenen Daten von Klienten gefüttert und gegen den Datenschutz verstoßen hatte, verzieh ihr Arbeitgeber nicht – und trennte sich unverzüglich von ihr.

Lesetipp: Bewerbung mit ChatGPT: Wie gut sind Anschreiben und Lebenslauf der KI?