Öffentliche KI-Dienste direkt im Browser
Öffentliche KI-Dienste direkt im Browser sind webbasierte KI-Anwendungen wie ChatGPT oder Claude, die Nutzerinnen und Nutzer ohne Installation über eine Browser-Oberfläche verwenden. Die Datenverarbeitung erfolgt auf Servern der Anbieter, weshalb besondere Datenschutz- und Sicherheitsaspekte zu beachten sind.
Ausführliche Erklärung
Öffentliche KI-Dienste wie ChatGPT von OpenAI, Claude von Anthropic oder Gemini von Google können direkt über den Webbrowser aufgerufen werden. Der Zugang erfolgt meist über ein kostenloses oder kostenpflichtiges Nutzerkonto, ohne dass Software lokal installiert werden muss. Diese Dienste basieren auf großen Sprachmodellen und können Texte verfassen, Fragen beantworten, Code generieren oder Dokumente zusammenfassen. Die Eingaben der Nutzerinnen und Nutzer werden dabei in der Regel an Server der Anbieter übermittelt und dort verarbeitet.
Für KMU sind diese Browser-basierten KI-Dienste niederschwellig nutzbar und oft kostengünstiger als spezialisierte Softwarelösungen. Allerdings ist die Unterscheidung zwischen verschiedenen Produktvarianten entscheidend: Ein privates ChatGPT-Konto im Browser unterscheidet sich in Datenschutz, Protokollierung und Training-Nutzung erheblich von einer Enterprise-Version mit Auftragsverarbeitungsvertrag. Viele Anbieter nutzen Eingaben standardmäßig zur Verbesserung ihrer Modelle, sofern dies nicht in den Einstellungen deaktiviert wird. Bei personenbezogenen oder geschäftskritischen Daten sind öffentliche Browser-Dienste ohne entsprechende vertragliche Absicherung datenschutzrechtlich problematisch.
Seit Februar 2025 gelten zudem erste Bestimmungen der EU-KI-Verordnung, darunter Transparenzpflichten bei der Nutzung von KI-Systemen. Unternehmen müssen daher dokumentieren, welche KI-Tools im Einsatz sind, und Mitarbeitende über Risiken aufklären. Die Datenschutz-Grundverordnung verlangt darüber hinaus eine Rechtsgrundlage für jede Verarbeitung personenbezogener Daten, eine Datenschutz-Folgenabschätzung bei hohen Risiken und gegebenenfalls einen Auftragsverarbeitungsvertrag mit dem Anbieter. Viele US-Dienste unterliegen zudem dem Cloud Act, wodurch Daten potenziell an US-Behörden weitergegeben werden können.
Die EU-Kommission bietet mit Diensten wie eTranslation oder eSummary datenschutzkonforme Alternativen, die nach EU-Recht betrieben werden und Daten nicht zum Training kommerzieller Modelle nutzen. Für sensible Geschäftsdaten sollten KMU solche europäischen Lösungen oder Enterprise-Versionen mit klaren Vertragsklauseln bevorzugen. Grundsätzlich gilt: Vor der Eingabe prüfen, ob die Datenklassifikation die Nutzung erlaubt, und sensible Informationen vorab anonymisieren oder pseudonymisieren.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 12 Mitarbeitenden in Graz nutzte zunächst private ChatGPT-Konten für Textentwürfe. Nach einer internen Datenschutzprüfung wurde festgestellt, dass versehentlich Mandantennamen in Prompts eingegeben worden waren. Die Kanzlei führte daraufhin eine interne Richtlinie ein: Für öffentliche Texte darf ChatGPT in der kostenlosen Version genutzt werden, für mandatsbezogene Anfragen nur mit Platzhalter-Daten. Parallel wurde für die Buchhaltungsabteilung ein Enterprise-Abo mit Auftragsverarbeitungsvertrag abgeschlossen, das das Training mit Eingabedaten ausschließt.