Du sitzt im Büro, willst „nur kurz“ Zeit sparen und kopierst ein Meeting-Protokoll, Kundendetails oder interne Strategien in Gemini oder NotebookLM. In dem Moment, in dem Du auf „Senden“ drückst, ist es kein internes Dokument mehr – es ist eine Datenübermittlung an einen Cloud-Dienst.
Wer hier unvorsichtig ist, spielt mit dem Feuer: In der EU drohen Strafen bis zu 20 Millionen Euro (oder 4 % des Umsatzes), und in der Schweiz riskiert man Bußgelder bis zu 250.000 Franken – im Worst Case haftest Du als verantwortliche Person sogar privat.
Dieser Guide zeigt Dir, wie Du KI-Tools wie Gemini und NotebookLM professionell nutzt, ohne Deine Compliance zu sprengen.
Inhaltsverzeichnis
Die No-Go-Liste: Was niemals in die KI darf
Die Grundregel ist simpel: Gib nichts in eine Cloud-KI ein, was Du nicht auch einem Fremden auf der Straße zeigen würdest. Wenn Du wenig Zeit hast, merk Dir diese vier Kategorien:
-
Identifizierbare Personen: Namen, E-Mail-Adressen, Telefonnummern oder Privatanschriften.
-
Besonders sensible Daten: Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen oder Strafregisterauszüge.
-
Vertrauliche Firmeninterna: Kundenlisten, Quellcode, unveröffentlichte Finanzzahlen, Angebote oder Strategiepapiere.
-
Berufsgeheimnisse & NDAs: Alles, was unter das Anwalts-, Banken- oder Arztgeheimnis fällt, sowie HR-Gehaltslisten.
💡 Expert-Insight: Die Protokoll-Falle
Das „harmlose“ Meeting-Protokoll ist oft das größte Risiko. Hier stehen meist Namen, konkrete Probleme, Budgets und strategische Entscheidungen im Klartext. Protokolle sind pures Compliance-Risiko in hübscher Formatierung.
Privat- vs. Enterprise-Account: Der Schatten-IT-Moment
Viele nutzen die Privatversion von Gemini mit ihrem persönlichen Gmail-Konto. Das ist klassische Schatten-IT. Ohne zentrale Kontrolle durch einen Admin gibt es keinen rechtssicheren Rahmen.
| Feature | Privat-Version (Gratis) | Enterprise-Version (Workspace) |
| Datenkontrolle | Kaum steuerbar, oft außerhalb der EU. | Verarbeitung in EU-Regionen konfigurierbar. |
| KI-Training | Daten können (je nach Setting) genutzt werden. | Kein Training mit Deinen Daten/Chats. |
| Reviewer | Menschliche Reviewer könnten mitlesen. | Kein Zugriff durch Google-Mitarbeiter. |
| Verantwortung | Liegt allein beim User. | Geregelt durch AVV (Auftragsverarbeitungsvertrag). |
Merksatz: Privat = Du hoffst. Enterprise = Du steuerst.
Strategisch sicher: Das KI Playbook fürs Büro
Datenschutz muss nicht zum Innovationsstopp führen. Im KI Playbook findest Du fertige Blueprints und Vorlagen für datensichere Workflows. Wir zeigen Dir exakt, wie Du KI-Tools einführst, ohne rechtliche Risiken einzugehen.
👉
Deutschland vs. Schweiz: Wo es persönlich wird
Die Rechtslage unterscheidet sich deutlich darin, wer im Ernstfall zur Kasse gebeten wird.
-
Deutschland/EU (DSGVO): Die Strafen sind massiv (bis zu 20 Mio. €), richten sich aber primär gegen das Unternehmen.
-
Schweiz (nDSG): Die Bußgelder sind mit bis zu 250.000 CHF zwar niedriger, richten sich aber im Worst Case gegen die verantwortliche Person privat.
„Ich hab’s nur mal kurz ausprobiert“ ist also keine Ausrede, besonders nicht in der Schweiz.
Der sichere Output: Warum Du immer prüfen musst
Compliance endet nicht beim Input. Wenn Du KI-generierte Texte ungeprüft an Kunden schickst und eine Zahl oder Aussage falsch ist, stehst Du im Feuer – nicht Google.
-
Richtigkeit prüfen: Halluziniert die KI Zahlen?
-
Tonalität: Ist die Formulierung angemessen?
-
Vier-Augen-Prinzip: Externe Mails oder Berichte sollten immer von einem Menschen final freigegeben werden.
Die KI-Ampel: Eine einfache Policy für Dein Team
Du brauchst keine 20-seitige Richtlinie. Nutze das Ampel-System:
-
🟢 Grün: Strukturierung, Sprache, Zusammenfassung öffentlicher Infos (ohne echte Daten).
-
🟡 Gelb: Nutzung nur nach Anonymisierung. (Person A, Kunde B, Projekt X statt Klarnamen).
-
🔴 Rot: Tabu. Echte Personen, sensible Daten, HR, Strategie, Quellcode.
FAQ
Was ist der Unterschied zwischen Gemini und NotebookLM beim Datenschutz? Beide sind Cloud-Dienste von Google. Während Gemini ein generativer Chatbot ist, dient NotebookLM als forschungsbasierte Wissenszentrale. In den Enterprise-Versionen sind beide Tools durch Workspace-Sicherheitsstandards geschützt, in den Privatversionen besteht jedoch das Risiko, dass Daten zu Trainingszwecken genutzt werden.
Ist NotebookLM DSGVO-konform? Ja, sofern es im Rahmen eines Google Workspace Enterprise-Accounts mit entsprechenden Einstellungen zur Datenregion (EU) und einem unterzeichneten Auftragsverarbeitungsvertrag (AVV) genutzt wird. Die private Nutzung mit Gratis-Accounts ist für Firmendaten nicht DSGVO-konform.
Was passiert, wenn ich versehentlich Kundendaten in die KI lade? Dies gilt als Datenpanne und muss gemäß DSGVO (innerhalb von 72 Stunden) gemeldet werden. In der Schweiz ist eine Meldung an den EDÖB erforderlich, wenn ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen besteht.
Fazit: KI im Büro ist ein mächtiges Werkzeug, aber kein rechtsfreier Raum. Sei Pilot, nicht Passagier. Nutze Enterprise-Accounts, anonymisiere Deinen Input und verifiziere Deinen Output.
Möchtest Du eine fertige KI-Richtlinie für Dein Team erstellen? Ich kann Dir dabei helfen, eine spezifische „KI-Ampel“ für Dein Unternehmen zu formulieren. Soll ich Dir zeigen, wie Du Daten vor dem Upload effizient anonymisierst?