Zum Inhalt springen Zur Navigation springen
KI-Prompts und Datenschutz: Datenleck durch Prompts vermeiden

KI-Prompts und Datenschutz: Datenleck durch Prompts vermeiden

Artikel von Dr. Datenschutz·16. März 2026

KI-Tools sind aus dem Arbeitsalltag nicht mehr wegzudenken. Doch schon die Eingabe eines Prompts birgt datenschutzrechtliche Risiken. Selbst scheinbar harmlose Prompts können sensible Informationen preisgeben und ein Datenleck verursachen. In diesem Beitrag wird erläutert, warum KI-Prompts datenschutzrechtlich relevant sind, welche typischen Risiken entstehen und wie Unternehmen Datenlecks durch Prompts vermeiden.

Sind KI-Prompts datenschutzrechtlich relevant?

Man könnte meinen: „Ich frage ja nur etwas.“ Tatsächlich passiert viel mehr: Man tippt, man drückt auf Enter und schon überträgt man die Informationen an einen externen Dienst. Was dort passiert, darüber denken viele nicht nach. Der Anbieter kann diese Daten speichern, für eigene Zwecke nutzen, wie beispielsweise das Training oder in Logs und Analysesystemen ablegen. So gelangen personenbezogene oder vertrauliche Daten schnell außer Haus. Besonders kritisch wird es, wenn KI-Anbieter die Eingaben analysieren, für Modelltraining verwenden oder Daten in Drittstaaten weiterleiten.

Risiko durch Prompt?

Viele Mitarbeitende formulieren Prompts unbedacht. So gelangen personenbezogene Daten, Geschäftsgeheimnisse oder sonstige vertrauliche Informationen in externe Systeme. Datenschutz spielt hier schnell eine Rolle, dabei muss der Name nicht einmal genannt werden. Beispiel: „Formuliere eine Kündigung für unseren Vertriebsleiter in Köln, der seit 17 Jahren bei der Beispiel AG arbeitet.“ Schon der Kontext kann ausreichen, um eine Person identifizierbar zu machen. Doch nicht nur der Datenschutz muss bedacht werden. Die Anwendung von KI-Systemen kann auch zu anderen Rechtsverletzungen führen, insbesondere in den Bereichen des Geheimnisschutzes, des Marken- und des Urheberrechts. Dabei ist das richtige Prompten gar nicht so schwer.

Typische Risiken durch Prompt-Eingaben:

  • Mitarbeitende geben personenbezogene Daten weiter (auch unbewusst).
  • Geschäftsgeheimnisse wie Strategiepapiere, Vertragsentwürfe, Preisstrukturen oder Quellcode gelangen nach außen.
  • Kontextinformationen ermöglichen Rückschlüsse auf reale Personen.
  • Mitarbeitende nutzen KI-Tools ohne Freigabe der IT (Schatten-IT).
  • Unternehmen verlieren die Kontrolle über Datenflüsse und Serverstandorte.
  • KI-Anbieter nutzen die Daten möglicherweise für Modelltraining.

Viele Unternehmen unterschätzen, dass jede Prompt-Eingabe in ein KI-System eine Datenübermittlung darstellen kann, die rechtlich und technisch abgesichert sein muss.

Muss jede KI gleich behandelt werden?

Nicht jede KI-Lösung ist gleich riskant. Die Anforderungen an (vollständige) Anonymisierung und den Verzicht auf sensible Informationen gelten vor allem für Tools, die IT oder Datenschutz nicht geprüft und freigegeben haben. Nutzt das Unternehmen ein selbst gehostetes KI-Tool oder arbeitet mit einem sorgfältig ausgewählten und vertraglich abgesicherten Dienstleister, dürfen Prompts auch sensible bzw. vertrauliche Daten enthalten, sofern dies ausdrücklich erlaubt und dokumentiert ist.

Unternehmen sollten daher:

  • Die technischen und rechtlichen Rahmenbedingungen jedes genutzten KI-Tools prüfen.
  • Klare Vorgaben definieren, welche Tools für welche Zwecke und Datenarten zum Einsatz kommen.
  • Die Freigabe durch IT und Datenschutz dokumentieren und regelmäßig überprüfen.

So werden Risiken gezielt minimiert und gleichzeitig ermöglicht, die Vorteile moderner KI-Systeme zu nutzen.

Maßnahmen zur Risikominimierung

Um Datenlecks durch Prompts zu vermeiden, empfehlen sich außerdem folgende Maßnahmen:

  • Einführung einer klaren KI-Richtlinie. Für nicht freigegebene Tools gilt: Verzicht auf personenbezogene Daten, Geschäftsgeheimnisse und vertrauliche Dokumente in Prompts. Für freigegebene Tools können Ausnahmen definiert werden.
  • Prompts anonymisieren, indem persönliche oder vertrauliche Informationen durch allgemeine Formulierungen ersetzt werden.
  • Festlegen, welche KI-Tools im Unternehmen erlaubt sind. Für personenbezogene Daten ausschließlich geprüfte und freigegebene Tools nutzen.
  • Mitarbeitenden regelmäßig schulen und für den sicheren Umgang mit KI-Systemen und die geltenden Vorgaben sensibilisieren.

Vorsicht trotz Freigabe

Es klingt verlockend: Freigegebene Tools darf ich also auch mit personenbezogenen Daten „füttern“. Und grundsätzlich kann das zulässig sein, soweit IT und Datenschutz das ausdrücklich erlauben. Doch Unternehmen holen sich damit Folgeprobleme ins Haus. Denn auch hier gilt beispielsweise: personenbezogene Daten müssen wieder gelöscht werden. Wichtig ist und bleibt also der Grundsatz der Datenminimierung: Soweit ein Personenbezug nicht unbedingt erforderlich ist, sollte es vermieden werden, personenbezogene Daten einzugeben.

Verantwortungsvoll mit KI arbeiten

KI-Tools bieten Unternehmen viele Vorteile, bringen aber auch datenschutzrechtliche Risiken mit sich. Schon ein einzelner Prompt kann ein Datenleck verursachen, wenn er vertrauliche Informationen enthält. Unternehmen, die Datenschutz ernst nehmen, differenzierte Richtlinien aufstellen, technische Maßnahmen ergreifen und ihre Mitarbeitenden regelmäßig schulen, minimieren das Risiko. So gelingt ein verantwortungsvoller Umgang mit KI im Arbeitsalltag.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.