Welche Netzseiten darf ich für meine Arbeit nutzen?

ChatGPT, Google, Doodle & Co. sind dienstlich nicht Ihr Freund

Die Grundregel ist einfach:

Wenn die Benutzung einer Netzseite keine personenbezogenen Angaben oder Eingabe von Betriebsgeheimnissen erfordert, dürfen Sie sie entsprechend ihrer Lizenzbestimmungen dienstlich nutzen.

Privat ist vielen egal, wer welche Daten von uns hat, da wir vermeintlich nichts zu verbergen haben. So offenbaren wir uns, unseren Beziehungsstatus, unsere Kinder, unsere politische Meinung gerne in „sozialen“ Netzwerken oder teilen Google durch unsere Suchanfragen indirekt mit, dass wir schwanger, krebskrank, schwul, Prepper oder Rechtschreibfreak sind. Das ist alles erlaubt, kann aber zu Nachteilen führen. Deshalb ist es dienstlich durch die DSGVO reglementiert.

Personenbezogene Daten dürfen dienstlich nicht einfach an Dritte im Netz weitergegeben werden. Dabei ist es egal, ob das unsere eigenen Daten oder „nur“ die unseres Kollegen sind, weil immer unsere Firma für diese Entscheidung haftet. Ihre Firma muss im Arbeitskontext sicherstellen, dass Sie Ihre eigenen Daten entweder nur innerhalb der vertraglichen, gesetzlichen Pflichten oder eindeutig freiwillig nutzen.

Zusätzlich zu Umfragewerkzeugen, werden firmenintern immer häufiger „KI“, wie ChatGPT datenschutzwidrig benutzt und dadurch mitunter sogar Firmengeheimnisse gefährdet.

Was sind die häufigsten Fallen?

 

Anmeldung

Wenn Sie sich zur Nutzung anmelden müssen, ist das ohne Erlaubnis des Vorgesetzten verboten. Eine Anmeldung erfordert regelmäßig die Eingabe Ihrer Email oder anderer Personendaten.

 

Suche

Wenn Sie Google, Bing und Co. für Suchanfragen nutzen, ist das meist problemlos.

Bitte achten Sie trotzdem darauf, dass Ihre Suchausdrücke keine Namen oder andere personenbezogenen Daten enthalten, die nicht schon vorher frei verfügbar im Netz standen.

 

Umfragen und Terminfindung

Terminfindung mit „Doodle“ ist genauso verboten, wie die Umfragetools von Google, Microsoft & Co. zu nutzen, sofern der Arbeitgeber keinen datenschutzrechtlichen Geheimhaltungsvertrag (AVV) mit einem dieser Anbieter abgeschlossen und den Mitarbeiter ausdrücklich die Benutzung auch zu diesem Zweck erlaubt hat. Gerne werden diese und zahlreiche weitere Umfragewerkzeuge schnell Mal in Präsentationen eingebaut, um sie aufzulockern – bitte nur mit AVV!

Wer Office 365 oder Gmail schon firmenintern nutzt, kann in der Regel intern deren Terminfindungswerkzeuge oder Umfragen nutzen. Im Zweifel bitte immer den Vorgesetzten fragen.

Wer über sein Unternehmen hinaus Termine koordinierten muss, kann jedem per Email ein Pseudonym zuweisen und dann beispielsweise nuudel  verwenden. Solange alles pseudonym bleibt, gelten die Daten dann nicht als personenbezogen. Für einfache Umfragen im kleineren Kreis bis 50 Teilnehmer kann das Unternehmen einen AVV beispielsweise mit Lamapoll schließen und dessen kostenlose Version nutzen.

 

ChatGPT und andere „KI“

Man kann ChatGPT und andere sogenannte „KI“ (künstliche Intelligenz) dazu benutzen, um einfache Texte zu schreiben, aber auch Programmcode. Hier muss man gut aufpassen.

Zur Bedienung müssen wir eine Aufgabe stellen (sog. „Promt“). Diese könnte personenbezogen Daten der Kollegen oder Ihrer Kunden enthalten und wäre dann verboten. Man kann mit anderen KIs auch Portraits retuschieren lassen. Fotos von Menschen sind immer personenbezogen, also nicht erlaubt.

Wenn man firmeninterne Texte, wie etwa Programmcode von einer KI kontrollieren ließe, lernte diese von der Eingabe und das Firmengeheimnis wäre keins mehr.

Das kann beides großen finanziellen Schaden hervorrufen.

Derzeit ist noch keine Möglichkeit bekannt einen wirksamen AVV mit ChatGPT zu schließen, der die Nutzung legalisieren könnte. Werden KI jedoch unter eigener Verantwortung auf eigenen Rechnern selbst betrieben, sind sie für interne Zwecke grundsätzlich eine Alternative.

 

Kein Passwortgenerator!

Sie sollten keine Passwortgeneratoren im Netz nutzen: Sie müssen damit rechnen, dass die generierten Passwörter gespeichert und für sogenannte Wörterbuchangriffe  genutzt werden.

 

Fazit

Bitte an alle Mitarbeiter

Geben Sie keine personenbezogenen Daten von sich, Kollegen, Kunden oder gar Firmengeheimnisse auf Webseiten ein, außer Ihr Vorgesetzter hat es angeordnet.

Bitte an alle Vorgesetzten

Bitte ordnen Sie keine Eingabe solcher Daten an, solange dafür kein Verfahren innerhalb Ihres Verarbeitungsverzeichnisses definiert wurde. Fragen Sie im Zweifel Ihren Datenschutzbeauftragten.

Bitte an alle Unternehmensleitungen

Sorgen Sie dafür, dass Sie wissen, welche externen Dienste Ihre Mitarbeiter nutzen. Nutzen Sie das Verarbeitungsverzeichnis aktiv.

 

Siehe auch

 

Autor: Florian Thomas Hofmann, Data Privacy Consultant, 26.05.2023

Find out more here.

I will gladly advise you and look forward to receiving your questions.

Data Privacy Legal Consultant

Florian Thomas Hofmann