Inhalt in Kürze
- Samsung-Ingenieure haben 2023 binnen 20 Tagen drei vertrauliche Datensätze – inklusive Halbleiter-Quellcode und interner Besprechungsprotokolle – in ChatGPT gepasted. Das ist keine Einzelfallpanne, sondern typisches Verhalten in jedem Büro.
- Policy-Verbote halten niemanden auf. Wer wirklich verhindern will, dass Kundendaten in OpenAI, Gemini oder Claude landen, braucht Browser-basierte Data Loss Prevention (DLP), die im Browser selbst ansetzt und Eingaben in Echtzeit prüft.
- Für KMU in Hamburg kommen vier Lösungen in Frage: Microsoft Purview, Menlo Security, Island Enterprise Browser und Talon. Kosten zwischen 5 und 25 € pro User und Monat.
- DSGVO-konform wird DLP nur mit Betriebsvereinbarung, Zweckbindung und Transparenz. Ein reines „Mitschneiden aller Eingaben" wäre illegal.
Ihr Controlling-Leiter kopiert die Umsatzvorschau für 2027 nach ChatGPT, um sich einen Executive-Summary schreiben zu lassen. Ihre Werkstudentin fragt Claude, wie sie die CSV mit den 12.000 Kundendatensätzen am elegantesten auswertet – und paste sie komplett in den Chat. Eine junge Softwareentwicklerin schickt interne Code-Fragmente an Copilot. Jeder dieser Vorgänge ist aus Sicht der Mitarbeitenden produktiv und harmlos. Aus Sicht Ihrer DSGVO-Compliance und Ihrer Geschäftsgeheimnisse ist er ein Datenabfluss an einen US-Dienstleister, über den Sie die Kontrolle verloren haben.
Warum ChatGPT-Datenlecks keine Ausnahme mehr sind
Im April 2023 hat Samsung drei dokumentierte Datenlecks innerhalb von 20 Tagen öffentlich gemacht – alle durch eigene Ingenieure verursacht, die ChatGPT für tägliche Aufgaben verwendeten. Golem berichtete, dass Halbleiter-Quellcode, fehlerhafte Testprotokolle und Besprechungsprotokolle betroffen waren. Samsung reagierte mit einem internen ChatGPT-Verbot. Das Problem: Verbote skalieren nicht. Sobald ein Mitarbeiter 15 Minuten Zeitersparnis sieht, ist das Risiko abstrakt, der Nutzen konkret – das Verbot verliert jeden Tag erneut.
Der rechtliche Rahmen ist eindeutig: Wenn personenbezogene Kundendaten an einen US-Dienstleister übertragen werden, ohne dass Sie die dafür nötige Rechtsgrundlage haben (in der Regel AV-Vertrag plus Standardvertragsklauseln), ist das ein DSGVO-Verstoß. Die Bußgeldpraxis der letzten Jahre zeigt, dass Aufsichtsbehörden hier nicht mehr tolerant sind – und das Geschäftsgeheimnisschutzgesetz kommt oben drauf, sobald Konstruktions- oder Strategieunterlagen betroffen sind.
„Wir haben es den Mitarbeitenden verboten" ist vor der Datenschutzaufsicht kein gültiges Argument. Als Verantwortlicher müssen Sie technisch-organisatorische Maßnahmen nach Art. 32 DSGVO ergreifen. Eine Richtlinie ohne technische Durchsetzung erfüllt diesen Standard nicht mehr.
Was Browser-DLP wirklich macht
Klassische Data Loss Prevention sitzt auf dem Server oder am Proxy und kontrolliert Datei-Uploads. Das funktioniert nicht mehr, wenn Menschen direkt im Browser in ein Web-Eingabefeld tippen. Deshalb braucht es Browser-DLP: Eine Kontrolle, die im Browser selbst ansetzt – entweder als Browser-Erweiterung, als dedizierter Unternehmens-Browser oder als Cloud-Proxy, der die Seite in einer isolierten Umgebung rendert.
In allen drei Varianten gilt: Bevor ein Text an OpenAI, Google Gemini oder Anthropic geht, inspiziert die DLP-Schicht die Eingabe. Regeln erkennen:
- Personenbezogene Daten. E-Mail-Adressen, Telefonnummern, IBANs, Kreditkartennummern, Sozialversicherungsnummern – alles regulatorisch sensibel.
- Quellcode-Fragmente. Erkennbar an Keywords, Syntax, internen Kommentarmustern. Besonders relevant für Entwicklerteams.
- Dokumentenklassifizierungen. Wenn Sie bereits mit Microsoft Sensitivity Labels (Vertraulich, Streng vertraulich) arbeiten, zieht die DLP-Engine diese Labels mit und blockiert entsprechend.
- Custom-Pattern. Ihre interne Artikelnummer folgt einem bestimmten Muster? Ihre Kundendatenbank-IDs haben ein Präfix? Das lässt sich als eigene Regel definieren.
Bei einem Treffer hat Ihr Unternehmen drei Optionen: Aktion vollständig blockieren, den User warnen und Bestätigung erzwingen („Ich bin mir sicher, dass diese Eingabe zulässig ist") oder die Aktion zulassen aber loggen. In der Einführungsphase empfehlen wir Option zwei – das vermeidet False Positives als Frustquelle und zeigt gleichzeitig auf, wo wirklich Risiken liegen.
Die vier Lösungen im Praxisvergleich
Im deutschen Mittelstand sehen wir bei hagel IT regelmäßig vier Browser-DLP-Kandidaten:
| Lösung | Ansatz | Stärke | Typischer Preis |
|---|---|---|---|
| Microsoft Purview DLP | Integriert in M365, Edge-basierte Erweiterung | Nahtlos im Microsoft-Stack, AIP-Labels zieht's mit | ab M365 E5 enthalten (ca. 57 €/User/Monat) oder Purview-Add-on |
| Menlo Security | Cloud-Browser-Isolation, DLP-Schicht davor | Läuft mit jedem Browser, starke Analytik | ca. 12–18 €/User/Monat |
| Island Enterprise Browser | Dedizierter Chromium-basierter Business-Browser | Beste User-Experience, granularste Policies | ca. 15–25 €/User/Monat |
| Talon (Palo Alto) | Ähnlich Island, Teil der PAN-Plattform | Sinnvoll, wenn PAN-Firewall im Einsatz | ca. 18 €/User/Monat |
Für Unternehmen, die bereits auf Microsoft 365 setzen, ist Purview meist der pragmatischste Start. Die Regeln lassen sich im Admin-Center konfigurieren, der Edge-Browser bringt die DLP-Erweiterung automatisch mit, und Chrome wird per Enterprise-Policy integriert. Für Unternehmen mit gemischter Client-Landschaft (Mac-Heavy, Linux-Entwickler) lohnt Island – weil es als eigener Browser funktioniert und auf allen Plattformen gleich aussieht.
Wenn ein Kunde mich fragt, wie er ChatGPT im Unternehmen erlauben kann, ohne dass er dafür schlaflos wird, dann reden wir erst über Purview. Die meisten haben M365 Business Premium – und können ab da in wenigen Tagen DLP aktivieren. Das ist kein Mega-Projekt, das ist ein Dienstag.
DSGVO und Betriebsrat: Ohne Betriebsvereinbarung kein DLP
Browser-DLP überwacht Mitarbeiterverhalten im weiteren Sinne. Das löst in Deutschland eine klare Rechtsfolge aus: Nach § 87 Abs. 1 Nr. 6 BetrVG ist der Betriebsrat mitbestimmungspflichtig. Das heißt: Vor dem Rollout brauchen Sie eine Betriebsvereinbarung, die den Zweck, den Umfang und die Speicherdauer der Logs regelt. Ohne diese Vereinbarung dürfen Sie die Software nicht einsetzen – und ein Betriebsrat kann Sie per einstweiliger Verfügung stoppen.
Starten Sie den Dialog mit dem Betriebsrat früh. Wenn Sie erklären, dass der Zweck der Schutz vor DSGVO-Bußgeldern ist und nicht die Leistungsüberwachung einzelner Personen, trifft das meist auf offene Ohren. Wir begleiten unsere Kunden in Hamburg regelmäßig durch diese Gespräche.
Konkret bedeutet DSGVO-konform:
- Zweckbindung festschreiben. Die Logs dürfen nur für die Verhinderung von Datenlecks ausgewertet werden, nicht für Leistungsbewertungen.
- Datenminimierung umsetzen. Nur die Muster protokollieren, die tatsächlich als Treffer erkannt werden – nicht jede einzelne Tasteneingabe.
- Speicherdauer begrenzen. In der Regel 30 Tage für Treffer-Logs, danach Anonymisierung oder Löschung.
- Transparenzpflicht. Mitarbeitende informieren, schriftliche Einwilligung oder Betriebsvereinbarung, klare Eskalationspfade bei Fehlalarmen.
Was hagel IT Ihnen in Hamburg empfiehlt
Wir sehen bei unseren Kunden einen klaren Trend: Wer Mitarbeitenden generative KI erlauben will (und das ist inzwischen praktisch jeder), muss die technische Kontrolle nachziehen. Unser typischer Vorschlag für ein Unternehmen mit 50–150 Mitarbeitenden im Raum Hamburg oder Bremen:
Als wir gemerkt haben, dass unsere Entwickler sowieso ChatGPT nutzen, war klar: Wir brauchen eine Spur, wo die Daten hingehen. hagel IT hat uns Purview aufgesetzt, plus Betriebsvereinbarung formuliert. Seitdem sehen wir genau, was rausgeht – und können sagen, wo die Grenze ist.
Unsere pragmatische 5-Schritte-Empfehlung:
- M365 E5 oder Business Premium + Purview-Add-on aktivieren
- Sensitivity Labels für Dokumente einführen (Vertraulich, Streng vertraulich)
- DLP-Policies für ChatGPT, Gemini, Claude, Copilot Chat definieren
- Pilot mit 10–15 User im Warn-Modus über zwei Wochen
- Betriebsvereinbarung abschließen, dann Rollout und Blockier-Modus
ChatGPT sicher im Unternehmen nutzen.
30 Minuten Erstgespräch. Kostenlos. Wir schauen uns Ihren M365-Stack an und sagen, was DLP-technisch der schnellste Hebel ist.
Termin buchen →