11 % der KI-Eingaben sind vertraulich — was Studien über das KI-Datenleck-Problem wirklich zeigen

KI-Tools wie ChatGPT, Claude und Gemini steigern die Produktivität messbar — das zeigen Studien eindeutig. Doch dieselben Studien offenbaren eine alarmierende Kehrseite: Mitarbeiter geben täglich in erheblichem Umfang sensible Unternehmensdaten an externe KI-Dienste weiter, oft ohne es zu merken. Hier sind die wichtigsten Zahlen aus der Forschung.

11 % aller KI-Eingaben sind vertraulich (Cyberhaven, 2023)

Das Datensicherheitsunternehmen Cyberhaven analysierte das Verhalten von 1,6 Millionen Mitarbeitern in tausenden Unternehmen und veröffentlichte im Februar 2023 einen der bisher umfangreichsten Berichte zu diesem Thema.

Das Ergebnis: 11 % der Daten, die Mitarbeiter in ChatGPT einfügen, sind als vertraulich eingestuft. In nur einer einzigen Woche wurden in einem durchschnittlichen Unternehmen mit 100.000 Mitarbeitern 199 Fälle registriert, in denen vertrauliche Daten in ChatGPT eingegeben wurden — darunter Kundendaten, Quellcode und interne Strategiedokumente.

Besonders betroffen: Mitarbeiter in Rechts-, Finanz- und HR-Abteilungen, also genau jene Bereiche, in denen die Sensibilität der Daten am höchsten ist.

Quelle: Cyberhaven Research, „The Data Security Risks of ChatGPT" (Februar 2023)

Der Samsung-Vorfall: Drei Datenlecks in 20 Tagen (2023)

Im März 2023 wurde bekannt, dass Ingenieure bei Samsung Semiconductor innerhalb von weniger als drei Wochen dreimal versehentlich proprietären Quellcode und vertrauliche Meeting-Protokolle über ChatGPT nach außen gegeben hatten. In einem Fall wurde der Quellcode eines Messprogramms eingefügt, um Fehler zu debuggen. In einem anderen wurden interne Meeting-Notizen zur Zusammenfassung übermittelt.

Samsung reagierte mit einem sofortigen internen Verbot von ChatGPT und ähnlichen Tools auf Unternehmensgeräten. Der Vorfall zeigt exemplarisch, was die Cyberhaven-Daten im Aggregat belegen: Das Problem ist kein Randphänomen, sondern Alltag.

Quellen: Bloomberg, The Verge (März 2023); intern bestätigt durch Samsung-Pressemitteilung

KI steigert Produktivität um 37 % — schafft aber neue Risiken (MIT, 2023)

Eine vielzitierte Studie des MIT, veröffentlicht 2023 im Fachjournal Science (Noy & Zhang, „Experimental Evidence on the Productivity Effects of Generative AI"), untersuchte den Einsatz von ChatGPT bei professionellen Schreibaufgaben.

Ergebnis: Der Einsatz von ChatGPT reduzierte die Bearbeitungszeit um durchschnittlich 37 % und verbesserte die wahrgenommene Qualität der Ergebnisse um 18 Prozentpunkte. Kein Wunder also, dass Mitarbeiter KI-Tools aktiv nutzen — auch für sensible Aufgaben.

Das Dilemma: Je größer der Produktivitätsvorteil, desto höher die Versuchung, auch vertrauliche Dokumente in diese Tools einzuspeisen. Die Studie selbst weist auf die Notwendigkeit klarer Nutzungsrichtlinien hin.

Quelle: Noy, S. & Zhang, W. (2023). „Experimental Evidence on the Productivity Effects of Generative AI." Science, 381(6654), 187–192.

Durchschnittliche Kosten eines Datenlecks: 4,88 Millionen US-Dollar (IBM, 2024)

Der jährliche „Cost of a Data Breach Report" von IBM und dem Ponemon Institute gilt als eine der verlässlichsten Quellen für Schadensdaten. Der Bericht für 2024 analysierte 604 reale Datenlecks in 17 Ländern und 17 Branchen.

Die wichtigsten Zahlen:

• 4,88 Millionen US-Dollar betragen die durchschnittlichen Kosten eines Datenlecks weltweit — ein Rekordwert und ein Anstieg von 10 % gegenüber dem Vorjahr.
• 9,77 Millionen US-Dollar im Gesundheitswesen — die teuerste Branche seit 14 Jahren in Folge.
• 46 % der Datenlecks betrafen Kundendaten, darunter Namen, E-Mail-Adressen und personenbezogene Informationen.
• Unternehmen mit KI-gestützten Sicherheitstools sparten im Schnitt 2,22 Millionen US-Dollar an Schadenskosten.

Quelle: IBM & Ponemon Institute, „Cost of a Data Breach Report 2024"

DSGVO-Bußgelder haben 4 Milliarden Euro überschritten (DLA Piper, 2024)

Seit dem Inkrafttreten der DSGVO im Mai 2018 haben europäische Aufsichtsbehörden Bußgelder in Rekordhöhe verhängt. Laut dem DSGVO-Bußgeld-Tracker der Kanzlei DLA Piper haben die kumulierten Strafen seit 2018 die Marke von 4 Milliarden Euro überschritten.

Einige bekannte Einzelfälle:

• Meta: 1,2 Milliarden Euro (2023) — für unzulässige Datentransfers in die USA. Zum Zeitpunkt der Verhängung die höchste DSGVO-Strafe aller Zeiten.
• Amazon: 746 Millionen Euro (2021) — für Datenschutzverstöße bei der Werbeaussteuerung.
• WhatsApp: 225 Millionen Euro (2021) — für mangelnde Transparenz bei der Datenverarbeitung.

Für kleinere Unternehmen und Freiberufler sind zwar geringere Beträge üblich — doch auch Bußgelder im fünf- bis sechsstelligen Bereich können existenzbedrohend sein.

Quelle: DLA Piper, GDPR Fines Tracker (2024); Europäischer Datenschutzausschuss (EDPB)

55 % der Unternehmen nutzen generative KI — aber kaum mit Sicherheitsrichtlinien (McKinsey, 2023)

Der McKinsey Global Survey on AI (2023) befragte mehr als 1.600 Führungskräfte weltweit. Wichtigste Erkenntnisse:

• 55 % der Unternehmen setzen generative KI in mindestens einer Geschäftsfunktion ein.
• Nur 21 % haben formale Richtlinien für den sicheren Umgang mit generativer KI eingeführt.
• 38 % nennen Datenschutz und Sicherheit als ihr größtes KI-Risiko — häufiger als Fehler, Bias oder Regulierung.

Das bedeutet: Die überwiegende Mehrheit der Unternehmen, die generative KI nutzen, tut dies ohne klare Schutzmaßnahmen für sensible Daten.

Quelle: McKinsey & Company, „The State of AI in 2023: Generative AI's Breakout Year" (August 2023)

Was folgt aus diesen Zahlen?

Die Studienlage ist eindeutig: KI-Tools sind produktivitätssteigernd und werden breit eingesetzt — aber ohne begleitende Schutzmaßnahmen stellen sie ein erhebliches Datenschutzrisiko dar. Besonders für Berufsgruppen mit Zugang zu besonders sensiblen Daten (Mandanten, Patienten, Mitarbeiter) ist unkontrollierter KI-Einsatz keine Option.

Die praktische Lösung ist lokale Anonymisierung: Dokumente werden bereinigt, bevor sie in ein KI-Tool eingegeben werden. Kein Cloud-Upload, keine DSGVO-Verstöße, kein Vertrauensverlust. MaskBase automatisiert genau diesen Schritt — direkt auf Ihrem Gerät.

Quellen im Überblick

• Cyberhaven Research: „The Data Security Risks of ChatGPT" (Feb. 2023)
• Noy, S. & Zhang, W.: „Experimental Evidence on the Productivity Effects of Generative AI." Science 381(6654), 2023
• IBM & Ponemon Institute: „Cost of a Data Breach Report 2024"
• DLA Piper: GDPR Fines Tracker (2024)
• McKinsey & Company: „The State of AI in 2023" (Aug. 2023)
• Bloomberg / The Verge: Samsung ChatGPT-Datenleck (März 2023)