GDPR · Cloud-AI i virksomheden

Må jeg bruge ChatGPT, Claude & co. med kundedata?

Kort svar: Nej – ikke i standardvarianterne.

ChatGPT, Claude, Gemini og Copilot er amerikanske cloud-tjenester. Så snart personoplysninger ryger ind i prompten, begynder en tredjelandsoverførsel til USA – med alle de GDPR-forpligtelser, som virksomheder ofte undervurderer. Arbejder du uden databehandleraftale eller bruger gratisversionen, overtræder du som regel GDPR allerede med den første prompt.

Se det suveræne alternativ Book rådgivning
Nej

Med standardkonti og uden yderligere foranstaltninger er brugen ikke GDPR-kompatibel.

  • Ingen databehandleraftale på Free/Plus/Pro
  • Dataoverførsel til USA
  • Lovbestemt tavshedspligt kan blive strafbart krænket
Hvad handler det om?

ChatGPT, Claude & co. – det er de her værktøjer

Alle fire markedsledende AI-assistenter er cloud-tjenester fra amerikanske udbydere. Hver eneste tekst, du indtaster, forlader dermed din virksomhed – og Europa.

ChatGPT
OpenAI · USA

Markedslederen fra OpenAI. Input behandles i USA. Free- og Plus-konti har ingen databehandleraftale og kan bruge dine input til modeltræning.

Claude
Anthropic · USA

Sprogmodel fra Anthropic. Hostes på AWS i USA. Standardkonti er ikke beregnet til behandling af personoplysninger i virksomheder.

Gemini
Google · USA

Googles sprogmodel. Input flyder ind i Google-økosystemet. Sammenfletningen med andre amerikanske tjenester forstærker tredjelandsproblematikken.

Copilot
Microsoft · USA

Microsofts AI-assistent (bygget på OpenAI-modeller). Selv med en M365-tenant i EU er udbyderen fortsat underlagt den amerikanske CLOUD Act.

De juridiske knaster

Seks GDPR-spørgsmål, som cloud-LLM'er sjældent besvarer rent

Den, der indtaster kundedata i ChatGPT, Claude eller Gemini, snubler som regel over flere af disse punkter på én gang.

01

Databehandleraftalen mangler

art. 28 i GDPR

Free-, Plus- og Pro-konti tilbyder ingen databehandleraftale. Uden en databehandleraftale er videregivelsen af personoplysninger til leverandøren allerede i sig selv ulovlig.

02

Tredjelandsoverførsel til USA

art. 44–49 i GDPR · Schrems II

Data ender på amerikanske servere. EU-US Data Privacy Framework fra 2023 er en politisk bro, hvis juridiske holdbarhed databeskyttelseseksperter og domstole igen sår tvivl om. CLOUD Act står urørt tilbage.

03

Intet holdbart retsgrundlag

art. 6 i GDPR

Et reelt samtykke fra dine kunder til behandling hos OpenAI eller Anthropic er stort set aldrig indhentet. Og den legitime interesse opvejer sjældent risikoen ved en tredjelandsoverførsel.

04

Oplysningspligten er ikke opfyldt

art. 13 og 14 i GDPR

Kunderne skal informeres gennemsigtigt om, at deres data videregives til amerikanske LLM'er – inklusive modtager, tredjelandsoverførsel og retsgrundlag. I praksis står det ikke i nogen privatlivspolitik.

05

Tavshedspligten krænkes

§ 203 StGB

Læger, advokater, revisorer, apotekere, forsikringsselskaber, banker: Den, der indtaster klient- eller patientdata i cloud-LLM'er, kan ifalde strafansvar for brud på tavshedspligten – med bøde eller fængsel til følge.

06

Forretningshemmeligheder afsløres

Lov om forretningshemmeligheder

Så snart kontraktudkast, priser, kildekode eller strategier havner i cloud-LLM'er, anses de som regel ikke længere for tilstrækkeligt beskyttede i lovens forstand.

Konkret

Hvilke kundedata er særligt kritiske?

Personoplysninger er alt, der gør en person identificerbar – navne, e-mailadresser, kundenumre, telefonnumre, IP-adresser. Bare ét af disse felter i prompten udløser GDPR-forpligtelserne.

Særlige kategorier af personoplysninger efter art. 9 i GDPR – helbred, religion, etnisk oprindelse, seksuel orientering – må stort set aldrig havne i cloud-LLM'er. Her er risikoen maksimal.

Indtast aldrig dette i cloud-LLM'er

  • Kunders fulde navne, adresser og fødselsdatoer
  • Helbreds- eller behandlingsdata (art. 9)
  • Jobansøgninger og CV'er
  • Kontrakt-, pris- og vilkårsdata
  • Kildekode med intern logik eller credentials
  • E-mailkorrespondance med kunder 1:1
  • Klient- eller patientdata
Konsekvenserne

Hvad kan der ske, når det går galt?

⚖️

GDPR-bøde

op til 20 mio. €

Eller 4 % af koncernens globale omsætning. Det højeste beløb gælder (art. 83 i GDPR).

👥

Erstatning

art. 82 i GDPR

Enhver berørt person kan kræve erstatning for ikke-økonomisk skade – også uden konkret dokumenteret tab.

🚨

Strafansvar

§ 203 StGB

For faggrupper med lovbestemt tavshedspligt risikerer den ansvarlige derudover personligt bøde- eller fængselsstraf.

📉

Omdømme

svært at måle

Offentliggjorte bøder og databeskyttelsessager bliver hængende i søgemaskiner og branchemedier i årevis.

Løsninger

Hvordan bruger man AI i virksomheden på lovlig vis?

Tre veje – sorteret efter beskyttelsesniveau. Den mest robuste løsning er den, hvor dine data aldrig forlader huset.

Anbefalet · højeste beskyttelsesniveau

On-premise AI – data bliver i huset

En AI, der kører på din egen hardware. Ingen tredjelandsoverførsel, ingen databehandleraftale nødvendig, fuld adgang til interne kilder uden compliance-risiko.

  • Ingen data forlader dit netværk
  • GDPR out of scope (ingen ekstern databehandler)
  • Også egnet til erhverv med lovbestemt tavshedspligt
Mere om KOSMO On-Premise
Betinget egnet

EU-hostet AI-udbyder med databehandleraftale

Specialiserede europæiske udbydere med hosting i EU, databehandleraftale og gennemsigtig træningspolitik. Lavere risiko, men kræver løbende kontrol.

  • Tjek databehandleraftale og EU-hosting
  • Sikr, at dine input ikke bruges til træning
  • Tjek moderselskab og CLOUD Act-eksponering
Risikabelt · kun med forsigtighed

Konsekvent anonymisering

Hvis cloud-LLM'er er uundværlige: Fjern alle personhenførbare oplysninger før prompten. Erstat navne med pladsholdere, udelad adresser, ingen klartekst fra kontrakter.

  • Klare retningslinjer for brugen i virksomheden
  • Uddannelse af medarbejderne
  • Restrisikoen består – re-identifikation er mulig
Ofte stillede spørgsmål

FAQ – de mest stillede detailspørgsmål

ChatGPT Enterprise tilbyder en databehandleraftale, fravalg af modeltræning på dine input og EU-databehandling som mulighed. Det er markant bedre end Plus-varianten. Grundproblemet består dog: OpenAI er en amerikansk koncern, og den amerikanske CLOUD Act giver amerikanske myndigheder adgang. En GDPR-konsekvensanalyse (DPIA) er obligatorisk, og til særlige kategorier af personoplysninger eller erhverv med lovbestemt tavshedspligt rækker Enterprise som regel ikke.

Kilder & yderligere information

Denne side bygger på følgende offentlige og myndighedskilder:

Relaterede emner hos Splitbot.ai

RAG & Datenschutz
Hvad de tyske datatilsynsmyndigheders vejledning om RAG-systemer betyder for SMV'er
On-Premise KI
Kør KOSMO lokalt — datasuverænitet med egen hardware
EU AI Act
Splitblog: Hvad EU AI Act betyder for kommuner og virksomheder
Chatbots im Vergleich
Hvilken chatbot passer til hvilken use case? Funktionssammenligning

Suverænt i stedet for risikabelt

KOSMO kører på din egen hardware eller i suveræne EU-datacentre. Ingen amerikansk cloud, ingen tredjelandsoverførsel, fuld kontrol.

Opdag KOSMO On-Premise Gratis rådgivning

Denne side giver et generelt overblik og erstatter ikke juridisk rådgivning. I konkrete sager – især ved særlige kategorier af personoplysninger eller lovbestemt tavshedspligt – bør du kontakte jeres databeskyttelsesrådgiver (DPO) eller et specialiseret advokatfirma.

Partnere & støtter