IBAN in ChatGPT eingegeben – was jetzt?

Erstmal durchatmen – aber handeln

Es passiert schneller als man denkt: Ein Prompt enthält eine IBAN, eine Kreditkartennummer oder eine Steuer-ID. Vielleicht haben Sie ein Dokument kopiert, ohne vorher sensible Daten zu entfernen. Jetzt stehen die Daten bei OpenAI. Was tun?

Was passiert mit Ihren Daten bei OpenAI?

OpenAI speichert Ihre Eingaben je nach Einstellung unterschiedlich:

Chat-Verlauf aktiv (Standard): Eingaben werden bis zu 30 Tage gespeichert und können für Modelltraining verwendet werden
Chat-Verlauf deaktiviert: Eingaben werden 30 Tage zur Missbrauchserkennung gespeichert, aber nicht fürs Training genutzt
API-Nutzung: Daten werden standardmäßig nicht fürs Training verwendet, aber 30 Tage gespeichert
ChatGPT Team/Enterprise: Keine Nutzung fürs Training, kürzere Aufbewahrung

Sofortmaßnahmen: Die ersten 15 Minuten

Schritt 1: Konversation löschen

Öffnen Sie ChatGPT, finden Sie die betroffene Konversation und löschen Sie sie. Das entfernt die Daten aus Ihrem sichtbaren Verlauf – aber nicht sofort von den OpenAI-Servern.

Schritt 2: Löschantrag nach Art. 17 DSGVO stellen

Senden Sie eine E-Mail an privacy@openai.com mit folgendem Inhalt:

Betreff: Antrag auf Löschung personenbezogener Daten gem. Art. 17 DSGVO

Sehr geehrte Damen und Herren,
hiermit beantrage ich gemäß Art. 17 Abs. 1 DSGVO die unverzügliche Löschung meiner personenbezogenen Daten, die ich am [Datum] versehentlich in ChatGPT eingegeben habe. Es handelt sich um [Art der Daten, z.B. IBAN]. Meine Account-E-Mail: [Ihre E-Mail].
Bitte bestätigen Sie die Löschung innerhalb der gesetzlichen Frist von einem Monat.

Schritt 3: Chat-Verlauf für Training deaktivieren

Unter Settings > Data Controls > Chat History & Training können Sie verhindern, dass künftige Eingaben fürs Training verwendet werden.

Wie groß ist das Risiko wirklich?

Eine einzelne IBAN allein reicht nicht für einen Missbrauch. Um Geld von einem Konto abzubuchen, braucht ein Angreifer zusätzlich eine Einzugsermächtigung (SEPA-Lastschriftmandat). Trotzdem ist die IBAN ein personenbezogenes Datum und darf nicht unkontrolliert verarbeitet werden.

Höheres Risiko besteht, wenn Sie neben der IBAN auch den Namen, die Adresse oder den Verwendungszweck eingegeben haben – dann ist ein komplettes Profil rekonstruierbar.

Prävention: So verhindern Sie künftige Pannen

Proxy-Lösung nutzen: Tools wie KI-Shield erkennen IBANs, Kreditkartennummern und 40 weitere PII-Kategorien automatisch und ersetzen sie durch Platzhalter – bevor die Daten ChatGPT erreichen
Dokumente vor dem Kopieren prüfen: Markieren Sie sensible Stellen, bevor Sie Text in ein KI-Tool einfügen
Browser-Extension nutzen: Einige Tools warnen automatisch, wenn Sie personenbezogene Daten in ein Textfeld eingeben
API statt Chat-Oberfläche: Die API-Nutzung bietet standardmäßig bessere Datenschutz-Garantien

Meldepflicht prüfen

Falls Sie beruflich mit Daten Dritter arbeiten (z.B. als Anwalt, Arzt oder im Unternehmen), müssen Sie prüfen, ob eine Meldepflicht nach Art. 33 DSGVO besteht. Diese greift, wenn ein Risiko für die Rechte der betroffenen Person besteht. Melden Sie den Vorfall Ihrem Datenschutzbeauftragten und dokumentieren Sie die getroffenen Maßnahmen.