Anfang Mai hat OpenAI den sogenannten Deep Research Connector in ChatGPT eingeführt. Damit eröffnet OpenAI neue Möglichkeiten für die Integration von ChatGPT in unternehmensinterne Prozesse. Die Funktion erlaubt KI-gestützte Analysen auf Daten aus Anwendungen wie SharePoint, OneDrive, GitHub oder Dropbox – direkt innerhalb vertrauter Arbeitsumgebungen. ChatGPT wird damit zunehmend zur intelligenten Schnittstelle für internes Wissen.
So groß das Potenzial für Effizienzgewinne und fundiertere Entscheidungen ist, so dringend stellen sich Fragen zu Datenschutz, Datensicherheit und Compliance. Dieser Beitrag beleuchtet die zentralen rechtlichen, technischen und organisatorischen Aspekte beim Einsatz von Deep Research.
Was ist Deep Research?
Die Deep-Research-Funktion von ChatGPT ist eine spezialisierte Fähigkeit für mehrstufige Recherchen. Basierend auf dem fortschrittlichen OpenAI-o3-Reasoning-Modell analysiert ChatGPT Inhalte aus öffentlichen Quellen, erstellt fundierte, zitierte Berichte – und verarbeitet optional auch Daten aus verbundenen Drittanbieter-Apps.
Integration von Drittanbieter-Apps
Über sogenannte Deep Research Connectors kann ChatGPT auf Live-Daten aus bereits genutzten Anwendungen wie SharePoint, GitHub oder Google Workspace zugreifen – nach einer einmaligen Autorisierung durch den Nutzer. Relevante Inhalte werden direkt aus diesen Quellen bezogen und in Echtzeit verarbeitet. Nutzer profitieren so von Antworten auf ihre Fragen, ohne zwischen Tools wechseln zu müssen.
Datenschutz- & Sicherheitsversprechen von OpenAI
Mit dem Zugriff auf interne Unternehmensdaten rücken Datenschutz und Informationssicherheit unweigerlich in den Mittelpunkt. OpenAI reagiert darauf mit verschiedenen Zusicherungen, die Transparenz und Kontrolle gewährleisten sollen – doch wie belastbar sind diese aus unternehmensrechtlicher Sicht wirklich?
1. Einhaltung von Zugriffsrechten
OpenAI versichert, dass bestehende Zugriffsrechte vollständig gewahrt bleiben: Nutzer sehen nur Inhalte, die ihnen gemäß der ursprünglichen Berechtigungsstruktur ohnehin zugänglich sind. Unterschiedliche Nutzer können daher unterschiedliche Ergebnisse auf dieselbe Anfrage erhalten. Dieses Prinzip der rollenbasierten Zugriffskontrolle entspricht datenschutzrechtlichen Grundsätzen wie Datenminimierung. Die Umsetzung bleibt allerdings eine Blackbox – Unternehmen sind gut beraten, eigene technische und organisatorische Maßnahmen (TOMs) zu etablieren und regelmäßig zu überprüfen.
2. Administratorfreigabe erforderlich
Für bestimmte Dienste kann eine Freigabe durch den Administrator erforderlich sein. Diese Kontrollinstanz stärkt die Einhaltung unternehmensinterner Sicherheitsvorgaben. Administratoren haben zudem die Möglichkeit, über das Workspace-Management zu steuern, welche Konnektoren für „Internal Knowledge“ verfügbar sind.
3. Keine dauerhafte Speicherung
OpenAI betont, dass keine vollständige Synchronisation oder dauerhafte Speicherung von Dateien erfolgt. Die Verarbeitung geschieht kontextbezogen und temporär: ChatGPT ruft gezielt Inhalte über Suchanfragen ab, analysiert sie im Moment der Nutzung und verwirft sie danach. Nur explizit freigegebene Daten sind zugänglich; alle Zugriffsrechte und Sichtbarkeitseinstellungen der Ursprungsplattformen bleiben bestehen.
4. Keine Nutzung zu Trainingszwecken (bei Geschäftsversionen)
Bei der Frage nach Trainingsverwendung unterscheidet OpenAI zwischen Individual- und Geschäftsdiensten. Während Inhalte aus ChatGPT Free, Plus oder Pro mit aktivierter „Improve the model for everyone“-Option zur Modellverbesserung beitragen können, gilt für Team, Enterprise und API: Keine Trainingsnutzung – auch nicht für GitHub-Daten. Unternehmen sollten daher Geschäftsversionen bevorzugen und Trainingsoptionen deaktivieren, wenn sensible Inhalte betroffen sind.
Verfügbarkeit und regionale Einschränkungen
Die OpenAI Deep Research Connectors befinden sich in der Beta-Phase und sind für ChatGPT Plus, Pro und Team verfügbar. In der EU, der Schweiz und im Vereinigten Königreich bestehen jedoch Einschränkungen: Konnektoren wie SharePoint oder OneDrive sind dort bislang nicht verfügbar – vermutlich aufgrund offener DSGVO-Fragen wie bei Apple Intelligence. Die Verfügbarkeit für Enterprise- und Edu-Kunden ist angekündigt.
Auch technisch bestehen Limitierungen: „Internal Knowledge“ unterstützt derzeit ausschließlich Google-Workspace-Konten (nicht private Konten) und ist nur mit GPT-4o kompatibel. Google Sheets und Excel-Dateien sind nur eingeschränkt nutzbar. Voller Funktionsumfang besteht aktuell nur über ChatGPT.com und die Windows-App. Eine Ausweitung auf macOS, iOS und Android sowie die Integration weiterer Tools wie Slack oder Notion ist geplant.
Chancen nutzen – Risiken verantwortungsvoll managen
Trotz der Innovationskraft birgt die Integration datenschutzrechtliche Herausforderungen. Die genutzten Konnektoren sind Drittanbieterdienste mit eigenen Nutzungsbedingungen. Unternehmen sind daher verpflichtet, ihre Datenschutz- und Sicherheitsrichtlinien auf Kompatibilität zu prüfen – insbesondere vor dem Zugriff auf sensible Inhalte. Ein zentrales Kontrollinstrument Seitens der Drittanbieter ist die erforderliche Administratorfreigabe. Doch auch mit formaler Zustimmung bleibt die Frage, ob Daten – etwa Quellcodes im Kontext des GitHub-Konnektors – tatsächlich umfassend vor ungewollter Weitergabe geschützt sind. OpenAI erklärt zwar, keine Trainingsnutzung vorzunehmen, doch Transparenz und Kontrolle bleiben begrenzt.
Die Einführung von Deep Research markiert einen strategischen Wandel. ChatGPT wird zum potenziellen Wissenspartner mit Zugriff auf interne Geschäftsprozesse. Unternehmen tragen die volle Verantwortung für den Schutz personenbezogener Daten und Geschäftsgeheimnisse – auch bei Nutzung externer KI-Systeme. Umso wichtiger ist es, rechtliche und technische Prüfungen vorzunehmen: von Datenschutz-Folgenabschätzungen über vertragliche Regelungen bis hin zu klaren Governance-Strukturen und Mitarbeiter-Schulungen für den Umgang mit sensiblen Daten. Denn von einer Anonymisierung bzw. Pseudonymisierung ist bislang nicht die Rede.
Fazit
Die OpenAI Deep Research Connectors eröffnen spannende neue Möglichkeiten für die Nutzung interner Unternehmensdaten durch KI. Doch wie bei jeder Technologie, die mit sensiblen Informationen arbeitet, ist ein proaktives und strukturiertes Risiko-Management unerlässlich, um Potenziale sicher zu nutzen und rechtliche Fallstricke zu vermeiden.
