Ist NotebookLM datenschutzkonform?
Ist NotebookLM datenschutzkonform? Datenschutzexperte Frank Müns erklärt.
Sie kennen das vielleicht: Ein neues KI-Tool macht die Runde, die Mitarbeitenden schwärmen davon, wie viel Zeit es spart und plötzlich wird es einfach genutzt. Ohne Freigabe, ohne Prüfung, ohne dass die IT-Abteilung oder die Geschäftsführung überhaupt davon weiß. Genau hier beginnt das Problem mit NotebookLM: Nicht das Tool selbst ist das Risiko, sondern die Art und Weise, wie es im Unternehmensalltag eingesetzt wird. Denn rechtlich bleiben Sie als Arbeitgeber verantwortlich: auch wenn Ihre Mitarbeitenden das Tool privat für ihre Arbeit nutzen.
Das unterschätzte Risiko: Schatten-KI
NotebookLM ist nur dann sicher einsetzbar, wenn Sie genau wissen, welche Daten hochgeladen werden, wer das veranlasst und wofür Google die Inhalte verarbeitet. Besonders kritisch wird es, wenn sogenannte Schatten-KI entsteht: Mitarbeitende nutzen das Tool auf eigene Faust, weil es praktisch ist und schnell geht. Aus Bequemlichkeit, nicht aus böser Absicht.
Das Problem: Sobald sensible Inhalte, Kundendaten, Firmengeheimnisse oder gar Passwörter in NotebookLM gelangen, können diese durch menschliche Prüfer eingesehen oder unbeabsichtigt weiterverarbeitet werden. Das Risiko betrifft nicht nur den Datenschutz, sondern auch IT-Sicherheit und Geheimnisschutz. Und rechtlich sind Sie in der Pflicht, die Datenverarbeitung im Unternehmen zu kontrollieren, zu begrenzen und zu dokumentieren.
Warum „Das ist doch von Google" keine Ausrede ist
Viele denken: „Das Tool ist von Google, also wird es schon passen." Oder: „Wir geben ja nur ein paar Texte hoch." Doch genau diese Sorglosigkeit ist gefährlich. Je einfacher ein Tool wirkt, desto schneller schleichen sich unkontrollierte Nutzungen ein. Schatten-KI entsteht oft unbemerkt und kann schnell zu einem ernsthaften Compliance-Problem werden.
Bei KI-Anwendungen im Unternehmen ist entscheidend, ob die Nutzung organisatorisch und technisch wirklich beherrscht wird. Nicht nur, dass das Tool existiert, sondern wie es eingesetzt wird.
So setzen Sie NotebookLM datenschutzkonform ein
Die gute Nachricht: NotebookLM ist nicht automatisch problematisch. Datenschutzkonform wird es aber erst dann, wenn Nutzung, Technik, Einwilligungen und der richtige Preisplan zusammenpassen. Hier sind die wichtigsten Maßnahmen:
Klare Nutzungsregeln definieren: Legen Sie fest, welche KI-Tools in Ihrem Unternehmen erlaubt sind, welche Daten hochgeladen werden dürfen und wer das vorab prüft. Ohne diese Regeln bleibt die Nutzung unkontrolliert.
Die richtige Version wählen: Verwenden Sie ausschließlich die Enterprise- oder Business-Version von NotebookLM über Google Workspace for Education oder Business. Wenn Ihre Mitarbeiter NotebookLM mit ihren privaten Google-Konten für ihre Arbeit nutzen, können Sie das weder kontrollieren noch nachweisbar und DSGVO-konform abbilden. Diese Schatten-IT ist daher für professionelle Unternehmen ungeeignet. Die Workspace- und Enterprise-Tarife mit entsprechenden Verträgen und Admin-Kontrollen lassen sich eher mit einer datenschutzkonformen Unternehmenspraxis vereinbaren.
Trainingszwecke ausschließen: In den geeigneten Workspace- und Enterprise-Tarifen gelten Enterprise-Schutzmechanismen und die Daten werden grundsätzlich nicht zum Training der Modelle eingesetzt. Dennoch nutzt das KI-Modell hinter NotebookLM die Daten zu Verbesserungszwecken, wenn Nutzer ausdrücklich Feedback übermitteln. Schalten Sie die Verwendung Ihrer Eingaben für Trainingszwecke strikt aus. Geben Sie in Ihrem Feedback keine vertraulichen oder sensiblen Informationen weiter.
Sensible Daten anonymisieren: Laden Sie keine personenbezogenen oder sensiblen Daten hoch. Nutzen Sie stattdessen allgemeine oder anonymisierte Inhalte. Wenn Mitarbeitende nicht wissen, was erlaubt ist und was nicht, entsteht aus Komfort schnell ein rechtliches Problem. Die Geschäftsführung haftet auch, wenn sie nichts von der Nutzung weiß.

Wie aus Prozessoptimierung kein Compliance-Risiko mehr wird.
Stolperfallen, die Sie kennen sollten
Im Detail gibt es weitere Fallstricke: Zugriffsbefugnisse, Protokollierung, Rollenverteilung, Drittzugriffe und die Frage, welche Daten im Einzelfall überhaupt verarbeitet werden dürfen. Diese Themen sollten Sie nicht nebenbei klären, sondern strukturiert angehen.
Denken Sie auch an Ihre Pflichten gegenüber Betroffenen: Diese müssen darüber informiert werden, wenn ihre Daten mit einem KI-Tool verarbeitet werden. Der EU AI Act bringt zusätzliche Dokumentations- und Schulungspflichten mit sich. Gerade bei KI gilt: Wer Verantwortung trägt, muss auch die Nutzung, Grenzen und Risiken sauber festlegen.

Jetzt unverbindliches, kostenloses Erstgespräch vereinbaren
Fazit: Aus Risiko wird Werkzeug
Die eigentliche Frage lautet nicht nur „Ist das Tool NotebookLM DSGVO-konform?", sondern: Ist Ihr konkreter Einsatz von NotebookLM sauber kontrolliert und dokumentiert? Wenn Sie KI nicht heimlich und nicht unkontrolliert nutzen, sondern als bewusst gesteuertes Arbeitsmittel, wird daraus ein echter Vorteil.
Ihr Unternehmen wirkt dann nicht experimentierfreudig auf Kosten der Sicherheit, sondern verantwortungsbewusst, modern und belastbar organisiert. Kunden, Mitarbeiter und Aufsichtsbehörden sehen: Hier wird mit KI nicht gespielt, sondern professionell gearbeitet. So wird aus einem möglichen Risiko ein Werkzeug, das Effizienz bringt, ohne Datenschutz, Vertraulichkeit und Vertrauen zu beschädigen.
Handeln Sie jetzt: Prüfen Sie, ob in Ihrem Unternehmen bereits KI-Tools wie NotebookLM genutzt werden: offiziell oder inoffiziell. Definieren Sie klare Regeln, wählen Sie die richtige Version und schaffen Sie Transparenz. Ein Blick von außen hilft Ihnen dabei, die Rechtskonformität lückenlos sicherzustellen, wie z. B. eine erste Analyse im kostenlosen Erstgespräch mit dem externen Datenschutzbeauftragten Frank Müns.
Nur so wird aus Innovation kein Compliance-Risiko.