ChatGPT DSGVO-konform nutzen: Datenschutz-Leitfaden für Unternehmen

Update April 2026: Das EU-Parlament hat am 27.03.2026 die Verschiebung der Hochrisiko-KI-Pflichten beschlossen (Digital Omnibus, 569:45 Stimmen). Annex III tritt jetzt am 02.12.2027 in Kraft, Annex I am 02.08.2028. Der zweite Trilog ist für den 28.04.2026 angesetzt. WICHTIG: Die AI Literacy Pflicht nach Artikel 4 KI-VO bleibt unverändert ab August 2026 in Kraft. Schulungsnachweise sind also weiterhin Pflicht.

ChatGPT ist in deutschen Unternehmen angekommen. Laut Bitkom nutzen 2026 bereits 36 % aller Firmen KI-Tools im Arbeitsalltag. Das Problem: Die wenigsten haben geregelt, welche Daten in welches Tool dürfen. Ein Mitarbeiter kopiert Kundendaten in ChatGPT Free, um eine E-Mail zu formulieren. Ein anderer lädt einen Vertragsentwurf hoch, um ihn zusammenfassen zu lassen. Beides kann einen DSGVO-Verstoß auslösen. Bußgelder bis 20 Millionen Euro oder 4 % des Jahresumsatzes sind die Theorie. In der Praxis drohen vor allem Abmahnungen, Aufsichtsbehörden-Anfragen und Vertrauensverlust.

Dieser Leitfaden zeigt dir als Geschäftsführer oder IT-Leiter, wie du ChatGPT DSGVO-konform in deinem Unternehmen einsetzt. Mit konkreten Regeln, einer Vergleichstabelle der ChatGPT-Versionen und einer Muster-Richtlinie für dein Team.

Das Wichtigste in Kürze

ChatGPT Free und Plus nutzen eingegebene Daten standardmäßig zum Modell-Training. Personenbezogene Daten und Geschäftsgeheimnisse haben dort nichts verloren.
ChatGPT Team, Enterprise und die API bieten einen Auftragsverarbeitungsvertrag (AVV) und garantieren, dass Daten nicht zum Training verwendet werden.
Ohne AVV ist die Nutzung von ChatGPT mit personenbezogenen Daten ein DSGVO-Verstoß. Der AVV ist bei OpenAI als Data Processing Addendum (DPA) verfügbar.
Der EU AI Act wird ab August 2026 durchgesetzt. Unternehmen müssen nachweisen, dass Mitarbeiter im Umgang mit KI geschult sind (Artikel 4 KI-Kompetenzpflicht).
Eine interne KI-Nutzungsrichtlinie ist Pflicht, nicht Kür. Sie schützt vor unkontrollierter Dateneingabe und dokumentiert die Sorgfalt gegenüber Aufsichtsbehörden.
Die technischen Schutzmaßnahmen unterscheiden sich stark zwischen ChatGPT Free, Plus, Team, Enterprise und API. Die Version bestimmt das Datenschutzniveau.
Schulung ist der wichtigste Hebel. Die meisten DSGVO-Verstöße mit KI passieren nicht durch Technik, sondern durch uninformierte Mitarbeiter.

Welche Daten dürfen in welche ChatGPT-Version?

OpenAI bietet fünf Zugangswege an. Jeder hat andere Datenschutz-Eigenschaften. Die Unterschiede sind erheblich.

Vergleichstabelle: ChatGPT-Versionen und Datenschutz

| Eigenschaft | Free | Plus (20 $/Mo) | Team (25 $/Mo/User) | Enterprise (individuell) | API | |-------------|------|----------------|---------------------|--------------------------|-----| | Daten für Training genutzt | **Ja** (Standard) | **Ja** (Standard) | **Nein** | **Nein** | **Nein** | | Training per Opt-out abschaltbar | Ja (Settings) | Ja (Settings) | Nicht nötig | Nicht nötig | Nicht nötig | | AVV (DPA) verfügbar | Nein | Nein | **Ja** | **Ja** | **Ja** | | SSO / SAML | Nein | Nein | Nein | **Ja** | n/a | | Admin-Konsole | Nein | Nein | **Ja** (einfach) | **Ja** (erweitert) | n/a | | Datenresidenz EU wählbar | Nein | Nein | Nein | **Ja** (auf Anfrage) | Nein | | SOC 2 Typ II zertifiziert | Ja | Ja | Ja | Ja | Ja | | Geeignet für personenbezogene Daten | **Nein** | **Nein** | **Eingeschränkt** | **Ja** | **Ja (mit AVV)** | | Geeignet für Geschäftsgeheimnisse | **Nein** | **Nein** | **Bedingt** | **Ja** | **Ja** |

Die Kernaussage: Für den Unternehmenseinsatz mit personenbezogenen Daten kommen nur Team (mit Einschränkungen), Enterprise oder die API in Frage. Free und Plus sind reine Privatnutzer-Produkte.

Tipp: Auch bei ChatGPT Team und Enterprise gilt: So wenig personenbezogene Daten wie möglich eingeben. Nutze Pseudonymisierung, bevor du Daten in ChatGPT verarbeitest. Statt "Max Müller, geboren am 12.03.1985, Kundennummer 47832" reicht "Kunde A, männlich, 41 Jahre".

Auftragsverarbeitungsvertrag (AVV): Wann Pflicht, wie abschließen?

Wann ist ein AVV Pflicht?

Sobald du personenbezogene Daten über ChatGPT verarbeitest, ist OpenAI dein Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen. Dazu gehören:

Namen, E-Mail-Adressen, Telefonnummern
Kundennummern, Vertragsdaten
Mitarbeiterdaten (Gehaltsabrechnung, Beurteilung)
IP-Adressen, Nutzungsverhalten
Gesundheitsdaten, politische Meinungen (besondere Kategorien nach Art. 9 DSGVO)

Ohne AVV ist die Verarbeitung solcher Daten über ChatGPT rechtswidrig. So einfach ist die Rechtslage.

Wie schließt du den AVV ab?

OpenAI stellt ein Data Processing Addendum (DPA) bereit. Der Abschluss unterscheidet sich je nach Version:

ChatGPT Team: Das DPA ist Teil der Nutzungsbedingungen. Es wird automatisch wirksam, wenn du den Team-Plan abschließt. Du findest es unter trust.openai.com.
ChatGPT Enterprise: Individueller Vertrag mit OpenAI. Das DPA wird im Rahmen der Vertragsverhandlung abgeschlossen. Hier kannst du auch zusätzliche Klauseln (z. B. EU-Datenresidenz) verhandeln.
API: Das DPA gilt automatisch für alle API-Nutzer und ist unter platform.openai.com/policies abrufbar.
Free und Plus: Kein DPA verfügbar. Deshalb keine personenbezogenen Daten eingeben.

Was muss im AVV stehen?

Art. 28 Abs. 3 DSGVO schreibt Mindestinhalte vor. Das OpenAI DPA deckt diese ab:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen
Pflichten und Rechte des Verantwortlichen
Technische und organisatorische Maßnahmen (TOMs)
Regelung zu Unterauftragsverarbeitern

Prüfe trotzdem: OpenAI setzt Unterauftragsverarbeiter ein (u. a. Microsoft Azure). Die Liste findest du auf der OpenAI Trust Page. Du bist verpflichtet, diese Unterauftragsverarbeiter zu kennen und bei Änderungen informiert zu werden.

Praktische Checkliste: 10 Regeln für den sicheren Unternehmenseinsatz

| Nr. | Regel | Erklärung | |-----|-------|-----------| | 1 | **Mindestens ChatGPT Team oder API nutzen** | Free und Plus bieten keinen AVV und nutzen Daten zum Training. | | 2 | **AVV (DPA) abschließen und dokumentieren** | Ohne AVV ist jede Verarbeitung personenbezogener Daten rechtswidrig. | | 3 | **Opt-out aktivieren (falls Free/Plus im Einsatz)** | Settings → Data Controls → "Improve the model for everyone" deaktivieren. Schützt aber nicht vor fehlender Rechtsgrundlage. | | 4 | **Interne KI-Nutzungsrichtlinie erstellen** | Definiert, welche Daten erlaubt sind, welche verboten. Jeder Mitarbeiter unterschreibt. | | 5 | **Personenbezogene Daten pseudonymisieren** | Vor der Eingabe: Namen durch Platzhalter ersetzen, Kundennummern entfernen. | | 6 | **Keine besonderen Kategorien eingeben** | Gesundheitsdaten, Gewerkschaftszugehörigkeit, biometrische Daten sind tabu. Immer. | | 7 | **Verarbeitungsverzeichnis aktualisieren** | ChatGPT-Nutzung muss im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) stehen. | | 8 | **Datenschutz-Folgenabschätzung prüfen** | Bei systematischer Verarbeitung personenbezogener Daten über KI kann eine DSFA nach Art. 35 DSGVO nötig sein. | | 9 | **Mitarbeiter schulen** | Mindestens einmal jährlich. Die [KI-Schulungspflicht nach EU AI Act](/blog/ki-digitalisierung/ki-schulungspflicht-schritte/) macht dies ab August 2026 verpflichtend. | | 10 | **Chat-Verläufe regelmäßig löschen** | Reduziert die Angriffsfläche. Enterprise bietet automatische Löschrichtlinien. |

EU AI Act: Was ab August 2026 zusätzlich gilt

Der EU AI Act (Verordnung (EU) 2024/1689) ergänzt die DSGVO um KI-spezifische Pflichten. Die relevantesten Punkte für ChatGPT-Nutzer:

Artikel 4 (KI-Kompetenzpflicht): Jedes Unternehmen, das KI einsetzt, muss sicherstellen, dass beteiligte Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das betrifft jeden, der ChatGPT dienstlich nutzt. Die Pflicht gilt bereits seit Februar 2025, die behördliche Durchsetzung beginnt am 2. August 2026. Details findest du im Artikel EU AI Act Artikel 4: Was die KI-Kompetenzpflicht für dein Unternehmen bedeutet.

Transparenzpflicht für KI-generierte Inhalte: Wenn du KI-generierte Texte veröffentlichst (z. B. Marketingtexte, Chatbot-Antworten), musst du das kennzeichnen. Das gilt insbesondere für Inhalte, die mit Menschen verwechselt werden könnten.

GPAI-Regeln: ChatGPT basiert auf einem General Purpose AI Model (GPAI). Die Pflichten für GPAI-Anbieter treffen OpenAI, nicht dich als Nutzer. Aber: Du bist als Betreiber verantwortlich, die Nutzungsbedingungen des Anbieters einzuhalten und deine Mitarbeiter entsprechend zu schulen.

Dokumentationspflicht: Du musst nachweisen können, dass du Maßnahmen zur KI-Kompetenz ergriffen hast. Schulungsnachweise, die interne Richtlinie und der AVV sind deine Beweismittel.

Muster-Richtlinie für Mitarbeiter (Kurzfassung)

Diese Vorlage kannst du an dein Unternehmen anpassen. Sie deckt die wichtigsten Punkte ab.

KI-Nutzungsrichtlinie [Firmenname]

Stand: [Datum]

1. Geltungsbereich Diese Richtlinie gilt für alle Mitarbeiter, die KI-Tools (insbesondere ChatGPT, Microsoft Copilot, Claude, Gemini) dienstlich nutzen.

2. Erlaubte Tools Nur freigegebene KI-Tools dürfen genutzt werden. Aktuell freigegeben: [Liste der Tools und Versionen, z. B. "ChatGPT Team über den Firmen-Account"]. Private Accounts (ChatGPT Free/Plus) dürfen nicht für dienstliche Zwecke genutzt werden.

3. Verbotene Eingaben Folgende Daten dürfen nicht in KI-Tools eingegeben werden: - Namen, E-Mail-Adressen, Telefonnummern von Kunden oder Mitarbeitern - Vertragsinhalte, Preiskalkulationen, Geschäftsgeheimnisse - Gesundheitsdaten, Gehaltsdaten, Beurteilungen - Zugangsdaten, Passwörter, API-Keys - Inhalte aus laufenden Rechtsstreitigkeiten

4. Erlaubte Nutzung - Textentwürfe ohne personenbezogene Daten - Recherche und Zusammenfassungen öffentlich verfügbarer Informationen - Brainstorming und Ideenfindung - Code-Unterstützung (ohne Firmen-Infrastruktur-Details)

5. Pseudonymisierung Wenn du Daten als Kontext brauchst: Ersetze alle identifizierenden Merkmale durch Platzhalter. Aus "Herr Müller, Vertrag Nr. 4711, 45.000 Euro" wird "Kunde A, Vertrag Nr. X, Betrag Y".

6. Prüfpflicht KI-generierte Inhalte müssen vor Verwendung auf Richtigkeit geprüft werden. Du bist verantwortlich, nicht die KI.

7. Kennzeichnung KI-generierte Inhalte, die extern veröffentlicht werden, müssen als solche gekennzeichnet sein.

8. Verstöße Verstöße gegen diese Richtlinie können arbeitsrechtliche Konsequenzen nach sich ziehen.

Tipp: Lass jeden Mitarbeiter diese Richtlinie unterschreiben. Das Dokument ist dein Nachweis gegenüber Aufsichtsbehörden, dass du organisatorische Maßnahmen ergriffen hast.

Typische Fehler in der Praxis

Fehler 1: "Wir haben den Opt-out aktiviert, also sind wir sicher." Der Opt-out bei ChatGPT Free/Plus verhindert nur, dass Daten zum Modell-Training genutzt werden. Er ersetzt keinen AVV und schafft keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Fehler 2: "Unsere Mitarbeiter wissen schon, was sie tun dürfen." Ohne schriftliche Richtlinie und Schulung gibt es keinen Nachweis. Die Aufsichtsbehörde fragt nicht, ob dein Team Bescheid weiß. Sie fragt nach Dokumentation.

Fehler 3: "ChatGPT Enterprise ist automatisch DSGVO-konform." Enterprise bietet bessere technische Voraussetzungen (kein Training, AVV, SSO, Admin-Kontrolle). Aber DSGVO-Konformität entsteht erst durch das Zusammenspiel von Technik, Vertrag und Organisation. Enterprise allein reicht nicht. Du brauchst den AVV, die Richtlinie, die Schulung und das Verarbeitungsverzeichnis.

Fehler 4: "Wir nutzen nur die API, das ist sicher." Die API nutzt Daten nicht zum Training und bietet einen AVV. Aber: Wer die API in eigene Anwendungen einbaut, wird zum Anbieter eines KI-Systems im Sinne des EU AI Act. Damit gelten zusätzliche Pflichten (Dokumentation, Risikobewertung, Transparenz).

Häufige Fragen

Darf ich Kundendaten in ChatGPT eingeben?

Nur wenn du ChatGPT Team, Enterprise oder die API mit abgeschlossenem AVV nutzt. Und auch dann nur pseudonymisiert und nur, wenn eine Rechtsgrundlage (z. B. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO) vorliegt. Bei ChatGPT Free oder Plus: Nein, unter keinen Umständen.

Reicht es, den Opt-out bei ChatGPT zu aktivieren?

Nein. Der Opt-out verhindert das Training mit deinen Daten, aber er ersetzt keinen Auftragsverarbeitungsvertrag. Ohne AVV fehlt die vertragliche Grundlage nach Art. 28 DSGVO. Der Opt-out ist ein zusätzlicher Schutz, keine ausreichende Maßnahme.

Brauche ich eine Datenschutz-Folgenabschätzung (DSFA)?

Wenn du ChatGPT systematisch für die Verarbeitung personenbezogener Daten einsetzt (z. B. automatisierte Kundenkommunikation, Bewerbungsscreening), ist eine DSFA nach Art. 35 DSGVO wahrscheinlich erforderlich. Bei gelegentlicher Nutzung ohne personenbezogene Daten in der Regel nicht.

Was passiert, wenn ein Mitarbeiter vertrauliche Daten in ChatGPT Free eingibt?

Die Daten können zum Modell-Training verwendet werden und lassen sich nicht mehr löschen. Das kann einen meldepflichtigen Datenschutzvorfall nach Art. 33 DSGVO auslösen. Du hast 72 Stunden, um die zuständige Aufsichtsbehörde zu informieren. Deshalb ist die Kombination aus Richtlinie, Schulung und technischer Zugangskontrolle (nur Firmenaccounts erlauben) so wichtig.

Muss ich ChatGPT im Verarbeitungsverzeichnis aufführen?

Ja. Jede Verarbeitungstätigkeit mit personenbezogenen Daten muss im Verzeichnis nach Art. 30 DSGVO stehen. Das gilt auch für ChatGPT, selbst wenn du "nur" E-Mails damit formulierst, in denen Kundennamen vorkommen.

Nächster Schritt: KI-Kompetenz im Unternehmen aufbauen

Datenschutz bei KI ist kein reines IT-Thema. Es betrifft jeden Mitarbeiter, der ChatGPT oder ein anderes KI-Tool öffnet. Die KI-Schulungspflicht nach EU AI Act Artikel 4 macht Weiterbildung ab August 2026 zur gesetzlichen Pflicht.

Wenn du KI-Kompetenz systematisch in deinem Unternehmen aufbauen willst, bietet die Weiterbildung zum Digitalisierungsmanager (IHK) bei SkillSprinters einen strukturierten Weg. 4 Monate, komplett online, DEKRA-zertifiziert (AZAV). Die Kosten übernimmt bei Arbeitssuchenden der Bildungsgutschein zu 100 %. Für Beschäftigte zahlt das Qualifizierungschancengesetz bis zu 100 % der Lehrgangskosten.

Jetzt informieren: Weiterbildung zum Digitalisierungsmanager (IHK)

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp