ChatGPT DSGVO-konform nutzen: Datenschutz-Leitfaden für Unternehmen

Update April 2026: Das EU-Parlament hat am 27.03.2026 die Verschiebung der Hochrisiko-KI-Pflichten beschlossen (Digital Omnibus, 569:45 Stimmen). Annex III tritt jetzt am 02.12.2027 in Kraft, Annex I am 02.08.2028. Der zweite Trilog ist für den 28.04.2026 angesetzt. Die AI Literacy Pflicht nach Artikel 4 KI-VO gilt seit dem 2. Februar 2025. Die Bußgeldvorschriften der KI-Verordnung greifen ab August 2026. Schulungsnachweise sind also weiterhin Pflicht.

ChatGPT DSGVO-konform einzusetzen ist in deutschen Unternehmen längst kein theoretisches Thema mehr. Laut Bitkom nutzen 2026 bereits 36 % aller Firmen KI-Tools im Arbeitsalltag, aber die wenigsten haben geregelt, welche Daten in welches Tool dürfen. Ein Mitarbeiter kopiert Kundendaten in ChatGPT Free, um eine E-Mail zu formulieren. Ein anderer lädt einen Vertragsentwurf hoch, um ihn zusammenfassen zu lassen. Beides kann einen DSGVO-Verstoß auslösen. Bußgelder bis 20 Millionen Euro oder 4 % des Jahresumsatzes sind die Theorie. In der Praxis drohen vor allem Abmahnungen, Aufsichtsbehörden-Anfragen und Vertrauensverlust.

Dieser Leitfaden zeigt dir als Geschäftsführer oder IT-Leiter, wie du ChatGPT sauber in dein Unternehmen einbaust. Mit konkreten Regeln, einer Vergleichstabelle der ChatGPT-Versionen und einer Muster-Richtlinie für dein Team.

Welche Daten dürfen in welche ChatGPT-Version?

OpenAI bietet fünf Zugangswege an. Jeder hat andere Datenschutz-Eigenschaften. Die Unterschiede sind erheblich.

Vergleichstabelle der ChatGPT-Versionen

| Eigenschaft | Free | Plus (20 $/Mo) | Team (25 $/Mo/User) | Enterprise (individuell) | API | |-------------|------|----------------|---------------------|--------------------------|-----| | Daten für Training genutzt | **Ja** (Standard) | **Ja** (Standard) | **Nein** | **Nein** | **Nein** | | Training per Opt-out abschaltbar | Ja (Settings) | Ja (Settings) | Nicht nötig | Nicht nötig | Nicht nötig | | AVV (DPA) verfügbar | Nein | Nein | **Ja** | **Ja** | **Ja** | | SSO / SAML | Nein | Nein | Nein | **Ja** | n/a | | Admin-Konsole | Nein | Nein | **Ja** (einfach) | **Ja** (erweitert) | n/a | | Datenresidenz EU wählbar | Nein | Nein | Nein | **Ja** (auf Anfrage) | Nein | | SOC 2 Typ II zertifiziert | Ja | Ja | Ja | Ja | Ja | | Geeignet für personenbezogene Daten | **Nein** | **Nein** | **Eingeschränkt** | **Ja** | **Ja (mit AVV)** | | Geeignet für Geschäftsgeheimnisse | **Nein** | **Nein** | **Bedingt** | **Ja** | **Ja** |

Für den Unternehmenseinsatz mit personenbezogenen Daten kommen nur Team (mit Einschränkungen), Enterprise oder die API in Frage. Free und Plus sind Privatnutzer-Produkte.

Auch bei Team und Enterprise gilt: So wenig personenbezogene Daten wie möglich eingeben. Pseudonymisiere, bevor du Daten in ChatGPT verarbeitest. Statt "Max Müller, geboren am 12.03.1985, Kundennummer 47832" reicht "Kunde A, männlich, 41 Jahre".

Auftragsverarbeitungsvertrag: Wann Pflicht, wie abschließen?

Wann ist ein AVV Pflicht?

Sobald du personenbezogene Daten über ChatGPT verarbeitest, ist OpenAI dein Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen. Dazu gehören:

Namen, E-Mail-Adressen, Telefonnummern
Kundennummern, Vertragsdaten
Mitarbeiterdaten (Gehaltsabrechnung, Beurteilung)
IP-Adressen, Nutzungsverhalten
Gesundheitsdaten, politische Meinungen (besondere Kategorien nach Art. 9 DSGVO)

Ohne AVV ist die Verarbeitung solcher Daten über ChatGPT rechtswidrig. So einfach ist die Rechtslage.

Wie schließt du den AVV ab?

OpenAI stellt ein Data Processing Addendum (DPA) bereit. Der Abschluss unterscheidet sich je nach Version:

ChatGPT Team: Das DPA ist Teil der Nutzungsbedingungen. Es wird automatisch wirksam, wenn du den Team-Plan abschließt. Du findest es unter trust.openai.com.
ChatGPT Enterprise: Individueller Vertrag mit OpenAI. Das DPA wird im Rahmen der Vertragsverhandlung abgeschlossen. Hier kannst du auch zusätzliche Klauseln (z. B. EU-Datenresidenz) verhandeln.
API: Das DPA gilt automatisch für alle API-Nutzer und ist unter platform.openai.com/policies abrufbar.
Free und Plus: Kein DPA verfügbar. Deshalb keine personenbezogenen Daten eingeben.

Was muss im AVV stehen?

Art. 28 Abs. 3 DSGVO schreibt Mindestinhalte vor. Das OpenAI DPA deckt diese ab:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen
Pflichten und Rechte des Verantwortlichen
Technische und organisatorische Maßnahmen (TOMs)
Regelung zu Unterauftragsverarbeitern

OpenAI setzt Unterauftragsverarbeiter ein (u. a. Microsoft Azure). Die Liste findest du auf der OpenAI Trust Page. Du bist verpflichtet, diese Unterauftragsverarbeiter zu kennen und bei Änderungen informiert zu werden.

Praktische Checkliste mit 10 Regeln

| Nr. | Regel | Erklärung | |-----|-------|-----------| | 1 | **Mindestens ChatGPT Team oder API nutzen** | Free und Plus bieten keinen AVV und nutzen Daten zum Training. | | 2 | **AVV (DPA) abschließen und dokumentieren** | Ohne AVV ist jede Verarbeitung personenbezogener Daten rechtswidrig. | | 3 | **Opt-out aktivieren (falls Free/Plus im Einsatz)** | Settings → Data Controls → "Improve the model for everyone" deaktivieren. Schützt aber nicht vor fehlender Rechtsgrundlage. | | 4 | **Interne KI-Nutzungsrichtlinie erstellen** | Definiert, welche Daten erlaubt sind, welche verboten. Jeder Mitarbeiter unterschreibt. | | 5 | **Personenbezogene Daten pseudonymisieren** | Vor der Eingabe: Namen durch Platzhalter ersetzen, Kundennummern entfernen. | | 6 | **Keine besonderen Kategorien eingeben** | Gesundheitsdaten, Gewerkschaftszugehörigkeit, biometrische Daten sind tabu. Immer. | | 7 | **Verarbeitungsverzeichnis aktualisieren** | ChatGPT-Nutzung muss im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) stehen. | | 8 | **Datenschutz-Folgenabschätzung prüfen** | Bei systematischer Verarbeitung personenbezogener Daten über KI kann eine DSFA nach Art. 35 DSGVO nötig sein. | | 9 | **Mitarbeiter schulen** | Mindestens einmal jährlich. Die [KI-Schulungspflicht nach EU AI Act](/blog/ki-digitalisierung/ki-schulungspflicht-schritte/) ist seit Februar 2025 in Kraft, die Bußgeldrahmen der KI-Verordnung beginnt ab August 2026. | | 10 | **Chat-Verläufe regelmäßig löschen** | Reduziert die Angriffsfläche. Enterprise bietet automatische Löschrichtlinien. |

EU AI Act und was zusätzlich gilt

Der EU AI Act (Verordnung (EU) 2024/1689) ergänzt die DSGVO um KI-spezifische Pflichten. Die relevantesten Punkte für ChatGPT-Nutzer:

Artikel 4 (KI-Kompetenzpflicht): Jedes Unternehmen, das KI einsetzt, muss sicherstellen, dass beteiligte Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das betrifft jeden, der ChatGPT dienstlich nutzt. Die Pflicht gilt bereits seit Februar 2025, die Bußgeldrahmen der KI-Verordnung beginnt am 2. August 2026. Details findest du im Artikel EU AI Act Artikel 4: Was die KI-Kompetenzpflicht für dein Unternehmen bedeutet.

Transparenzpflicht für KI-generierte Inhalte: Wenn du KI-generierte Texte veröffentlichst (z. B. Marketingtexte, Chatbot-Antworten), musst du das kennzeichnen. Das gilt insbesondere für Inhalte, die mit Menschen verwechselt werden könnten.

GPAI-Regeln: ChatGPT basiert auf einem General Purpose AI Model (GPAI). Die Pflichten für GPAI-Anbieter treffen OpenAI, nicht dich als Nutzer. Aber: Du bist als Betreiber verantwortlich, die Nutzungsbedingungen des Anbieters einzuhalten und deine Mitarbeiter entsprechend zu schulen.

Dokumentationspflicht: Du musst nachweisen können, dass du Maßnahmen zur KI-Kompetenz ergriffen hast. Schulungsnachweise, die interne Richtlinie und der AVV sind deine Beweismittel.

Muster-Richtlinie für Mitarbeiter

Diese Vorlage kannst du an dein Unternehmen anpassen. Sie deckt die wichtigsten Punkte ab.

KI-Nutzungsrichtlinie [Firmenname]

Stand: [Datum]

1. Geltungsbereich Diese Richtlinie gilt für alle Mitarbeiter, die KI-Tools (insbesondere ChatGPT, Microsoft Copilot, Claude, Gemini) dienstlich nutzen.

2. Erlaubte Tools Nur freigegebene KI-Tools dürfen genutzt werden. Aktuell freigegeben: [Liste der Tools und Versionen, z. B. "ChatGPT Team über den Firmen-Account"]. Private Accounts (ChatGPT Free/Plus) dürfen nicht für dienstliche Zwecke genutzt werden.

3. Verbotene Eingaben Folgende Daten dürfen nicht in KI-Tools eingegeben werden: - Namen, E-Mail-Adressen, Telefonnummern von Kunden oder Mitarbeitern - Vertragsinhalte, Preiskalkulationen, Geschäftsgeheimnisse - Gesundheitsdaten, Gehaltsdaten, Beurteilungen - Zugangsdaten, Passwörter, API-Keys - Inhalte aus laufenden Rechtsstreitigkeiten

4. Erlaubte Nutzung - Textentwürfe ohne personenbezogene Daten - Recherche und Zusammenfassungen öffentlich verfügbarer Informationen - Brainstorming und Ideenfindung - Code-Unterstützung (ohne Firmen-Infrastruktur-Details)

5. Pseudonymisierung Wenn du Daten als Kontext brauchst: Ersetze alle identifizierenden Merkmale durch Platzhalter. Aus "Herr Müller, Vertrag Nr. 4711, 45.000 Euro" wird "Kunde A, Vertrag Nr. X, Betrag Y".

6. Prüfpflicht KI-generierte Inhalte müssen vor Verwendung auf Richtigkeit geprüft werden. Du bist verantwortlich, nicht die KI.

7. Kennzeichnung KI-generierte Inhalte, die extern veröffentlicht werden, müssen als solche gekennzeichnet sein.

8. Verstöße Verstöße gegen diese Richtlinie können arbeitsrechtliche Konsequenzen nach sich ziehen.

Lass jeden Mitarbeiter diese Richtlinie unterschreiben. Das unterschriebene Dokument ist dein Nachweis gegenüber Aufsichtsbehörden, dass du organisatorische Maßnahmen ergriffen hast. Wer das unterschätzt und erst bei der ersten Anfrage der Datenschutzaufsicht merkt, dass es kein einziges unterzeichnetes Papier gibt, verliert die ganze Argumentationsgrundlage. Wir sehen in der Praxis regelmäßig, dass Unternehmen die technische Seite sauber haben (Team-Account, AVV abgeschlossen), aber bei der Dokumentation durchfallen, weil niemand die Richtlinie wirklich gelesen, geschweige denn unterschrieben hat. Genau an dieser Stelle fällt die Prüfung.

Typische Fehler in der Praxis

Fehler 1: "Wir haben den Opt-out aktiviert, also sind wir sicher." Der Opt-out bei ChatGPT Free/Plus verhindert nur, dass Daten zum Modell-Training genutzt werden. Er ersetzt keinen AVV und schafft keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Fehler 2: "Unsere Mitarbeiter wissen schon, was sie tun dürfen." Ohne schriftliche Richtlinie und Schulung gibt es keinen Nachweis. Die Aufsichtsbehörde fragt nicht, ob dein Team Bescheid weiß. Sie fragt nach Dokumentation.

Fehler 3: "ChatGPT Enterprise ist automatisch DSGVO-konform." Enterprise bietet bessere technische Voraussetzungen (kein Training, AVV, SSO, Admin-Kontrolle). Aber DSGVO-Konformität entsteht erst durch das Zusammenspiel von Technik, Vertrag und Organisation. Enterprise allein reicht nicht. Du brauchst den AVV, die Richtlinie, die Schulung und das Verarbeitungsverzeichnis.

Fehler 4: "Wir nutzen nur die API, das ist sicher." Die API nutzt Daten nicht zum Training und bietet einen AVV. Aber: Wer die API in eigene Anwendungen einbaut, wird zum Anbieter eines KI-Systems im Sinne des EU AI Act. Damit gelten zusätzliche Pflichten (Dokumentation, Risikobewertung, Transparenz).

Wer jetzt bei Null anfängt, braucht das Rad nicht neu zu erfinden. Eine strukturierte KI-Schulung für das Team deckt AVV-Basics, Pseudonymisierung, Richtlinien-Erstellung und EU AI Act in einem Durchgang ab. Details dazu stehen im Artikel KI-Schulungspflicht: was du konkret tun musst.

Häufige Fragen

Darf ich Kundendaten in ChatGPT eingeben?

Nur wenn du ChatGPT Team, Enterprise oder die API mit abgeschlossenem AVV nutzt. Und auch dann nur pseudonymisiert und nur, wenn eine Rechtsgrundlage (z. B. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO) vorliegt. Bei ChatGPT Free oder Plus: Nein, unter keinen Umständen.

Reicht es, den Opt-out bei ChatGPT zu aktivieren?

Nein. Der Opt-out verhindert das Training mit deinen Daten, aber er ersetzt keinen Auftragsverarbeitungsvertrag. Ohne AVV fehlt die vertragliche Grundlage nach Art. 28 DSGVO. Der Opt-out ist ein zusätzlicher Schutz, keine ausreichende Maßnahme.

Brauche ich eine Datenschutz-Folgenabschätzung?

Wenn du ChatGPT systematisch für die Verarbeitung personenbezogener Daten einsetzt (z. B. automatisierte Kundenkommunikation, Bewerbungsscreening), ist eine DSFA nach Art. 35 DSGVO wahrscheinlich erforderlich. Bei gelegentlicher Nutzung ohne personenbezogene Daten in der Regel nicht.

Was passiert, wenn ein Mitarbeiter vertrauliche Daten in ChatGPT Free eingibt?

Die Daten können zum Modell-Training verwendet werden und lassen sich nicht mehr löschen. Das kann einen meldepflichtigen Datenschutzvorfall nach Art. 33 DSGVO auslösen. Du hast 72 Stunden, um die zuständige Aufsichtsbehörde zu informieren. Deshalb ist die Kombination aus Richtlinie, Schulung und technischer Zugangskontrolle (nur Firmenaccounts erlauben) so wichtig.

Muss ich ChatGPT im Verarbeitungsverzeichnis aufführen?

Ja. Jede Verarbeitungstätigkeit mit personenbezogenen Daten muss im Verzeichnis nach Art. 30 DSGVO stehen. Das gilt auch für ChatGPT, selbst wenn du "nur" E-Mails damit formulierst, in denen Kundennamen vorkommen.

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp