15 Millionen Euro Bußgeld gegen OpenAI durch die italienische Datenschutzbehörde Garante. Die Entscheidung stammt vom 20. Dezember 2024, die Untersuchung ist 2026 an die irische Datenschutzbehörde uebergegangen, weil OpenAI Ireland Limited inzwischen als europäischer Hauptsitz fungiert. Für den Mittelstand in Deutschland ist der Fall wichtiger, als die Schlagzeile vermuten lässt. Die meisten Verstöße, die die italienische Behörde geahndet hat, sind nicht OpenAI-spezifisch. Sie betreffen jeden, der ChatGPT, Claude oder Gemini in Geschaeftsprozessen mit Personenbezug einsetzt.

Auf einen Blick: Stand Mai 2026 ist das italienische OpenAI-Bußgeld von 15 Millionen Euro die höchste DSGVO-Sanktion gegen einen KI-Anbieter. Untersuchung 2026 an irische DPC uebergeben. Verstöße: keine Rechtsgrundlage für Training mit User-Daten, fehlende Transparenz, fehlende Altersverifikation, nicht gemeldeter Data Breach. Plus 6-Monats-Informationskampagne in italienischen Medien. Für Mittelständler in Deutschland sind drei Themen relevant: Auftragsverarbeitungsvertrag, Datenschutzfolgenabschätzung, Löschkonzept.

Der Fall begann im März 2023 mit einem Datenleck bei ChatGPT, bei dem die Garante eine vorlaeufige Sperre verhaengte. Es folgten 21 Monate Untersuchung. Die Entscheidung im Dezember 2024 listete vier Hauptverstoesse: Erstens fehlende Rechtsgrundlage nach Artikel 6 DSGVO für das Training des KI-Modells mit Daten, die User in Konversationen eingegeben hatten. Zweitens Verstoß gegen die Transparenzpflicht nach Artikel 12 bis 14 DSGVO, weil User nicht klar darüber informiert wurden, wie ihre Daten verarbeitet werden. Drittens Fehlen einer Altersverifikation, sodass auch Minderjaehrige unter 13 Jahren ChatGPT nutzen konnten. Viertens Verstoß gegen die Meldepflicht nach Artikel 33 DSGVO, weil das Datenleck im März 2023 nicht innerhalb von 72 Stunden gemeldet wurde.

Die Sanktion enthielt nicht nur die 15 Millionen Euro. OpenAI musste eine sechsmonatige Informationskampagne in italienischen Medien finanzieren, in der über Datenverarbeitung und User-Rechte informiert wurde. Diese Kampagne lief 2025 in italienischen Tageszeitungen, Radio und TV.

Warum der Fall für deutsche KMU wichtig ist

Drei Erkenntnisse uebertragbar.

Erstens: Der Verantwortliche im Sinne der DSGVO ist nicht nur der Anbieter (OpenAI), sondern auch der Auftraggeber, der das Tool einsetzt. Wer als Mittelständler ChatGPT, Claude, Gemini oder Microsoft Copilot in Prozesse einbaut, in denen personenbezogene Daten verarbeitet werden, ist gemeinsam Verantwortlicher oder Auftraggeber im Sinne der DSGVO. Die Pflichten zur Rechtsgrundlage, Transparenz, Meldung und Löschung treffen damit auch ihn.

Zweitens: Die irischen Datenschutzbehörden (DPC) haben die Untersuchung von OpenAI 2026 übernommen, weil OpenAI seinen europäischen Hauptsitz nach Irland verlegt hat. Das ist der gleiche Mechanismus, der bei Meta, Google und anderen US-Konzernen greift. Praktisch bedeutet das: Wer ein US-KI-Tool in Deutschland nutzt, hat als Ansprechpartner zunaechst die deutsche Aufsicht (Bundesdatenschutzbeauftragte oder die Landesdatenschutzbeauftragten), aber das Verfahren gegen den Anbieter läuft über die irische DPC.

Drittens: Bußgeld-Höhen sind im Mittelstand niedriger, aber nicht null. Die DSGVO-Bußgelder sind bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes gedeckelt. Bei einem Mittelständler mit 50 Millionen Euro Jahresumsatz und 4 Prozent Sanktion sind das 2 Millionen Euro Höchstgrenze. In der Praxis liegen die meisten DSGVO-Bußgelder gegen KMU im fünf- bis sechsstelligen Bereich. Das ist ein ernsthafter Posten.

Welche drei Pflichten KMU bei KI-Nutzung treffen

Diese drei sind nicht verhandelbar.

Auftragsverarbeitungsvertrag (AVV)

Wenn personenbezogene Daten in ein KI-Tool gegeben werden (Kundenanfragen, Mitarbeiterdaten, Bewerberdaten), braucht es einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO. Bei OpenAI Enterprise und Microsoft Copilot gibt es Standard-AVVs. Bei der kostenlosen ChatGPT-Plus-Variante NICHT, dort wird OpenAI nicht als Auftragsverarbeiter fungieren. Wer ChatGPT-Plus mit personenbezogenen Daten fuettert, hat keinen AVV und damit keine Rechtsgrundlage.

Praktisch heißt das: Mitarbeiter sollten geschult sein, dass kostenlose oder Consumer-Versionen von KI-Tools nicht für Geschäftsprozesse mit Personenbezug genutzt werden. Wer KI braucht, braucht eine Enterprise-Version mit AVV.

Datenschutzfolgenabschätzung (DSFA)

Nach Artikel 35 DSGVO ist eine DSFA notwendig bei Verarbeitungen mit hohem Risiko. KI-Tools im HR-Bereich (Bewerbungen vorsortieren), in der Bonitätsprüfung oder in der automatisierten Entscheidungsfindung lösen die DSFA-Pflicht aus. Die DSFA dokumentiert den Verarbeitungszweck, die Risiken für betroffene Personen und die Schutzmassnahmen.

Eine DSFA dauert je nach Komplexität zwischen 8 und 40 Stunden. Bei kleineren KMU läuft das über den externen Datenschutzbeauftragten oder einen spezialisierten Anwalt. Eine fehlende DSFA ist regelmäßig Anlass für Bußgeldverfahren der Aufsichtsbehörden, weil sie ein klarer Verstoß ist und bei Vor-Ort-Kontrollen leicht festgestellt werden kann.

Löschkonzept

Personenbezogene Daten müssen geloescht werden, wenn der Zweck der Verarbeitung weggefallen ist (Artikel 17 DSGVO). Bei KI-Tools wird das oft übersehen, weil die Daten in den Modell-Weights nicht trivial geloescht werden können. Bei Enterprise-Versionen von OpenAI, Anthropic oder Microsoft gibt es technische Mechanismen, die das User-Recht auf Löschung umsetzen. Bei Consumer-Versionen meist nicht.

Wer kein Löschkonzept hat oder Daten in Tools gibt, die das Loeschrecht nicht umsetzen können, hat ein DSGVO-Problem. Bei Beschwerden eines Mitarbeiters oder Kunden kann das zur Prüfung der gesamten KI-Nutzung führen.

Was im Fall einer Prüfung passiert

Die deutschen Aufsichtsbehörden sind 16 Landesdatenschutzbeauftragte plus die Bundesbeauftragte für den Datenschutz. Jede Behörde kann Beschwerden entgegennehmen, Vor-Ort-Prüfungen durchführen und Bußgelder verhaengen. In der Praxis gehen die meisten Prüfungen los, wenn ein Beschaeftigter, ein Kunde oder ein Wettbewerber sich beschwert.

Im typischen Pruefungsablauf werden zuerst schriftlich Unterlagen angefordert. Verzeichnis von Verarbeitungstaetigkeiten nach Artikel 30 DSGVO, Auftragsverarbeitungsverträge mit den eingesetzten KI-Anbietern, Datenschutzfolgenabschaetzungen wo notwendig, Löschkonzept, Schulungsnachweise für das Personal. Wer hier nicht liefern kann, hat bereits ein Problem.

Im nächsten Schritt kann die Behörde Vor-Ort-Prüfungen ankuendigen. Bei einer Vor-Ort-Prüfung werden Mitarbeiter befragt, IT-Systeme begutachtet und konkrete Datenverarbeitungen nachvollzogen. Die Prüfung endet mit einem Bescheid, der entweder eine Verwarnung, eine Anweisung zur Änderung oder ein Bußgeld enthält.

Wer die Pflichten erfüllt hat, ist auch im Prüfungsfall geschuetzt. Wer keinen AVV, keine DSFA und kein Löschkonzept hat, ist es nicht.

Wo der Mittelstand am häufigsten stolpert

Aus Beratungsgesprächen mit KMU sind drei Muster wiederkehrend.

Muster eins: Mitarbeiter nutzen private ChatGPT-Plus-Accounts für Geschäftsdaten. Der Arbeitgeber hat keinen AVV mit OpenAI, weil der Mitarbeiter den Account privat angelegt hat. Im Prüfungsfall ist die Firma trotzdem verantwortlich.

Muster zwei: KI-Add-ons in bestehenden Tools werden aktiviert, ohne dass die Datenschutzbeauftragten informiert sind. Microsoft Copilot wird in M365 zugeschaltet, Personio bekommt ein KI-Modul, das CRM-Tool aktiviert eine KI-Funktion. Jede dieser Aktivierungen braucht eine Prüfung, ob ein AVV notwendig wird, ob die DSFA aktualisiert werden muss und ob das Löschkonzept noch passt.

Muster drei: Es gibt eine generelle Anweisung "ChatGPT ist erlaubt" oder "Copilot ist erlaubt", aber keine konkrete Schulung, was Mitarbeiter eingeben duerfen und was nicht. Wer die KI-Kompetenzpflicht aus Artikel 4 EU AI Act ernst nimmt, deckt damit nicht nur die KI-Verordnung ab, sondern auch einen Teil der DSGVO-Anforderungen. Schulung mit Curriculum, Teilnehmerliste, Lernkontrolle.

Warum eine Schulung der wichtigste Hebel bleibt

Sowohl die DSGVO als auch der EU AI Act setzen voraus, dass die Personen, die mit personenbezogenen Daten oder KI-Systemen umgehen, über ausreichende Kompetenz verfügen. Bei der DSGVO ist das in Artikel 39 (Aufgaben des Datenschutzbeauftragten) und Artikel 32 (Sicherheit der Verarbeitung) verankert. Beim EU AI Act in Artikel 4 (KI-Kompetenz seit 2. Februar 2025).

Eine Schulung, die beide Themen abdeckt, ist effizienter als zwei separate. Die DigiMan-Weiterbildung hat sowohl ein Modul zur DSGVO-Compliance als auch zur EU-AI-Act-Schulungspflicht im Curriculum. Mit AZAV-Maßnahmenzertifikat 723/0097/2026 (DEKRA), 720 UE über 16 Wochen, komplett online.

Wer die Förderung über das Qualifizierungschancengesetz nutzt, bekommt einen großen Teil der Kosten erstattet. Bei Kleinbetrieben unter 10 Mitarbeitern bis zu 100 Prozent der Lehrgangskosten plus bis zu 100 Prozent Lohnzuschuss.

Für einen ersten Eindruck ohne Anmeldebindung gibt es den kostenlosen Schnupperkurs.

Häufige Fragen

Trifft das italienische Bußgeld auch deutsche User von ChatGPT?

Nicht direkt, weil das Bußgeld gegen OpenAI verhaengt wurde. Die Entscheidung gilt aber als Präzedenz für ähnliche Fälle in anderen EU-Mitgliedsländern. Deutsche Datenschutzbehörden orientieren sich an den Begruendungen der italienischen Garante. Wer in Deutschland ähnliche Verstöße begeht, riskiert eine vergleichbare Sanktion.

Reicht ein Standard-AVV von OpenAI aus?

Für die Standard-Konstellation ja. Bei sensiblen Daten (Gesundheitsdaten, Finanzdaten, Beschaeftigtendaten) sollten zusätzliche Schutzklauseln verhandelt werden. Bei OpenAI Enterprise gibt es flexible AVV-Vorlagen, bei OpenAI Plus oder Free fungiert OpenAI nicht als Auftragsverarbeiter. Microsoft Copilot bietet für M365 Enterprise einen AVV im Standard.

Wie hoch sind realistische Bußgelder für Mittelständler bei DSGVO-Verstößen?

Im Schnitt zwischen 5.000 und 500.000 Euro, je nach Schwere und Umsatz der Firma. Höchstgrenze sind 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (jeweils der höhere Wert). Wiederholungstaeter und vorsaetzliche Verstöße werden höher sanktioniert. Bei kooperativem Verhalten und schneller Behebung werden Sanktionen oft reduziert.

Brauche ich einen Datenschutzbeauftragten, wenn ich KI nutze?

Nicht zwingend wegen der KI-Nutzung, sondern wegen der allgemeinen DSGVO-Schwellen. Pflicht ist ein Datenschutzbeauftragter ab 20 Personen, die ständig automatisiert personenbezogene Daten verarbeiten, oder bei Kerntaetigkeiten mit hohem Risiko. KI-Nutzung kann das hohe Risiko aufloesen, sofortige Prüfung im Einzelfall ist sinnvoll.

Was ist der Unterschied zwischen DSGVO und EU AI Act?

Die DSGVO regelt den Schutz personenbezogener Daten generell. Der EU AI Act regelt KI-Systeme spezifisch, unabhängig davon, ob personenbezogene Daten verarbeitet werden. Beide gelten parallel. Wer KI mit personenbezogenen Daten nutzt, hat sowohl DSGVO- als auch EU-AI-Act-Pflichten. Die Sanktionsregime sind getrennt, können sich aber addieren.

Wer bei der Datenschutz-Compliance bei KI-Nutzung Unterstützung braucht, findet unter skill-sprinters.de/termin einen kurzen Telefontermin zur Klärung.

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp