ChatGPT DSGVO-konform im Unternehmen einsetzen: Was wirklich nötig ist

Viele Unternehmen nutzen ChatGPT bereits im Arbeitsalltag. Gleichzeitig herrscht Unsicherheit, ob der Einsatz mit der DSGVO vereinbar ist. Die kurze Antwort: Ja, aber nur unter bestimmten Bedingungen. Die kostenlose Version von ChatGPT ist für Unternehmen praktisch nicht DSGVO-konform einsetzbar, sobald personenbezogene Daten verarbeitet werden. Ab der Team-Lizenz sieht es anders aus. Dieser Artikel erklärt, welche Lizenz Sie brauchen, welche Verträge geschlossen werden müssen und welche Pflichten bestehen.

Warum die kostenlose Version für Unternehmen problematisch ist

Bei ChatGPT Free und Plus werden Eingaben und Ausgaben standardmäßig zum Training der KI-Modelle verwendet. Das bedeutet: Wenn ein Mitarbeiter personenbezogene Daten in den Chat eingibt (Kundennamen, E-Mail-Adressen, Vertragsdaten), fließen diese potenziell in das Trainingsmaterial von OpenAI ein.

Das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) stellt in seiner KI-Checkliste klar: Der Anwendungsbereich der DSGVO wird nicht erst geöffnet, wenn personenbezogene Daten bei der produktiven Nutzung eingegeben werden. Schon die Tatsache, dass die Trainingsdaten personenbezogen sein können, ist datenschutzrechtlich relevant.

Für Unternehmen bedeutet das: Ohne Auftragsverarbeitungsvertrag (AVV) und ohne Kontrolle über die Datenverwendung fehlt die Rechtsgrundlage nach Art. 6 DSGVO.

Welche Lizenz für Unternehmen geeignet ist

OpenAI bietet vier Lizenzmodelle an. Nur drei davon sind für den Unternehmenseinsatz mit personenbezogenen Daten geeignet:

Bei den Lizenzen Team, API und Enterprise verzichtet OpenAI standardmäßig darauf, Eingaben und Ausgaben zum Training zu verwenden. Zusätzlich bietet OpenAI für diese Lizenzen einen Auftragsverarbeitungsvertrag an.

EU Data Residency (nur Enterprise)

Seit Februar 2025 bietet OpenAI für Enterprise-Kunden EU Data Residency an. Seit Januar 2026 ist zusätzlich EU Inference Residency verfügbar. Das bedeutet: Gespräche, hochgeladene Dateien und Modellausgaben werden verschlüsselt in der EU gespeichert. Mit aktivierter Inference Residency läuft auch die GPU-Verarbeitung in der EU.

Für Unternehmen, die besonders sensible Daten verarbeiten (Gesundheitsdaten, Finanzdaten, Personalakten), ist Enterprise die sicherste Option.

Auftragsverarbeitungsvertrag (AVV) abschließen

Sobald Ihr Unternehmen ChatGPT Team, API oder Enterprise nutzt, müssen Sie einen AVV mit OpenAI abschließen. OpenAI stellt diesen online bereit:

1. Besuchen Sie die Seite openai.com/policies/data-processing-addendum/
2. Scrollen Sie zum Link "Execute Data Processing Agreement"
3. Füllen Sie die Angaben zu Ihrem Unternehmen aus
4. Bestätigen Sie den Vertrag

Der AVV regelt, dass OpenAI als Auftragsverarbeiter im Sinne des Art. 28 DSGVO handelt und die Daten nur nach Weisung Ihres Unternehmens verarbeitet.

Die BayLDA-Checkliste: Was Aufsichtsbehörden erwarten

Das BayLDA hat eine KI-Checkliste (Konsultationsstand v0.9) veröffentlicht, die als Orientierung für den DSGVO-konformen Einsatz von KI-Tools dient. Die Checkliste enthält Prüfpunkte in drei Bereichen:

1. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

Der Einsatz von ChatGPT muss in Ihrem Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein. Halten Sie fest:

• Welche Datenarten verarbeitet werden (Kundendaten, Mitarbeiterdaten, Geschäftsdaten)
• Zu welchem Zweck ChatGPT eingesetzt wird
• Wer Zugriff hat
• Wo die Daten gespeichert werden (EU oder USA)

2. Datenschutz-Folgenabschätzung (DSFA)

Prüfen Sie, ob eine DSFA nach Art. 35 DSGVO erforderlich ist. Bei systematischer Verarbeitung personenbezogener Daten durch KI ist das in der Regel der Fall. Die DSFA sollte enthalten:

• Beschreibung der Verarbeitungsvorgänge
• Bewertung der Risiken für Betroffene
• Geplante Abhilfemaßnahmen (z. B. Anonymisierung, Pseudonymisierung)

3. Technische und organisatorische Maßnahmen

• Zugangsbeschränkungen (wer darf ChatGPT nutzen?)
• Richtlinien für Eingaben (welche Daten dürfen eingegeben werden?)
• Protokollierung der Nutzung
• Regelmäßige Schulung der Mitarbeiter

Drittlandtransfer: USA und das EU-US Data Privacy Framework

ChatGPT verarbeitet Daten in den USA. Für den Transfer personenbezogener Daten in die USA brauchen Sie eine Rechtsgrundlage. Aktuell ist das der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF) vom 10. Juli 2023.

OpenAI ist unter dem DPF zertifiziert. Damit ist der Datentransfer grundsätzlich zulässig. Allerdings steht das DPF unter politischem Druck (Stand März 2026). Unternehmen sollten daher:

• Den DPF-Status von OpenAI regelmäßig prüfen
• Zusätzliche Schutzmaßnahmen dokumentieren (Verschlüsselung, Zugangsbeschränkung)
• Bei besonders sensiblen Daten Enterprise mit EU Data Residency in Betracht ziehen

Praktische Umsetzung: 6 Schritte zum DSGVO-konformen ChatGPT-Einsatz

1. Lizenz upgraden

Wechseln Sie von Free/Plus auf mindestens Team. Kosten: etwa 25 USD pro Nutzer und Monat.

2. AVV abschließen

Schließen Sie den Auftragsverarbeitungsvertrag auf der OpenAI-Website ab. Dauert 10 Minuten.

3. Interne KI-Nutzungsrichtlinie erstellen

Definieren Sie klare Regeln:

• Keine Eingabe von Kundennamen, Adressen oder Vertragsdaten in ChatGPT
• Keine Eingabe von Mitarbeiterdaten (Gehalt, Krankmeldungen, Beurteilungen)
• Anonymisierung oder Pseudonymisierung vor der Eingabe
• Keine Eingabe von Geschäftsgeheimnissen oder vertraulichen Strategiedaten

4. Verarbeitungsverzeichnis aktualisieren

Tragen Sie ChatGPT als Verarbeitungstätigkeit ein. Dokumentieren Sie Zweck, Datenarten, Empfänger und Rechtsgrundlage.

5. Mitarbeiter schulen

Schulen Sie alle Mitarbeiter, die ChatGPT nutzen, zu den internen Richtlinien und den datenschutzrechtlichen Grundlagen. Seit dem 2. Februar 2025 besteht durch Art. 4 der EU-KI-Verordnung ohnehin eine Pflicht zur KI-Kompetenzschulung.

6. Datenschutz-Folgenabschätzung durchführen

Bei systematischer Nutzung von ChatGPT mit personenbezogenen Daten ist eine DSFA in der Regel erforderlich. Binden Sie Ihren Datenschutzbeauftragten ein.

Typische Verstöße und ihre Konsequenzen

Um das Thema greifbar zu machen: Hier sind vier Szenarien aus der Praxis, die in vielen Unternehmen täglich vorkommen.

Szenario 1: Vertriebsmitarbeiter gibt Kundenliste ein
Ein Mitarbeiter kopiert eine Kundenliste mit Namen, E-Mail-Adressen und Bestellhistorie in ChatGPT Free, um eine Auswertung zu erstellen. Problem: Die Daten werden zum Training verwendet, ein AVV fehlt, es gibt keine Rechtsgrundlage. Das ist ein meldepflichtiger Verstoß.

Szenario 2: HR nutzt ChatGPT für Bewerbungen
Die Personalabteilung lädt Bewerbungsunterlagen in ChatGPT hoch, um Zusammenfassungen zu erstellen. Problem: Bewerberdaten sind besonders schutzbedürftige personenbezogene Daten. Ohne AVV, DSFA und Information der Bewerber fehlen mehrere Rechtsgrundlagen.

Szenario 3: Geschäftsführer diktiert Strategiepapier
Der Geschäftsführer nutzt ChatGPT, um ein internes Strategiepapier mit Umsatzzahlen und Markteinschätzungen zu erstellen. Problem: Auch wenn keine personenbezogenen Daten betroffen sind, fließen Geschäftsgeheimnisse in das Training. Datenschutzrechtlich nicht relevant, aber ein Risiko für den Geheimnisschutz.

Szenario 4: Team nutzt ChatGPT Team korrekt
Das Marketingteam nutzt ChatGPT Team mit AVV und interner Richtlinie. Eingaben enthalten keine personenbezogenen Daten. Die KI erstellt Entwürfe für Blogbeiträge und Social-Media-Posts. Die Ergebnisse werden vor Veröffentlichung geprüft. Das ist DSGVO-konform.

Was bei einer Prüfung durch die Aufsichtsbehörde passiert

Das BayLDA und andere Landesbehörden prüfen zunehmend den KI-Einsatz in Unternehmen. Bei einer Prüfung wird typischerweise gefragt:

1. Welche KI-Tools werden eingesetzt? (Bestandsaufnahme)
2. Gibt es einen AVV mit dem Anbieter? (Vertragsgrundlage)
3. Ist der KI-Einsatz im Verarbeitungsverzeichnis dokumentiert? (Art. 30 DSGVO)
4. Wurde eine DSFA durchgeführt? (Art. 35 DSGVO)
5. Sind die Mitarbeiter geschult? (Nachweispflicht)
6. Gibt es eine interne Nutzungsrichtlinie? (Organisatorische Maßnahme)

Wer diese sechs Punkte abdeckt, ist auf eine Prüfung vorbereitet. Wer keinen einzigen davon umgesetzt hat, riskiert ein Bußgeld nach Art. 83 DSGVO (bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes, wobei die Praxis in Deutschland deutlich niedrigere Beträge zeigt).

Alternativen: Wenn ChatGPT nicht passt

Nicht jedes Unternehmen möchte Daten an einen US-Anbieter übermitteln. Alternativen mit Fokus auf EU-Datenschutz:

Open-Source-Modelle wie Llama oder Mistral können auf eigenen Servern oder in EU-Rechenzentren betrieben werden. In diesem Fall verlassen die Daten nie die Kontrolle des Unternehmens. Das ist die datenschutzrechtlich sicherste Lösung, erfordert aber technisches Know-how.

Checkliste: DSGVO-konformer ChatGPT-Einsatz auf einen Blick

Zum Ausdrucken und Abhaken:

• Lizenz: Mindestens ChatGPT Team (nicht Free/Plus)
• AVV mit OpenAI abgeschlossen (openai.com/policies/data-processing-addendum/)
• Interne KI-Nutzungsrichtlinie erstellt und an Mitarbeiter verteilt
• Verarbeitungsverzeichnis um ChatGPT-Eintrag ergänzt
• DSFA durchgeführt (bei Verarbeitung personenbezogener Daten)
• Mitarbeiterschulung durchgeführt und dokumentiert
• Datenschutzbeauftragter informiert (falls vorhanden)
• Datenschutzerklärung des Unternehmens aktualisiert (ChatGPT als Subprozessor erwähnt)
• Drittlandtransfer dokumentiert (EU-US Data Privacy Framework)
• Regelmäßige Überprüfung geplant (mindestens jährlich)

Häufige Fragen