Seit Januar 2026 verarbeitet OpenAI ChatGPT-Konversationen optional auf europäischen Servern. Das ist die wichtigste DSGVO-Verbesserung des Jahres — und die meisten Mittelständler wissen es nicht. Wer ChatGPT mit personenbezogenen Daten nutzt, hat damit erstmals eine vollständig DSGVO-konforme Konfigurationsoption. Was möglich ist, was nicht und welche Voraussetzungen erfüllt sein müssen.
Was sich konkret geändert hat
OpenAI hat im Januar 2026 die EU-Inferenz für Enterprise-Workspaces und qualifizierte API-Projekte aktiviert. Konkret bedeutet das:
- Konversationen werden auf GPU-Servern in Europa verarbeitet (statt USA)
- Modell-Antworten werden in Europa generiert
- Daten verlassen die EU nicht für die Inferenz
Voraussetzungen, die nicht im Standard-Tarif enthalten sind:
- ChatGPT Enterprise-Tarif (ca. 60 USD/Nutzer/Monat) oder qualifizierte API-Projekte
- EU Data Residency aktiv konfiguriert (nicht Default)
- Private Endpoints und EU Boundary in der Konsole aktiviert
- Auftragsverarbeitungsvertrag (Data Processing Addendum) abgeschlossen
- Latenz-Tradeoff: 200 bis 500ms zusätzliche Verzögerung pro Anfrage
Was Free und Plus NICHT können
Wer ChatGPT Free oder Plus geschäftlich nutzt, hat keine EU-Inferenz. Konsequenzen:
- Daten werden in den USA verarbeitet
- Drittlandtransfer mit allen DSGVO-Folgen (Standardvertragsklauseln, Datenschutz-Folgenabschätzung)
- Eingeschränkter AVV — kein vollwertiger Auftragsverarbeitungsvertrag
- Konversationen können standardmäßig fürs Modelltraining verwendet werden (in den Free-/Plus-Tarifen abschaltbar in den Settings, aber Default an)
Praktisch bedeutet das: Wer ChatGPT Plus für Kundenkommunikation oder mit Vertragsdaten nutzt, ist DSGVO-rechtlich auf wackligem Eis. Das ist kein theoretisches Risiko — Datenschutz-Aufsichtsbehörden haben begonnen, Stichproben zu nehmen.
Praktische Konfiguration für Mittelständler
Variante 1: ChatGPT Enterprise mit EU-Boundary
Geeignet ab ca. 5 bis 10 Nutzern. Pricing typischerweise 50 bis 60 USD/Nutzer/Monat. Setup-Aufwand:
- Enterprise-Vertrag mit OpenAI abschließen (oder über Microsoft Azure OpenAI als Reseller)
- Data Processing Addendum unterzeichnen
- Workspace-Region auf "EU" konfigurieren
- Single Sign-On (SSO) integrieren
- Rollenbasierte Zugriffskontrolle (RBAC) einrichten
- Audit-Logs aktivieren
Vorteile: Vollwertiger Enterprise-AVV, EU-Datenresidenz, kein Training auf Konversationen, Audit-Trail.
Variante 2: Microsoft Azure OpenAI Service
Wer schon im Microsoft-Ökosystem ist, kann GPT-4 und GPT-4o über Azure OpenAI nutzen. Setup ist anders, Vorteile vergleichbar:
- EU-Region (Frankfurt, Niederlande, Schweden) wählbar
- Microsoft DPA gilt automatisch
- Integration mit Entra ID, Microsoft Defender, Purview
- Kein Training auf Konversationen
Pricing pay-as-you-go statt fix pro Nutzer. Lohnt sich oft für intensive Nutzung weniger Personen.
Variante 3: ChatGPT Team (mittlere Lösung)
ChatGPT Team (25 USD/Nutzer/Monat) hat eingeschränkten AVV, aber kein Training auf Konversationen. Geeignet für Test-Phasen oder kleine Teams. Achtung: Keine EU-Inferenz möglich.
Was du dürftest und was nicht
| Anwendungsfall | Free / Plus | Team | Enterprise mit EU-Boundary |
|---|---|---|---|
| Allgemeines Brainstorming, keine Geheimnisse | OK | OK | OK |
| Marketing-Texte ohne personenbezogene Daten | Eingeschränkt OK | OK | OK |
| Kundenkorrespondenz mit Namen/E-Mails | Nicht empfohlen | Mit Vorsicht | OK |
| Vertragsentwürfe mit konkreten Vertragspartnern | Nicht empfohlen | Eingeschränkt | OK |
| HR-Daten (Bewerbungen, Mitarbeiter-Bewertungen) | Nein | Nein | OK (mit DSFA) |
| Gesundheitsdaten / Sozialdaten | Nein | Nein | Nur mit DSFA und Auftragsverarbeitungsvertrag |
Was unverändert gilt — auch mit EU-Inferenz
- Verarbeitungsverzeichnis (ROPA) muss aktualisiert werden: Der ChatGPT-Einsatz mit personenbezogenen Daten gehört dokumentiert
- Mitarbeiter müssen geschult sein (Art. 4 KI-VO seit 02.02.2025): Wissen, was sie eingeben dürfen
- Halluzinationen prüfen: Output ist nicht automatisch korrekt
- Bias-Risiken bewerten: Bei Bewertungen oder Auswahlentscheidungen
Was 2026 noch ansteht
- 02.08.2026: Art. 50 KI-VO (Transparenzpflichten) tritt in Kraft. Chatbots müssen sich als KI zu erkennen geben, KI-generierte Inhalte sind zu kennzeichnen
- Hochrisiko-Pflichten: Vorbehaltlich Digital-Omnibus 02.08.2026 oder verschoben auf 02.12.2027 (Annex III) bzw. 02.08.2028 (Annex I)
Konkreter Umstellungs-Plan
- Tag 1 bis 5: Aktuelle ChatGPT-Nutzung im Haus erfassen. Wer nutzt was, mit welchem Tarif?
- Tag 6 bis 14: Tarif-Entscheidung. Bei 5+ Nutzern: Enterprise. Bei 1 bis 4: Team oder Azure OpenAI.
- Tag 15 bis 30: Setup. Vertrag, EU-Boundary aktivieren, SSO, RBAC.
- Ab Tag 30: Mitarbeiter-Schulung starten (über QCG förderfähig). Tool-Whitelist veröffentlichen.
- Parallel: ROPA aktualisieren, AVV ablegen.
Schulung als Begleitprozess
Die EU-Inferenz löst die technische Komponente. Den Rest (was darf eingegeben werden, wie erkenne ich Halluzinationen, wie dokumentiere ich Einsatz) löst Schulung. Die DigiMan-Weiterbildung deckt das umfassend ab und ist über QCG zu 100 % förderfähig.
15 Minuten kostenloses Erstgespräch klärt, ob eure ChatGPT-Strategie förderfähig ist und welche Mitarbeiter zuerst geschult werden sollten.
ChatGPT richtig konfigurieren UND Mitarbeiter schulen?
Die DigiMan-Weiterbildung zeigt Konfiguration, DSGVO und sicheren Einsatz. 100 % förderfähig über QCG. 15 Minuten kostenloses Erstgespräch.