ChatGPT und Datenschutz: Was Unternehmen beachten müssen

von | März 19, 2026 | Datenschutz

Zuletzt aktualisiert am 31. März 2026

ChatGPT & Datenschutz im Unternehmen

DSGVO-konformer Einsatz von KI-Tools — Risiken, Pflichten und Lösungen

Kostenlose Erstberatung

ChatGPT hat die Arbeitswelt revolutioniert. Millionen Beschäftigte nutzen den KI-Chatbot täglich für Texterstellung, Recherche und Datenanalyse. Doch was viele Unternehmen übersehen: Die Nutzung von ChatGPT birgt erhebliche Datenschutz-Risiken. Personenbezogene Daten können unbemerkt an OpenAI übertragen werden, Geschäftsgeheimnisse in Trainingsdaten einfließen und DSGVO-Verstöße drohen. Dieser Ratgeber zeigt, welche datenschutzrechtlichen Anforderungen Unternehmen bei der Nutzung von ChatGPT beachten müssen — und welche Alternativen es gibt.

DSGVO-Anforderungen bei der Nutzung von ChatGPT

Die Datenschutz-Grundverordnung (DSGVO) stellt klare Anforderungen an die Verarbeitung personenbezogener Daten. Sobald Mitarbeiter ChatGPT im beruflichen Kontext nutzen, gelten diese Vorschriften uneingeschränkt. Unternehmen müssen insbesondere folgende Artikel beachten:

Rechtsgrundlage nach Art. 6 DSGVO

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage. Bei der Nutzung von ChatGPT kommen vor allem in Betracht:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Die betroffene Person hat ihre Einwilligung zur Verarbeitung gegeben. Dies ist bei ChatGPT jedoch problematisch, da Nutzer häufig nicht wissen, dass ihre Daten eingegeben werden.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Das Unternehmen hat ein berechtigtes Interesse an der effizienten Aufgabenbearbeitung. Allerdings muss eine Interessenabwägung zugunsten des Unternehmens ausfallen — was bei sensiblen Daten selten der Fall ist.
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Nur anwendbar, wenn die KI-Nutzung unmittelbar zur Vertragserfüllung erforderlich ist.

Praxisempfehlung: Unternehmen sollten grundsätzlich keine personenbezogenen Daten in ChatGPT eingeben. Ist dies unvermeidbar, muss vorab eine Rechtsgrundlage geprüft und dokumentiert werden.

Informationspflichten nach Art. 13 DSGVO

Werden personenbezogene Daten über ChatGPT verarbeitet, müssen Betroffene gemäß Art. 13 DSGVO informiert werden. Das betrifft unter anderem:

  • Den Zweck der Verarbeitung und die Rechtsgrundlage
  • Die Übermittlung an Dritte (hier: OpenAI als US-Unternehmen)
  • Die Speicherdauer der Daten
  • Die Rechte der Betroffenen (Auskunft, Löschung, Widerspruch)

In der Praxis bedeutet das: Die Datenschutzerklärung des Unternehmens muss um einen Hinweis zur KI-Nutzung ergänzt werden, wenn personenbezogene Daten betroffen sind.

Automatisierte Einzelentscheidungen nach Art. 22 DSGVO

Art. 22 DSGVO verbietet grundsätzlich Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung entfalten. Wird ChatGPT beispielsweise zur Vorauswahl von Bewerbern oder zur Bonitätsprüfung eingesetzt, greift dieses Verbot. Betroffene haben dann das Recht auf menschliche Überprüfung der Entscheidung.

Die größten Datenschutz-Risiken bei ChatGPT

Die Nutzung von ChatGPT in Unternehmen birgt konkrete Risiken, die Verantwortliche kennen und adressieren müssen:

1. Unkontrollierter Datenabfluss

Das größte Risiko besteht im unbeabsichtigten Abfluss vertraulicher Informationen. Mitarbeiter geben häufig ohne Nachdenken Kundendaten, interne Dokumente oder Geschäftsgeheimnisse in ChatGPT ein. Diese Daten werden an OpenAI-Server übertragen und dort verarbeitet. Bekannte Fälle wie der Samsung-Vorfall, bei dem Mitarbeiter proprietären Quellcode in ChatGPT eingaben, zeigen die Dimension dieses Problems.

2. Training mit Unternehmensdaten

In der kostenlosen Version und bei ChatGPT Plus werden Konversationen standardmäßig zum Training der KI-Modelle verwendet. Das bedeutet: Eingegebene Firmendaten könnten in zukünftigen Antworten an andere Nutzer auftauchen. Zwar hat OpenAI einen Opt-out eingeführt, doch viele Unternehmen sind sich dieser Einstellung nicht bewusst.

3. Keine klassische Auftragsverarbeitung

OpenAI agiert bei der Nutzung von ChatGPT nicht als klassischer Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Das Unternehmen verarbeitet Daten auch zu eigenen Zwecken (Modellverbesserung). Diese Doppelrolle macht die datenschutzrechtliche Einordnung komplex und erhöht das Risiko für Unternehmen erheblich.

4. Drittlandübermittlung in die USA

Die Datenverarbeitung erfolgt auf Servern von OpenAI in den USA. Zwar existiert seit 2023 das EU-US Data Privacy Framework, das einen Angemessenheitsbeschluss der EU-Kommission darstellt. OpenAI ist unter diesem Framework zertifiziert. Dennoch bleibt ein Restrisiko, da die politische Lage und mögliche Zugriffe durch US-Behörden eine fortwährende Unsicherheit darstellen.

5. Mangelnde Transparenz der KI-Verarbeitung

ChatGPT ist ein Black-Box-System. Unternehmen können nicht vollständig nachvollziehen, wie eingegebene Daten verarbeitet, gespeichert und möglicherweise weiterverwendet werden. Diese fehlende Transparenz steht im Widerspruch zu den Grundsätzen der DSGVO, insbesondere dem Transparenzgebot nach Art. 5 Abs. 1 lit. a DSGVO.

OpenAI’s Datenschutzmaßnahmen im Überblick

OpenAI hat auf die europäische Datenschutzkritik reagiert und verschiedene Maßnahmen implementiert:

  • Data Processing Addendum (DPA): OpenAI bietet ein DPA an, das die Anforderungen der DSGVO adressiert. Unternehmen sollten dieses unbedingt abschließen, bevor sie ChatGPT im Geschäftskontext einsetzen.
  • Opt-out für Trainingsdaten: Über die Einstellungen kann deaktiviert werden, dass Konversationen zum Modelltraining verwendet werden. Bei API-Nutzung werden Daten standardmäßig nicht für Training genutzt.
  • EU-Datenverarbeitung: Für Enterprise- und API-Kunden bietet OpenAI zunehmend europäische Verarbeitungsstandorte an.
  • SOC 2 Type II Zertifizierung: OpenAI verfügt über eine SOC-2-Zertifizierung, die grundlegende Sicherheitsstandards bestätigt.
  • Datenlöschung: Nutzer können die Löschung ihrer Daten beantragen, und OpenAI hat Prozesse für Betroffenenrechte etabliert.

Wichtig: Diese Maßnahmen reduzieren das Risiko, beseitigen es jedoch nicht vollständig. Unternehmen bleiben für die DSGVO-Konformität selbst verantwortlich.

Praktische Empfehlungen für Unternehmen

Um ChatGPT datenschutzkonform einzusetzen, sollten Unternehmen folgende Maßnahmen umsetzen:

1. Interne KI-Richtlinie erstellen

Jedes Unternehmen, das KI-Tools einsetzt, benötigt eine verbindliche KI-Nutzungsrichtlinie. Diese sollte festlegen:

  • Welche Daten in ChatGPT eingegeben werden dürfen und welche nicht
  • Welche Anwendungsfälle erlaubt sind
  • Wie Ergebnisse geprüft und dokumentiert werden müssen
  • Wer für die Einhaltung verantwortlich ist

2. Mitarbeiterschulungen durchführen

Regelmäßige Datenschutzschulungen mit KI-Schwerpunkt sind essenziell. Mitarbeiter müssen verstehen, warum sie keine personenbezogenen Daten, Kundennamen, E-Mail-Adressen oder vertrauliche Dokumente in ChatGPT eingeben dürfen. Praxisnahe Beispiele und klare Dos and Don’ts erhöhen die Wirksamkeit.

3. Technische Schutzmaßnahmen implementieren

  • Anonymisierung und Pseudonymisierung: Vor der Eingabe sollten personenbezogene Daten entfernt oder durch Platzhalter ersetzt werden.
  • Data Loss Prevention (DLP): Technische Lösungen können verhindern, dass sensible Daten an externe Dienste übertragen werden.
  • API statt Webinterface: Die API-Nutzung bietet bessere Datenschutzgarantien, da hier standardmäßig kein Training mit den Daten stattfindet.

4. Datenschutz-Folgenabschätzung (DSFA) durchführen

Bei systematischer Nutzung von ChatGPT im Unternehmen ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO empfehlenswert und möglicherweise verpflichtend. Die DSFA identifiziert Risiken und dokumentiert Gegenmaßnahmen — ein wichtiger Nachweis für die Rechenschaftspflicht.

5. Verarbeitungsverzeichnis aktualisieren

Die Nutzung von ChatGPT muss im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO aufgenommen werden. Darin sind Zweck, Rechtsgrundlage, betroffene Datenkategorien und Empfänger zu dokumentieren.

ChatGPT Enterprise vs. Free: Datenschutz-Unterschiede

Die verschiedenen ChatGPT-Versionen unterscheiden sich erheblich im Datenschutzniveau:

Kriterium ChatGPT Free/Plus ChatGPT Team ChatGPT Enterprise
Training mit Daten Standardmäßig ja (Opt-out möglich) Nein Nein
DPA verfügbar Eingeschränkt Ja Ja, individuell
SSO/SCIM Nein Nein Ja
Admin-Konsole Nein Ja (eingeschränkt) Ja (umfassend)
Datenverschlüsselung TLS + at rest TLS + at rest TLS + at rest + eigene Keys
Audit Logs Nein Nein Ja
EU-Datenresidenz Nein Teilweise Möglich
DSGVO-Eignung Kritisch Bedingt geeignet Am besten geeignet

Fazit: Für den professionellen Einsatz sollten Unternehmen mindestens ChatGPT Team, idealerweise ChatGPT Enterprise nutzen. Die kostenlose Version und ChatGPT Plus sind aus Datenschutzsicht für den Unternehmenseinsatz nicht empfehlenswert.

Lokale LLMs: Die datenschutzkonforme Alternative

Wer auf der sicheren Seite sein möchte, sollte lokale KI-Modelle (On-Premise LLMs) in Betracht ziehen. Diese bieten den entscheidenden Vorteil, dass keine Daten das Unternehmensnetzwerk verlassen.

Vorteile lokaler LLMs

  • Volle Datenkontrolle: Alle Daten bleiben auf eigenen Servern — kein Drittlandtransfer, kein Risiko der Weiterverarbeitung.
  • DSGVO-Konformität: Die datenschutzrechtlichen Herausforderungen der Cloud-Nutzung entfallen größtenteils.
  • Geschäftsgeheimnisse geschützt: Vertrauliche Informationen verlassen nie die eigene Infrastruktur.
  • Keine laufenden Lizenzkosten: Open-Source-Modelle sind kostenfrei nutzbar.

Empfehlenswerte Open-Source-Modelle

  • Llama 3 (Meta): Leistungsstark und vielseitig, verfügbar in verschiedenen Größen (8B bis 70B Parameter).
  • Mistral/Mixtral: Europäisches Modell mit exzellenter Leistung bei kompakter Größe.
  • DeepSeek: Starke Coding- und Reasoning-Fähigkeiten, Open-Source verfügbar.

Einfacher Einstieg mit Ollama

Tools wie Ollama oder LM Studio ermöglichen es, lokale LLMs mit wenigen Klicks auf dem eigenen Rechner oder Server zu betreiben. Für größere Unternehmen bieten Lösungen wie vLLM oder Text Generation Inference professionelle Deployments.

Unser Tipp: Kombinieren Sie lokale LLMs für sensible Aufgaben mit ChatGPT Enterprise für allgemeine Anwendungsfälle — so erhalten Sie das beste Verhältnis aus Leistung und Datenschutz.

Häufig gestellte Fragen (FAQ)

Ist die Nutzung von ChatGPT DSGVO-konform?

Die Nutzung von ChatGPT ist nicht automatisch DSGVO-konform. Unternehmen müssen aktiv Maßnahmen ergreifen: DPA mit OpenAI abschließen, Opt-out für Trainingsdaten aktivieren, eine KI-Richtlinie erstellen und Mitarbeiter schulen. Personenbezogene Daten sollten grundsätzlich nicht in ChatGPT eingegeben werden. Mit der Enterprise-Version und entsprechenden organisatorischen Maßnahmen ist ein datenschutzkonformer Einsatz möglich.

Welche Daten darf ich nicht in ChatGPT eingeben?

In ChatGPT sollten keine personenbezogenen Daten eingegeben werden — also keine Namen, E-Mail-Adressen, Telefonnummern, Gesundheitsdaten oder Mitarbeiterinformationen. Auch Geschäftsgeheimnisse, vertrauliche Verträge, Finanzdaten und unveröffentlichte Strategien gehören nicht in den Chat. Anonymisieren Sie Daten vor der Eingabe oder nutzen Sie Platzhalter.

Muss ich eine Datenschutz-Folgenabschätzung für ChatGPT durchführen?

Bei systematischer und regelmäßiger Nutzung von ChatGPT im Unternehmen ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO in der Regel erforderlich. Dies gilt insbesondere, wenn neue Technologien eingesetzt werden, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen. Die DSFA sollte Risiken identifizieren und dokumentieren, welche Schutzmaßnahmen ergriffen wurden.

Welche Alternativen zu ChatGPT sind datenschutzfreundlicher?

Die datenschutzfreundlichste Alternative sind lokale LLMs wie Llama 3, Mistral oder DeepSeek, die auf eigenen Servern betrieben werden. Hier verlassen keine Daten das Unternehmensnetzwerk. Europäische Anbieter wie Aleph Alpha oder Mistral AI bieten ebenfalls datenschutzfreundlichere Cloud-Lösungen. Für den Unternehmenseinsatz ist ChatGPT Enterprise mit deaktiviertem Training und DPA die beste Option innerhalb des OpenAI-Ökosystems.

Fazit: ChatGPT und Datenschutz erfordern aktives Management

ChatGPT bietet enorme Produktivitätsvorteile, doch ohne aktives Datenschutz-Management drohen DSGVO-Verstöße mit empfindlichen Bußgeldern. Unternehmen sollten:

  1. Eine KI-Nutzungsrichtlinie einführen und durchsetzen
  2. Das DPA mit OpenAI abschließen und Training-Opt-out aktivieren
  3. Auf ChatGPT Enterprise oder lokale LLMs für sensible Daten setzen
  4. Eine Datenschutz-Folgenabschätzung durchführen
  5. Mitarbeiter regelmäßig schulen und sensibilisieren

Sie benötigen Unterstützung bei der datenschutzkonformen Einführung von KI in Ihrem Unternehmen? Die DATUREX GmbH aus Dresden berät Sie als externer Datenschutzbeauftragter umfassend zu ChatGPT, KI-Richtlinien und DSGVO-Konformität. Wir unterstützen sachsenweit Unternehmen aller Größen — von der Erstexterner Datenschutzbeauftragter über die DSFA bis zur Implementierung datenschutzkonformer KI-Lösungen. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.

ChatGPT DSGVO-konform einsetzen?

Unsere Datenschutzexperten beraten Sie bundesweit zum sicheren Einsatz von KI-Tools im Unternehmen.

Kostenlose Erstberatung anfragen

Oder rufen Sie uns direkt an: 0351 / 795 935 13