Das Wichtigste zur DSGVO-konformen ChatGPT-Nutzung in Kürze
ChatGPT lässt sich im Unternehmen DSGVO-konform nutzen, wenn du ChatGPT Team oder Enterprise mit Auftragsverarbeitungsvertrag einsetzt, EU-Hosting aktivierst, das Training mit deinen Daten deaktivierst und eine KI-Richtlinie samt Mitarbeiterschulung einführst. Die kostenlose Version und ChatGPT Plus sind für personenbezogene Firmendaten nicht rechtssicher.
Die meisten Verstöße entstehen nicht durch die Technik, sondern durch das Verhalten. Beschäftigte tippen Kundennamen, Bewerbungen oder Verträge in private Accounts. Genau dort setzt dieser Leitfaden an.
Das Wichtigste vorab:
- ChatGPT Plus reicht für Firmendaten nicht: Erst Team und Enterprise bieten einen Auftragsverarbeitungsvertrag.
- EU-Hosting und deaktiviertes Modelltraining sind die zwei zentralen technischen Stellschrauben.
- Eine schriftliche KI-Richtlinie schließt die größte Lücke: die unkontrollierte Schatten-Nutzung.
- Seit Februar 2025 ist eine dokumentierte KI-Schulung Pflicht (EU AI Act, Artikel 4).
Warum viele Firmen ChatGPT schon heute unsicher nutzen
Stell dir die Buchhaltung eines Handelsunternehmens vor. Eine Mitarbeiterin will eine Mahnung freundlicher formulieren. Sie kopiert den kompletten Schriftverkehr in ChatGPT: Kundenname, Adresse, Rechnungsnummer. Kostenlos, schnell, ohne Freigabe.
Was harmlos wirkt, ist ein Datenschutzvorfall. Personenbezogene Daten verlassen das Unternehmen und landen bei einem US-Anbieter. Ohne Vertrag, ohne Rechtsgrundlage, ohne dass die IT davon weiß.
Dieses Muster ist die Regel, nicht die Ausnahme. Beschäftigte nutzen KI, weil sie Zeit spart. Sie warten nicht auf eine Freigabe, die niemand erteilt. Sie greifen zum privaten Account.
Das Problem trifft jede Branche. Die Agentur lädt Kundenbriefings hoch. Der Maschinenbauer prüft Lieferantenverträge. Der Onlinehändler textet Produktbeschreibungen mit echten Bestelldaten.
Und es schmerzt doppelt. Es drohen Bußgelder nach DSGVO. Gleichzeitig verlierst du die Kontrolle darüber, welche Geschäftsgeheimnisse dein Team nach draußen gibt. Ein Verbot löst das nicht, es verschiebt die Nutzung nur in den Untergrund.
Hinzu kommt der Wettbewerbsdruck. Wer KI komplett verbietet, verliert Tempo gegenüber Mitbewerbern, die sie längst nutzen. Die Geschäftsführung steckt in der Zwickmühle: Erlauben wirkt riskant, verbieten wirkt rückständig. Beide Reflexe führen in die Irre.
Der Ausweg liegt dazwischen. Du brauchst kein Verbot und keine wilde Freiheit, sondern einen klaren Rahmen. Dieser Leitfaden zeigt dir die sieben Schritte, mit denen du ChatGPT im Unternehmen rechtssicher und produktiv machst.
So setzt du ChatGPT rechtssicher im Unternehmen ein
Warum sind ChatGPT Free und Plus für Firmendaten ein Risiko?
Weil OpenAI bei Free und Plus deine Eingaben standardmäßig zum Training der Modelle verwenden darf und keinen Auftragsverarbeitungsvertrag anbietet. Ein Auftragsverarbeitungsvertrag (AVV) ist die nach Artikel 28 DSGVO vorgeschriebene Vereinbarung, die regelt, wie ein Dienstleister deine Daten in deinem Auftrag verarbeitet. Ohne diesen Vertrag fehlt die rechtliche Basis für jede Verarbeitung personenbezogener Daten.
Praktisch heißt das: Gibt deine Agentur in ChatGPT Plus ein Kundenbriefing mit Klarnamen ein, ist das ein DSGVO-Verstoß. Gleiches gilt, wenn dein Vertrieb eine Interessentenliste zusammenfassen lässt. Plus ist ein Privatprodukt, kein Firmenwerkzeug.
Auch der Speicherort spielt eine Rolle. Bei Free und Plus liegen deine Eingaben auf Servern in den USA, ohne dass du den Datenfluss steuern kannst. Für eine Personalabteilung, die Bewerbungen verarbeitet, oder einen Steuerberater ist das allein schon ein Ausschlusskriterium.
Die Empfehlung ist eindeutig: Verbiete personenbezogene und vertrauliche Daten in Free und Plus. Stelle stattdessen eine Team- oder Enterprise-Lizenz bereit. Mehr zur sauberen Einführung findest du in unserem KI-Audit.
Was leistet ein Auftragsverarbeitungsvertrag mit OpenAI?
Ein AVV macht OpenAI zu deinem weisungsgebundenen Auftragsverarbeiter und verpflichtet das Unternehmen, deine Daten nicht fürs Training zu nutzen. OpenAI bietet ihn nur für ChatGPT Team, Enterprise und die API an, nicht für Plus. Abschließen kannst du ihn im Adminbereich unter admin.openai.com im Bereich Compliance.
Der AVV allein reicht aber nicht. Da die Daten weiterhin in die USA fließen können, brauchst du zusätzlich eine Transfer-Folgenabschätzung nach dem Schrems-II-Urteil. Die Standardvertragsklauseln genügen für sich genommen nicht. Ein produzierendes Unternehmen, das Konstruktionsdaten verarbeitet, sollte das dokumentieren.
Achte beim AVV außerdem auf die Liste der Unterauftragsverarbeiter. OpenAI nennt sie öffentlich, und du solltest sie kennen, bevor du unterschreibst. Ändern sich diese Dienstleister, musst du das nachvollziehen können.
Konkret: Schließe vor dem Rollout den AVV ab und halte die Transfer-Folgenabschätzung schriftlich fest. Beides gehört in dein Verarbeitungsverzeichnis. Plane dafür einen halben Tag ein, nicht mehr.
Wie aktivierst du EU-Hosting und schaltest das Training ab?
Bei ChatGPT Enterprise aktivierst du EU-Daten-Residenz in den Admin-Einstellungen, sodass Gespräche und hochgeladene Dateien verschlüsselt in der EU gespeichert werden. OpenAI bietet diese EU-Datenspeicherung seit Februar 2025 an, seit Januar 2026 zusätzlich die EU-Inferenz-Residenz, bei der auch die Verarbeitung auf EU-Servern läuft.
Das Modelltraining mit deinen Inhalten ist bei Team und Enterprise standardmäßig deaktiviert. Prüfe es trotzdem aktiv im Adminbereich und dokumentiere die Einstellung. So kannst du gegenüber einer Aufsichtsbehörde belegen, dass deine Daten nicht in fremde Modelle fließen.
Beachte den Unterschied der Lizenzen: EU-Daten-Residenz ist aktuell ein Enterprise-Feature. In der Team-Version hast du diese Wahl nicht, dafür aber den AVV und das deaktivierte Training. Für viele KMU ist Team der pragmatische Einstieg, Enterprise lohnt sich bei höherem Schutzbedarf.
Für einen Onlinehändler mit Kundendaten ist die Kombination aus EU-Hosting und abgeschaltetem Training der entscheidende Hebel. Wer noch tiefer in eine eigene, DSGVO-konforme Infrastruktur will, sollte die KI-Implementierung prüfen.
Was gehört in eine KI-Richtlinie für deine Mitarbeiter?
Eine KI-Richtlinie ist ein kurzes, verbindliches Dokument, das regelt, welche Tools erlaubt sind und welche Daten hineindürfen. Sie ist die wirksamste Maßnahme gegen Schatten-KI, weil sie deinem Team eine klare, legale Alternative gibt. Ohne Richtlinie entscheidet jeder selbst, und das geht oft schief.
Halte sie praxisnah. Nenne das freigegebene Tool, die Liste verbotener Datenarten, eine Pflicht zur Plausibilitätsprüfung der Ausgaben und eine Ansprechperson für Fragen. Zwei Seiten reichen. Eine Agentur kann ergänzen, dass Kundendaten nur anonymisiert eingegeben werden.
Mach die Richtlinie sichtbar. Ein Dokument im Intranet, das niemand liest, wirkt nicht. Stelle sie in einem kurzen Meeting vor und lass den Empfang bestätigen. So wird aus Papier eine gelebte Praxis.
Beginne mit einer Bestandsaufnahme, welche Tools schon im Umlauf sind. Erst danach schreibst du die Regeln. Wie du die Einführung ohne Widerstand schaffst, zeigt unser Beitrag zum KI-Change-Management.
Welche Daten dürfen trotzdem nie in ChatGPT?
Auch mit Team oder Enterprise gehören besonders schutzbedürftige Daten nicht ungeprüft in ein Cloud-Tool. Dazu zählen Gesundheitsdaten, Daten zu strafrechtlichen Verurteilungen und unternehmenskritische Geheimnisse wie Rezepturen oder Quellcode. Bei diesen Kategorien ist das Restrisiko zu hoch.
Eine Auswertung von Cyberhaven (2025) zeigt, warum das brisant ist: 34,8 Prozent der Daten, die Beschäftigte in KI-Tools eingeben, sind sensibel. Im produzierenden Gewerbe sind das oft Konstruktions- und Lieferantendaten, im Handel komplette Kundendatensätze.
Ein einfacher Trick senkt das Risiko sofort: Platzhalter statt echter Daten. Statt Kundenname und Adresse schreibt dein Team Mustermann und Musterstadt. Die Qualität der Antwort bleibt gleich, das Datenschutzrisiko sinkt gegen null.
Die Regel fürs Team: Im Zweifel anonymisieren oder weglassen. Formuliere in der Richtlinie eine kurze, eindeutige Negativliste. Das ist leichter zu befolgen als eine lange Erlaubnisliste.
Wie erfüllst du die Schulungspflicht aus dem EU AI Act?
Seit dem 2. Februar 2025 verpflichtet Artikel 4 des EU AI Act alle Unternehmen, die KI einsetzen, ihre Beschäftigten nachweislich in KI-Kompetenz zu schulen, unabhängig von Branche und Größe. Vorgeschrieben ist kein starres Curriculum, sondern ein dokumentiertes, risikoangemessenes Schulungskonzept.
Praktisch reicht für ein KMU eine kompakte Schulung plus interne Anleitung. Wichtig ist der Nachweis: Teilnehmerliste, Datum, Inhalte. Die Marktaufsicht greift ab dem 2. August 2026, Verstöße gegen die KI-Verordnung können mit Bußgeldern von bis zu 35 Millionen Euro geahndet werden.
Verbinde die Schulung mit der Einführung deiner Richtlinie. So erfüllst du die Pflicht und steigerst gleichzeitig die Qualität der Nutzung. Bausteine dazu findest du unter KI-Schulung.
Wie dokumentierst du die ChatGPT-Nutzung rechtssicher?
Dokumentation ist der Schritt, den fast alle vergessen und den eine Aufsichtsbehörde zuerst kontrolliert. Trage die ChatGPT-Nutzung in dein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO ein. Dort hältst du Zweck, Datenarten, Rechtsgrundlage und Empfänger fest.
Lege AVV, Transfer-Folgenabschätzung und Schulungsnachweise im selben Ordner ab. So hast du bei einer Anfrage alles griffbereit. Ein Handwerksbetrieb mit 30 Beschäftigten braucht dafür keine Rechtsabteilung, eine geordnete Ablage reicht.
Halte die Dokumentation aktuell. Jede neue KI-Anwendung kommt dazu, jede abgeschaltete fliegt raus. Einmal im Jahr prüfst du den Stand. Mehr ist für ein KMU selten nötig.
Was die Zahlen zur KI-Nutzung in Unternehmen zeigen
Die Datenlage ist eindeutig: Die Nutzung wächst schneller als die Kontrolle darüber.
- Laut KfW Research (2026) nutzen 20 Prozent der mittelständischen Unternehmen KI, eine Verfünffachung gegenüber dem Zeitraum 2016 bis 2018 (4 Prozent). Bei Firmen ab 50 Beschäftigten sind es 36 Prozent.
- Laut ifo Institut (2025) setzen 54,4 Prozent der Unternehmen KI-Software ein, nach rund 41 Prozent ein Jahr zuvor. In der Werbe- und Marktforschung sind es 84,3 Prozent.
- Laut Cyberhaven (2025) sind 34,8 Prozent aller Daten, die Beschäftigte in KI-Tools eingeben, sensibel.
- Laut ZEW (2025) verbieten nur wenige Firmen generative KI strikt: 4 Prozent in der Informationswirtschaft, 8 Prozent im verarbeitenden Gewerbe.
Die Botschaft hinter den Zahlen: Ein Verbot ist keine Strategie und in der Praxis kaum verbreitet. Die KI ist längst im Betrieb, oft schneller als die Regeln dafür. Wer ein freigegebenes Tool und klare Vorgaben bietet, holt die Nutzung aus dem Schatten ins Sichtbare.
Genau hier liegt das Risiko und die Chance zugleich. Solange Beschäftigte ohne Rahmen arbeiten, geben sie unkontrolliert Daten preis. Die sieben Schritte in diesem Leitfaden verwandeln diese Unsicherheit in eine abarbeitbare Liste.
Was du aus diesen Erkenntnissen mitnimmst
DSGVO-Konformität bei ChatGPT ist kein einzelner Schalter, sondern ein Zusammenspiel aus Lizenz, Technik und Verhalten. Die gute Nachricht: Die Schritte sind klar und auch für kleine Teams machbar.
- Die Lizenz entscheidet über die Rechtsgrundlage: ohne AVV keine personenbezogenen Daten.
- Technik und Verhalten gehören zusammen: EU-Hosting nützt wenig ohne Richtlinie und Schulung.
- Verbote scheitern, klare Alternativen wirken: Gib deinem Team ein sicheres Werkzeug.
Prüfe deinen Stand mit dieser Checkliste:
- Habe ich Team oder Enterprise statt Plus im Einsatz?
- Habe ich den AVV mit OpenAI abgeschlossen?
- Habe ich EU-Hosting aktiviert und das Training geprüft deaktiviert?
- Habe ich eine Transfer-Folgenabschätzung dokumentiert?
- Habe ich eine schriftliche KI-Richtlinie mit Negativliste?
- Habe ich meine Mitarbeiter nachweislich geschult (EU AI Act, Artikel 4)?
- Habe ich die Nutzung im Verarbeitungsverzeichnis erfasst?
Dein erster Schritt zur DSGVO-konformen KI-Nutzung
ChatGPT im Unternehmen DSGVO-konform zu nutzen ist kein Hexenwerk, aber auch kein Selbstläufer. Die Technik liefert OpenAI mit Team, Enterprise, AVV und EU-Hosting. Den entscheidenden Teil steuerst du selbst: klare Regeln und ein geschultes Team.
Der größte Fehler ist Abwarten. Während die Geschäftsführung zögert, nutzt das Team längst private Accounts. Jeder Tag ohne Richtlinie ist ein Tag mit unkontrolliertem Datenabfluss.
Starte heute mit dem einfachsten Schritt: einer Bestandsaufnahme, wer im Unternehmen welche KI-Tools nutzt. Daraus ergibt sich der Rest fast von selbst. Wenn du die Einführung strukturiert und rechtssicher aufsetzen willst, ist ein KI-Audit der passende Einstieg, er zeigt dir Status, Risiken und nächste Schritte.
Häufige Fragen zur DSGVO-konformen ChatGPT-Nutzung
Ist ChatGPT in Unternehmen überhaupt DSGVO-konform?
Ja, aber nur mit ChatGPT Team oder Enterprise, abgeschlossenem Auftragsverarbeitungsvertrag, aktiviertem EU-Hosting und deaktiviertem Training. Die kostenlose Version und ChatGPT Plus sind für personenbezogene Daten nicht rechtssicher, weil ein AVV fehlt.
Welche ChatGPT-Version brauche ich für den Datenschutz im Unternehmen?
Du brauchst mindestens ChatGPT Team, besser Enterprise. Nur diese Versionen bieten einen Auftragsverarbeitungsvertrag, deaktiviertes Modelltraining und Admin-Kontrollen. ChatGPT Plus ist ein Privatprodukt ohne diese Garantien.
Brauche ich einen AVV mit OpenAI?
Ja. Sobald du personenbezogene Daten verarbeitest, ist ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO Pflicht. OpenAI bietet ihn für Team, Enterprise und API an, abschließbar im Adminbereich unter admin.openai.com.
Darf ich Kundendaten in ChatGPT eingeben?
Nur mit Team oder Enterprise, abgeschlossenem AVV und passender Rechtsgrundlage. Besonders sensible Daten wie Gesundheits- oder Bonitätsdaten gehören gar nicht hinein. Im Zweifel anonymisierst du die Daten vor der Eingabe.
Reicht der AVV allein für die DSGVO-Konformität?
Nein. Da Daten in die USA fließen können, brauchst du zusätzlich eine Transfer-Folgenabschätzung nach Schrems II. Die Standardvertragsklauseln allein genügen nicht. Aktiviere zusätzlich EU-Hosting, wo verfügbar.
Muss ich meine Mitarbeiter für ChatGPT schulen?
Ja. Seit dem 2. Februar 2025 verlangt Artikel 4 des EU AI Act eine nachweisbare KI-Kompetenz aller Nutzer. Ein dokumentiertes, risikoangemessenes Schulungskonzept reicht, ein starres Curriculum ist nicht vorgeschrieben.
Quellen
KfW Research: Künstliche Intelligenz kommt im Mittelstand immer häufiger zum Einsatz, Fokus Volkswirtschaft Nr. 533 (2026)
ifo Institut: KI-Nutzung in der deutschen Wirtschaft (2025)
ZEW Mannheim: Generative KI erreicht die Chefetagen (2025)
Cyberhaven: Anteil sensibler Daten in KI-Tools (2025)
e-recht24.de: ChatGPT datenschutzkonform im Unternehmen einsetzen, AVV und Schrems II (2026)
TÜV-Akademie: EU AI Act Artikel 4, KI-Kompetenz ist Pflicht (2025)