Home Blog Deutsch
DSGVOChatGPTKI ComplianceDatenschutz

Ist ChatGPT DSGVO-konform? Was Unternehmen wirklich wissen müssen

ChatGPT und DSGVO — die ehrliche Antwort. Welche Lizenz brauchen Unternehmen, wann ist ein AVV Pflicht, und wo landen Ihre Daten wirklich? Ein CISSP-Experte erklärt.

„Ist ChatGPT DSGVO-konform?”

Diese Frage kommt immer wieder — in Foren, auf LinkedIn, in Branchengruppen. Von Steuerberatern, Kanzleien, Finanzberatern — von jedem, der sensible Mandantendaten verarbeitet und gleichzeitig weiß, dass KI-Tools die Arbeit schneller machen könnten.

Die ehrliche Antwort: Es kommt darauf an. Nicht auf die Technik. Nicht auf die Regulierung. Sondern darauf, wie Sie ChatGPT einsetzen.

Die kostenlose Version ist das Problem

Wenn ein Mitarbeiter die kostenlose Version von ChatGPT öffnet und Kundendaten eintippt, passiert Folgendes:

  • Die Eingabe wird auf Servern in den USA verarbeitet
  • OpenAI nutzt die Konversation standardmäßig zum Trainieren des Modells
  • Es gibt keinen Auftragsverarbeitungsvertrag (AVV) zwischen Ihrem Unternehmen und OpenAI
  • Es gibt keine Garantie, dass die Daten jemals vollständig gelöscht werden

Das ist kein theoretisches Risiko. Das ist eine dokumentierte DSGVO-Verletzung. Die italienische Datenschutzbehörde (Garante) hat OpenAI im Dezember 2024 mit einer Strafe von 15 Millionen Euro belegt — unter anderem wegen fehlender Rechtsgrundlage für die Verarbeitung von Trainingsdaten.

Und das gilt nicht nur für die Gratisversion. ChatGPT Plus und Pro bieten ebenfalls keinen AVV an. Das bedeutet: Auch wer 20 Dollar im Monat zahlt, hat keine vertragliche Grundlage für den geschäftlichen Einsatz mit personenbezogenen Daten.

Welche Lizenz brauchen Unternehmen wirklich?

Hier wird es relevant. OpenAI bietet den AVV — den Vertrag, den Art. 28 DSGVO für jede Auftragsverarbeitung vorschreibt — nur für bestimmte Lizenzen an:

LizenzAVV verfügbarTraining mit Ihren Daten
FreeNeinJa (Standard)
Plus / ProNeinJa (Opt-out möglich)
TeamJaNein (Standard)
BusinessJaNein (Standard)
EnterpriseJaNein (Standard)

Stand: März 2026. OpenAI ändert Lizenzkonditionen regelmäßig. Prüfen Sie die aktuelle AVV-Verfügbarkeit direkt bei OpenAI.

Ohne AVV fehlt Ihnen die vertragliche Basis nach Art. 28 DSGVO. Punkt. Es spielt keine Rolle, ob Sie das Training per Toggle abschalten. Der Toggle ist eine technische Maßnahme. Der AVV ist die rechtliche Pflicht.

Wer ChatGPT im Unternehmen nutzen will, braucht mindestens die Team-Lizenz. Alles darunter ist Privatnutzung — und darf nicht mit Kundendaten, Mandantendaten oder Mitarbeiterdaten gefüttert werden.

Den AVV richtig abschließen

Den AVV zu haben ist Pflicht. Ihn richtig abzuschließen ist der Teil, den viele überspringen. Bei OpenAI funktioniert das so:

  1. Team-Lizenz oder höher aktivieren. Im OpenAI-Dashboard unter “Settings” > “Data Controls” finden Sie die AVV-Optionen.
  2. Data Processing Addendum (DPA) prüfen und akzeptieren. OpenAI stellt den AVV als DPA bereit. Laden Sie das Dokument herunter, bevor Sie akzeptieren. Prüfen Sie insbesondere: Welche Subunternehmer werden genannt? Welche Standardvertragsklauseln (SCCs) sind enthalten? Wo wird die Datenverarbeitung lokalisiert?
  3. AVV dokumentiert ablegen. Der unterschriebene oder akzeptierte AVV gehört in Ihre Compliance-Dokumentation. Art. 28 Abs. 9 DSGVO verlangt, dass der Vertrag schriftlich vorliegt. Ein Klick auf “Accept” im Dashboard reicht rechtlich aus, aber speichern Sie einen Screenshot oder PDF-Export als Nachweis.
  4. Training-Opt-out bestätigen. Bei der Team-Lizenz ist das Modelltraining standardmäßig deaktiviert. Prüfen Sie trotzdem unter “Settings” > “Data Controls”, ob “Improve the model for everyone” auf “Off” steht. Dokumentieren Sie den Stand.

Der AVV allein macht ChatGPT nicht DSGVO-konform. Er ist die vertragliche Grundlage. Die technischen und organisatorischen Maßnahmen müssen Sie selbst aufsetzen.

Datenstandort: Wo landen Ihre Eingaben?

Die nächste Frage liegt nahe: „Wenn ich die Enterprise-Version nutze, bleiben die Daten dann in der EU?”

Seit Februar 2025 bietet OpenAI EU Data Residency an — aber nur für Enterprise, Edu und die API-Plattform. Die Daten werden in europäischen Rechenzentren gespeichert und seit Januar 2026 auch dort verarbeitet (In-Region GPU Inference).

Für Free, Plus, Pro, Team und Business gibt es diese Option nicht. Die Daten werden in den USA verarbeitet. Das bedeutet: Selbst mit der Business-Lizenz (die immerhin einen AVV bietet) verlassen Ihre Daten die EU.

Ist das automatisch ein Problem? Nicht zwingend — wenn die Standardvertragsklauseln (SCCs) im AVV sauber geregelt sind und Sie eine Datentransfer-Folgenabschätzung (TIA) durchgeführt haben. Aber es ist ein zusätzlicher Compliance-Aufwand, den viele Unternehmen unterschätzen.

Was eine TIA konkret abdecken muss

Eine Transfer Impact Assessment (TIA) ist keine Formalität. Sie dokumentiert, ob der Drittlandtransfer trotz des unterschiedlichen Datenschutzniveaus vertretbar ist. Für den Transfer an OpenAI in die USA brauchen Sie:

  • Bewertung der Rechtslage im Drittland. Seit dem EU-US Data Privacy Framework (DPF) von Juli 2023 gibt es wieder einen Angemessenheitsbeschluss für zertifizierte US-Unternehmen. Prüfen Sie, ob OpenAI unter dem DPF zertifiziert ist. Falls ja, vereinfacht das die TIA erheblich. Falls nein, greifen die SCCs als Absicherung.
  • Technische Schutzmaßnahmen. Welche Verschlüsselung setzt OpenAI ein? Werden Daten at-rest und in-transit verschlüsselt? Werden Eingaben nach Verarbeitung gelöscht? Bei der Team-Lizenz speichert OpenAI Konversationen standardmäßig 30 Tage, bei Enterprise können Sie den Zeitraum konfigurieren.
  • Zugriffsmöglichkeiten durch Behörden. Der Cloud Act erlaubt US-Behörden unter bestimmten Umständen Zugriff auf Daten bei US-Anbietern. Dokumentieren Sie dieses Risiko und die Gegenmaßnahmen (Verschlüsselung, DPF-Zertifizierung, SCCs).

Die TIA muss nicht 50 Seiten lang sein. Aber sie muss existieren und die wesentlichen Punkte nachvollziehbar abdecken. Ohne TIA fehlt Ihnen bei einem US-Transfer die Compliance-Grundlage nach Art. 44-49 DSGVO.

Wann brauchen Sie eine DSFA?

Art. 35 DSGVO schreibt eine Datenschutz-Folgenabschätzung (DSFA) vor, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko” für die Rechte der Betroffenen birgt. KI-gestützte Verarbeitung personenbezogener Daten fällt in der Regel genau in diese Kategorie — besonders wenn:

  • Sie personenbezogene Daten systematisch und umfassend verarbeiten
  • neue Technologien (wie Large Language Models) zum Einsatz kommen
  • besondere Kategorien von Daten betroffen sind (Gesundheitsdaten, Finanzdaten)

Das EDPB hat in seinem ChatGPT-Taskforce-Bericht von Mai 2024 klargestellt: Unternehmen können die Verantwortung nicht über AGB an OpenAI abgeben. Sie bleiben Verantwortlicher — und damit auch für die DSFA zuständig.

Konkret: Wenn Ihre Kanzlei oder Ihr Unternehmen ChatGPT zur Verarbeitung von Mandantendaten einsetzen will, brauchen Sie eine DSFA. Das ist keine Empfehlung. Das ist geltendes Recht.

ChatGPT Datenschutz im Unternehmen — eine Checkliste

Bevor Sie ChatGPT geschäftlich einsetzen, prüfen Sie diese Punkte:

Vertragliche Basis:

  • Nutzen Sie eine Lizenz mit AVV? (Team, Business oder Enterprise)
  • Ist der AVV unterschrieben und dokumentiert?
  • Sind Standardvertragsklauseln für Drittlandtransfers enthalten?

Technische Maßnahmen:

  • Ist das Modelltraining mit Ihren Daten deaktiviert?
  • Haben Sie geprüft, wo Ihre Daten verarbeitet werden?
  • Gibt es klare Regeln, welche Daten eingegeben werden dürfen?

Organisatorische Maßnahmen:

  • Existiert eine interne KI-Nutzungsrichtlinie?
  • Sind Mitarbeiter geschult — wissen sie, was sie nicht eingeben dürfen?
  • Ist eine DSFA durchgeführt (oder als nicht erforderlich dokumentiert)?
  • Ist die KI-Nutzung in Ihrem Verarbeitungsverzeichnis (Art. 30) erfasst?

Diese Checkliste ist ein Anfang. Aber sie zeigt, wie viele Unternehmen ChatGPT nutzen, ohne auch nur eine dieser Fragen beantwortet zu haben.

Verarbeitungsverzeichnis: Der vergessene Schritt

Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten. ChatGPT muss dort auftauchen. Konkret brauchen Sie einen Eintrag mit:

  • Bezeichnung der Verarbeitung: z.B. “KI-gestützte Textverarbeitung und Dokumentenanalyse mittels OpenAI ChatGPT”
  • Verantwortlicher: Ihr Unternehmen, mit Kontaktdaten
  • Zweck der Verarbeitung: z.B. Zusammenfassung von Dokumenten, Entwurf von Korrespondenz, Recherche
  • Kategorien betroffener Personen: z.B. Mandanten, Geschäftspartner, Mitarbeiter (je nach Einsatzbereich)
  • Kategorien personenbezogener Daten: z.B. Namen, Kontaktdaten, Vertragsdaten (definieren Sie genau, was eingegeben werden darf)
  • Empfänger: OpenAI Inc., mit Verweis auf den AVV
  • Drittlandtransfer: USA, mit Verweis auf SCCs und/oder DPF
  • Löschfristen: Gemäß OpenAI-DPA (30 Tage bei Team, konfigurierbar bei Enterprise)
  • TOM-Verweis: Verweis auf Ihre technischen und organisatorischen Maßnahmen

Viele Unternehmen haben ein Verarbeitungsverzeichnis, das seit 2018 nicht aktualisiert wurde. KI-Tools gehören da hinein. Wenn die Aufsichtsbehörde das Verzeichnis anfordert und ChatGPT fehlt, ist das ein eigenständiger Verstoß gegen Art. 30 DSGVO.

Das eigentliche Problem heißt Shadow-KI

Die größte DSGVO-Gefahr bei ChatGPT ist nicht die Technik. Es sind Mitarbeiter, die auf eigene Faust die kostenlose Version nutzen — ohne Freigabe, ohne Richtlinie, ohne dass die Geschäftsführung davon weiß.

Das passiert in jeder Branche. Aber in Kanzleien und Steuerbüros, wo Berufsgeheimnisse nach §203 StGB gelten, hat es eine ganz andere Dimension. Wer Mandantendaten in ein US-amerikanisches KI-Tool eingibt, riskiert nicht nur ein DSGVO-Bußgeld. Er riskiert die Verletzung der beruflichen Schweigepflicht.

Die Lösung ist nicht, KI zu verbieten. Die Lösung ist, den Einsatz so zu gestalten, dass er den regulatorischen Anforderungen standhält — mit der richtigen Lizenz, den richtigen Verträgen und klaren internen Regeln.

Shadow-KI aufspüren: Praktische Schritte

Sie können nicht regulieren, was Sie nicht sehen. So identifizieren Sie Shadow-KI in Ihrem Unternehmen:

  1. Netzwerk-Monitoring. Ihr Firewall- oder Proxy-Log zeigt, welche Domains aufgerufen werden. Suchen Sie nach: chat.openai.com, claude.ai, gemini.google.com, copilot.microsoft.com, perplexity.ai. Wenn diese Domains ohne offizielle Freigabe auftauchen, haben Sie Shadow-KI.
  2. Anonyme Umfrage. Fragen Sie Ihre Mitarbeiter direkt. Nicht als Kontrolle, sondern als Bestandsaufnahme. “Welche KI-Tools nutzen Sie? Auch privat auf dem Diensthandy?” Die meisten Mitarbeiter sind ehrlich, wenn sie keine Konsequenzen fürchten.
  3. Browser-Erweiterungen prüfen. Viele KI-Tools laufen als Browser-Extension. Im Microsoft Endpoint Manager oder per Gruppenrichtlinie können Sie sehen, welche Erweiterungen installiert sind.
  4. App-Installationen auf Firmengeräten. Mobile Device Management (MDM) zeigt, welche Apps auf Diensthandys installiert sind. ChatGPT, Claude, Gemini — alles Consumer-Apps, die mit einem persönlichen Account laufen.

Die Erkenntnis aus dieser Bestandsaufnahme ist oft ernüchternd. In den meisten Unternehmen nutzen 20-40% der Mitarbeiter bereits KI-Tools ohne offizielle Freigabe. Das ist kein Vorwurf an die Mitarbeiter. Die Tools sind nützlich. Aber ohne Richtlinie und richtige Lizenz ist jede Eingabe mit personenbezogenen Daten ein Compliance-Risiko.

Sie wollen wissen, wo Ihr Unternehmen steht? Mein kostenloser KI-Compliance-Check zeigt Ihnen in 2 Minuten, ob Ihre KI-Nutzung DSGVO-konform aufgestellt ist.

Ist ChatGPT also DSGVO-konform?

ChatGPT kann DSGVO-konform eingesetzt werden. Aber nicht in jeder Version, nicht mit jedem Setup, und nicht ohne Vorbereitung.

Die Kurzfassung:

  • Free / Plus / Pro: Nicht für geschäftliche Verarbeitung personenbezogener Daten geeignet. Kein AVV.
  • Team: AVV verfügbar, kein Training. Einstiegsoption für Unternehmen — aber ohne EU Data Residency.
  • Business: AVV verfügbar, kein Training. Mindeststandard für Unternehmen. Datenverarbeitung in den USA.
  • Enterprise: AVV + EU Data Residency + kein Training. Höchster Compliance-Standard.

Die eigentliche Frage ist nicht, ob ChatGPT DSGVO-konform ist. Sondern ob Ihr Einsatz DSGVO-konform ist.

Wie gut ist Ihr Unternehmen aufgestellt?

Ich habe einen kostenlosen KI-Compliance-Check entwickelt, der in 2 Minuten zeigt, wo Sie stehen — und wo Sie nachbessern müssen. 7 Fragen, sofortige Bewertung, konkrete Handlungsempfehlungen.

Jetzt den kostenlosen KI-Compliance-Check machen →