Ist ChatGPT DSGVO-konform? Was Unternehmen wirklich wissen müssen

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Für deinen spezifischen Fall empfehlen wir die Konsultation eines auf Datenschutzrecht spezialisierten Rechtsanwalts.

ChatGPT ist aus vielen Unternehmen nicht mehr wegzudenken. Texte schreiben, Inhalte zusammenfassen, Ideen entwickeln, Meeting-Notizen strukturieren – die Einsatzszenarien sind vielfältig. Und genau das ist das Problem: Je tiefer KI-Tools wie ChatGPT in Arbeitsprozesse eingebettet werden, desto mehr personenbezogene Daten fließen in sie hinein. Oft ohne dass sich jemand fragt: Ist das eigentlich DSGVO-konform?

Die kurze Antwort: Es kommt darauf an. Auf die Version, auf die Konfiguration, auf den Verwendungszweck – und darauf, was genau du oder deine Mitarbeitenden in das Tool eingeben. Die lange Antwort liest du in diesem Artikel.

tl;dr: Das Wichtigste auf einen Blick

• ChatGPT in der kostenlosen Version ist für den Unternehmenseinsatz mit personenbezogenen Daten in der Regel nicht DSGVO-konform.
• ChatGPT Enterprise und die API bieten bessere Datenschutzgarantien – aber keinen Freifahrtschein.
• OpenAI ist ein US-Unternehmen und unterliegt dem CLOUD Act – mit allen Konsequenzen, die das für europäische Unternehmen hat.
• Kein AVV, kein Einsatz: Ohne Auftragsverarbeitungsvertrag ist der geschäftliche Einsatz mit personenbezogenen Daten unzulässig.
• Für Meeting-Inhalte gilt besondere Vorsicht: Wer Transkripte oder Gesprächsinhalte in ChatGPT eingibt, verarbeitet oft hochsensible Daten – ohne ausreichende Rechtsgrundlage.

Warum DSGVO-Konformität so wichtig ist

ChatGPT hat eine Eigenschaft, die aus Datenschutzsicht gefährlich ist: Es ist so einfach zu bedienen, dass der Einsatz oft ohne jede Prüfung beginnt. Ein Mitarbeitender gibt ein Meeting-Protokoll ein und bittet ChatGPT, es zusammenzufassen. Ein anderer kopiert eine Kundenanfrage, um eine Antwort zu formulieren. Ein Dritter lässt sich Gesprächsnotizen aus einem HR-Meeting strukturieren.

In allen drei Fällen werden personenbezogene Daten an einen US-amerikanischen Anbieter übermittelt – oft ohne Einwilligung der betroffenen Personen, ohne Auftragsverarbeitungsvertrag und ohne dass geprüft wurde, ob eine Rechtsgrundlage vorliegt.

Das ist kein theoretisches Risiko. Die italienische Datenschutzbehörde Garante hat OpenAI bereits 2023 vorübergehend gesperrt. Die CNIL in Frankreich hat Untersuchungen eingeleitet. Und der Hamburgische Datenschutzbeauftragte hat sich öffentlich zur Problematik geäußert. Das Thema ist auf dem Radar der Aufsichtsbehörden – europaweit.

Was ChatGPT überhaupt ist – und welche Versionen es gibt

Um die DSGVO-Frage sinnvoll zu beantworten, musst du zwischen verschiedenen Nutzungsformen unterscheiden:

ChatGPT Free und Plus

‍Die kostenlose und die Plus-Version von ChatGPT sind Consumer-Produkte. OpenAI nutzt Konversationsdaten hier standardmäßig zur Verbesserung seiner Modelle – also zum Training. Für den geschäftlichen Einsatz mit personenbezogenen Daten sind diese Versionen in der Regel nicht geeignet: Es gibt keinen AVV, keine DSGVO-konforme Datenverarbeitung und keine garantierte Datentrennung.

ChatGPT Enterprise

‍Die Enterprise-Version richtet sich an Unternehmen und bietet unter anderem: keinen Einsatz von Kundendaten für das Modelltraining, einen Auftragsverarbeitungsvertrag (DPA), SSO-Integration und erweiterte Admin-Kontrollen. Das ist deutlich besser – aber nicht ohne Einschränkungen, auf die wir gleich eingehen.

OpenAI API

‍Wer die API von OpenAI nutzt, erhält ebenfalls bessere Datenschutzgarantien: Kein Training auf API-Daten standardmäßig, DPA verfügbar, mehr Kontrolle über die Datenverarbeitung. Die API ist für Unternehmen, die ChatGPT in eigene Anwendungen integrieren, die datenschutzrechtlich robustere Wahl.

Microsoft Copilot (Azure OpenAI)

‍Wer OpenAI-Modelle über die Microsoft Azure-Infrastruktur nutzt, profitiert von Microsofts Enterprise-Datenschutzrahmen inklusive EU Data Boundary Option. Das ist eine andere rechtliche Konstellation als der direkte OpenAI-Zugang – mit eigenen Vor- und Nachteilen.

Die DSGVO-Prüfung: Wo es hakt

Rechtsgrundlage

Für jede Verarbeitung personenbezogener Daten brauchst du eine Rechtsgrundlage nach Art. 6 DSGVO. Wenn du Mitarbeiterdaten, Kundendaten oder andere personenbezogene Informationen in ChatGPT eingibst, musst du begründen können, warum das rechtlich zulässig ist.

Ein berechtigtes Interesse (Art. 6 Abs. 1f) ist denkbar – aber nur dann, wenn die Verarbeitung tatsächlich notwendig ist, die betroffenen Personen informiert wurden und ihre Interessen nicht überwiegen. In der Praxis ist das bei vielen ChatGPT-Einsatzszenarien schwer nachweisbar.

Auftragsverarbeitung und AVV

Wenn du ChatGPT im Unternehmenskontext einsetzt und dabei personenbezogene Daten verarbeitest, handelt OpenAI als Auftragsverarbeiter – und du brauchst einen AVV nach Art. 28 DSGVO. Für ChatGPT Free und Plus gibt es keinen solchen Vertrag. Für Enterprise und API schon – aber du musst ihn aktiv abschließen und prüfen, was er wirklich regelt.

Ohne AVV ist der Einsatz mit personenbezogenen Daten schlicht unzulässig. Das gilt für jede SaaS-Anwendung – ChatGPT ist hier keine Ausnahme.

Datentransfer in die USA (CLOUD Act und mehr)

OpenAI ist ein US-amerikanisches Unternehmen. Alle Daten, die du an ChatGPT sendest, werden auf US-Infrastruktur verarbeitet – auch dann, wenn OpenAI für bestimmte Produkte europäische Rechenzentren nutzt, solange die rechtliche Kontrolle bei einer US-Gesellschaft liegt.

Das bedeutet: CLOUD Act, FISA Section 702, und alle anderen US-Zugriffsrechte gelten potenziell auch für deine ChatGPT-Daten. Das EU-US Data Privacy Framework (DPF) mildert dieses Risiko – ist aber, wie in Artikel 3 dieser Serie erläutert, kein stabiles Fundament. Eine Berufung gegen den DPF läuft noch, und Schrems III ist nicht ausgeschlossen.

OpenAI stützt sich für EU-Transfers auf Standardvertragsklauseln (SCCs) – mit den bekannten Einschränkungen gegenüber US-Behördenzugriff.

Hier findest du noch mehr über Deutsche Server vs. US-Server

Transparenz gegenüber Betroffenen

Wenn du personenbezogene Daten Dritter – also Kunden, Partner, Mitarbeitende – in ChatGPT eingibst, müssen diese Personen darüber informiert sein. Art. 13/14 DSGVO verlangt, dass Betroffene wissen, wer ihre Daten verarbeitet, zu welchem Zweck und wie lange.

In der Praxis fehlt diese Information fast immer. Wer ein Kundengespräch in ChatGPT zusammenfassen lässt, ohne den Kunden darüber informiert zu haben, verletzt die Informationspflichten der DSGVO.

Zweckbindung und Datensparsamkeit

ChatGPT in der kostenlosen Version trainiert Modelle auf Basis von Nutzereingaben. Selbst wenn du das in den Einstellungen deaktivierst, bleibt die Frage: Für welchen Zweck hast du die personenbezogenen Daten erhoben – und ist deren Weitergabe an ChatGPT mit diesem Zweck vereinbar?

Ein Beispiel: Ein Kunde teilt seine Kontaktdaten, um einen Angebotsabzufragen. Er hat nicht eingewilligt, dass diese Daten zur Verbesserung eines US-amerikanischen KI-Modells genutzt werden. Die Weitergabe an ChatGPT wäre zweckwidrig.

Was die Aufsichtsbehörden sagen

Die europäischen Datenschutzbehörden haben sich in den vergangenen Jahren zunehmend mit ChatGPT und generativen KI-Tools befasst:

Italien (Garante) Im März 2023 sperrte die Garante ChatGPT vorübergehend und zwang OpenAI zu Nachbesserungen – unter anderem zur Verbesserung der Transparenz, der Einwilligungsmechanismen und der Alterskontrolle. Das war das erste formale Eingreifen einer EU-Behörde gegenüber OpenAI und hat international Signalwirkung entfaltet.

Frankreich (CNIL) Die CNIL hat mehrere Untersuchungen zu ChatGPT eingeleitet und sich öffentlich zu den Anforderungen an KI-Systeme im Licht der DSGVO geäußert. Frankreich gehört zu den aktivsten Datenschutzbehörden in Europa, wenn es um generative KI geht.

Deutschland (DSK und Länderbehörden) Die Datenschutzkonferenz (DSK) hat in ihrer KI-Orientierungshilfe klare Anforderungen für den Einsatz von KI-Tools in Unternehmen formuliert: Datenschutz-Folgenabschätzung, interne Richtlinien, Einbindung des Betriebsrats, klare Zweckbindung. Diese Anforderungen gelten für ChatGPT genauso wie für jedes andere KI-Tool.

EDPB (Europäisches Datenschutzgremium) Der EDPB hat eine Task Force zu ChatGPT eingesetzt und Leitlinien erarbeitet, die koordinierte Aufsicht über OpenAI ermöglichen sollen. Das Ergebnis: Eine europaweit koordinierte Herangehensweise, die OpenAI unter dauerhaften Beobachtungsdruck stellt.

Der EU AI Act: Eine neue Dimension

Seit August 2024 ist der EU AI Act in Kraft – mit gestaffelten Anwendungsterminen bis 2027. Für Unternehmen, die KI-Tools wie ChatGPT einsetzen, ergeben sich daraus neue Anforderungen:

Generative KI-Modelle wie GPT-4 gelten als General Purpose AI (GPAI) und unterliegen spezifischen Transparenz- und Dokumentationspflichten. Anbieter müssen technische Dokumentation bereitstellen, Urheberrechtskonformität nachweisen und Zusammenfassungen der Trainingsdaten veröffentlichen.

Für Unternehmen als Nutzer bedeutet das: Auch die interne Nutzung von GPAI-Systemen sollte dokumentiert werden – insbesondere in Hochrisikokontexten wie HR, Recruiting oder der Verarbeitung sensibler Daten. Die DSK empfiehlt in diesem Zusammenhang ausdrücklich eine Datenschutz-Folgenabschätzung vor der Einführung solcher Systeme.

Der EU AI Act und die DSGVO wirken dabei nicht isoliert, sondern ergänzend: Wer DSGVO-Anforderungen ernst nimmt, ist für den AI Act gut vorbereitet – und umgekehrt.

Besondere Vorsicht: ChatGPT und Meeting-Inhalte

Ein Anwendungsfall verdient besondere Aufmerksamkeit: der Einsatz von ChatGPT zur Verarbeitung von Meeting-Inhalten. Das klingt praktisch – Meeting-Transkripte einfügen, Zusammenfassung generieren lassen. Aber genau hier kumulieren sich die Datenschutzrisiken:

Meeting-Transkripte enthalten fast immer personenbezogene Daten. Namen, Positionen, Meinungen, Bewertungen, manchmal Gehaltsinformationen, Gesundheitsdetails oder strategische Unternehmensinterna. All das landet bei OpenAI – ohne dass die betroffenen Meeting-Teilnehmer davon wissen oder eingewilligt haben.

Es gibt keinen AVV für den Ad-hoc-Einsatz. Wer ChatGPT Free oder Plus nutzt und dort Meeting-Inhalte einfügt, hat keine rechtliche Grundlage für diese Auftragsverarbeitung.

Die Zweckbindung ist verletzt. Meeting-Teilnehmer haben nicht zugestimmt, dass ihre gesprochenen Worte zur Verbesserung eines US-amerikanischen KI-Modells genutzt werden.

Es gibt keine Löschgarantie. Wann und ob OpenAI eingegebene Daten löscht, ist – je nach Produktversion und Konfiguration – nicht transparent genug für eine belastbare DSGVO-Compliance.

Das ist einer der wichtigsten Gründe, warum spezialisierte KI-Meeting-Assistenten wie Sally.io existieren: Sie lösen dasselbe Problem – Meeting-Inhalte strukturieren, zusammenfassen, nutzbar machen – aber mit einer Datenschutzarchitektur, die von Anfang an für diesen Zweck gebaut wurde.

Was du tun kannst: Abgestufte Empfehlungen

6 Schritte für de Nuzung DSGVO-konforme Nutzung im Unternehmen

Schritt 1: Nutzungsrichtlinie erstellen Definiere intern, welche Daten in ChatGPT eingegeben werden dürfen – und welche nicht. Personenbezogene Daten von Kunden, Partnern oder Mitarbeitenden sollten ohne klare Rechtsgrundlage nicht eingegeben werden.

Schritt 2: Richtige Version wählen Für den Unternehmenseinsatz mit personenbezogenen Daten kommt nur ChatGPT Enterprise oder die API in Frage – mit abgeschlossenem DPA und deaktiviertem Training auf Kundendaten.

Schritt 3: AVV abschließen Stelle sicher, dass ein gültiger Auftragsverarbeitungsvertrag vorliegt, bevor personenbezogene Daten verarbeitet werden.

Schritt 4: Transferrisiko bewerten Dokumentiere, auf welcher Rechtsgrundlage der Transfer in die USA erfolgt – DPF, SCCs oder andere Mechanismen – und welche ergänzenden Maßnahmen ihr implementiert habt.

Schritt 5: Betriebsrat einbinden Wenn ChatGPT in Arbeitsprozesse eingebunden wird, die Mitarbeiterdaten berühren oder Verhalten und Leistung beeinflussen könnten, hat der Betriebsrat ein Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG).

Schritt 6: DSFA prüfen Für den systematischen Einsatz von ChatGPT – insbesondere in HR, Legal oder anderen sensiblen Bereichen – ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO in der Regel erforderlich.

Wenn ihr Meeting-Inhalte mit KI verarbeiten wollt

Hier lautet die Empfehlung klar: Nutzt dafür kein General-Purpose-Tool wie ChatGPT, sondern Sally AI, einen spezialisierten KI-Meeting-Assistenten mit DSGVO-konformer Architektur, europäischer Datenspeicherung und einem AVV, der genau diesen Verarbeitungszweck abdeckt.

ChatGPT Enterprise vs. EU-basierte Alternativen: Ein ehrlicher Vergleich

FAQ – Häufig gestellte Fragen

Darf ich ChatGPT im Unternehmen überhaupt nutzen?Ja – aber mit klaren Einschränkungen. Für den Einsatz ohne personenbezogene Daten (z. B. für allgemeine Textentwürfe oder Brainstorming ohne Kundenbezug) ist ChatGPT in vielen Fällen unproblematisch. Sobald personenbezogene Daten ins Spiel kommen, brauchst du eine Rechtsgrundlage, einen AVV und eine transparente Nutzungsrichtlinie.

Ist ChatGPT Enterprise DSGVO-konform? Es ist die datenschutzrechtlich robusteste Version von ChatGPT – aber keine vollständige Lösung. Du hast einen AVV, kein Training auf deinen Daten und mehr Kontrolle. Aber OpenAI bleibt ein US-Unternehmen mit CLOUD-Act-Exposition, und der Datentransfer in die USA ist weiterhin ein zu dokumentierendes Risiko.

Was passiert, wenn Mitarbeitende ChatGPT ohne Wissen des Unternehmens nutzen – sogenannte Shadow IT? Das ist ein reales und häufiges Problem. Wenn Mitarbeitende unkontrolliert personenbezogene Daten in ChatGPT eingeben, haftet dein Unternehmen als datenschutzrechtlich Verantwortlicher. Eine klare Nutzungsrichtlinie, technische Zugangsbeschränkungen und Schulungen sind die wichtigsten Gegenmaßnahmen.

Hat OpenAI seinen Sitz mittlerweile in der EU? Nein. OpenAI hat europäische Büros – unter anderem in Dublin – aber der Unternehmenssitz und die rechtliche Kontrolle liegen in den USA. Die CLOUD-Act-Exposition besteht unabhängig davon, wo OpenAI Büros unterhält.

Reicht es, in den ChatGPT-Einstellungen das Training zu deaktivieren? Das ist ein wichtiger Schritt – aber kein ausreichender. Die Deaktivierung des Trainings adressiert nur einen von mehreren Datenschutzaspekten. Rechtsgrundlage, AVV, Transparenz gegenüber Betroffenen und Transferrisiko bleiben davon unberührt.

Brauchen wir eine DSFA für den Einsatz von ChatGPT? Sehr wahrscheinlich ja, sobald ihr ChatGPT systematisch in Arbeitsprozesse integriert, die personenbezogene Daten berühren. Insbesondere in HR, Legal, Customer Service oder ähnlichen Bereichen sind die Voraussetzungen für eine DSFA-Pflicht nach Art. 35 DSGVO in der Regel erfüllt.

Fazit: Nicht verboten – aber nicht einfach

ChatGPT DSGVO-konform einzusetzen ist möglich – aber es erfordert Arbeit, die richtige Produktversion, klare interne Regeln und eine ehrliche Auseinandersetzung mit den Transferrisiken. Wer das nicht leistet und einfach loslegt, baut auf einem rechtlich instabilen Fundament.

Für allgemeine KI-Assistenzaufgaben ohne Personenbezug ist ChatGPT ein leistungsfähiges Werkzeug. Für die Verarbeitung von Meeting-Inhalten, Mitarbeiterdaten oder Kundeninformationen – also genau die Kontexte, in denen KI im Unternehmensalltag den größten Mehrwert verspricht – sind spezialisierte, DSGVO-konforme Alternativen die sicherere und in der Praxis oft auch die praktischere Wahl.

PS: Sally AI - DSGVO-Konforme Meeting Automation

ChatGPT kann vieles. Aber es wurde nicht für die datenschutzkonforme Verarbeitung von Meeting-Inhalten in europäischen Unternehmen gebaut. Sally.io schon.

• Kein US-Konzernhintergrund – kein CLOUD-Act-Risiko
• Server in Deutschland – alle Daten bleiben in der EU
• AVV inklusive, vollständige Sub-Prozessor-Transparenz
• Kein Training auf Kundendaten – vertraglich garantiert
• Automatische Einwilligungsbenachrichtigung für Meeting-Teilnehmer
• Betriebsrat-Support und Betriebsvereinbarungsunterstützung
• SOC 2 in Vorbereitung | ISO 27001 in Vorbereitung | BSI-Alignment

Du willst die Vorteile von KI-gestützter Meeting-Dokumentation – ohne die Datenschutzrisiken eines US-amerikanischen General-Purpose-Tools?

Teste Sally AI jetzt kostenlos!

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Für deinen spezifischen Fall empfehlen wir die Konsultation eines auf Datenschutzrecht spezialisierten Rechtsanwalts.