Kasimir
← Blog

Datenschutz & Souveränität

ChatGPT und Datenschutz im Unternehmen: Was Sie beachten müssen

Mitarbeitende nutzen ChatGPT längst — oft ohne Freigabe. Was die Aufsichtsbehörden dazu sagen, wo die DSGVO-Risiken liegen und wie Sie KI im Team datenschutzkonform einsetzen.

Felix Stürmer· 14. Mai 2026· 3 Min. Lesezeit
ChatGPT und Datenschutz im Unternehmen: Was Sie beachten müssen

ChatGPT ist im Arbeitsalltag angekommen — oft schneller, als die IT-Abteilung es freigeben konnte. Laut einer repräsentativen Bitkom-Befragung (Oktober 2025) gehen 40 % der Unternehmen davon aus, dass Beschäftigte private KI-Tools für die Arbeit nutzen — aber nur 26 % stellen offiziell KI-Zugänge bereit. Diese „Schatten-KI“-Lücke ist das eigentliche Datenschutzrisiko.

Wo die DSGVO-Risiken liegen

Sobald in einem Prompt personenbezogene Daten stehen — Kundennamen, Bewerberprofile, Gesundheitsdaten —, ist die DSGVO berührt. Jede Eingabe ist eine eigene Verarbeitung und braucht eine Rechtsgrundlage nach Art. 6 DSGVO (bei Beschäftigtendaten meist § 26 BDSG); für besondere Kategorien zusätzlich Art. 9. Bei der öffentlichen ChatGPT-Version kommen drei Risiken zusammen:

  • Datenübermittlung in die USA — der Anbieter ist ein US-Konzern, US-Recht kann greifen (mehr dazu in unserem Beitrag zum US CLOUD Act).

  • Weiterverarbeitung der Eingaben — beim kostenlosen ChatGPT ist das Training auf Nutzereingaben standardmäßig aktiv und muss aktiv abgeschaltet werden.

  • Fehlende Kontrolle — ohne Auftragsverarbeitungsvertrag wissen Unternehmen nicht, wo und wie lange Daten gespeichert werden.

Was die Aufsichtsbehörden sagen

Alle EU-Datenschutzbehörden haben im Mai 2024 gemeinsam einen Bericht der EDSA-ChatGPT-Taskforce vorgelegt. Zwei Aussagen sind für Unternehmen zentral. Erstens gilt technische Komplexität nicht als Ausrede:

„…technical impossibility cannot be invoked to justify non-compliance…“

Zweitens lässt sich die Verantwortung nicht per AGB oder Richtlinie auf die eingebende Person abwälzen:

„…controllers should not transfer the risks of the enterprise to data subjects.“

Die deutschen Behörden werden konkret: Der Hamburgische Datenschutzbeauftragte hat eine 15-Punkte-Checkliste veröffentlicht, die vor der Eingabe personenbezogener Daten warnt und Business-Accounts statt Privataccounts empfiehlt. Die Datenschutzkonferenz (DSK) liefert dazu eine praxisnahe Orientierungshilfe.

Datenschutz-Niveau im Vergleich
Private ChatGPT-App (Schatten-KI)20
ChatGPT Enterprise (US-Cloud)55
KI-Plattform im deutschen Rechenzentrum95

Ein reales Bußgeld: 15 Mio. €

Dass die Behörden es ernst meinen, zeigt die italienische Datenschutzbehörde Garante: Sie verhängte im Dezember 2024 ein Bußgeld von 15 Mio. € gegen OpenAI — unter anderem wegen fehlender Rechtsgrundlage für das Training und Transparenzverstößen. Das Verfahren ist nach Berufung von OpenAI noch nicht rechtskräftig, markiert aber den ersten großen DSGVO-Enforcement-Fall gegen einen LLM-Anbieter.

⚠️

Die gute Nachricht: Nicht ChatGPT als Technologie ist das Problem, sondern das Wie. Mit klaren Regeln, dem richtigen Tarif und der passenden Infrastruktur lässt sich generative KI DSGVO-konform nutzen.

Was Unternehmen konkret tun sollten

Wichtig ist die Unterscheidung: Bei Business-, Enterprise- und API-Produkten trainiert OpenAI standardmäßig nicht auf Ein- und Ausgaben und schließt einen Auftragsverarbeitungsvertrag ab. Beim kostenlosen ChatGPT ist das Training an und muss deaktiviert werden. Eine belastbare KI-Governance umfasst:

  1. eine verbindliche KI-Richtlinie (welche Daten dürfen rein, welche nicht) — technisch-organisatorisch flankiert, nicht nur deklaratorisch;

  2. freigegebene Tools im Business-/Enterprise-Tarif mit abgeschlossenem AVV;

  3. ein klares Verbot personenbezogener und geheimer Daten in Prompts der öffentlichen Version;

  4. Schulung und Awareness — und vor allem eine freigegebene Alternative, damit niemand auf die private App ausweicht (die Schatten-KI-Lücke schließt man durch Angebot, nicht durch Verbot).

Fazit

KI im Unternehmen zu verbieten ist keine Lösung — die Mitarbeitenden nutzen sie ohnehin. Der bessere Weg ist eine sichere, freigegebene Plattform, die Datenschutz von Grund auf mitbringt. Welche Kriterien so eine Plattform erfüllen muss, zeigt unser Beitrag DSGVO-konforme KI: die 7 Auswahlkriterien — einen Gesamtüberblick gibt unser Leitfaden zu DSGVO-konformer KI für Unternehmen.

Quellen

DSGVO-konforme KI aus einem echten deutschen Rechenzentrum

Kasimir läuft auf eigener Infrastruktur in Deutschland — kein Umweg über US-Anbieter, keine CLOUD-Act-Reichweite.