Datenschutz & Souveränität
ChatGPT und Datenschutz im Unternehmen: Was Sie beachten müssen
Mitarbeitende nutzen ChatGPT längst — oft ohne Freigabe. Was die Aufsichtsbehörden dazu sagen, wo die DSGVO-Risiken liegen und wie Sie KI im Team datenschutzkonform einsetzen.

ChatGPT ist im Arbeitsalltag angekommen — oft schneller, als die IT-Abteilung es freigeben konnte. Laut einer repräsentativen Bitkom-Befragung (Oktober 2025) gehen 40 % der Unternehmen davon aus, dass Beschäftigte private KI-Tools für die Arbeit nutzen — aber nur 26 % stellen offiziell KI-Zugänge bereit. Diese „Schatten-KI“-Lücke ist das eigentliche Datenschutzrisiko.
Wo die DSGVO-Risiken liegen
Sobald in einem Prompt personenbezogene Daten stehen — Kundennamen, Bewerberprofile, Gesundheitsdaten —, ist die DSGVO berührt. Jede Eingabe ist eine eigene Verarbeitung und braucht eine Rechtsgrundlage nach Art. 6 DSGVO (bei Beschäftigtendaten meist § 26 BDSG); für besondere Kategorien zusätzlich Art. 9. Bei der öffentlichen ChatGPT-Version kommen drei Risiken zusammen:
Datenübermittlung in die USA — der Anbieter ist ein US-Konzern, US-Recht kann greifen (mehr dazu in unserem Beitrag zum US CLOUD Act).
Weiterverarbeitung der Eingaben — beim kostenlosen ChatGPT ist das Training auf Nutzereingaben standardmäßig aktiv und muss aktiv abgeschaltet werden.
Fehlende Kontrolle — ohne Auftragsverarbeitungsvertrag wissen Unternehmen nicht, wo und wie lange Daten gespeichert werden.
Was die Aufsichtsbehörden sagen
Alle EU-Datenschutzbehörden haben im Mai 2024 gemeinsam einen Bericht der EDSA-ChatGPT-Taskforce vorgelegt. Zwei Aussagen sind für Unternehmen zentral. Erstens gilt technische Komplexität nicht als Ausrede:
„…technical impossibility cannot be invoked to justify non-compliance…“
Zweitens lässt sich die Verantwortung nicht per AGB oder Richtlinie auf die eingebende Person abwälzen:
„…controllers should not transfer the risks of the enterprise to data subjects.“
Die deutschen Behörden werden konkret: Der Hamburgische Datenschutzbeauftragte hat eine 15-Punkte-Checkliste veröffentlicht, die vor der Eingabe personenbezogener Daten warnt und Business-Accounts statt Privataccounts empfiehlt. Die Datenschutzkonferenz (DSK) liefert dazu eine praxisnahe Orientierungshilfe.
Ein reales Bußgeld: 15 Mio. €
Dass die Behörden es ernst meinen, zeigt die italienische Datenschutzbehörde Garante: Sie verhängte im Dezember 2024 ein Bußgeld von 15 Mio. € gegen OpenAI — unter anderem wegen fehlender Rechtsgrundlage für das Training und Transparenzverstößen. Das Verfahren ist nach Berufung von OpenAI noch nicht rechtskräftig, markiert aber den ersten großen DSGVO-Enforcement-Fall gegen einen LLM-Anbieter.
Die gute Nachricht: Nicht ChatGPT als Technologie ist das Problem, sondern das Wie. Mit klaren Regeln, dem richtigen Tarif und der passenden Infrastruktur lässt sich generative KI DSGVO-konform nutzen.
Was Unternehmen konkret tun sollten
Wichtig ist die Unterscheidung: Bei Business-, Enterprise- und API-Produkten trainiert OpenAI standardmäßig nicht auf Ein- und Ausgaben und schließt einen Auftragsverarbeitungsvertrag ab. Beim kostenlosen ChatGPT ist das Training an und muss deaktiviert werden. Eine belastbare KI-Governance umfasst:
eine verbindliche KI-Richtlinie (welche Daten dürfen rein, welche nicht) — technisch-organisatorisch flankiert, nicht nur deklaratorisch;
freigegebene Tools im Business-/Enterprise-Tarif mit abgeschlossenem AVV;
ein klares Verbot personenbezogener und geheimer Daten in Prompts der öffentlichen Version;
Schulung und Awareness — und vor allem eine freigegebene Alternative, damit niemand auf die private App ausweicht (die Schatten-KI-Lücke schließt man durch Angebot, nicht durch Verbot).
Fazit
KI im Unternehmen zu verbieten ist keine Lösung — die Mitarbeitenden nutzen sie ohnehin. Der bessere Weg ist eine sichere, freigegebene Plattform, die Datenschutz von Grund auf mitbringt. Welche Kriterien so eine Plattform erfüllen muss, zeigt unser Beitrag DSGVO-konforme KI: die 7 Auswahlkriterien — einen Gesamtüberblick gibt unser Leitfaden zu DSGVO-konformer KI für Unternehmen.
Quellen
DSGVO-konforme KI aus einem echten deutschen Rechenzentrum
Kasimir läuft auf eigener Infrastruktur in Deutschland — kein Umweg über US-Anbieter, keine CLOUD-Act-Reichweite.



