Das ChatGPT DSGVO-Problem ist real und betrifft jedes Unternehmen, das den KI-Chatbot von OpenAI geschäftlich nutzt. Laut Cisco Privacy Benchmark Study haben 65 Prozent der Unternehmen weltweit Datenschutzbedenken beim Einsatz generativer KI. In Deutschland verschärft die Datenschutz-Grundverordnung die Lage zusätzlich: Wer personenbezogene Daten ohne Rechtsgrundlage, ohne Auftragsverarbeitungsvertrag oder ohne Datenschutz-Folgenabschätzung in ChatGPT eingibt, riskiert Bußgelder von bis zu 20 Millionen Euro. Dieser Compliance-Guide zeigt, wo die konkreten Probleme liegen, was die Datenschutzbehörden entschieden haben und wie Sie ChatGPT trotzdem rechtssicher einsetzen.
Kennzahlen auf einen Blick
Kennzahl Wert Unternehmen mit Datenschutzbedenken bei KI 65 % (Cisco 2025) Erstes KI-DSGVO-Bußgeld gegen OpenAI 15 Mio. Euro (Italien, 2024) Mitarbeiter nutzen KI ohne IT-Freigabe 50-60 % (McKinsey 2024) Unternehmen ohne KI-Governance-Policy ca. 50 % (IAPP/EY 2024) DSGVO-Bußgelder gesamt seit 2018 über 6,6 Mrd. Euro (DLA Piper 2025) Quellen: Cisco Privacy Study 2025, Garante Italia 2024, McKinsey State of AI 2024, IAPP/EY Survey 2024, DLA Piper GDPR Survey 2025
Warum ChatGPT ein DSGVO-Problem hat
Das DSGVO-Problem von ChatGPT zeigt sich an fünf zentralen Punkten: Das KI-Modell wurde mit Daten aus dem Internet trainiert, darunter personenbezogene Daten ohne Einwilligung der Betroffenen. Eingaben werden standardmäßig zum Weitertraining verwendet, was dem Grundsatz der Datenminimierung widerspricht. Die Datenverarbeitung erfolgt auf Servern in den USA. Betroffenenrechte wie Auskunft, Berichtigung und Löschung sind technisch kaum umsetzbar. Und die Rechtsgrundlage für die gesamte Verarbeitung ist rechtlich umstritten.
Für Unternehmen im Mittelstand wiegt das besonders schwer. Denn nicht OpenAI haftet, wenn ein Mitarbeiter Kundendaten in den Chatbot eingibt. Der datenschutzrechtlich Verantwortliche ist das Unternehmen selbst. Laut einer Cyberhaven-Analyse geben 34,8 Prozent aller Beschäftigten sensible Daten in KI-Tools ein, und 73,8 Prozent nutzen dabei private Accounts ohne jede vertragliche Absicherung. Das Bußgeldrisiko bei einem ChatGPT-DSGVO-Verstoß ist erheblich.
Personenbezogene Daten im Training
OpenAI hat ChatGPT mit Milliarden von Texten aus dem Internet trainiert. Darunter befinden sich Namen, E-Mail-Adressen, biografische Informationen und andere personenbezogene Daten. Die betroffenen Personen wurden weder informiert noch um Einwilligung gebeten. Das verstößt gegen die Informationspflichten nach Art. 13 und 14 DSGVO. Der Bayerische Landesbeauftragte für den Datenschutz hat in seiner Kurz-Information vom März 2025 klargestellt, dass der Anwendungsbereich der DSGVO bereits eröffnet ist, wenn nur die Trainingsdaten Personenbezug aufweisen.
Datenübermittlung in die USA
Jede Eingabe in ChatGPT wird an Server von OpenAI in den USA übermittelt. Das ist ein Drittlandtransfer nach Art. 44 ff. DSGVO und verschärft das ChatGPT-DSGVO-Problem für europäische Unternehmen. Seit Juli 2023 existiert zwar das EU-U.S. Data Privacy Framework als Angemessenheitsbeschluss, und OpenAI ist darunter zertifiziert. Doch dieses Framework steht unter politischer Beobachtung. Die Vorgänger Safe Harbor und Privacy Shield hat der Europäische Gerichtshof mit den Schrems-II-Urteilen gekippt. Der Bayerische Landesbeauftragte warnt, dass auch der aktuelle Beschluss angesichts der politischen Entwicklungen in den USA ausgesetzt werden könnte.
Fehlende Transparenz und eingeschränkte Betroffenenrechte
ChatGPT ist eine Blackbox. Nutzer und Betroffene können nicht nachvollziehen, wie ihre Daten verarbeitet werden. Das Recht auf Auskunft nach Art. 15 DSGVO ist technisch kaum umsetzbar, weil OpenAI nicht vollständig offenlegen kann, welche personenbezogenen Daten im Modell enthalten sind. Noch problematischer: ChatGPT halluziniert und erzeugt falsche Aussagen über reale Personen. Das Recht auf Berichtigung nach Art. 16 DSGVO kann OpenAI nicht garantieren, weil sich einzelne Datenpunkte in einem trainierten Sprachmodell nicht gezielt korrigieren lassen.
Welche DSGVO-Artikel betrifft ChatGPT konkret?
Die Datenschutz-Grundverordnung stellt an jede Verarbeitung personenbezogener Daten klare Anforderungen. Beim ChatGPT-DSGVO-Konflikt sind gleich mehrere Artikel betroffen, und die Lücken sind erheblich.
| DSGVO-Anforderung | Artikel | ChatGPT-Status | Risiko |
|---|---|---|---|
| Rechtsgrundlage für Verarbeitung | Art. 6 | Unklar - berechtigtes Interesse strittig | Hoch |
| Transparenz der Datenverarbeitung | Art. 13/14 | Unzureichend | Hoch |
| Betroffenenrechte (Auskunft, Löschung) | Art. 15-22 | Technisch kaum umsetzbar | Hoch |
| Datenschutz-Folgenabschätzung | Art. 35 | Pflicht für Unternehmen, oft versäumt | Mittel |
| Auftragsverarbeitung | Art. 28 | DPA nur für Enterprise/API verfügbar | Mittel |
| Datentransfer in Drittländer | Art. 44-49 | EU-US DPF greift, aber rechtlich fragil | Mittel |
| Datenrichtigkeit | Art. 5 Abs. 1 lit. d | Halluzinationen erzeugen falsche Personendaten | Hoch |
Rechtsgrundlage nach Art. 6 DSGVO
OpenAI beruft sich auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Datenverarbeitung. Die europäische Datenschutz-Taskforce (EDSA ChatGPT-Taskforce) hat diese Argumentation bislang nicht bestätigt. Für Unternehmen, die ChatGPT unter der DSGVO einsetzen wollen, bedeutet das: Sie müssen eine eigene Rechtsgrundlage dokumentieren und diese in ihrem Verarbeitungsverzeichnis festhalten. Eine Einwilligung der Betroffenen scheidet praktisch aus, weil die spezifischen Verarbeitungszwecke nicht vollständig beschreibbar sind. Der Datenschutzbeauftragte muss in die Bewertung eingebunden werden.
Betroffenenrechte nach Art. 15-22 DSGVO
Betroffene haben das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung. Bei ChatGPT sind diese Rechte stark eingeschränkt. OpenAI hat zwar ein Datenschutzportal unter privacy.openai.com eingerichtet, über das Nutzer Anfragen stellen können. Aber eine vollständige Auskunft darüber, welche personenbezogenen Daten im Modell gespeichert sind, kann OpenAI technisch nicht leisten. Gelöschte Konversationen werden zudem noch 30 Tage aus Sicherheitsgründen gespeichert.
Was haben die Datenschutzbehörden zu ChatGPT entschieden?
Die europäischen Datenschutzbehörden haben sich seit 2023 intensiv mit dem ChatGPT-DSGVO-Problem befasst. Die Ergebnisse zeigen, dass die Aufsichtsbehörden das Thema ernst nehmen und reale Konsequenzen folgen.
Italien setzte den Maßstab. Am 31. März 2023 verbot die italienische Datenschutzbehörde Garante ChatGPT als erster Staat weltweit. Auslöser war eine Datenpanne, bei der persönliche Informationen und Zahlungsdaten in fremden Chats sichtbar wurden. OpenAI musste eine Reihe von Auflagen erfüllen, bevor der Dienst am 28. April 2023 wieder freigeschaltet wurde: Datenschutzinformation veröffentlichen, Alterskontrolle einführen, Rechtsgrundlage schaffen und ein Opt-out für Trainingsdaten anbieten. Im Dezember 2024 folgte dann ein Bußgeld von 15 Millionen Euro wegen mangelnder Transparenz, fehlender Rechtsgrundlage und unzureichendem Jugendschutz. OpenAI hat Berufung eingelegt.
Die Deutsche Datenschutzkonferenz (DSK) richtete 2023 unter Federführung der Aufsichtsbehörde Rheinland-Pfalz zwei Fragenkataloge an OpenAI. Die Antworten warfen weitere Fragen auf. Der Europäische Datenschutzausschuss (EDSA) gründete eine eigene ChatGPT-Taskforce und nahm im Dezember 2024 eine Stellungnahme zur Verwendung personenbezogener Daten für KI-Modelle an. Zentrale Feststellung: OpenAI bleibt als Verantwortlicher für die DSGVO-Einhaltung zuständig und kann sich nicht darauf berufen, dass die Eingabe personenbezogener Daten durch Nutzer ohnehin verboten sei.
Parallel dazu reichte der Datenschutzverein noyb (Max Schrems) Beschwerde ein, weil ChatGPT einen norwegischen Bürger fälschlich als Kindsmörder bezeichnete. Bei einem Verstoß gegen Art. 5 DSGVO drohen OpenAI Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes.
Darf man ChatGPT im Unternehmen nutzen?
Ja, aber nur unter Bedingungen. Ein generelles Verbot von ChatGPT existiert in Deutschland nicht. Die Datenschutzbehörden fordern jedoch, dass Unternehmen die DSGVO-Anforderungen an ChatGPT vollständig erfüllen. Das bedeutet: Die kostenlose Version und ChatGPT Plus eignen sich nicht für den geschäftlichen Einsatz mit personenbezogenen Daten, weil kein vollwertiger Auftragsverarbeitungsvertrag und kein ausreichendes Löschkonzept vorliegen. Laut Capgemini Research Institute haben nur drei Prozent der Unternehmen generative KI vollständig verboten. Die Mehrheit sucht einen Weg zwischen Nutzung und Compliance. Wer das ChatGPT-DSGVO-Problem strukturiert angeht, kann den Chatbot rechtssicher einsetzen.
Entscheidend ist die gewählte ChatGPT-Version. Die Unterschiede beim Datenschutz sind erheblich:
| Version | AVV/DPA | Daten im Training | EU-Hosting | Für Unternehmen geeignet |
|---|---|---|---|---|
| ChatGPT Free | Nein | Ja (Standard) | Nein | Nicht empfohlen |
| ChatGPT Plus | Nein | Opt-out möglich | Nein | Bedingt, ohne Personendaten |
| ChatGPT Team | Ja | Nein (Standard) | Nein | Ja, mit Einschränkungen |
| ChatGPT Enterprise | Ja | Nein | Seit Feb. 2025 | Empfohlen |
| Azure OpenAI (Microsoft) | Ja (M365) | Nein | Ja (EU-Region wählbar) | Am besten geeignet |
Für Betriebe, die bereits Microsoft 365 nutzen, ist Azure OpenAI oft der unkomplizierteste Weg. Der Auftragsverarbeitungsvertrag ist im bestehenden M365-Vertrag enthalten, EU-Datenresidenz ist wählbar, und die Daten fließen nicht ins Modell-Training. Wer maximale Datenhoheit braucht, kann Open-Source-KI-Modelle auf eigener Infrastruktur betreiben.
Wie kann man ChatGPT datenschutzkonform einsetzen?
Wer ChatGPT DSGVO-konform betreiben will, muss Aufwand investieren. Aber das Ziel ist erreichbar. Sieben Maßnahmen bilden das Fundament für eine belastbare KI-Governance:
- Enterprise- oder API-Version mit Auftragsverarbeitungsvertrag nutzen
- Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen
- Interne KI-Richtlinie erstellen und durchsetzen
- Mitarbeiter schulen (seit Februar 2025 gesetzliche Pflicht nach Art. 4 KI-Verordnung)
- Keine personenbezogenen Daten in Prompts eingeben oder vorher anonymisieren
- Verzeichnis der Verarbeitungstätigkeiten aktualisieren
- Regelmäßige Compliance-Prüfung einplanen
Auftragsverarbeitungsvertrag mit OpenAI abschließen
Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Pflicht, sobald personenbezogene Daten verarbeitet werden. OpenAI bietet ein Data Processing Addendum (DPA) für Team-, Enterprise- und API-Kunden an. Der Vertrag ist standardisiert und nicht individuell verhandelbar. Prüfen Sie, ob das DPA die Anforderungen Ihres Datenschutzbeauftragten erfüllt. Für die kostenlose Version existiert kein vollwertiger AVV. Unser Leitfaden zu KI und DSGVO erklärt den gesamten Prozess im Detail.
Interne Richtlinie und Schulungen einführen
Eine KI-Richtlinie regelt, wer ChatGPT nutzen darf, welche Daten eingegeben werden dürfen und welche Anwendungsfälle zugelassen sind. Ohne klare Regeln entsteht Shadow AI: Mitarbeiter nutzen private Accounts für geschäftliche Zwecke. Laut McKinsey tun das 50 bis 60 Prozent der Beschäftigten. Jede Eingabe personenbezogener Daten über ein privates Konto ist ein potenzieller DSGVO-Verstoß, für den das Unternehmen haftet. Die KI-Richtlinie sollte eine Datenklassifizierung enthalten, die klar definiert, welche Informationen in welches Tool eingegeben werden dürfen. Gute Prompt-Hygiene bedeutet: Vor dem Absenden jedes Prompts prüfen, ob personenbezogene oder vertrauliche Daten enthalten sind.
Technische Schutzmaßnahmen umsetzen
Ergänzend zur Richtlinie braucht es technische und organisatorische Maßnahmen (TOM), die dem Prinzip Privacy by Design entsprechen. Dazu gehören: Training-Opt-out in den ChatGPT-Einstellungen aktivieren, Data Loss Prevention (DLP) einrichten, rollenbasierte Zugriffskontrollen implementieren und die Nutzung privater ChatGPT-Konten im Firmennetzwerk unterbinden. Die Pseudonymisierung oder Anonymisierung personenbezogener Daten vor der Eingabe reduziert das ChatGPT-DSGVO-Risiko erheblich. Wer Kundennamen durch Platzhalter ersetzt, bevor ein Prompt abgeschickt wird, vermeidet die meisten datenschutzrechtlichen Probleme.
Checkliste: DSGVO-Compliance für ChatGPT im Mittelstand
Die folgende Checkliste fasst alle Maßnahmen zusammen, die zur Lösung des ChatGPT-DSGVO-Problems nötig sind. Sie eignet sich als Arbeitsgrundlage für die Abstimmung zwischen Geschäftsführung, IT und Datenschutzbeauftragtem.
- Rechtsgrundlage für die Verarbeitung dokumentiert (Art. 6 DSGVO)
- Datenschutz-Folgenabschätzung durchgeführt (Art. 35 DSGVO)
- Auftragsverarbeitungsvertrag mit OpenAI abgeschlossen
- EU-US Data Privacy Framework-Status geprüft
- Interne KI-Richtlinie erstellt und von Mitarbeitern unterzeichnet
- Mitarbeiterschulung zur KI-Nutzung durchgeführt (Art. 4 KI-VO)
- Verzeichnis der Verarbeitungstätigkeiten aktualisiert (Art. 30 DSGVO)
- Datenschutzerklärung des Unternehmens angepasst (Art. 13 DSGVO)
- ChatGPT Enterprise oder API statt Free-Version im Einsatz
- Training-Opt-out aktiviert
- Private ChatGPT-Nutzung im Firmennetzwerk unterbunden
- Betriebsrat informiert und beteiligt (falls vorhanden)
Häufige Fehler beim ChatGPT-Einsatz unter der DSGVO
Viele Unternehmen unterschätzen die DSGVO-Anforderungen an ChatGPT oder setzen sie unvollständig um. Drei Fehler kommen besonders häufig vor.
Der erste Fehler: ChatGPT Free oder Plus für geschäftliche Zwecke nutzen. Ohne Auftragsverarbeitungsvertrag fehlt die vertragliche Grundlage nach Art. 28 DSGVO. Selbst wenn einzelne Mitarbeiter das Training deaktivieren, speichert OpenAI die Eingaben 30 Tage lang. Vertrauliche Kundendaten, Bewerbungsunterlagen oder interne Strategiepapiere haben in der Consumer-Version nichts verloren.
Der zweite Fehler: Keine Datenschutz-Folgenabschätzung durchführen. Weil ChatGPT personenbezogene Daten in großem Umfang und mit neuer Technologie verarbeitet, löst der Einsatz die DSFA-Pflicht nach Art. 35 DSGVO aus. Ohne dokumentierte DSFA fehlt ein zentrales Compliance-Dokument, auf das die Aufsichtsbehörde bei einer Prüfung als erstes zugreift.
Der dritte Fehler: Den Betriebsrat nicht einbinden. Die Einführung von ChatGPT unterliegt der betrieblichen Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, weil das Tool Nutzungsdaten protokolliert und zur Leistungs- oder Verhaltenskontrolle geeignet sein kann. Wer den Betriebsrat übergeht, riskiert eine einstweilige Verfügung und einen Vertrauensverlust in der Belegschaft.
ChatGPT und der EU AI Act: Was zusätzlich gilt
Neben der DSGVO greift seit 2024 die EU-KI-Verordnung (AI Act). ChatGPT fällt als General Purpose AI System (GPAI) unter die Transparenzpflichten, die ab August 2025 gelten. Das ChatGPT-DSGVO-Problem wird damit um eine zweite Regulierungsebene ergänzt. Für Unternehmen, die ChatGPT einsetzen, sind drei Pflichten besonders relevant.
Seit Februar 2025 gilt die KI-Schulungspflicht nach Art. 4 der KI-Verordnung. Jedes Unternehmen, das KI-Systeme einsetzt, muss sicherstellen, dass seine Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das ist keine Empfehlung, sondern eine gesetzliche Pflicht. Wer ChatGPT für Personalentscheidungen oder andere Hochrisiko-Anwendungen einsetzt, unterliegt ab August 2026 zusätzlichen Anforderungen. Die Bußgelder nach dem AI Act sind höher als nach der DSGVO: bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes. Unser Guide zum EU AI Act erklärt die Pflichten, Fristen und Risikoklassen im Detail.
Welche Alternativen zu ChatGPT sind datenschutzfreundlicher?
Wer das ChatGPT-DSGVO-Problem umgehen möchte, hat mehrere Optionen. Die Wahl hängt vom Budget, der technischen Kompetenz und dem Schutzbedarf der verarbeiteten Daten ab.
Azure OpenAI Service von Microsoft bietet die gleiche GPT-Technologie mit EU-Datenresidenz, bestehendem AVV im M365-Rahmen und ohne Verwendung der Daten für Modelltraining. Für Unternehmen, die bereits Microsoft 365 nutzen, ist das der geringste Umstellungsaufwand. Microsoft Copilot integriert die KI direkt in Word, Excel und Outlook, ebenfalls mit EU-Datenverarbeitung.
Open-Source-Modelle wie Llama oder Mistral lassen sich auf eigener Infrastruktur oder bei europäischen Hostern betreiben. Der Bayerische Landesbeauftragte für den Datenschutz empfiehlt den On-Premise-Betrieb von KI als sicherste Variante. Keine Daten verlassen das Unternehmen, die Kontrolle ist vollständig. Der Nachteil: höherer technischer Aufwand und geringere Funktionalität als die Cloud-Lösung von OpenAI.
Anthropic (Claude), Google (Gemini) und andere Anbieter stellen ebenfalls Auftragsverarbeitungsverträge für Geschäftskunden bereit. Prüfen Sie bei jedem Anbieter drei Punkte: Gibt es einen AVV nach Art. 28 DSGVO? Werden Eingabedaten für das Training verwendet? Ist EU-Datenresidenz verfügbar? Wer das ChatGPT-DSGVO-Problem nicht in den Griff bekommt, findet in diesen Alternativen einen datenschutzkonformen Einstieg.
So lösen Sie das ChatGPT-DSGVO-Problem in Ihrem Unternehmen
Das ChatGPT DSGVO-Problem lässt sich nicht ignorieren, aber es lässt sich lösen. Der erste Schritt ist die Bestandsaufnahme: Welche Mitarbeiter nutzen ChatGPT bereits, in welcher Version, mit welchen Daten? Darauf aufbauend wählen Sie die richtige Produktvariante, schließen den Auftragsverarbeitungsvertrag ab, führen die Datenschutz-Folgenabschätzung durch und rollen die interne KI-Richtlinie aus. Der Aufwand ist überschaubar, die Risiken bei Untätigkeit sind es nicht. Allein die DSGVO-Bußgelder haben laut DLA Piper seit 2018 die Marke von 6,6 Milliarden Euro überschritten. Wer ChatGPT nutzen will, muss den Datenschutz von Anfang an mitdenken.
Sie möchten ChatGPT DSGVO-konform in Ihrem Unternehmen einsetzen? Sprechen Sie uns an - wir beraten Sie unverbindlich zu Produktwahl, Datenschutz-Folgenabschätzung und interner KI-Richtlinie.
Häufige Fragen
Ist ChatGPT DSGVO-konform?
Nein, zumindest nicht in der kostenlosen Version und ChatGPT Plus. Die DSGVO stellt Anforderungen an Rechtsgrundlage, Transparenz, Betroffenenrechte und Auftragsverarbeitung, die ChatGPT in diesen Varianten nicht vollständig erfüllt. Mit ChatGPT Enterprise oder der API-Version lässt sich ein DSGVO-konformer Betrieb unter bestimmten Bedingungen erreichen, wenn ein Auftragsverarbeitungsvertrag abgeschlossen und eine Datenschutz-Folgenabschätzung durchgeführt wird.
Was passiert mit den Daten, die ich in ChatGPT eingebe?
OpenAI speichert alle Eingaben und Ausgaben. Bei der kostenlosen Version und ChatGPT Plus werden die Daten standardmäßig zum Training des KI-Modells verwendet. Dieser Trainingsmodus lässt sich in den Einstellungen deaktivieren. Auch bei deaktiviertem Training speichert OpenAI die Konversationen 30 Tage lang zur Missbrauchskontrolle. Bei ChatGPT Enterprise und der API ist die Verwendung für das Training standardmäßig ausgeschaltet.
Darf man ChatGPT im Unternehmen nutzen?
Ja, ein generelles Verbot existiert in Deutschland nicht. Unternehmen müssen jedoch die DSGVO-Anforderungen erfüllen: Rechtsgrundlage dokumentieren, Auftragsverarbeitungsvertrag abschließen, Datenschutz-Folgenabschätzung durchführen und sicherstellen, dass keine personenbezogenen Daten in der Consumer-Version verarbeitet werden. Die Enterprise- oder API-Version ist für den geschäftlichen Einsatz empfohlen.
Welche Daten sammelt ChatGPT?
ChatGPT sammelt Eingabedaten (Prompts), Ausgabedaten (Antworten), Kontodaten (E-Mail, Name, Zahlungsinformationen), Nutzungsdaten (IP-Adresse, Geräteinformationen, Zeitstempel) und Feedback-Daten. Bei der Registrierung werden zusätzlich Verifizierungsdaten erhoben. Alle Daten werden auf Servern in den USA verarbeitet, wobei OpenAI unter dem EU-U.S. Data Privacy Framework zertifiziert ist.
Braucht man einen Auftragsverarbeitungsvertrag für ChatGPT?
Ja, nach Art. 28 DSGVO ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht, sobald personenbezogene Daten verarbeitet werden. OpenAI stellt ein Data Processing Addendum (DPA) für Team-, Enterprise- und API-Kunden bereit. Für die kostenlose Version und ChatGPT Plus gibt es keinen vollwertigen AVV. Ohne AVV ist die Verarbeitung personenbezogener Daten über ChatGPT ein DSGVO-Verstoß.
Kann man für die Nutzung von ChatGPT abgemahnt werden?
Ja, das Risiko besteht. Der BGH hat in mehreren Urteilen die Klagebefugnis von Verbraucherverbänden und Mitbewerbern bei DSGVO-Verstößen gestärkt. Fehlende Datenschutzkonformität kann zu strafbewehrten Unterlassungserklärungen mit fünfstelligen Vertragsstrafen führen. Zudem drohen Bußgelder der Aufsichtsbehörden von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.
Muss man eine Datenschutz-Folgenabschätzung für ChatGPT durchführen?
In der Regel ja. Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Der Einsatz von ChatGPT erfüllt diese Voraussetzung, weil das System personenbezogene Daten mit neuer Technologie in großem Umfang verarbeitet. Die DSFA dokumentiert Risiken und Gegenmaßnahmen und ist ein zentrales Compliance-Dokument bei behördlichen Prüfungen.
Was ist der Unterschied zwischen ChatGPT Free und ChatGPT Enterprise beim Datenschutz?
ChatGPT Free bietet keinen Auftragsverarbeitungsvertrag, verwendet Nutzerdaten zum Training und überträgt alle Daten auf US-Server ohne EU-Hosting-Option. ChatGPT Enterprise bietet einen AVV (Data Processing Addendum), verwendet keine Nutzerdaten zum Training, ermöglicht seit Februar 2025 EU-Datenresidenz und liefert administrative Kontrollfunktionen wie rollenbasierte Zugriffsrechte und SOC-2-Zertifizierung.
Wurde OpenAI schon wegen DSGVO-Verstößen bestraft?
Ja. Die italienische Datenschutzbehörde Garante verhängte im Dezember 2024 ein Bußgeld von 15 Millionen Euro gegen OpenAI. Grund waren mangelnde Transparenz bei der Datenverarbeitung, fehlende Rechtsgrundlage und unzureichender Jugendschutz. Zuvor hatte Italien ChatGPT im März 2023 als erstes Land weltweit vorübergehend gesperrt. OpenAI hat Berufung gegen das Bußgeld eingelegt.
Welche Alternativen zu ChatGPT sind DSGVO-konformer?
Azure OpenAI von Microsoft bietet die gleiche GPT-Technologie mit EU-Datenresidenz und bestehendem AVV im M365-Rahmen. Microsoft Copilot integriert KI direkt in Office-Anwendungen mit EU-Datenverarbeitung. Open-Source-Modelle wie Llama oder Mistral lassen sich auf eigener Infrastruktur betreiben und bieten volle Datenhoheit. Bei jedem Anbieter sollten drei Punkte geprüft werden: AVV-Verfügbarkeit, Trainingsausschluss und EU-Datenresidenz.
Muss der Betriebsrat bei der ChatGPT-Einführung beteiligt werden?
Ja, in Unternehmen mit Betriebsrat ist die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG zu beachten. ChatGPT protokolliert Nutzungsdaten, die zur Leistungs- oder Verhaltenskontrolle geeignet sein können. Ohne Beteiligung des Betriebsrats ist die Einführung anfechtbar. Eine Betriebsvereinbarung zur KI-Nutzung schafft Rechtssicherheit für beide Seiten und regelt Nutzungsumfang, Datenschutz und Schulungsansprüche.
Sie möchten KI in Ihrem Unternehmen einsetzen? Sprechen Sie uns an - wir beraten Sie unverbindlich.