ChatGPT im Unternehmen DSGVO-konform einsetzen

„Darf ich ChatGPT im Unternehmen einsetzen?” — das ist die häufigste Frage, die wir seit Ende 2022 hören. Und sie ist berechtigt, denn zwischen „Ja, klar” und „Auf keinen Fall” liegen Welten. Die Wahrheit: Ja, Du darfst ChatGPT DSGVO-konform einsetzen — aber eben nicht die kostenlose Version, und nicht für alles. In diesem Beitrag zeigen wir Dir pragmatisch, worauf Du achten musst, welche Varianten es gibt und was Du besser niemals in ein Chatfenster eingibst.

Wir von MOLOTOW Web Development aus Lahr begleiten KMU beim sinnvollen und rechtssicheren KI-Einsatz — mit zertifizierter KI-Management-Expertise im Team. Fangen wir mit dem wichtigsten Punkt an.

Die kostenlose ChatGPT-Version ist nicht DSGVO-konform

Klare Kante: Die kostenlose Version von ChatGPT (und auch die persönliche Plus-Version) solltest Du im Unternehmenskontext nicht für die Verarbeitung personenbezogener Daten oder sensibler Firmendaten nutzen. Zwei Gründe:

1. Kein Auftragsverarbeitungsvertrag (AVV/DPA). Ohne DPA keine rechtssichere Verarbeitung personenbezogener Daten durch einen Dritten.
2. Daten fließen standardmäßig ins Training. Alles, was Du eingibst, kann zur Verbesserung des Modells genutzt werden. Es gibt einen manuellen Opt-out in den Einstellungen, aber das reicht für einen seriösen Unternehmenseinsatz nicht.

Punkt. Wer Kundendaten, interne Strategien oder Bewerberunterlagen in die kostenlose Version wirft, verletzt im Zweifel die DSGVO und riskiert ein Bußgeld.

Die Lösung: ChatGPT Team, Enterprise oder die API

OpenAI bietet mehrere Varianten, mit denen ein rechtssicherer Einsatz möglich ist:

ChatGPT Team

Der Einstieg für kleine Teams ab zwei Personen. Rund 25 Euro pro Monat und Nutzer. Wichtigste Eigenschaften:

• DPA-Abschluss möglich (OpenAI Data Processing Addendum)
• Kein Modell-Training mit Deinen Eingaben (vertraglich zugesichert)
• Gemeinsame Workspaces, zentrale Nutzerverwaltung
• Zugriff auf alle aktuellen Modelle

Für die meisten kleinen Mittelständler ist das die realistische Einstiegslösung.

ChatGPT Enterprise

Für größere Unternehmen mit entsprechenden Anforderungen. Zusätzlich zu den Team-Features: erweiterte Sicherheit, SSO, Audit-Logs, längere Kontextfenster, SOC-2-Compliance. Seit Anfang 2025 bietet OpenAI außerdem EU-Datenresidenz für Enterprise-Kunden an — ein wichtiger Punkt, wenn Dein Datenschutzbeauftragter auf EU-Speicherung besteht.

API-Nutzung

Wer ChatGPT in eigene Anwendungen einbaut (zum Beispiel in einen eigenen Firmen-Chatbot), nutzt die OpenAI-API. Auch hier gilt: DPA abschließbar, keine Nutzung der Daten zum Training. Gut geeignet für Entwickler-Szenarien und RAG-Setups.

Was Du nie in ChatGPT eingeben solltest

Unabhängig von der gewählten Variante gelten ein paar harte Regeln, die wir unseren Kunden einbläuen:

• Gesundheitsdaten, Sozialdaten, Sexualität, religiöse Ansichten (besondere Kategorien nach Art. 9 DSGVO) — finger weg, außer Du hast eine sauber dokumentierte Rechtsgrundlage und eine DSFA.
• Bewerberunterlagen mit Klarnamen — anonymisieren, bevor Du sie zur Vorauswahl an die KI gibst.
• Kundendaten ohne Zweckbindung — wenn Du Kundendaten nur eingibst, weil es „bequemer” ist, fehlt die Rechtsgrundlage.
• Geschäftsgeheimnisse und Strategiepapiere — auch wenn Training ausgeschlossen ist, ist die Frage: Muss das wirklich durch ein US-Cloud-System?
• Passwörter, API-Keys, Zugangsdaten — aus Sicherheitsgründen, nicht nur aus Datenschutzgründen.

Unser Tipp: Erstelle eine KI-Nutzungsrichtlinie für Deine Mitarbeiter, die klar auflistet, was erlaubt ist und was nicht. Ein halber Seite reicht oft schon.

Typische Fallstricke in der Praxis

In unseren Beratungen sehen wir immer wieder dieselben Fehler:

Fall 1: Kostenlose Accounts „für eben mal”. Mitarbeiter registrieren sich mit der Firmen-E-Mail bei der kostenlosen Version und nutzen sie parallel zum offiziellen Tool. Das musst Du technisch und organisatorisch unterbinden.

Fall 2: Copy-paste aus E-Mails. Jemand kopiert eine komplette Kunden-E-Mail ins Chatfenster mit der Bitte „formuliere mir eine Antwort”. Damit landen Name, Adresse, oft auch sensible Infos im System. Besser: Daten vorher anonymisieren oder pseudonymisieren.

Fall 3: DSFA vergessen. Bei risikoreichen Einsatzgebieten (HR-Entscheidungen, Gesundheit, Kunden-Profiling) brauchst Du eine Datenschutz-Folgenabschätzung. Das ist keine Kür, sondern Pflicht.

Fall 4: Keine Mitarbeiter-Schulung. Seit 2. Februar 2025 verpflichtet der EU AI Act Unternehmen zur KI-Kompetenz-Schulung. Wer das ignoriert, hat nicht nur ein Datenschutzthema, sondern zusätzlich ein AI-Act-Thema.

Alternativen: Microsoft Copilot mit Commercial Data Protection

Wer ohnehin im Microsoft-Ökosystem zuhause ist, sollte einen Blick auf Microsoft Copilot werfen. In der Commercial-Data-Protection-Variante (kostenlos in vielen M365-Lizenzen enthalten oder als Copilot Pro) gelten ähnliche Schutzmechanismen: keine Nutzung der Eingaben zum Training, Enterprise-Grade-Sicherheit. Der große Vorteil: Du hast bereits einen AVV mit Microsoft. Der kleinere Nachteil: Die Modelle sind teilweise etwas hinter den OpenAI-Originalen zurück.

Weitere Alternativen je nach Anwendungsfall: Claude von Anthropic (bietet ebenfalls DPA und keine Training-Nutzung), Mistral AI aus Frankreich (für wen EU-Hosting besonders wichtig ist) und Aleph Alpha aus Deutschland.

Mehr zum Thema Datenschutz findest Du auch auf unserer Seite Sicher im Netz.

Häufige Fragen

Ist ChatGPT Team DSGVO-konform?

Ja, mit der richtigen Konfiguration. OpenAI stellt für Team, Enterprise und API einen DPA zur Verfügung, garantiert vertraglich den Verzicht auf Training mit Kundendaten und bietet inzwischen EU-Datenresidenz für Enterprise-Kunden. Die DSGVO-Konformität hängt aber auch davon ab, was Du eingibst und wie Du die Nutzung organisatorisch absicherst.

Brauche ich für ChatGPT eine Datenschutz-Folgenabschätzung (DSFA)?

Nicht zwingend, aber in vielen Fällen ja. Eine DSFA ist nötig, wenn mit der Verarbeitung ein hohes Risiko für die Rechte der Betroffenen verbunden ist — etwa bei automatisierten HR-Entscheidungen, Kundenprofiling oder der Verarbeitung besonderer Datenkategorien. Für den reinen Textverbesserungs-Einsatz ohne Personenbezug brauchst Du meist keine DSFA.

Darf ich mit ChatGPT Bewerbungen vorselektieren?

Das ist ein heißes Eisen. Nach AI Act gehört automatisierte Bewerberauswahl zur Hochrisiko-KI, und nach DSGVO Art. 22 dürfen Betroffene nicht einer rein automatisierten Entscheidung unterworfen werden. Kurz: Als reines Hilfsmittel (Zusammenfassen, Formatieren, Stellenausschreibungen entwerfen) okay. Als Entscheider für Einladung/Absage: nicht ohne sauberes menschliches Review und Dokumentation.

Was ist der No-Training-Flag?

Das ist ein API- bzw. Account-Flag, mit dem OpenAI garantiert, dass Deine Eingaben nicht zum Modelltraining verwendet werden. Bei ChatGPT Team, Enterprise und der API ist das standardmäßig gesetzt — bei der kostenlosen Version nicht. Prüfe im Zweifel die Einstellungen in Deinem Account.

Welche Alternative ist für deutsche KMU besonders interessant?

Wenn Du ohnehin Microsoft 365 nutzt, ist Copilot der pragmatischste Einstieg — der AVV mit Microsoft besteht ja bereits und die Integration in Outlook, Word und Teams ist nahtlos. Wer sensible Daten verarbeitet und EU-Hosting bevorzugt, sollte einen Blick auf Aleph Alpha aus Heidelberg oder Mistral aus Paris werfen. Für reine Textarbeit ist Claude von Anthropic eine gute Option mit starkem DPA.

Fazit

ChatGPT DSGVO-konform einzusetzen ist machbar — mit der richtigen Variante, einer klaren Richtlinie und geschulten Mitarbeitern. Wer die kostenlose Version produktiv nutzt, geht ein unnötiges Risiko ein. In der Praxis empfehlen wir unseren Kunden meist einen dreistufigen Einstieg: erstens ChatGPT Team oder Microsoft Copilot einführen, zweitens eine einseitige KI-Richtlinie formulieren, drittens alle Mitarbeiter in einer 90-minütigen Schulung abholen. Danach ist der Betrieb rechtssicher und alle wissen, was geht und was nicht. Wenn Du unsicher bist, welches Setup zu Deinem Unternehmen passt, melde Dich — wir helfen Dir gerne über unser Kontaktformular.