← KI & DSGVO DSGVO & KI-Tools 2026-03-07

ChatGPT im Unternehmen: Was du zur DSGVO wissen musst

ChatGPT ist im Büro angekommen — aber ist das überhaupt erlaubt? Was du als Unternehmer wissen musst, bevor du KI-Tools im Team einsetzt.

Markus Mangold · ZEOS83

ChatGPT, Copilot, Gemini — die KI-Tools sind in vielen Unternehmen längst angekommen. Und das ist gut so. Aber: Die meisten Unternehmer haben sich keine fünf Minuten lang gefragt, ob das überhaupt DSGVO-konform ist.

Ich auch nicht — am Anfang. Bis ich anfing, mich damit zu beschäftigen.

Was die DSGVO hier eigentlich sagt

Die DSGVO regelt den Umgang mit personenbezogenen Daten. Das sind alle Informationen die sich auf eine identifizierbare natürliche Person beziehen — Namen, E-Mail-Adressen, Telefonnummern, aber auch IP-Adressen oder Verhaltensprofile.

Wenn du ein KI-Tool nutzt und dabei personenbezogene Daten eingibst, übermittelst du diese an den Anbieter. Das ist eine Datenverarbeitung im Sinne der DSGVO — und die braucht eine Rechtsgrundlage.

Die wichtigsten Grundlagen:

Auftragsverarbeitung (Art. 28 DSGVO): Wenn der KI-Anbieter die Daten nur in deinem Auftrag verarbeitet und nicht für eigene Zwecke nutzt, brauchst du einen Auftragsverarbeitungsvertrag (AVV).
Drittlandtransfer: OpenAI sitzt in den USA. Datentransfers in die USA sind unter dem EU-US Data Privacy Framework möglich — aber nur wenn der Anbieter dort zertifiziert ist. OpenAI ist das.

Die drei Szenarien

Szenario 1: Allgemeine Aufgaben ohne personenbezogene Daten Du lässt dir Texte formulieren, Ideen brainstormen, Code erklären — ohne Kundendaten. Das ist unkritisch.

Szenario 2: Kunden- oder Mitarbeiterdaten im Prompt Du gibst Namen, Adressen oder andere personenbezogene Daten ein. Hier brauchst du zwingend einen AVV mit dem Anbieter. Für ChatGPT Enterprise gibt es das — für die Gratis-Version nicht.

Szenario 3: Sensible Daten (Gesundheit, Finanzen etc.) Hier wird es kompliziert. Sensible Daten unterliegen besonderen Schutzanforderungen. Im Zweifel: Finger weg oder Rechtsanwalt hinzuziehen.

Meine pragmatische Empfehlung

Für den Einstieg reicht eine einfache Regel: Keine Eigennamen, keine Adressen, keine Kundennummern in KI-Prompts — bis du einen AVV hast oder eine DSGVO-konforme Lösung nutzt.

Das klingt einschränkend, ist es aber nicht wirklich. 80% der nützlichen KI-Anwendungen im Büroalltag kommen ohne personenbezogene Daten aus.

Welche Tools ich empfehle

ChatGPT Enterprise: Hat AVV, US-Server, Data Privacy Framework — einsetzbar mit Datenschutzkonzept
Mistral (mistral.ai): Europäischer Anbieter, EU-Server, sehr gute Modelle
Selbstgehostet (Ollama + Llama/Mistral): Maximale Kontrolle, Daten verlassen nie dein System, technischer Aufwand überschaubar

Hast du konkrete Fragen zu deinem Setup? Schreib mir: mail@zeos83.com

Häufige Fragen zu diesem Thema

Darf ich ChatGPT für Kunden-E-Mails nutzen?

Grundsätzlich ja, aber: Keine konkreten personenbezogenen Daten des Kunden in den Prompt eingeben. Also kein 'Schreib eine Mail an Max Mustermann, Kunde seit 2019, der folgendes Problem hat...' — das wäre eine Übermittlung personenbezogener Daten an OpenAI ohne rechtsichere Grundlage.

Was ist ein Auftragsverarbeitungsvertrag (AVV) und brauche ich einen?

Ein AVV regelt, wie ein Dienstleister (hier OpenAI) personenbezogene Daten in deinem Auftrag verarbeitet. Wenn du ChatGPT mit Kundendaten nutzt, brauchst du zwingend einen AVV. OpenAI bietet diesen für ChatGPT Enterprise an — für die kostenlose Version gibt es keinen.

Welche Alternativen zu ChatGPT sind DSGVO-freundlicher?

Europäische Anbieter wie Mistral AI (Frankreich) bieten Modelle an die auf EU-Servern laufen. Für maximale Kontrolle: Selbstgehostete Open-Source-Modelle wie Llama oder Mistral auf eigenem Server — dann verlassen die Daten dein Unternehmen nie.