ChatGPT und Datenschutz: Was Unternehmen unter DSGVO und EU AI Act beachten müssen

ChatGPT ist in Unternehmen längst angekommen — oft schneller, als Datenschutzbeauftragte und IT-Sicherheit reagieren konnten. Die Folge: unkontrollierter Datenabfluss in US-Server, fehlende Auftragsverarbeitungsverträge und Verstöße gegen die DSGVO, die bei einem Audit teuer werden können. Mit dem Inkrafttreten der KI-Verordnung kommen zusätzliche Pflichten hinzu.

Dieser Artikel erklärt, welche datenschutzrechtlichen Anforderungen beim Einsatz von ChatGPT und anderen Large Language Models (LLMs) gelten, wie ein AVV mit OpenAI aussieht und welche fünf Fehler Sie unbedingt vermeiden sollten.

1. Das Grundproblem: Wer verarbeitet hier wessen Daten?

Wenn ein Mitarbeiter einen Kundennamen, eine E-Mail-Adresse oder ein Vertragsentwurf in ChatGPT eingibt, werden personenbezogene Daten an OpenAI übermittelt — einen US-Anbieter. Das löst eine Kaskade von DSGVO-Pflichten aus:

• Auftragsverarbeitung nach Art. 28 DSGVO — Sie brauchen einen AVV mit OpenAI
• Drittlandsübermittlung nach Art. 44 ff. — Daten fließen in die USA, das DPF (Data Privacy Framework) greift aktuell, aber ist rechtlich angefochten
• Informationspflichten nach Art. 13/14 — Betroffene müssen informiert werden
• Grundsatz der Datenminimierung nach Art. 5 — nur notwendige Daten verarbeiten

2. AVV mit OpenAI

OpenAI bietet im ChatGPT Business, Team und Enterprise Produkt einen standardmäßigen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Bei der Consumer-Version (kostenlos oder Plus) gibt es keinen AVV — jeder Input wird nach den Consumer-Nutzungsbedingungen verarbeitet und kann zum Training verwendet werden.

Konsequenz: Unternehmen sollten mindestens ChatGPT Team oder Business einsetzen und den offiziellen OpenAI DPA unterzeichnen. Zu finden unter openai.com/policies/data-processing-addendum. Bei Enterprise gibt es zusätzlich Zero-Data-Retention-Optionen und Administratorkontrollen.

3. Drittlandsübermittlung USA

OpenAI ist im EU-US Data Privacy Framework zertifiziert (Stand: 2026). Das ist die Rechtsgrundlage für Datenübermittlungen. Risiken:

• Das DPF ist juristisch umstritten (ähnlich Safe Harbor und Privacy Shield davor)
• Mehrere NGOs (noyb, Max Schrems) klagen bereits
• Ein EuGH-Urteil zur Aufhebung ist nicht unwahrscheinlich

Best Practice: Standardvertragsklauseln als Absicherung UND Dokumentation einer Transfer-Impact-Assessment (TIA). Wer ganz sicher gehen will, nutzt Azure OpenAI in EU-Regionen — gleiche Modelle, EU-Datenhaltung, Microsoft-DPA.

4. EU AI Act: Die Schulungspflicht aus Art. 4

Seit dem 2. Februar 2025 greift die KI-Kompetenzpflicht nach Art. 4 EU AI Act. Unternehmen müssen nachweisen, dass ihre Mitarbeiter, die ChatGPT oder andere LLMs bedienen, geschult sind in:

• Was ist generative KI und wie funktioniert sie
• Halluzinationen und Grenzen
• Datenschutz beim Prompting (was nicht hineingeben)
• Firmen-Policy zur KI-Nutzung
• Ethische Aspekte und Transparenz

Die Pflicht gilt unabhängig von der Risikoklasse — also auch bei einem simplen Einsatz wie E-Mail-Entwürfe.

5. Die fünf häufigsten Fehler

Fehler 1: Consumer-ChatGPT für Unternehmenseinsatz

Das ist die schwerste Sünde. Ohne AVV und mit Training auf Ihren Inputs läuft jeder sensible Prompt Gefahr, in zukünftigen Modellen zu landen. Fix: Auf ChatGPT Team, Business oder Enterprise upgraden — oder auf Azure OpenAI wechseln.

Fehler 2: Kein schriftlicher KI-Policy

Ohne Regeln wissen Mitarbeitende nicht, was erlaubt ist. Eine gute Policy regelt: welche Tools erlaubt sind, welche Daten tabu sind (Kundendaten, Gehaltsdaten, Geschäftsgeheimnisse, medizinische Daten), wie Prompts anonymisiert werden, wer der Ansprechpartner ist. Fix: Matproof generiert DSGVO- und AI-Act-konforme KI-Policies als Template.

Fehler 3: Keine Information der Betroffenen

Wenn Sie Bewerberdaten, Kundendaten oder Mitarbeiterdaten in ChatGPT verarbeiten, sind das personenbezogene Daten — und die Betroffenen müssen nach Art. 13 DSGVO informiert werden. Fix: Datenschutzerklärung um einen KI-Abschnitt erweitern, Mitarbeiter-Information per Betriebsvereinbarung.

Fehler 4: Schulungsnachweise fehlen

Wenn die Behörde bei einer DSGVO-Prüfung fragt, wer geschult wurde, reicht "alle" nicht — gefordert sind personenbezogene Nachweise mit Datum und Inhalt. Fix: KI-Kompetenz-Schulung mit auditfähiger Dokumentation.

Fehler 5: Betriebsrat nicht einbezogen

Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat Mitbestimmungsrechte bei technischen Einrichtungen, die Verhalten oder Leistung von Mitarbeitenden überwachen. ChatGPT Enterprise kann Nutzungsdaten protokollieren — das löst die Mitbestimmung aus. Fix: Betriebsvereinbarung vor der Einführung.

6. Fünf-Schritte-Plan zur sicheren ChatGPT-Nutzung

1. KI-Inventar erstellen — welche KI-Tools sind im Einsatz (Shadow AI oft unterschätzt)
2. Business/Enterprise-Lizenz statt Consumer-Accounts, AVV unterschreiben
3. KI-Policy erstellen und kommunizieren — schriftlich, versioniert, freigegeben
4. Mitarbeiterschulung durchführen — Art. 4 EU AI Act, dokumentiert
5. Datenschutzerklärung aktualisieren und Betriebsrat einbinden

Matproof führt Sie durch alle fünf Schritte, bildet die Nachweise in einem zentralen GRC-System ab und warnt pro-aktiv bei Abweichungen.

Fazit

ChatGPT und andere LLMs sind Produktivitätswerkzeuge, die Unternehmen nicht mehr ignorieren können. Gleichzeitig ist der unkontrollierte Einsatz ein Einfallstor für DSGVO-Bußgelder, EU-AI-Act-Verstöße und Wettbewerbsnachteile durch Abfluss von Geschäftsgeheimnissen.

Der Lösungsweg ist strukturiert: Business-Lizenzen, schriftliche Policy, auditfähige Schulungen, integrierte Compliance. Wer diese Grundlage schafft, nutzt ChatGPT als Wettbewerbsvorteil — statt als Haftungsfalle.

Weiterführend:

• KI-Kompetenz nach Art. 4 EU AI Act
• KI-Verordnung erklärt
• KI-Verordnung Schulung
• EU AI Act Framework-Seite