Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
ChatGPT Unternehmen Datenschutz: Das müssen Sie wissen
KI & DatenschutzZuletzt aktualisiert: 2026-06-23

ChatGPT, Unternehmen, Datenschutz: So nutzen Sie ChatGPT DSGVO-konform

Zuletzt aktualisiert: 23.06.2026

Beim Thema ChatGPT Unternehmen Datenschutz geht es selten um die Frage, ob Ihre Mitarbeitenden ChatGPT nutzen – sie tun es längst, oft im Browser-Tab neben der eigentlichen Anwendung. Die eigentliche Frage ist, ob das in Ihrem Unternehmen geregelt ist oder ob personenbezogene Daten, Vertragsentwürfe und Kundeninformationen unkontrolliert in ein KI-Tool wandern. Dieser Ratgeber zeigt Ihnen scanbar, worauf es beim ChatGPT-Einsatz datenschutzrechtlich ankommt, welche Fehler am häufigsten passieren und mit welchen sechs Regeln Sie das Risiko in den Griff bekommen.

Zur KI-Richtlinie – holen Sie sich die kostenlose Muster-KI-Richtlinie und regeln Sie die ChatGPT-Nutzung schriftlich.

Hinweis: Dieser Beitrag ist eine Orientierungshilfe und ersetzt keine Rechtsberatung im Einzelfall. Alle Angaben entsprechen dem Stand 23.06.2026.

Das Problem: „Schatten-KI" im Arbeitsalltag

Der typische Fall ist nicht der bewusste Regelverstoß, sondern die gut gemeinte Abkürzung: Eine Mitarbeiterin lässt sich von ChatGPT eine Kündigung formulieren und fügt dafür den echten Namen, das Eintrittsdatum und Gehaltsdaten ein. Ein Vertriebler kopiert einen Kundenvertrag hinein, um eine Zusammenfassung zu bekommen. Beides geschieht in Sekunden – und beides kann ein datenschutzrechtliches Problem sein.

Der Kern: Sobald Sie personenbezogene Daten in ChatGPT eingeben, ist das eine Verarbeitung im Sinne der DSGVO. Bei der frei zugänglichen Consumer-Version können diese Eingaben unter Umständen zum Training der Modelle verwendet werden, die Verarbeitung erfolgt teils außerhalb der EU, und Sie haben in der Regel keinen Auftragsverarbeitungsvertrag (AVV) geschlossen. Wer KI ohne Regeln laufen lässt, riskiert genau die Risikofelder, die wir bei vsca täglich sehen: Datenleck, Haftung, Bußgelder und Reputationsverlust.

Hinzu kommt eine Pflicht, die viele übersehen: Der EU AI Act verlangt seit dem 2. Februar 2025 über die KI-Kompetenzpflicht (Art. 4) von jedem Unternehmen, das KI einsetzt, dass die nutzenden Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Das gilt ausdrücklich auch für die reine Nutzung von Tools wie ChatGPT oder Microsoft Copilot. Diese Frist ist bereits abgelaufen – die Pflicht besteht also heute.

ChatGPT und die DSGVO: die drei Knackpunkte

Damit der ChatGPT-Einsatz mit der DSGVO zusammenpasst, müssen Sie vor allem drei Punkte im Blick haben:

  • Rechtsgrundlage und Datensparsamkeit: Für jede Verarbeitung personenbezogener Daten brauchen Sie eine Rechtsgrundlage – und Sie sollten nur so viele Daten eingeben wie unbedingt nötig. In den meisten Fällen lautet die sicherste Regel: gar keine personenbezogenen Daten in die freie Version eingeben.
  • Auftragsverarbeitung und Standort: Wer ChatGPT geschäftlich nutzt, sollte ein Angebot mit AVV und kontrollierbarer Datenverarbeitung wählen (z. B. Team-/Enterprise-Tarife oder die Einbindung über Azure OpenAI). Das EU-US Data Privacy Framework ist seit dem Urteil des EuG vom 3. September 2025 weiterhin gültig und bleibt eine mögliche Grundlage für Datentransfers in die USA – die konkrete Ausgestaltung ist aber im Einzelfall zu prüfen.
  • Transparenz und Betroffenenrechte: Betroffene haben Auskunfts-, Lösch- und Widerspruchsrechte. Diese müssen Sie auch dann erfüllen können, wenn Daten in ein KI-Tool geflossen sind – was bei der Consumer-Version praktisch kaum möglich ist.

Zur Einordnung der Durchsetzung: Die DSGVO wird in Deutschland konsequent vollzogen. Der bisherige deutsche Rekord ist das Bußgeld gegen Vodafone in Höhe von 45 Mio. € (BfDI, 3.6.2025, u. a. wegen mangelhafter Kontrolle von Auftragsverarbeitern). Das zeigt: Gerade die Auftragsverarbeitung ist ein scharf beobachtetes Thema – und genau dort liegt bei der ungeregelten ChatGPT-Nutzung das Risiko.

6 Regeln für die datenschutzkonforme ChatGPT-Nutzung

So machen Sie aus „irgendwie verboten, aber alle machen es" eine belastbare Regelung:

  1. Keine personenbezogenen und vertraulichen Daten in die freie Version. Namen, Gesundheits-, Personal- oder Kundendaten, Betriebsgeheimnisse und Vertragsdetails gehören nicht in die Consumer-Eingabe. Im Zweifel: anonymisieren oder weglassen.
  2. Geschäftliche Variante mit AVV nutzen: Wenn KI fester Bestandteil der Arbeit wird, setzen Sie auf eine Lösung mit Auftragsverarbeitungsvertrag, abschaltbarem Training und dokumentierter Datenverarbeitung.
  3. Training mit Ihren Daten deaktivieren: Prüfen Sie die Einstellungen und schalten Sie – wo möglich – die Nutzung Ihrer Eingaben für das Modelltraining ab.
  4. Ergebnisse immer prüfen: KI-Ausgaben können falsch oder erfunden sein. Inhalte werden von Menschen kontrolliert, bevor sie verwendet werden – das ist auch ein Stück gelebte KI-Kompetenz.
  5. Mitarbeitende schulen: Die KI-Kompetenzpflicht (Art. 4 EU AI Act) verlangt, dass Ihre Teams Funktionsweise, Grenzen und Risiken der Tools verstehen. Schulen Sie das – und dokumentieren Sie es.
  6. Alles in eine KI-Richtlinie gießen: Eine schriftliche Richtlinie macht aus mündlichen Bitten verbindliche Regeln: Wer darf welche Tools mit welchen Daten wofür nutzen?

Mini-Fazit

Beim Thema ChatGPT und Datenschutz im Unternehmen gilt: Verbieten lässt sich die Nutzung kaum, ignorieren sollten Sie sie auf keinen Fall. Der entscheidende Schritt ist nicht das technische Detail, sondern die klare, schriftliche Regelung – ergänzt um Schulung und eine geschäftstaugliche Tool-Variante. Wer das jetzt aufsetzt, erfüllt zugleich die seit Februar 2025 geltende KI-Kompetenzpflicht und schließt die DSGVO-Lücke, bevor daraus ein teures Problem wird. Wie Sie KI insgesamt rechtssicher in den Betrieb bringen, lesen Sie auf unserer Seite zur KI-Compliance.

Zur KI-Richtlinie

Sie wollen die ChatGPT-Nutzung in Ihrem Unternehmen sauber regeln, statt es dem Zufall zu überlassen? Holen Sie sich unsere kostenlose Muster-KI-Richtlinie – von TÜV-zertifizierten Datenschutzbeauftragten erstellt, am EU AI Act und an der DSGVO ausgerichtet und an einem Vormittag auf Ihr Unternehmen anpassbar.

Zur KI-Richtlinie

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Über die Autorin: Tabea Lehnert ist Managing Director Legal, Compliance & Datenschutz bei der vsquadrat compliance advisory GmbH. Als Wirtschaftsjuristin (LL.M.) und TÜV-zertifizierte Datenschutzbeauftragte & Compliance Officerin berät sie zu KI unter anderem in parlamentarischen Gremien sowie im Bundesministerium für Digitales und Staatsmodernisierung.

Zuletzt aktualisiert: 23.06.2026. Alle Angaben nach bestem Wissen zum Stand 23.06.2026; bei tagesaktuellen Veröffentlichungen bitte die Primärquelle gegenprüfen. Dieser Text ersetzt keine Rechtsberatung im Einzelfall.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.