ChatGPT im Unternehmen: Datenschutz, DSGVO und die eigene Richtlinie [2026]

ChatGPT ist längst im Arbeitsalltag angekommen. Laut einer Bitkom-Befragung aus 2025 nutzen 71% der deutschen Unternehmen KI-Tools bereits oder planen deren Einsatz — ein Großteil davon im Bereich generativer KI wie ChatGPT, Copilot oder vergleichbarer Systeme.

Das Problem: Die Nutzung läuft in vielen Betrieben ohne klare Regeln. Mitarbeiter tippen Kundendaten, interne Kalkulationen oder Vertragsentwürfe in öffentliche KI-Interfaces ein — oft ohne zu wissen, dass diese Daten unter Umständen zur Weiterverarbeitung genutzt werden dürfen. Gleichzeitig fehlt in den meisten KMU eine formale Unternehmensrichtlinie, die den Umgang mit KI-Tools regelt.

Dieser Artikel erklärt, was die DSGVO konkret verlangt, welche Produktvarianten von ChatGPT für Unternehmen geeignet sind und wie eine praxistaugliche KI-Nutzungsrichtlinie aufgebaut sein sollte.

---

Was DSGVO und EU AI Act von Unternehmen verlangen

Die DSGVO unterscheidet nicht zwischen manueller Datenverarbeitung und KI-gestützter. Wer personenbezogene Daten in ein KI-System eingibt, führt im Sinne des Art. 4 Nr. 2 DSGVO eine Verarbeitung durch — mit allen damit verbundenen Pflichten.

Auftragsverarbeitung (Art. 28 DSGVO): Wenn Sie Daten an einen Drittanbieter weitergeben — also auch an OpenAI, Microsoft oder Google — ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich, sofern der Anbieter die Daten in Ihrem Auftrag verarbeitet. OpenAI bietet für ChatGPT Enterprise und ChatGPT Team entsprechende AVVs an. Für die kostenlose Version oder ChatGPT Plus existiert kein solcher Vertrag — diese Varianten scheiden für die professionelle Unternehmensnutzung mit personenbezogenen Daten damit rechtlich aus. Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur die Daten verarbeitet werden, die für den Zweck tatsächlich erforderlich sind. Wer einen Kundenbrief via ChatGPT formulieren lässt und dabei den vollständigen CRM-Datensatz des Kunden einfügt, verstößt gegen diesen Grundsatz — auch wenn das Ergebnis qualitativ gut ist. Privacy by Design (Art. 25 DSGVO): Systeme müssen von vornherein datenschutzfreundlich gestaltet sein. Das bedeutet: KI-Tools dürfen nicht standardmäßig mit den sensibelsten Datenkategorien arbeiten, es sei denn, es gibt eine ausdrückliche, dokumentierte Notwendigkeit.

Zusätzlich zur DSGVO gilt seit August 2026 der EU AI Act vollständig. Für generative KI-Systeme wie ChatGPT schreibt er in Art. 50 Transparenzpflichten vor: Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren. Für Unternehmen, die intern KI-generierte Inhalte einsetzen, ist das weniger relevant — für Unternehmen, die KI-generierte Texte in der Kundenkommunikation verwenden (z.B. automatisierte E-Mail-Antworten), jedoch nicht.

---

Was konkret verboten ist — und wo die Grauzone liegt

Nicht jede ChatGPT-Nutzung im Unternehmen ist problematisch. Die Unterscheidung liegt in den Daten, die eingegeben werden.

Eindeutig unzulässig ohne AVV und geprüfte Datenverarbeitung:

• Eingabe von Namen, Adressen, Kundennummern oder sonstigen Kundendaten in ChatGPT Free oder Plus
• Verarbeitung von Mitarbeiterdaten (Gehaltsabrechnungen, Leistungsbeurteilungen, Krankmeldungen) über nicht-abgesicherte KI-Systeme
• Eingabe von Finanzdaten mit Bezug zu identifizierbaren Personen (z.B. Umsatzzahlen pro Kunde)
• Verarbeitung von Gesundheitsdaten, auch im HR-Kontext

Grundsätzlich erlaubt — aber mit klarer Richtlinie zu regeln:

• Formulierungshilfe für allgemeine Texte ohne Personenbezug (z.B. interne Kommunikation, generische Angebotseröffnungen)
• Recherche und Zusammenfassungen öffentlich verfügbarer Informationen
• Code-Generierung, die keine produktivkritischen oder sicherheitsrelevanten Systeme betrifft
• Brainstorming und Strukturierung ohne Eingabe von Kundendaten

Die italienische Datenschutzbehörde Garante verhängte gegen OpenAI 2024 ein temporäres Nutzungsverbot und später eine Geldbuße — primär wegen fehlender Transparenz zur Datenverarbeitung. Das zeigt: Aufsichtsbehörden in der EU beobachten KI-Anbieter aktiv.

---

ChatGPT Free, Plus, Team, Enterprise — der datenschutzrechtliche Unterschied

OpenAI bietet vier Produktvarianten an, die sich datenschutzrechtlich erheblich unterscheiden:

Variante | Modell-Training mit Eingaben | AVV verfügbar | Datenspeicherung

ChatGPT Free | Ja (Standard) | Nein | 30 Tage

ChatGPT Plus | Opt-out möglich | Nein | 30 Tage

ChatGPT Team | Nein | Ja | Konfigurierbar

ChatGPT Enterprise | Nein | Ja | Konfigurierbar, bis 0 Tage möglich

Für den Unternehmenseinsatz mit personenbezogenen Daten kommen damit nur Team und Enterprise ernsthaft in Frage. ChatGPT Team kostet ab 25 USD pro Nutzer pro Monat, Enterprise wird individuell verhandelt.

Alternativen: Microsoft Copilot (in M365-Umgebungen mit bestehendem AVV) und Google Gemini for Workspace bieten vergleichbare Absicherungen und sind für Unternehmen, die bereits in diesen Ökosystemen arbeiten, oft die einfachere Wahl.

---

In 5 Schritten zur eigenen ChatGPT-Unternehmensrichtlinie

Eine KI-Nutzungsrichtlinie muss nicht umfangreich sein — sie muss praktisch sein. Mitarbeiter, die 20 Seiten lesen müssen, halten sich nicht daran.

Schritt 1: Inventur — Welche KI-Tools werden aktuell genutzt? Bevor Sie eine Richtlinie schreiben, müssen Sie wissen, was tatsächlich genutzt wird. Befragen Sie Abteilungsleiter: Welche Tools verwenden Mitarbeiter regelmäßig? Die Antwort ist oft überraschend — Shadow IT mit KI-Tools ist in mittelständischen Unternehmen weit verbreitet. Laut einer Gartner-Analyse aus 2025 nutzen 41% der Angestellten KI-Tools am Arbeitsplatz, ohne dass die IT-Abteilung davon weiß. Schritt 2: Klassifizierung — Welche Daten dürfen in KI-Systeme? Definieren Sie drei Kategorien:

• Freigegeben (kein Personenbezug, kein Betriebsgeheimnis): z.B. allgemeine Texte, öffentliche Recherche
• Eingeschränkt (nur mit geprüftem Tool und AVV): z.B. interne Prozesse, anonymisierte Kundenkommunikation
• Verboten (nie in KI-Systeme): z.B. Gesundheitsdaten, vollständige Kundendatensätze, Verträge mit vertraulichen Klauseln

Schritt 3: Tool-Zulassung — Whitelist definieren Legen Sie fest, welche KI-Tools intern zugelassen sind. Alles andere ist bis auf Weiteres nicht erlaubt. Die Liste muss nicht abschließend sein, aber der Standard-Status neuer Tools muss "nicht zugelassen" sein, bis eine Prüfung stattgefunden hat. Schritt 4: Schulung — Kurz, konkret, wiederholbar Eine 30-minütige Schulung pro Abteilung ist wirkungsvoller als ein 50-seitiges Handbuch. Fokus: die drei Kategorien aus Schritt 2 anhand echter Beispiele aus dem Arbeitsalltag erklären. Was darf der Vertrieb eingeben? Was darf die Buchhaltung nicht eingeben? Schritt 5: Dokumentation — Was Sie für eine Datenschutzprüfung brauchen Falls ein Datenschutzbeauftragter oder eine Aufsichtsbehörde nachfragt, müssen Sie nachweisen können: welche Tools eingesetzt werden, auf welcher Rechtsgrundlage, ob ein AVV besteht und wer intern verantwortlich ist. Ein einfaches Google Sheet oder eine interne Confluence-Seite reicht dafür aus — wenn es gepflegt ist.

---

Häufige Fragen

Darf ich ChatGPT für die Erstellung von Angeboten nutzen? Ja — solange keine personenbezogenen Daten des Kunden eingegeben werden. Ein generischer Angebotstext, der dann manuell individualisiert wird, ist unproblematisch. Ein Text, bei dem Sie Name, Adresse und Projektdetails des Kunden direkt in ChatGPT eingeben, ist ohne AVV mit OpenAI nicht zulässig. Muss jedes Unternehmen einen Datenschutzbeauftragten für KI-Themen haben? Nicht zwingend. Ein externer Datenschutzbeauftragter ist ab einer bestimmten Unternehmensgröße (≥20 Mitarbeiter, die regelmäßig personenbezogene Daten verarbeiten) ohnehin vorgeschrieben. Für KI-spezifische Fragen können Sie diesen in die Richtlinienerstellung einbinden. Wenn kein DSB vorhanden ist, können Kammern oder Datenschutzverbände beratend tätig werden. Sind Verstöße gegen die DSGVO beim ChatGPT-Einsatz realistisch sanktionierbar? Ja. Die DSGVO-Bußgelder staffeln sich bis zu 4% des weltweiten Jahresumsatzes oder 20 Mio. Euro — je nachdem, was höher ist. Für einen mittelständischen Betrieb mit 5 Mio. Euro Umsatz sind das bis zu 200.000 Euro. In der Praxis verhängen Aufsichtsbehörden bei erstmaligen, nicht-schwerwiegenden Verstößen eher Abmahnungen als Bußgelder. Das Risiko ist real — der richtige Umgang damit ist Prävention, nicht Abwarten. Darf ich mit ChatGPT Mitarbeiter-Feedbackgespräche vorbereiten? Nur mit erheblicher Vorsicht. Wenn Sie Leistungsbeurteilungen, Gesprächsnotizen oder ähnliche Informationen mit Bezug zu einem konkreten Mitarbeiter eingeben, handelt es sich um besonders schützenswerte Daten im Beschäftigungsverhältnis. Hierfür gelten erhöhte Anforderungen nach § 26 BDSG. Ohne eine ausdrückliche Betriebsvereinbarung oder Einwilligung des Mitarbeiters ist das problematisch. Was ist mit Microsoft Copilot — ist der besser abgesichert? Für Unternehmen, die bereits Microsoft 365 Business oder Enterprise nutzen, ist Copilot oft die rechtssicherere Wahl. Microsoft verarbeitet die Daten im Rahmen des bestehenden M365-Vertrags inklusive AVV, die Daten bleiben grundsätzlich in der EU-Region und werden nicht für das Training des Basismodells verwendet. Der Preis (30 USD pro Nutzer/Monat extra) ist jedoch vergleichbar mit ChatGPT Enterprise.

---

Die eigene KI-Nutzungsrichtlinie muss kein juristisches Meisterwerk sein. Sie muss klar, aktuell und kommuniziert sein — das ist für die meisten Mittelständler der entscheidende Unterschied zwischen einem theoretischen Risiko und einem praktischen Problem. Wenn Sie unsicher sind, welche Daten in Ihrem Unternehmen kritisch sind und wie eine praxistaugliche Richtlinie konkret aussehen würde: In einem kostenlosen Erstgespräch prüfen wir gemeinsam Ihren Status quo.