LeistungenSchulungenReferenzenBlogHubKontakt
Kostenlose Erstberatung
merlin.hemmerich@he-co.eu +49 176 24179379
KI-Schulungen
KI-Schulungen
4 Min. Lesezeit
Merlin Hemmerich04. Mai 2026

ChatGPT sicher im Unternehmen nutzen: Der DSGVO-Leitfaden

ChatGPT im Unternehmen: Was ist erlaubt, was nicht? Der praktische DSGVO-Leitfaden mit konkreten Regeln, Checklisten und Beispielen für den sicheren Einsatz.

ChatGPT im Büro: Zwischen Produktivitäts-Boost und DSGVO-Falle

78 % der Mitarbeiter, die KI am Arbeitsplatz nutzen, tun dies ohne Wissen ihres Arbeitgebers (Microsoft Work Trend Index 2024). Das bedeutet: In Ihrem Unternehmen wird wahrscheinlich bereits heute ChatGPT genutzt — nur eben unkontrolliert und potenziell unsicher.

Das ist kein Grund zur Panik. Aber es ist ein Grund, jetzt klare Regeln aufzustellen.

Was passiert eigentlich mit Ihren Daten bei ChatGPT?

Die kostenlose Version (ChatGPT Free & Plus)

  • Eingaben können für das Training des Modells verwendet werden
  • Daten werden auf Servern in den USA verarbeitet
  • Kein Auftragsverarbeitungsvertrag (AVV) möglich
  • Für Unternehmensdaten: Nicht geeignet

ChatGPT Enterprise / Team

  • Daten werden nicht für Training verwendet
  • SOC 2 Type 2 Compliance
  • AVV verfügbar
  • Daten verschlüsselt (at rest und in transit)
  • Für Unternehmen: Die sichere Variante

API-Zugang

  • Daten werden nicht für Training verwendet (Standard seit März 2023)
  • AVV über OpenAI Data Processing Agreement
  • Volle Kontrolle über Datenverarbeitung
  • Für Entwickler und Automatisierungen: Empfohlen

Die 5 goldenen Regeln für ChatGPT im Unternehmen

Regel 1: Keine personenbezogenen Daten eingeben

Verboten:

  • Kundennamen, E-Mail-Adressen, Telefonnummern
  • Mitarbeiterdaten (Gehälter, Bewertungen, Krankmeldungen)
  • Bewerbungsunterlagen mit Klarnamen
  • Geschäftspartner-Kontaktdaten

Erlaubt:

  • Anonymisierte Fallbeispiele („Ein Kunde aus der Automobilbranche...")
  • Allgemeine Branchendaten und Statistiken
  • Öffentlich verfügbare Informationen
  • Eigene Textentwürfe ohne personenbezogene Daten

Regel 2: Keine Geschäftsgeheimnisse teilen

  • Keine unveröffentlichten Finanzzahlen
  • Keine Patente oder Prototyp-Details
  • Keine Vertragsdetails mit Kunden oder Lieferanten
  • Keine strategischen Planungen

Regel 3: Ergebnisse immer prüfen

ChatGPT halluziniert — das bedeutet, es erfindet Fakten, die überzeugend klingen aber falsch sind. Jedes Ergebnis muss geprüft werden, besonders bei:

  • Rechtlichen Aussagen
  • Zahlen und Statistiken
  • Produktempfehlungen
  • Medizinischen oder technischen Informationen

Regel 4: Die richtige Version nutzen

AnwendungsfallEmpfohlene Version
Persönliches BrainstormingChatGPT Plus (ok)
Texterstellung (ohne Kundendaten)ChatGPT Team/Enterprise
KundenkommunikationChatGPT Enterprise + Prüfung
DatenanalyseAPI oder Enterprise
AutomatisierungenNur über API

Regel 5: Interne KI-Richtlinie erstellen

Jedes Unternehmen braucht eine schriftliche Richtlinie, die regelt:

  • Welche KI-Tools erlaubt sind
  • Welche Daten eingegeben werden dürfen
  • Wer die Einhaltung überwacht
  • Was bei Verstößen passiert

Praktische Checkliste: Ist Ihr KI-Einsatz DSGVO-konform?

  • Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter abgeschlossen?
  • Verarbeitungsverzeichnis aktualisiert (Art. 30 DSGVO)?
  • Datenschutz-Folgenabschätzung durchgeführt (bei Hochrisiko-Verarbeitung)?
  • Mitarbeiter über erlaubte Nutzung informiert?
  • Interne KI-Richtlinie erstellt und kommuniziert?
  • Technische Maßnahmen (Enterprise-Version, API statt Free)?
  • Verantwortlicher für KI-Compliance benannt?
  • Regelmäßige Überprüfung der Nutzung geplant?

Alternativen zu ChatGPT: DSGVO-freundlichere Optionen

Claude (Anthropic)

  • Europäische Datenverarbeitung über AWS Frankfurt möglich
  • Starke Datenschutz-Grundsätze
  • API mit klaren Datenschutzregeln

Lokale KI-Modelle (Ollama, LM Studio)

  • Daten verlassen nie Ihr Unternehmen
  • 100 % DSGVO-konform
  • Eingeschränktere Leistung als Cloud-Modelle
  • Braucht eigene Hardware

Microsoft Copilot (mit Microsoft 365)

  • Nutzt Azure-Rechenzentren in der EU
  • In Microsoft 365 integriert
  • AVV über Microsoft-Vertrag
  • Gute Option für Unternehmen im Microsoft-Ökosystem

Was kostet ein DSGVO-Verstoß durch KI?

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. Aber auch ohne Bußgeld drohen:

  • Reputationsschäden bei bekannt gewordenen Datenlecks
  • Kundenvertrauen-Verlust, der schwer wiederherstellbar ist
  • Abmahnungen durch Wettbewerber oder Verbraucherschützer
  • Interne Kosten für Schadensbegrenzung und Rechtsberatung

Die Investition in eine professionelle KI-Schulung ist verschwindend gering im Vergleich zu den potenziellen Kosten eines Datenschutzvorfalls.

Der schnellste Weg zu sicherem KI-Einsatz

Sie müssen nicht alles selbst herausfinden. In unserem KI-Kickstart Workshop lernt Ihr Team in 3 Stunden:

  • Welche Daten in welche Tools dürfen
  • Wie Sie Halluzinationen erkennen
  • Wie Sie eine interne KI-Richtlinie erstellen
  • 5 sofort umsetzbare, sichere Use Cases

→ KI-Kickstart Workshop buchen (199 €/Person)

Dieser Artikel ersetzt keine Rechtsberatung. Für eine rechtssichere KI-Einführung empfehlen wir die Zusammenarbeit mit Ihrem Datenschutzbeauftragten und einer spezialisierten Kanzlei.

ChatGPTDSGVODatenschutzUnternehmenSicherheitKI-Richtlinie

Bereit für den nächsten Schritt?

Lassen Sie uns in einem kostenlosen Erstgespräch besprechen, wie KI Ihr Unternehmen voranbringt.

Kostenlose Erstberatung