ChatGPT DSGVO-konform nutzen — Datenschutz beim Einsatz von ChatGPT

Inhalt in Kürze

• 63 % aller ChatGPT-Prompts enthalten personenbezogene Daten — jede Nutzung von ChatGPT ohne DSFA, DPA und KI-Richtlinie ist ein DSGVO-Verstoß.
• ChatGPT Enterprise oder die OpenAI API sind die einzigen Versionen, die eine datenschutzkonforme Nutzung im Unternehmen ermöglichen — ChatGPT Free und Plus eignen sich nicht für den Einsatz von ChatGPT im Unternehmen mit personenbezogenen Daten.
• Shadow AI ist das größte Risiko: Bis zu 68 % der Mitarbeitenden nutzen KI-Tools ohne Wissen der IT — eine verbindliche KI-Richtlinie ist unverzichtbar.
• Der HmbBfDI prüft bereits den Einsatz von ChatGPT in Hamburger Unternehmen — dokumentierte Maßnahmen nach DSGVO und EU AI Act schützen Sie.

ChatGPT und Datenschutz: Risiken beim Datenschutz verstehen

ChatGPT von OpenAI hat die Arbeitswelt verändert – auch in Hamburg. Vom Marketingteam über die Rechtsabteilung bis zum Vertrieb: Unternehmen setzen immer mehr auf Künstliche Intelligenz wie ChatGPT und KI-Tools im Arbeitsalltag. Doch wer ChatGPT einsetzen möchte, muss die Anforderungen der Datenschutz-Grundverordnung (DSGVO) kennen — die datenschutzrechtliche Realität ist ernüchternd. Dass Unternehmen ChatGPT datenschutzkonform nutzen können, steht außer Frage — aber es erfordert systematische Maßnahmen.

63 % aller Prompts enthalten personenbezogene Daten. Das ergaben mehrere unabhängige Untersuchungen. Mitarbeitende geben Kundennamen, E-Mail-Adressen, interne Dokumente und sogar Bewerbungsunterlagen in ChatGPT ein – oft ohne sich der datenschutzrechtlichen Konsequenzen bewusst zu sein.

Jeder dieser Prompts wird von OpenAI auf Servern in den USA verarbeitet. Ohne geeignete technische und organisatorische Maßnahmen (TOM) liegt ein Verstoß gemäß der Datenschutz-Grundverordnung vor – mit potenziell empfindlichen Bußgeldern. Unternehmen, die diese Daten nutzen, ohne die datenschutzrechtlichen Grundlagen zu schaffen, riskieren erhebliche Sanktionen. Dass OpenAI die eingegebenen Daten gemäß der eigenen Nutzungsbedingungen verarbeitet, ist vielen Unternehmen nicht bewusst. Sicher ist ChatGPT nur, wenn die richtigen Maßnahmen ergriffen werden.

Die drei größten Risiken beim Einsatz von ChatGPT im Unternehmen

1. Daten in die USA ohne Rechtsgrundlage

OpenAI hat seinen Sitz in San Francisco. Jeder Prompt wird auf US-Servern verarbeitet — Ihre Daten in die USA übertragen. Ohne ein gültiges Data Processing Agreement (DPA) und ohne geeignete Garantien nach Art. 46 DSGVO ist diese Übermittlung rechtswidrig. Das EU-US Data Privacy Framework bietet zwar einen Rahmen, setzt aber voraus, dass OpenAI zertifiziert ist und Sie die Übermittlung korrekt dokumentieren. Unternehmen sicherstellen, dass die Daten gemäß den Anforderungen der DSGVO behandelt werden.

2. Training mit Ihren Geschäftsdaten

In der Standard-Konfiguration von ChatGPT Free und Plus werden Ihre Eingaben zum Training zukünftiger Modelle verwendet. Das bedeutet: Kundendaten, Geschäftsgeheimnisse und interne Informationen fließen potenziell in ein Modell ein, das Millionen anderer Nutzer verwenden. Ein massiver Kontrollverlust über Ihre Daten.

3. Shadow AI – die unsichtbare Gefahr

Selbst wenn Sie als Unternehmen noch keine offizielle KI-Strategie haben, nutzen Ihre Mitarbeitenden mit hoher Wahrscheinlichkeit bereits ChatGPT in Unternehmen — unkontrolliert und ohne Wissen der IT. Studien belegen, dass bis zu 68 % der Beschäftigten KI-Tools einsetzen und dabei unkontrolliert Daten nutzen, ohne dies dem Arbeitgeber zu melden. In Hamburg, mit seiner starken Dienstleistungs- und Medienwirtschaft, ist diese Quote tendenziell noch höher. Diese unkontrollierte Nutzung – Shadow AI – ist aus Datenschutzsicht beim Einsatz von ChatGPT Ihr größtes Risiko.

ChatGPT DSGVO-konform nutzen: So setzen Unternehmen ChatGPT ein

Die richtige Version wählen

Für den geschäftlichen Einsatz mit personenbezogenen Daten kommen ausschließlich ChatGPT Enterprise oder die OpenAI API in Frage. Diese Versionen bieten:

• Ein vollständiges Data Processing Agreement (DPA)
• Garantie, dass Prompts nicht zum Modelltraining verwendet werden
• SOC-2-Zertifizierung
• Konfigurierbare Datenlöschfristen
• Möglichkeit zur Einschränkung von Datenflüssen

ChatGPT Team bietet einige dieser Garantien ebenfalls — OpenAI bietet für ChatGPT Team ein vereinfachtes DPA an. Prüfen Sie jedoch die konkreten vertraglichen Zusicherungen im Detail. ChatGPT Plus ist für den geschäftlichen Einsatz nur eingeschränkt geeignet, da kein vollständiges DPA vorliegt. Unternehmen, die ChatGPT Enterprise nutzen möchten, erhalten das umfassendste Schutzpaket — wer ChatGPT nutzen möchte, sollte die richtige Version sorgfältig wählen.

Datenschutz-Folgenabschätzung durchführen

Bevor Sie ChatGPT im Unternehmen ausrollen, ist eine DSFA nach Art. 35 der Datenschutz-Grundverordnung durchzuführen. Die Datenschutzkonferenz (DSK) hat KI-Systeme explizit in die Liste der Verarbeitungen aufgenommen, für die eine DSFA erforderlich ist. Die DSFA dokumentiert:

• Welche Daten verarbeitet werden
• Welche Risiken für Betroffene bestehen
• Welche Schutzmaßnahmen Sie ergreifen
• Warum die Verarbeitung trotz Risiken zulässig ist

Klare Mitarbeiter-Richtlinie erstellen

Eine KI-Richtlinie ist das Fundament für den datenschutzkonformen Einsatz. Diese sollte definieren:

• Welche KI-Tools freigegeben sind
• Welche Datenkategorien in Prompts eingegeben werden dürfen (und welche nicht)
• Wie Ergebnisse geprüft und dokumentiert werden
• Welcher Freigabeprozess für neue Use Cases gilt
• Wie Verstöße gemeldet und gehandhabt werden

Mitarbeitende schulen

Technische Maßnahmen allein reichen nicht. Ihre Mitarbeitenden müssen verstehen, warum bestimmte Daten nicht in ChatGPT eingegeben werden dürfen und wie sie die freigegebenen Tools korrekt nutzen. Regelmäßige Schulungen – mindestens einmal jährlich – sind Pflicht und sollten dokumentiert werden.

Typische Fehler beim Datenschutz: Was Unternehmen bei ChatGPT falsch machen

In unserer Beratungspraxis sehen wir immer wieder dieselben Fehler:

• Kein DPA abgeschlossen: ChatGPT wird genutzt, ohne dass ein Auftragsverarbeitungsvertrag mit OpenAI vorliegt.
• Keine DSFA durchgeführt: Der Einsatz wurde nicht datenschutzrechtlich bewertet.
• Fehlende KI-Richtlinie: Mitarbeitende nutzen ChatGPT nach eigenem Ermessen – ohne Leitplanken.
• Sensible Daten in Prompts: Bewerbungsunterlagen, Kundenbeschwerden oder Patientendaten werden eingegeben.
• Kein Monitoring: Niemand prüft, welche KI-Tools im Unternehmen tatsächlich genutzt werden.

Was der HmbBfDI dazu sagt

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit beobachtet die KI-Entwicklung aktiv. Hamburger Unternehmen sollten davon ausgehen, dass der HmbBfDI bei Beschwerden den Einsatz von KI-Tools prüft und eine dokumentierte DSFA sowie nachweisbare technische und organisatorische Maßnahmen erwartet.

Ist ChatGPT DSGVO-konform? Unternehmen nutzen ChatGPT richtig

ChatGPT ist nicht automatisch konform mit der Datenschutz-Grundverordnung. Ob Unternehmen ChatGPT datenschutzkonform im Unternehmen einsetzen können, hängt von der gewählten Version, der Konfiguration und den organisatorischen Maßnahmen ab. OpenAI bietet seit 2024 ein Data Processing Agreement (DPA) für ChatGPT Enterprise und der API — damit ist die grundlegende Verarbeitung personenbezogener Daten vertraglich geregelt.

Bedeutet das, dass OpenAI automatisch DSGVO-konform arbeitet? Nein. Sie als Unternehmen müssen sicherstellen, dass die Anforderungen der DSGVO eingehalten werden: Rechtsgrundlage dokumentieren, DSFA durchführen, Mitarbeitende schulen und den Einsatz von ChatGPT im Unternehmen durch eine KI-Richtlinie regeln. Nur wer ChatGPT gemäß der DSGVO einsetzt, vermeidet Bußgelder. Müssen Unternehmen ChatGPT verbieten? Nein — sollten Unternehmen den Einsatz regulieren? Unbedingt.

Wer ChatGPT datenschutzkonform im Unternehmen eingesetzt haben möchte, muss verstehen: OpenAI verarbeitet die eingegebenen Daten gemäß der Nutzungsbedingungen. In den neuen Versionen von ChatGPT — insbesondere ChatGPT Enterprise und der API — bietet OpenAI vertragliche Zusicherungen, dass Prompts nicht zum Training verwendet werden. ChatGPT Plus und ChatGPT Team bieten einige Schutzmaßnahmen, aber nicht das volle DPA-Niveau, das Unternehmen bei der Nutzung von ChatGPT im Unternehmenskontext benötigen. Dass ChatGPT datenschutzkonform im Unternehmen eingesetzt werden kann, zeigen zahlreiche Praxisbeispiele — die Voraussetzung bleibt eine aktive Compliance-Strategie.

Daten verarbeitet: Was verarbeitet OpenAI beim Einsatz von ChatGPT?

Beim Einsatz von ChatGPT verarbeitet OpenAI alle Daten, die Sie in Prompts eingeben. Das umfasst:

• Eingabedaten (Prompts): Alles, was Mitarbeitende in ChatGPT eingeben — Texte, Fragen, Dokumente
• Ausgabedaten: Die Antworten von ChatGPT, die auf Basis der Eingaben generiert werden
• Metadaten: IP-Adressen, Nutzungszeiten, Geräte-Informationen
• Account-Daten: E-Mail-Adressen, Namen der Nutzer

Stellen Sie sicher, dass keine sensiblen Daten — Gesundheitsdaten, Bewerbungsunterlagen, Kundenverträge — in ChatGPT eingegeben werden. Mitarbeitende müssen wissen, welche Informationen sie in ChatGPT einzugeben berechtigt sind und welche nicht. Deshalb sollten Unternehmen eine klare KI-Richtlinie erstellen, die den Umgang mit ChatGPT regelt. Im Umgang mit ChatGPT dürfen keine personenbezogenen Daten in Prompts einzugeben werden — das muss verbindlich festgelegt sein. Wer ChatGPT zu nutzen beabsichtigt, muss die Antworten von ChatGPT ebenfalls kritisch prüfen: KI-generierte Inhalte können Fehler enthalten. Mehr dazu unter KI-Richtlinie erstellen.

ChatGPT und Datenschutz: Was der Landesbeauftragte für den Datenschutz sagt

Die deutschen Datenschutzaufsichtsbehörden beobachten KI-Technologien wie ChatGPT intensiv. Der HmbBfDI hat sich mehrfach zum Thema Datenschutz und KI geäußert. Die Position ist klar: Unternehmen, die ChatGPT nutzen möchten, müssen eine DSFA durchführen, ein DPA abschließen und interne Richtlinien implementieren.

Unternehmen verwenden immer mehr KI wie ChatGPT von OpenAI — da Unternehmen immer mehr auf Automatisierung durch Künstliche Intelligenz setzen — doch viele wissen nicht, welche datenschutzrechtlichen Pflichten damit verbunden sind. KI und Datenschutz sind kein Widerspruch, erfordern aber systematische Maßnahmen. Unternehmen mit Sitz in Hamburg sollten besonders aufmerksam sein: Der HmbBfDI prüft bei Beschwerden gezielt den KI-Einsatz. Beim Thema Datenschutz und ChatGPT geht es nicht nur um die Technik, sondern auch darum, wie Mitarbeitende mit ChatGPT kommunizieren und welche Daten in ChatGPT fließen. Mehr Unternehmen als je zuvor setzen KI ein — das eigene Unternehmen muss beim Datenschutz mithalten.

ChatGPT datenschutzkonform im Unternehmen einsetzen in 5 Schritten

1. Version wählen: Nur ChatGPT Enterprise oder OpenAI API mit DPA nutzen — niemals eingegebene Daten in der Free-Version verarbeiten lassen. Wer ChatGPT Enterprise nutzen möchte, erhält das volle DPA-Paket.
2. DSFA durchführen: Datenschutz-Folgenabschätzung nach Art. 35 DSGVO dokumentieren — der HmbBfDI erwartet dies bei KI-Tools wie ChatGPT.
3. KI-Richtlinie erstellen: Definieren, welche Daten verarbeitet werden dürfen, welche nicht — und wie der Umgang mit ChatGPT geregelt ist. Dass der Einsatz von ChatGPT nur mit freigegebenen Daten erfolgt, muss verbindlich festgelegt werden.
4. Mitarbeitende schulen: Regelmäßige Datenschutzschulungen mit KI-Modul — Pflicht nach Art. 4 EU AI Act. Dass Unternehmen ihre Mitarbeitenden im Bezug auf den Datenschutz beim Einsatz von ChatGPT schulen, ist nicht optional.
5. Monitoring einrichten: Laufend prüfen, welche KI-Tools tatsächlich genutzt werden — Shadow AI aufdecken. Dass das eigene Unternehmen keine unkontrollierten KI-Nutzungen duldet, muss kommuniziert werden.

ChatGPT sicher nutzen: Personenbezogene Daten schützen

Neben organisatorischen Maßnahmen gibt es technische Schritte, die den Datenschutz von ChatGPT im Unternehmen stärken:

• API-Zugang statt Browser: Über die OpenAI API haben Sie mehr Kontrolle über Datenflüsse und können Eingaben filtern
• Prompt-Filterung: Technische Systeme, die personenbezogene Daten in ChatGPT automatisch erkennen und blockieren
• Logging und Audit: Dokumentieren Sie, welche Abteilungen ChatGPT nutzen und welche Daten verarbeitet werden
• Zugangskontrollen: Nicht jeder Mitarbeitende braucht Zugang zu ChatGPT — rollenbasierte Freigabe einrichten

ChatGPT und der EU AI Act: Unternehmen müssen doppelt compliant sein

Ab August 2026 gelten zusätzlich die Anforderungen des EU AI Act. ChatGPT fällt als KI-System mit allgemeinem Verwendungszweck unter die Transparenzpflichten. Dass Unternehmen KI-generierte Inhalte kennzeichnen und dokumentieren müssen, welche neuen Versionen von ChatGPT eingesetzt werden, ist bereits jetzt absehbar. Deshalb sollten Unternehmen bereits jetzt ihre ChatGPT-Nutzung vollständig dokumentieren. Unsere AI Act Beratung hilft Ihnen, beide Regelwerke gleichzeitig zu erfüllen. Unternehmen, die ChatGPT einsetzen möchten, profitieren von einer frühzeitigen Vorbereitung.

Für den Aufbau eines vollständigen KI-Registers — inklusive ChatGPT und allen weiteren KI im Unternehmen — beraten wir Sie gerne. Ob Ihr Unternehmen wirklich alle Anforderungen erfüllt, prüfen wir in einem persönlichen Gespräch.

Wie kann ich ChatGPT DSGVO-konform nutzen?

Die Datenschutz-Grundverordnung regelt den Umgang mit personenbezogenen Daten — auch beim Einsatz von Künstliche Intelligenz wie ChatGPT. Um ChatGPT DSGVO-konform nutzen zu können, müssen Sie vier zentrale Maßnahmen umsetzen: Erstens wählen Sie die richtige Version — nur ChatGPT Enterprise oder die OpenAI API bieten ein vollständiges DPA und garantieren, dass Ihre Eingaben nicht zum Modelltraining verwendet werden. Zweitens führen Sie eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durch und dokumentieren die Risiken sowie Ihre Schutzmaßnahmen. Drittens erstellen Sie eine verbindliche KI-Richtlinie, die festlegt, welche Daten in Prompts eingegeben werden dürfen und welche nicht. Viertens schulen Sie Ihre Mitarbeitenden regelmäßig im Umgang mit ChatGPT und den datenschutzrechtlichen Anforderungen.

Ist ChatGPT Pro datenschutzkonform? Versionen von ChatGPT im Vergleich

ChatGPT Pro (ehemals ChatGPT Plus) bietet einige Datenschutz-Verbesserungen gegenüber der kostenlosen Version, ist jedoch für den geschäftlichen Einsatz mit personenbezogenen Daten nur eingeschränkt geeignet. Zwar können Sie in den Einstellungen das Modelltraining mit Ihren Daten deaktivieren, ein vollständiges Data Processing Agreement (DPA) nach Art. 28 DSGVO erhalten Sie bei ChatGPT Pro jedoch nicht.

Für Unternehmen, die regelmäßig personenbezogene Daten in Prompts eingeben, empfehlen wir daher ChatGPT Enterprise oder die OpenAI API — nur diese Versionen bieten die vertraglichen Garantien, die eine datenschutzkonforme Nutzung im Unternehmenskontext sicherstellen. Die verschiedenen Versionen von ChatGPT unterscheiden sich erheblich in ihren Datenschutz-Features: ChatGPT Enterprise bietet das umfassendste Paket mit DPA, SOC-2-Zertifizierung und der Garantie, dass OpenAI eingegebene Daten nicht zum Training verwendet. ChatGPT Team liegt dazwischen — OpenAI bietet hier ein vereinfachtes DPA an. Unternehmen müssen die Version wählen, die zu ihrem Risikoprofil passt.

Ist OpenAI DSGVO-konform? Was Unternehmen wissen müssen

Ob OpenAI DSGVO-konform arbeitet, lässt sich nicht pauschal beantworten — es hängt von der genutzten Version und Ihrer eigenen Konfiguration ab. OpenAI hat seit 2024 einen Vertreter in der EU benannt und bietet für ChatGPT Enterprise und der API ein Data Processing Agreement an. Das EU-US Data Privacy Framework bildet die Rechtsgrundlage für den Datentransfer in die USA. Dennoch bleibt die Verantwortung bei Ihnen als Unternehmen: Unternehmen müssen sicherstellen, dass die DSGVO-Anforderungen eingehalten werden — Rechtsgrundlage dokumentieren, DSFA durchführen, Mitarbeitende schulen und eine KI-Richtlinie implementieren. OpenAI allein macht Ihre ChatGPT-Nutzung nicht DSGVO-konform — das erfordert Ihre aktive Mitwirkung.

Kann OpenAI mir bei der Einhaltung der DSGVO helfen? OpenAI bietet technische und vertragliche Garantien — aber die organisatorischen Maßnahmen müssen Sie als Unternehmen selbst umsetzen. Im Bezug auf den Datenschutz bei jeder Nutzung von ChatGPT im Unternehmen ist Eigenverantwortung gefragt. Wer ChatGPT datenschutzkonform nutzen möchte, braucht sowohl die richtige Version als auch eine durchdachte Compliance-Strategie.

Nächste Schritte: ChatGPT im Unternehmen sicher nutzen

Müssen Unternehmen ChatGPT verbieten? Nein. Sie müssen es richtig einsetzen. Unternehmen in der Regel profitieren von ChatGPT — die Voraussetzung ist, dass das eigene Unternehmen die Anforderungen der DSGVO vollständig erfüllt. Mit der passenden Version, einer soliden DSFA, einer durchdachten KI-Richtlinie und geschulten Mitarbeitenden können Sie ChatGPT datenschutzkonform nutzen, ohne Risiken einzugehen. Dass das Unternehmen ChatGPT verantwortungsvoll einsetzt, muss dokumentiert und nachweisbar sein. Viele Unternehmen in Hamburg haben diesen Schritt bereits gemacht — mit der richtigen Beratung.

Hugo DSB unterstützt Sie bei der Erstellung Ihrer DSFA, der KI-Richtlinie und der laufenden Überwachung. Buchen Sie ein kostenloses Erstgespräch — wir zeigen Ihnen, wie Ihr Unternehmen ChatGPT datenschutzkonform nutzen kann. Nils Oehmichen kennt die Anforderungen des HmbBfDI und berät Sie persönlich zum Thema Datenschutz und Informationssicherheit. OpenAI bietet für ChatGPT Enterprise und die API ein vollständiges DPA an — bietet OpenAI damit automatisch DSGVO-Konformität? Nein, aber es schafft die vertragliche Grundlage. Unternehmen müssen darüber hinaus eigene Maßnahmen ergreifen. Erreichen Sie uns auch über unser Kontaktformular oder lassen Sie Ihre Website mit dem Hugo Check prüfen.

Datenschutz von ChatGPT: Was Unternehmen bei der Nutzung beachten müssen

Wer ChatGPT datenschutzkonform nutzen möchte, muss den gesamten Datenfluss verstehen. Die Verarbeitung personenbezogener Daten beginnt bereits bei der Eingabe eines Prompts: Sobald ein Mitarbeitender einen Namen, eine E-Mail-Adresse oder andere personenbezogene Daten in ChatGPT eingibt, werden diese von OpenAI verarbeitet. Unternehmen müssen sicherstellen, dass dies nur mit geeigneter Rechtsgrundlage geschieht.

Bei jedem Einsatz von ChatGPT im Unternehmenskontext muss klar sein: Welche Daten dürfen verarbeitet werden, welche nicht? Diese Frage beantwortet Ihre KI-Richtlinie — ein Dokument, das verbindlich regelt, welche Datenkategorien in Prompts erlaubt sind. Unternehmen, die ChatGPT einsetzen möchten, müssen ihren Mitarbeitenden klare Leitplanken geben.

Die Antworten von ChatGPT unterliegen ebenfalls datenschutzrechtlichen Anforderungen: KI-generierte Inhalte können falsche oder veraltete Informationen enthalten. Unternehmen müssen Prozesse etablieren, die sicherstellen, dass ChatGPT-Ausgaben vor der Verwendung geprüft werden. Für Unternehmen bei der Nutzung von KI-Tools wie ChatGPT gilt: Vertrauen ist gut, Kontrolle ist besser.

Unternehmen nutzen ChatGPT: Stellen Sie sicher, dass der Datenschutz stimmt

Immer mehr Unternehmen nutzen ChatGPT und andere KI-Tools — das eigene Unternehmen muss sicherstellen, dass die Anforderungen der DSGVO erfüllt werden. Viele Unternehmen sollten den Einsatz von ChatGPT im Unternehmen aktiv regulieren, statt ihn zu verbieten. OpenAI bietet für ChatGPT Enterprise ein vollständiges DPA an — wer ChatGPT nutzen möchte, muss die richtige Version wählen und den Umgang mit ChatGPT klar regeln. Unternehmen müssen verstehen: Die Verarbeitung personenbezogener Daten durch OpenAI erfordert eine dokumentierte Rechtsgrundlage gemäß der DSGVO. Stellen Sie sicher, dass Ihr Unternehmen eine DSFA durchgeführt hat, eine verbindliche KI-Richtlinie zum Datenschutz erstellt ist und alle Mitarbeitenden im datenschutzkonformen Umgang mit ChatGPT geschult sind. Unternehmen, die ChatGPT einsetzen möchten, profitieren von einer aktiven Compliance-Strategie — das Thema Datenschutz und ChatGPT erfordert sowohl technische als auch organisatorische Maßnahmen.