DSGVO · KI-Compliance · Stand Juli 2026

ChatGPT läuft längst in Ihrem Betrieb. Aber läuft es rechtssicher?

Sobald Mitarbeiter Kundennamen, Verträge oder Bewerbungen eingeben, verarbeitet OpenAI personenbezogene Daten. Ohne Auftragsverarbeitungsvertrag und Rechtsgrundlage riskieren Sie Bußgelder bis 20 Mio. € oder 4 % des Jahresumsatzes1. Beides lässt sich in wenigen Wochen sauber lösen.

Wo es im Alltag konkret schiefgeht

Keiner der folgenden Fälle passiert aus bösem Willen. Sie passieren, weil das Werkzeug nützlich ist und Regeln fehlen. Genau deshalb prüft die Aufsicht nicht die Absicht, sondern den Zustand.

Die Bewerbung im Prompt

Eine Führungskraft lässt ChatGPT ein Absageschreiben formulieren und fügt den Lebenslauf ein. Damit liegen unter Umständen Gesundheits- oder Herkunftsdaten auf US-Servern, ohne Rechtsgrundlage und ohne Löschkonzept4.

Die Kundenliste zur Analyse

Der Vertrieb lädt eine Tabelle mit 800 Kundenkontakten hoch, um Segmente bilden zu lassen. Ohne AV-Vertrag ist das eine unzulässige Offenlegung an einen Dritten2, und sie ist im Zweifel meldepflichtig.

Privat-Accounts im Team

Mitarbeiter nutzen private Gratis-Zugänge. Dort können Eingaben in das Training fließen, ein zentrales Opt-out fehlt, und niemand im Haus weiß, wer was eingibt. Aus Sicht der DSGVO verantwortet das trotzdem Ihr Unternehmen.

In drei Minuten wissen Sie, wo Ihr Betrieb steht.

Fünf Fragen, Ergebnis sofort. Sie müssen dafür keine E-Mail-Adresse hinterlassen.

Selbstcheck · 5 Fragen · kostenlos

Der ChatGPT-DSGVO-Selbstcheck

  1. Wissen Sie, welche Teams bei Ihnen ChatGPT oder vergleichbare Tools nutzen?
  2. Existiert ein Auftragsverarbeitungsvertrag mit OpenAI oder Ihrem Anbieter?
  3. Gibt es eine schriftliche KI-Richtlinie, was eingegeben werden darf und was nie?
  4. Laufen die Zugänge über ein Team- oder API-Konto statt über Privat-Accounts?
  5. Wurde geprüft, ob für Ihren Einsatz eine Datenschutz-Folgenabschätzung nötig ist?

Der Weg zum sauberen Betrieb

Drei Schritte, in dieser Reihenfolge. Mehr ist es in den meisten Betrieben nicht.

1. Betrieb umstellen

ChatGPT Team oder die API ersetzen die Privat-Accounts. Damit bekommen Sie den AV-Vertrag2, Ihre Eingaben fließen nicht in das Training, und die Zugänge sind zentral verwaltbar.

2. Richtlinie einführen

Eine Seite reicht: was erlaubt ist, was nie eingegeben wird, wer bei Unsicherheit entscheidet. Wir stellen die Vorlage, Sie passen drei Absätze an Ihren Betrieb an.

3. DSFA-Pflicht klären

Bei sensiblen Daten ist die Datenschutz-Folgenabschätzung Pflicht4. Die Prüfung ist bei klarer Datenlage in wenigen Tagen dokumentiert und schützt Sie bei jeder Nachfrage der Aufsicht.

Hinweis Umsetzbar in drei bis vier Wochen, ohne den laufenden Betrieb zu unterbrechen.

Zwei Wege, beide führen zum Ziel

Selbst umsetzen

0 €

  • Checkliste mit allen Prüfpunkten dieser Seite
  • Vorlage für die KI-Richtlinie
  • DSFA-Prüfschema mit DSK-Verweisen

Für Betriebe mit eigenem Datenschutzbeauftragten und Zeit im Team.

Checkliste anfordern

Empfohlen bei laufendem Einsatz

Begleitet umsetzen

ab 700 € Eigenanteil, BAFA-gefördert3

  • Umstellung auf Team- oder API-Betrieb mit AV-Vertrag
  • KI-Richtlinie fertig formuliert und im Team eingeführt
  • DSFA-Prüfung dokumentiert, prüfsicher abgelegt
  • BAFA-Antrag: wir übernehmen die Antragstellung

3.500 € netto Bemessungsgrundlage. Eigenanteil 1.750 € in den alten, 700 € in den neuen Bundesländern. Empfohlen, wenn es in Wochen statt Quartalen erledigt sein soll und die Dokumentation prüfsicher sein muss.

Fördercheck im Erstgespräch

Şafak Tepecik

KI-Systemarchitekt & Unternehmensberater · BAFA-gelistet · Schwerte (NRW)

Ich berate Mittelständler zwischen 10 und 250 Mitarbeitern bei KI-Strategie und Prozess-Automatisierung. Die DSGVO-Frage ist dabei fast immer der erste Stolperstein, und fast immer ist sie schneller gelöst, als die Geschäftsführung erwartet.

Häufige Fragen

Ist ChatGPT im Browser bereits ein DSGVO-Problem?

Sobald personenbezogene Daten wie Namen, Verträge oder Bewerbungen eingegeben werden, ja. Beim Consumer-ChatGPT können Eingaben in das Training fließen, und es fehlt der Auftragsverarbeitungsvertrag. Für den betrieblichen Einsatz brauchen Sie ChatGPT Team, Enterprise oder die API, jeweils mit AV-Vertrag.

Sind US-Anbieter wie OpenAI überhaupt zulässig?

Ja, unter Bedingungen. Es braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, der Anbieter sollte unter dem EU-US Data Privacy Framework zertifiziert sein, und über Team- oder API-Verträge lässt sich ausschließen, dass an Ihren Daten trainiert wird.

Muss der Betriebsrat bei der Einführung zustimmen?

Systeme, die zur Leistungs- oder Verhaltenskontrolle geeignet sind, unterliegen nach Paragraf 87 Abs. 1 Nr. 6 BetrVG der Mitbestimmung. Binden Sie den Betriebsrat früh ein, das verhindert spätere Blockaden und schafft Akzeptanz im Team.

Wann ist eine Datenschutz-Folgenabschätzung Pflicht?

Wenn die Verarbeitung voraussichtlich ein hohes Risiko für Betroffene bedeutet, etwa bei Gesundheitsdaten, Bewerberdaten oder systematischer Bewertung. Maßgeblich sind Art. 35 DSGVO und die Muss-Liste der Datenschutzkonferenz. Die Prüfung dauert bei klarer Datenlage wenige Tage.

Was kostet die Umstellung auf einen rechtssicheren Betrieb?

ChatGPT Team kostet ab 25 USD je Nutzer und Monat. Die begleitete Umstellung mit AV-Vertrag, KI-Richtlinie und DSFA-Dokumentation läuft als BAFA-geförderte Beratung: 3.500 € netto Bemessungsgrundlage, Ihr Eigenanteil liegt bei 1.750 € in den alten und 700 € in den neuen Bundesländern.

Kostenlose Potenzialanalyse anfragen

Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Datenschutzerklärung