DSGVO · KI-Compliance · Stand Juli 2026
ChatGPT läuft längst in Ihrem Betrieb. Aber läuft es rechtssicher?
Sobald Mitarbeiter Kundennamen, Verträge oder Bewerbungen eingeben, verarbeitet OpenAI personenbezogene Daten. Ohne Auftragsverarbeitungsvertrag und Rechtsgrundlage riskieren Sie Bußgelder bis 20 Mio. € oder 4 % des Jahresumsatzes1. Beides lässt sich in wenigen Wochen sauber lösen.
Wo es im Alltag konkret schiefgeht
Keiner der folgenden Fälle passiert aus bösem Willen. Sie passieren, weil das Werkzeug nützlich ist und Regeln fehlen. Genau deshalb prüft die Aufsicht nicht die Absicht, sondern den Zustand.
Die Bewerbung im Prompt
Eine Führungskraft lässt ChatGPT ein Absageschreiben formulieren und fügt den Lebenslauf ein. Damit liegen unter Umständen Gesundheits- oder Herkunftsdaten auf US-Servern, ohne Rechtsgrundlage und ohne Löschkonzept4.
Die Kundenliste zur Analyse
Der Vertrieb lädt eine Tabelle mit 800 Kundenkontakten hoch, um Segmente bilden zu lassen. Ohne AV-Vertrag ist das eine unzulässige Offenlegung an einen Dritten2, und sie ist im Zweifel meldepflichtig.
Privat-Accounts im Team
Mitarbeiter nutzen private Gratis-Zugänge. Dort können Eingaben in das Training fließen, ein zentrales Opt-out fehlt, und niemand im Haus weiß, wer was eingibt. Aus Sicht der DSGVO verantwortet das trotzdem Ihr Unternehmen.
In drei Minuten wissen Sie, wo Ihr Betrieb steht.
Fünf Fragen, Ergebnis sofort. Sie müssen dafür keine E-Mail-Adresse hinterlassen.
Selbstcheck · 5 Fragen · kostenlos
Der ChatGPT-DSGVO-Selbstcheck
Der Weg zum sauberen Betrieb
Drei Schritte, in dieser Reihenfolge. Mehr ist es in den meisten Betrieben nicht.
1. Betrieb umstellen
ChatGPT Team oder die API ersetzen die Privat-Accounts. Damit bekommen Sie den AV-Vertrag2, Ihre Eingaben fließen nicht in das Training, und die Zugänge sind zentral verwaltbar.
2. Richtlinie einführen
Eine Seite reicht: was erlaubt ist, was nie eingegeben wird, wer bei Unsicherheit entscheidet. Wir stellen die Vorlage, Sie passen drei Absätze an Ihren Betrieb an.
3. DSFA-Pflicht klären
Bei sensiblen Daten ist die Datenschutz-Folgenabschätzung Pflicht4. Die Prüfung ist bei klarer Datenlage in wenigen Tagen dokumentiert und schützt Sie bei jeder Nachfrage der Aufsicht.
Zwei Wege, beide führen zum Ziel
Selbst umsetzen
0 €
- Checkliste mit allen Prüfpunkten dieser Seite
- Vorlage für die KI-Richtlinie
- DSFA-Prüfschema mit DSK-Verweisen
Für Betriebe mit eigenem Datenschutzbeauftragten und Zeit im Team.
Checkliste anfordernEmpfohlen bei laufendem Einsatz
Begleitet umsetzen
ab 700 € Eigenanteil, BAFA-gefördert3
- Umstellung auf Team- oder API-Betrieb mit AV-Vertrag
- KI-Richtlinie fertig formuliert und im Team eingeführt
- DSFA-Prüfung dokumentiert, prüfsicher abgelegt
- BAFA-Antrag: wir übernehmen die Antragstellung
3.500 € netto Bemessungsgrundlage. Eigenanteil 1.750 € in den alten, 700 € in den neuen Bundesländern. Empfohlen, wenn es in Wochen statt Quartalen erledigt sein soll und die Dokumentation prüfsicher sein muss.
Fördercheck im ErstgesprächŞafak Tepecik
KI-Systemarchitekt & Unternehmensberater · BAFA-gelistet · Schwerte (NRW)
Ich berate Mittelständler zwischen 10 und 250 Mitarbeitern bei KI-Strategie und Prozess-Automatisierung. Die DSGVO-Frage ist dabei fast immer der erste Stolperstein, und fast immer ist sie schneller gelöst, als die Geschäftsführung erwartet.
Häufige Fragen
Ist ChatGPT im Browser bereits ein DSGVO-Problem?
Sobald personenbezogene Daten wie Namen, Verträge oder Bewerbungen eingegeben werden, ja. Beim Consumer-ChatGPT können Eingaben in das Training fließen, und es fehlt der Auftragsverarbeitungsvertrag. Für den betrieblichen Einsatz brauchen Sie ChatGPT Team, Enterprise oder die API, jeweils mit AV-Vertrag.
Sind US-Anbieter wie OpenAI überhaupt zulässig?
Ja, unter Bedingungen. Es braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, der Anbieter sollte unter dem EU-US Data Privacy Framework zertifiziert sein, und über Team- oder API-Verträge lässt sich ausschließen, dass an Ihren Daten trainiert wird.
Muss der Betriebsrat bei der Einführung zustimmen?
Systeme, die zur Leistungs- oder Verhaltenskontrolle geeignet sind, unterliegen nach Paragraf 87 Abs. 1 Nr. 6 BetrVG der Mitbestimmung. Binden Sie den Betriebsrat früh ein, das verhindert spätere Blockaden und schafft Akzeptanz im Team.
Wann ist eine Datenschutz-Folgenabschätzung Pflicht?
Wenn die Verarbeitung voraussichtlich ein hohes Risiko für Betroffene bedeutet, etwa bei Gesundheitsdaten, Bewerberdaten oder systematischer Bewertung. Maßgeblich sind Art. 35 DSGVO und die Muss-Liste der Datenschutzkonferenz. Die Prüfung dauert bei klarer Datenlage wenige Tage.
Was kostet die Umstellung auf einen rechtssicheren Betrieb?
ChatGPT Team kostet ab 25 USD je Nutzer und Monat. Die begleitete Umstellung mit AV-Vertrag, KI-Richtlinie und DSFA-Dokumentation läuft als BAFA-geförderte Beratung: 3.500 € netto Bemessungsgrundlage, Ihr Eigenanteil liegt bei 1.750 € in den alten und 700 € in den neuen Bundesländern.