ChatGPT DSGVO-konform nutzen: der Praxis-Leitfaden für den Mittelstand

12 Min. Lesezeit
Datenschutzbeauftragte und Mitarbeiter eines Großhandels prüfen gemeinsam die ChatGPT-Einstellungen und eine KI-Richtlinie

ChatGPT ist längst im Arbeitsalltag angekommen: Angebote formulieren, E-Mails vorschreiben, Tabellen erklären, Texte zusammenfassen. Die spannendere Frage im Mittelstand lautet selten, ob das Werkzeug nützlich ist, sondern ob man ChatGPT DSGVO-konform nutzen darf, ohne sich datenschutzrechtlich angreifbar zu machen. Die kurze Antwort: Ja, mit den richtigen Einstellungen, dem passenden Tarif und ein paar klaren Regeln im Team ist das gut machbar.

Dieser Leitfaden geht die Stellschrauben der Reihe nach durch: das Modelltraining abschalten, den richtigen Tarif wählen, einen Auftragsverarbeitungsvertrag schließen, die EU-Datenresidenz prüfen und im Alltag die richtigen Maßnahmen treffen. Wir ordnen außerdem die aktuelle Lage bei den Aufsichtsbehörden ein. Vorweg ein ehrlicher Hinweis: Das hier ist eine praxisnahe Einordnung und kein Rechtsrat. Bei sensiblen Anwendungen gehört eure Datenschutzbeauftragte oder ein Fachanwalt mit an den Tisch.

Darf man ChatGPT DSGVO-konform nutzen?

DSGVO-Konformität ist kein Schalter, den man umlegt, sondern das Ergebnis mehrerer Bausteine, die zusammenpassen müssen. Entscheidend sind die Rechtsgrundlage und der Zweck der Verarbeitung, ein Auftragsverarbeitungsvertrag mit dem Anbieter, Datensparsamkeit in den Eingaben, Transparenz gegenüber Mitarbeitenden und Betroffenen sowie technische Schutzmaßnahmen wie die Wahl der Region und das Abschalten des Trainings. Fehlt einer dieser Bausteine, hilft auch der beste Tarif wenig.

Fünf Bausteine einer DSGVO-konformen ChatGPT-Nutzung: Rechtsgrundlage, Auftragsverarbeitung, Datensparsamkeit, Transparenz und technische Schutzmaßnahmen

Der wichtigste mentale Schritt ist die Trennung zwischen privatem und betrieblichem Gebrauch. Ein kostenloser oder privat bezahlter Account ist für die berufliche Verarbeitung personenbezogener Daten der falsche Rahmen, weil dort weder ein Auftragsverarbeitungsvertrag vorgesehen ist noch das Training standardmäßig ausgeschaltet wird. Wer ChatGPT geschäftlich einsetzt, sollte deshalb von Anfang an einen Business-Tarif oder die API in Betracht ziehen. Welche das im Detail sind und worin sie sich unterscheiden, klären die nächsten Abschnitte.

Schritt 1: Das Modelltraining abschalten

In den Consumer-Versionen, also ChatGPT Free und Plus, werden eure Eingaben standardmäßig zur Verbesserung der Modelle herangezogen. Genau das lässt sich abstellen. Der Weg führt über das eigene Profil zu den Einstellungen, dort zu den Datenkontrollen und schließlich zu der Option, die das Verbessern des Modells für alle steuert. Schaltet man sie aus, fließen neue Unterhaltungen nicht mehr in das Training ein. Die genaue Bezeichnung der Schalter kann sich mit Oberflächen-Updates ändern, das Prinzip bleibt aber gleich.

Vier Schritte, um das Modelltraining in ChatGPT abzuschalten: Einstellungen öffnen, Datenkontrollen wählen, Modelltraining deaktivieren, temporäre Chats nutzen

Zwei Dinge sind dabei wichtig zu verstehen. Erstens wirkt das Opt-out nur in die Zukunft. Es löscht keine vergangenen Unterhaltungen und entfernt nichts aus bereits abgeschlossenen Trainingsläufen. Zweitens bleibt der Chat-Verlauf trotz Opt-out erhalten, das Nutzungserlebnis ändert sich also nicht. Wer für einzelne, heikle Eingaben auf Nummer sicher gehen will, nutzt den temporären Chat. Diese Unterhaltungen erscheinen nicht im Verlauf, greifen nicht auf gespeicherte Erinnerungen zu und werden nicht zum Training verwendet, sondern nach kurzer Zeit zur Löschung vorgesehen.

Das Abschalten des Trainings ist ein sinnvoller erster Schritt, aber kein vollständiger Datenschutz. Es regelt nur die Frage, ob eure Inhalte das Modell mittrainieren. Fragen der Auftragsverarbeitung, der Speicherorte und der Drittlandtransfers sind damit noch nicht beantwortet. Genau deshalb ist der nächste Schritt, der Tarif, so entscheidend.

Schritt 2: Den richtigen Tarif wählen

Der größte Hebel für DSGVO-Konformität ist die Wahl der richtigen Produktstufe. Bei den geschäftlichen Angeboten, also ChatGPT Team beziehungsweise Business, ChatGPT Enterprise und der API-Plattform, werden eure Inhalte standardmäßig nicht zum Training der Modelle verwendet. Bei Free und Plus ist das Training dagegen voreingestellt und muss aktiv abgeschaltet werden. Schon diese Voreinstellung ist ein starkes Argument, im Unternehmen nicht auf privaten Accounts zu arbeiten.

Vergleich der ChatGPT-Stufen Free und Plus, Team, Enterprise und API nach Default-Training, AVV-Verfügbarkeit und EU-Datenresidenz

Der zweite Unterschied betrifft den Auftragsverarbeitungsvertrag und die EU-Datenresidenz. Beides ist an die geschäftlichen Stufen gebunden. Für die reinen Consumer-Tarife ist kein Auftragsverarbeitungsvertrag vorgesehen, und auch die Wahl einer europäischen Region steht dort nicht zur Verfügung. Die folgende Übersicht fasst die Unterschiede zusammen, bewusst qualitativ und ohne Preise, weil sich Konditionen häufig ändern.

StufeTraining auf euren DatenAVV verfügbarEU-Datenresidenz
Free / Plusstandardmäßig an, manuell abschaltbarneinnein
Team / Businessstandardmäßig ausjaeingeschränkt
Enterprisestandardmäßig ausjaja, für neue Workspaces
APIstandardmäßig ausjaja, je Projekt wählbar

Für die meisten Mittelständler ist Team oder Business der pragmatische Einstieg, weil es die Vorteile der geschäftlichen Stufe ohne großen Einrichtungsaufwand bietet. Wer strengere Anforderungen an Verwaltung, Protokollierung und Datenhaltung hat, schaut sich die Enterprise-Stufe genauer an. Eine ausführliche Einordnung dazu liefert unser Beitrag zu ChatGPT Enterprise in Deutschland. Wer ChatGPT in eigene Systeme einbauen will, etwa ins ERP oder in eine Belegverarbeitung, nutzt die API und sollte vorab die OpenAI-API-Kosten im Blick haben.

Schritt 3: Den Auftragsverarbeitungsvertrag abschließen

Sobald ein Unternehmen personenbezogene Daten durch einen Dienstleister verarbeiten lässt, verlangt die DSGVO einen Auftragsverarbeitungsvertrag, kurz AVV oder auf Englisch Data Processing Addendum. Er regelt, dass der Anbieter die Daten nur nach euren Weisungen verarbeitet, und ist Voraussetzung dafür, dass die Verarbeitung überhaupt rechtmäßig sein kann. Für ChatGPT Business, Enterprise und die API stellt OpenAI einen solchen Vertrag bereit.

Praktisch schließt man den AVV über ein Formular beziehungsweise das Datenschutz-Portal des Anbieters ab. Wichtig für die europäische Bewertung: Vertragspartner für den europäischen Wirtschaftsraum ist eine irische Gesellschaft des Anbieters, und der Vertrag enthält die Standardvertragsklauseln, die den Datentransfer in die USA absichern sollen. Für die reinen Consumer-Tarife ist kein solcher Vertrag vorgesehen, was sie für die betriebliche Verarbeitung personenbezogener Daten praktisch ausschließt. Auch hier gilt: Den abgeschlossenen Vertrag samt Anlagen solltet ihr für euer Verarbeitungsverzeichnis aufbewahren. Eine breitere Sicht auf das Thema bietet unser Überblick zum KI-Datenschutz.

Schritt 4: EU-Datenresidenz, Speicherfristen und Transfer

Ein häufiger Einwand lautet, die Daten lägen ja ohnehin auf US-Servern. Das stimmt so pauschal nicht mehr. Der Anbieter hat seit Anfang 2025 eine europäische Datenresidenz eingeführt und sie seither ausgebaut. Inzwischen lässt sich nicht nur die Speicherung der Daten, sondern auch die Verarbeitung selbst in einer europäischen Region halten. Verfügbar ist das für die Enterprise-Stufe, für den Bildungsbereich und für die API. Bei der API wählt man die Region beim Anlegen eines neuen Projekts, bei Enterprise gilt die Wahl für neue Arbeitsbereiche.

Datenfluss eines Prompts von der Eingabe über die verschlüsselte Übertragung und Verarbeitung bis zur Speicherung, mit abgesichertem Drittlandtransfer und optionaler EU-Region

Bei der Aufbewahrung lohnt der genaue Blick, vor allem bei der API. Standardmäßig können Inhalte für eine begrenzte Zeit zur Missbrauchserkennung gespeichert werden, in der Größenordnung von etwa einem Monat. Für höhere Anforderungen gibt es die Option der Zero Data Retention, bei der Anfragen nur im Arbeitsspeicher verarbeitet und danach nicht aufbewahrt werden. Diese Option ist allerdings kein einfacher Schalter, sondern muss beantragt und vom Anbieter freigeschaltet werden, und sie steht nicht für alle Funktionen zur Verfügung.

Der Transfer in die USA bleibt ein Thema, auch mit europäischer Region für einzelne Verarbeitungsschritte. Der Anbieter ist ein US-Unternehmen und setzt Unterauftragsverarbeiter ein, die er in einer öffentlichen Liste führt. Abgesichert wird der Transfer über die erwähnten Standardvertragsklauseln. Ob darüber hinaus eine Zertifizierung nach dem EU-US-Datenschutzrahmen vorliegt, solltet ihr im Zweifel aktuell prüfen, weil sich dieser Status ändern kann. Für das Verarbeitungsverzeichnis heißt das: Transferweg, Rechtsgrundlage und Unterauftragsverarbeiter dokumentieren.

Wie die Aufsichtsbehörden ChatGPT bewerten

Wer die Lage einschätzen will, sollte die Geräuschkulisse von den tatsächlichen Sanktionen trennen. Die europäischen Datenschutzbehörden haben früh eine gemeinsame Arbeitsgruppe zu ChatGPT eingerichtet. Ihr Zwischenbericht aus dem Jahr 2024 formulierte vor allem vorläufige Sichtweisen und betonte, dass die Untersuchungen noch laufen. Kernthemen sind die Rechtsgrundlage für das Training, die Transparenz gegenüber Betroffenen und die Richtigkeit personenbezogener Daten in den Antworten.

In Italien hatte die dortige Behörde ein hohes Bußgeld verhängt, das nach aktuellem Stand jedoch gerichtlich angefochten und teils aufgehoben wurde. In den USA wiederum sorgte ein Gerichtsverfahren dafür, dass der Anbieter Chat-Protokolle entgegen seiner üblichen Löschpraxis aufbewahren musste. Beides zeigt dasselbe Muster: Es gibt viel regulatorische und juristische Aufmerksamkeit, aber bislang wenig rechtskräftig Bestätigtes. Für die Praxis im Mittelstand ist die wichtigere Lehre weniger das einzelne Verfahren als die Grundhaltung. Solange ihr verantwortungsvoll konfiguriert, also einen Business-Tarif nutzt, einen AVV schließt und keine sensiblen Daten in die Prompts gebt, bewegt ihr euch auf vertretbarem Terrain. Das US-Verfahren ist dabei das beste Argument für die nächste Regel: Nichts in einen Prompt schreiben, dessen Aufbewahrung euch beunruhigen würde.

Ein Wort zum AI Act: Mit den Transparenzpflichten, die ab dem Sommer 2026 greifen, kommt unter anderem die Kennzeichnung KI-generierter Inhalte auf Unternehmen zu. Das betrifft weniger die datenschutzrechtliche Zulässigkeit als die Frage, wie ihr eure KI-Nutzung gegenüber Kunden und Öffentlichkeit kenntlich macht, und gehört deshalb in eure interne Richtlinie.

Die wichtigsten Maßnahmen auf einen Blick

Aus den vier Schritten und der rechtlichen Einordnung ergibt sich eine überschaubare Liste, die ihr im Unternehmen abarbeiten könnt. Sie ersetzt keine individuelle Datenschutzberatung, gibt aber eine belastbare Grundlage für den Alltag.

Checkliste der wichtigsten DSGVO-Maßnahmen für die ChatGPT-Nutzung: Business-Tarif, AVV, Training deaktivieren, keine personenbezogenen Daten, Mitarbeiter-Richtlinie, EU-Datenresidenz

Erstens, statt privater Accounts einen Business-Tarif oder die API einsetzen, weil dort nicht standardmäßig auf euren Daten trainiert wird. Zweitens, den Auftragsverarbeitungsvertrag abschließen und ablegen. Drittens, dort wo doch Free oder Plus im Einsatz ist, das Modelltraining zwingend abschalten und für Heikles den temporären Chat nutzen. Viertens, keine personenbezogenen oder geheimen Daten in Prompts geben, also keine Klarnamen, keine Kunden- oder Mitarbeiterdaten, keine Gesundheits- oder Finanzdaten und keine Geschäftsgeheimnisse, im Zweifel vorher anonymisieren oder pseudonymisieren. Fünftens, eine kurze, schriftliche KI-Richtlinie für Mitarbeitende aufsetzen, die regelt, was hineindarf und was nicht. Sechstens, bei Enterprise oder API die europäische Region wählen und die Aufbewahrung klären. Begleitend dokumentiert ihr Transfer und Unterauftragsverarbeiter im Verarbeitungsverzeichnis.

Die wirksamste und zugleich am häufigsten unterschätzte Maßnahme ist die vierte. Technik und Verträge regeln den Rahmen, aber die größte Quelle für Datenschutzpannen sitzt vor dem Bildschirm. Eine eingespielte Faustregel, niemals echte personenbezogene Daten in den Prompt zu kippen, verhindert die meisten Probleme von vornherein. Wer hier eine kleine Schulung und eine klare Richtlinie kombiniert, kommt weiter als mit jeder zusätzlichen Vertragsklausel.

Was das für Großhandel und Mittelstand bedeutet

In Großhandel und Mittelstand entsteht der Nutzen von ChatGPT selten im freien Chatfenster, sondern dort, wo es an Prozesse andockt: Produkttexte und Angebotsbausteine formulieren, Lieferantenmails vorbereiten, Stammdaten vereinheitlichen oder die Belegverarbeitung unterstützen. Gerade weil hier echte Geschäfts- und teilweise personenbezogene Daten im Spiel sind, lohnt sich der saubere Aufbau mit Business-Tarif, AVV und einer Richtlinie umso mehr. Wer ChatGPT über die API in eigene Abläufe einbettet, kombiniert den Datenschutz-Rahmen am besten gleich mit einer durchdachten Automatisierung, wie wir sie im Leitfaden zur Prozessautomatisierung und in den Beispielen aus dem Großhandel beschreiben.

Wer noch grundsätzlicher überlegt, welche Werkzeuge im Unternehmen überhaupt infrage kommen, findet eine vergleichende Übersicht in unserem Beitrag zu DSGVO-konformen KI-Tools. ChatGPT ist dort eine Option unter mehreren, und für manche Anwendungsfälle ist ein anderes Werkzeug oder eine stärker gekapselte Lösung die bessere Wahl.

Fazit

ChatGPT DSGVO-konform zu nutzen ist keine Frage von Glück oder Grauzone, sondern von Handwerk. Vier Schritte tragen den größten Teil: das Modelltraining abschalten, einen geschäftlichen Tarif statt eines privaten Accounts wählen, den Auftragsverarbeitungsvertrag schließen und die EU-Datenresidenz mit der Aufbewahrung klären. Dazu kommen die simplen, aber entscheidenden Verhaltensregeln: keine sensiblen Daten in Prompts und eine klare Richtlinie fürs Team. Die Aufsichtsbehörden schauen genau hin, sanktionieren bisher aber zurückhaltend, was den verantwortungs- vollen Einsatz nicht riskanter, sondern planbarer macht. Wenn ihr ChatGPT sauber in eure Abläufe bringen wollt und dabei den Datenschutz von Anfang an mitdenkt, dann sprecht uns gern an.

Häufige Fragen

Häufig gestellte Fragen

Hier finden Sie die Antworten auf häufig gestellte Fragen.

Darf ich die kostenlose ChatGPT-Version im Job nutzen?

Für die berufliche Verarbeitung personenbezogener Daten ist die kostenlose oder privat bezahlte Version nicht geeignet, weil dort kein Auftragsverarbeitungsvertrag vorgesehen ist und das Training standardmäßig aktiv ist. Wer dennoch Free oder Plus nutzt, muss zwingend das Modelltraining abschalten und darf keine personenbezogenen Daten eingeben. Für den betrieblichen Einsatz ist ein Business-Tarif oder die API der richtige Rahmen.

Wie schalte ich aus, dass ChatGPT mit meinen Eingaben trainiert?

In den Einstellungen gibt es den Bereich Datenkontrollen. Dort lässt sich die Option deaktivieren, die das Verbessern der Modelle steuert. Danach fließen neue Unterhaltungen nicht mehr ins Training ein. Das wirkt nur in die Zukunft und löscht keine alten Chats. Für besonders heikle Eingaben eignet sich zusätzlich der temporäre Chat, der nicht zum Training genutzt und nach kurzer Zeit gelöscht wird.

Brauche ich für ChatGPT einen AVV?

Sobald personenbezogene Daten durch den Anbieter verarbeitet werden, verlangt die DSGVO einen Auftragsverarbeitungsvertrag. Für ChatGPT Business, Enterprise und die API stellt OpenAI einen solchen Vertrag bereit, der über ein Formular oder das Datenschutz-Portal abgeschlossen wird und Standardvertragsklauseln enthält. Für die reinen Consumer-Tarife ist kein AVV vorgesehen.

Werden meine Daten in der EU verarbeitet?

Für Enterprise, den Bildungsbereich und die API gibt es eine europäische Datenresidenz, die seit Anfang 2026 auch die Verarbeitung in einer europäischen Region umfasst, nicht nur die Speicherung. Bei der API wählt man die Region beim Anlegen eines Projekts, bei Enterprise gilt sie für neue Arbeitsbereiche. Bei Free und Plus steht diese Wahl nicht zur Verfügung.

Welche Daten darf ich auf keinen Fall in ChatGPT eingeben?

Keine echten personenbezogenen Daten wie Klarnamen, Kunden- oder Mitarbeiterdaten, keine Gesundheits- oder Finanzdaten und keine Geschäftsgeheimnisse. Wenn ihr mit solchen Inhalten arbeiten müsst, anonymisiert oder pseudonymisiert sie vorher. Diese Regel verhindert die meisten Datenschutzprobleme und gehört in jede interne KI-Richtlinie.

Ist ChatGPT damit rechtssicher DSGVO-konform?

Mit den richtigen Einstellungen, einem geschäftlichen Tarif, einem AVV und klaren Verhaltensregeln lässt sich ChatGPT datenschutzkonform einsetzen. Eine pauschale Garantie gibt es aber nicht, weil es auf den konkreten Anwendungsfall und die verarbeiteten Daten ankommt. Dieser Leitfaden ist eine praxisnahe Einordnung und kein Rechtsrat. Bei sensiblen Anwendungen solltet ihr eure Datenschutzbeauftragte oder einen Fachanwalt einbeziehen.