← Zurück zum Blog
KI2. Juli 20269 Min. Lesezeit

ChatGPT im Unternehmen: Was erlaubt ist — und was nicht

DSGVO, Auftragsverarbeitung, kostenlose vs. Business-Lizenzen: Was Unternehmen vor dem Einsatz von ChatGPT wissen müssen.

Nahaufnahme einer Hand, die auf einem Laptop mit Quellcode auf dem Bildschirm tippt
Viele Unternehmen prüfen gerade, ob und wie ChatGPT im Arbeitsalltag eingesetzt werden darf.Foto: Lukas Blazek — Pexels

ChatGPT ist in vielen Unternehmen längst Alltag: Texte formulieren, E-Mails entwerfen, Protokolle zusammenfassen. Gleichzeitig wächst die Unsicherheit: Darf ich Kundendaten eingeben? Brauche ich einen Vertrag mit OpenAI? Und reicht das kostenlose Konto für den Geschäftsbetrieb?

Die kurze Antwort: ChatGPT kann im Unternehmen sinnvoll sein — aber nicht mit beliebigen Daten und nicht ohne klare Regeln. Wer personenbezogene Daten verarbeitet, braucht eine Rechtsgrundlage, dokumentierte Prozesse und in der Regel einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Wann wird aus „mal kurz ChatGPT“ ein datenschutzrechtliches Thema?

Sobald Sie personenbezogene Daten in ein KI-Tool eingeben, greift die DSGVO. Das betrifft mehr, als viele denken: Namen von Kunden oder Mitarbeitenden, E-Mail-Adressen, Bewerbungsunterlagen, Gesundheitsdaten, Fotos mit erkennbaren Personen oder interne Protokolle mit Teilnehmerlisten. Auch Vereine und andere Organisationen mit Mitgliederdaten sind betroffen.

Free, Plus, Team, Enterprise, API: Der entscheidende Unterschied

OpenAI unterscheidet mehrere Nutzungsmodelle. Laut der Gesellschaft für Datenschutz ist bei den Lizenzen Team, Enterprise und API OpenAI als Auftragsverarbeiter anzusehen — mit verfügbarem AVV und standardmäßig deaktivierter Nutzung Ihrer Eingaben zum Modelltraining. Bei Free und Pro liegt die Rolle dagegen oft im Graubereich.

  • Free / Plus (privat): Für interne Tests ohne Personenbezug denkbar, aber nicht für Kundendaten oder Mitarbeiterdaten.
  • Team / Enterprise: AVV, Admin-Kontrollen, Training-Opt-out — typischer Einstieg für KMU und größere Organisationen.
  • API: Stärkere technische Kontrolle, Daten werden laut OpenAI-Dokumentation nicht für Training genutzt und nur begrenzt gespeichert.

Was Sie rechtlich konkret erledigen sollten

  1. Einsatz inventarisieren: Wer nutzt welches Tool wofür? Auch Schatten-IT zählt — wenn Mitarbeitende heimlich das private Konto nutzen.
  2. AVV abschließen: Bei Team, Enterprise oder API den Data Processing Addendum von OpenAI unterzeichnen und archivieren.
  3. Verzeichnis der Verarbeitungstätigkeiten ergänzen: Zweck, Datenkategorien, Rechtsgrundlage, Auftragsverarbeiter, Drittlandtransfer (Art. 30 DSGVO).
  4. Interne Richtlinie schreiben: Was darf rein (z. B. anonymisierte Textentwürfe), was nicht (Kundendaten, Bewerbungen, Gesundheitsdaten).
  5. Drittlandtransfer prüfen: OpenAI ist dem EU-US Data Privacy Framework zugeordnet. Trotzdem empfiehlt die IHK München zusätzliche Schutzmaßnahmen wie Datenminimierung und Pseudonymisierung.
  6. Ausgaben prüfen: KI halluziniert. Alles, was nach außen geht oder rechtlich relevant ist, braucht menschliche Kontrolle.

Typische Use Cases — und ihre Risikostufen

  • Niedriges Risiko: Marketing-Entwürfe ohne Namen, interne Brainstormings, allgemeine FAQ-Texte.
  • Mittleres Risiko: E-Mail-Antworten mit Kundenbezug, wenn nur minimale Daten und ein Business-Vertrag vorliegen.
  • Hohes Risiko: Bewerberauswahl, Bonitätsprüfungen, Gesundheits- oder Kinderdaten, automatische Entscheidungen ohne Prüfung.

Die Datenschutzkonferenz (DSK) hat 2024 eine Orientierungshilfe zum KI-Einsatz veröffentlicht. Sie ist nicht Gesetz, zeigt aber, worauf deutsche Aufsichtsbehörden achten: Rechtsgrundlage, Transparenz, Datenminimierung, Genauigkeit und Betroffenenrechte.

EU AI Act: Was ab 2026 zusätzlich relevant wird

Neben der DSGVO gilt seit Februar 2025 bereits die KI-Kompetenzpflicht nach Art. 4 der KI-Verordnung (EU) 2024/1689: Unternehmen müssen sicherstellen, dass Beschäftigte, die KI nutzen, ausreichend geschult sind. Ab August 2026 kommen Transparenzpflichten hinzu — etwa wenn Kunden mit einem KI-Chatbot interagieren.

Praktische Empfehlung für Unternehmen

  • Starten Sie mit einem klar abgegrenzten Pilot (z. B. nur Textentwürfe für die Website).
  • Nutzen Sie Business-Lizenzen mit AVV, sobald echte Kunden- oder Geschäftsdaten im Spiel sind.
  • Dokumentieren Sie Schulungen — das ist ab 2025 ohnehin Pflicht.
  • Prüfen Sie EU-basierte Alternativen, wenn Sie US-Transfers komplett vermeiden wollen.
  • Bauen Sie keine Black Box: Mitarbeitende müssen wissen, was erlaubt ist.

ChatGPT ist kein Verbotsthema — aber auch kein Selbstläufer. Wer die rechtlichen Basics einmal sauber aufsetzt, kann später Automatisierungen und Assistenten deutlich sicherer skalieren.

Quellen & weiterführende Links

  1. ChatGPT und AuftragsverarbeitungGesellschaft für Datenschutz
  2. Datenschutz & Künstliche Intelligenz (KI) — IHK MünchenIHK für München und Oberbayern
  3. Regulatory framework on AI (EU AI Act)Europäische Kommission
  4. Verordnung (EU) 2024/1689 — Künstliche Intelligenz (KI-VO)EUR-Lex
  5. Art. 28 DSGVO — AuftragsverarbeiterDSGVO-Gesetz.de
  6. Orientierungshilfe KI und DatenschutzDatenschutzkonferenz (DSK)

Praxis bei Hercoon

KI einführen — ohne Datenschutz-Stress

Bei Hercoon begleiten wir Unternehmen beim verantwortungsvollen KI-Einsatz: von der internen Richtlinie über DSGVO-konforme Tool-Auswahl bis zur Integration in Website oder Workflow. Auch Vereine profitieren von diesen Grundlagen.

Wir setzen auf EU-basierte Lösungen, wo es sinnvoll ist — und erklären in Klartext, was technisch und rechtlich wirklich nötig ist.

  • KI-Beratung: Wo lohnt sich Automatisierung in Ihrem Betrieb?
  • Chatbots & Assistenten mit DSGVO-Grundlagen
  • Integration in Websites, Formulare und interne Tools