ChatGPT ist im deutschen Unternehmensalltag angekommen – oft schneller als die rechtliche und organisatorische Aufarbeitung. Die Datenschutzgrundverordnung stellt dabei klare Anforderungen, die viele Nutzer im Alltagsstress ignorieren oder schlicht nicht kennen. Dieser Beitrag gibt einen nüchternen Überblick, ohne juristischen Anspruch auf Vollständigkeit, aber mit praktischer Relevanz.
Das Grundproblem: Wer verarbeitet welche Daten?
Wenn Sie ChatGPT nutzen, schicken Sie Daten an Server von OpenAI in den USA. Das löst europäisches Datenschutzrecht aus, sobald personenbezogene Daten im Spiel sind – also Namen, E-Mail-Adressen, Kundennummern, Mitarbeiterinformationen oder jede Information, die eine Person identifizierbar macht. OpenAI bietet zwar einen Data Processing Agreement an, der für die Enterprise-Version relevant ist, aber viele Unternehmen nutzen die kostenlose oder günstige Businessversion ohne rechtssichere Vertragsgrundlage.
Grundregel für alle Mitarbeiter: Kein vollständiger Name, keine E-Mail-Adresse, keine Kundennummer, keine internen Projektnamen in öffentliche KI-Systeme eingeben. Pseudonymisieren Sie, wo immer möglich.
Was darf eingegeben werden – was nicht?
Unbedenklich sind allgemeine Aufgaben ohne Personenbezug: Texte schreiben und optimieren, Code generieren, allgemeine Recherche, Vorlagen erstellen. Problematisch wird es bei: Kundenkommunikation mit echten Namen, Personaldaten oder Beurteilungen, Vertragsdetails mit identifizierbaren Parteien, medizinischen oder finanziellen Daten. Die Grenze ist fließend und hängt vom Kontext ab – im Zweifel gilt: weglassen oder pseudonymisieren.
ChatGPT Enterprise vs. kostenlose Version
OpenAI bietet mit ChatGPT Enterprise ein Produkt an, das Inputs nicht zum Training nutzt und einen DPA anbietet. Das verbessert die rechtliche Situation erheblich, löst aber nicht alle Probleme. Auch Enterprise-Daten verlassen Ihr Unternehmen und landen auf US-amerikanischen Servern. Für besonders sensible Daten – Gesundheit, Finanzen, Betriebs- und Geschäftsgeheimnisse – sollten Sie lokale oder europäische Alternativen in Betracht ziehen.
Alternativen mit europäischer Datenhaltung
Mehrere Anbieter positionieren sich mit DSGVO-konformer, europäischer Infrastruktur: Mistral AI (Frankreich), Aleph Alpha (Deutschland) oder Microsoft Azure OpenAI Service mit europäischen Rechenzentren. Diese Optionen sind oft teurer und weniger leistungsstark als ChatGPT-4, aber für bestimmte Anwendungsfälle die rechtssichere Wahl. Für lokale Verarbeitung sensibler Daten gibt es außerdem Open-Source-Modelle, die vollständig auf eigener Infrastruktur betrieben werden können.
Fazit
DSGVO und KI-Tools sind kein unüberwindbarer Widerspruch – aber sie erfordern Bewusstsein, klare Richtlinien und die richtigen Vertragsgrundlagen. Die häufigste Ursache für Probleme ist nicht böswilliger Vorsatz, sondern schlichte Unkenntnis. Eine interne KI-Richtlinie, die konkrete Do's und Don'ts benennt, ist der beste erste Schritt.
Freiberuflicher IT-Berater mit M.Sc. Informatik (THM Gießen) und über 20 Jahren Praxiserfahrung. Schreibt über IT-Strategie, Software-Entwicklung und Digitalisierung im deutschen Mittelstand.
