Der Einsatz von KI-Systemen wie ChatGPT ist längst keine Randerscheinung mehr, sondern Teil moderner Unternehmenspraxis. Ob zur Textgenerierung, Kundenkommunikation oder Prozessoptimierung – ChatGPT kann erhebliche Effizienzgewinne schaffen. Allerdings gelten beim Umgang mit solchen Tools strenge datenschutzrechtliche Vorgaben, sobald personenbezogene Daten verarbeitet werden.

Wichtig ist die Unterscheidung zwischen privater und geschäftlicher Nutzung. Die Datenschutz-Grundverordnung (DSGVO) gilt nicht für rein persönliche oder familiäre Tätigkeiten, wie sie in Erwägungsgrund 18 DSGVOausdrücklich beschrieben sind. Dort heißt es, dass die Verordnung nicht für die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten gilt – etwa beim Schreiben privater Nachrichten oder der Nutzung von ChatGPT zu rein privaten Zwecken.

Sobald ChatGPT jedoch im Rahmen einer wirtschaftlichen, beruflichen oder organisatorischen Tätigkeit verwendet wird – also etwa im Unternehmen, Verein, Freiberuf oder öffentlicher Einrichtung – findet die DSGVO uneingeschränkt Anwendung. Maßgeblich ist damit der geschäftliche Charakter der Handlung, also dass die Nutzung nicht ausschließlich persönlicher Natur ist, sondern auf geschäftliche Prozesse oder externe Kommunikation abzielt.

Im Folgenden werden die rechtlichen Grundlagen, Risiken und Handlungsempfehlungen für eine DSGVO-konforme geschäftliche Nutzung von ChatGPT erläutert.

1. Ausgangspunkt: ChatGPT als datenverarbeitendes System

ChatGPT ist ein KI-Sprachmodell, das auf maschinellem Lernen und neuronalen Netzwerken basiert. Es verarbeitet Texteingaben (Prompts) und generiert daraus kontextbezogene Antworten. Diese Eingaben können – bewusst oder unbewusst – personenbezogene Daten enthalten. Bereits dadurch findet eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO statt.

Verantwortlich im Sinne des Datenschutzrechts ist stets derjenige, der ChatGPT zu eigenen geschäftlichen Zwecken nutzt – also das Unternehmen oder der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.

2. Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO

Jede Datenverarbeitung bedarf einer Rechtsgrundlage. Für den Einsatz von ChatGPT kommen im Regelfall folgende Grundlagen in Betracht:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):
  Wenn personenbezogene Daten in Prompts eingegeben werden, ist grundsätzlich eine informierte, freiwillige und widerrufbare Einwilligung der betroffenen Person erforderlich.

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):
  Nur anwendbar, wenn die Datenverarbeitung unmittelbar zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist. Dies wird bei ChatGPT selten der Fall sein.

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO):
  Unternehmen können sich auf berechtigte Interessen stützen, wenn keine sensiblen oder schutzwürdigen Daten verarbeitet werden und ein ausgewogenes Verhältnis zwischen Unternehmensinteressen und Grundrechten der Betroffenen besteht. Eine sorgfältige Interessenabwägung ist zwingend erforderlich.

3. Risikoanalyse und Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Wenn ChatGPT im Unternehmen zur Verarbeitung personenbezogener oder sensibler Daten eingesetzt wird – etwa im Kundenservice, Personalwesen oder juristischen Bereich – kann ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bestehen.

In diesem Fall ist gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Diese muss insbesondere:

• die geplanten Verarbeitungsvorgänge beschreiben,

• die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung bewerten,

• Risiken für Betroffene identifizieren und

• geeignete technische und organisatorische Maßnahmen (TOMs) festlegen.

4. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Um ChatGPT datenschutzkonform zu nutzen, sind angemessene Sicherheitsmaßnahmen zu treffen:

• Pseudonymisierung und Anonymisierung: Keine direkten Identifikationsmerkmale (Name, E-Mail, Kundennummer etc.) in Prompts eingeben.

• Zugriffs- und Berechtigungskonzepte: Nur autorisierte Mitarbeitende dürfen die KI verwenden.

• Protokollierung: Eingaben und Ausgaben dokumentieren, aber nicht dauerhaft speichern.

• Vertraulichkeit: Mitarbeitende sind auf Geheimhaltungs- und Datenschutzpflichten hinzuweisen.

Darüber hinaus sollte geprüft werden, ob der Anbieter von ChatGPT (OpenAI) eine Datenverarbeitung in Drittländern (z. B. USA) vornimmt. In diesem Fall sind die Anforderungen nach Art. 44 ff. DSGVO (Datenübermittlung in Drittländer) zu beachten – insbesondere Standardvertragsklauseln (SCC) und Risikoanalysen nach dem Schrems-II-Urteil (EuGH, C-311/18).

5. Datenschutzrelevante Einstellungen in ChatGPT

Neben juristischen Pflichten bestehen auch technische Konfigurationsmöglichkeiten, die für die Einhaltung der DSGVO entscheidend sind.

a) Chatverlauf & Training deaktivieren

Unter Einstellungen → Datenschutz lässt sich die Option „Chatverlauf & Training“ ausschalten. Damit werden Eingaben nicht zum Training des Modells verwendet.
Das reduziert das Risiko einer Zwecküberschreitung gemäß Art. 5 Abs. 1 lit. b DSGVO (Zweckbindung) und unterstützt die Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO.
Unternehmen sollten diese Einstellung verpflichtend deaktivieren und dokumentieren (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

b) Nutzung von ChatGPT Team oder Enterprise

OpenAI unterscheidet mehrere Stufen mit unterschiedlichen Datenschutz-Niveaus:

• Free/Plus: Datenverarbeitung in den USA, Training standardmäßig aktiv.

• Team: Keine Trainingsverwendung der Daten, isolierte Arbeitsumgebung.

• Enterprise: Zusätzlich Verschlüsselung „in-transit“ und „at-rest“, Admin-Kontrolle, SSO, eigene Policies und Audit-Logs.

Für eine nachweisbar DSGVO-konforme Nutzung ist mindestens die Team-Version, vorzugsweise Enterprise, zu empfehlen.

c) Datenlöschung und Export

Unter Einstellungen → Datenschutz → Datenverwaltung können Chats gelöscht oder exportiert werden. Das ermöglicht die Wahrnehmung von Betroffenenrechten nach Art. 17 (Löschung) und Art. 20 DSGVO (Datenübertragbarkeit).
Empfohlen wird eine interne Richtlinie, wann und wie Chat-Verläufe zu löschen sind.

d) Zugriffskontrolle und Rollenverwaltung

In Team/Enterprise-Versionen lassen sich Nutzerrollen, Zugriffsrechte und Admin-Kontrollen einrichten – ein direkter Beitrag zur Umsetzung von Art. 32 Abs. 1 lit. b DSGVO (Zugriffskontrolle).
Unternehmen sollten definieren, welche Abteilungen ChatGPT verwenden dürfen und welche Datenarten ausgeschlossen sind.

e) Nutzung der API

Bei Einsatz der ChatGPT-API gelten strengere Datenschutzgarantien:
OpenAI verwendet keine API-Eingaben zum Training, und Datenübertragungen erfolgen verschlüsselt (TLS 1.2 ff.).
Im Unternehmenskontext ist hier ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) erforderlich – insbesondere bei Nutzung über den Azure OpenAI Service (Microsoft).

f) Drittlandübermittlungen

Da OpenAI Daten in den USA hostet, sind die Regelungen nach Art. 44 ff. DSGVO relevant. Grundlage bilden Standardvertragsklauseln (SCC). Eine Transfer Impact Assessment (TIA) ist empfehlenswert, insbesondere bei sensiblen Daten.

6. Informationspflichten und Transparenz (Art. 12–14 DSGVO)

Betroffene Personen müssen informiert werden, wenn ihre Daten mithilfe von KI-Systemen verarbeitet werden.
Das Unternehmen hat daher:

• eine transparente Datenschutzerklärung vorzuhalten,

• die Funktionsweise, Zwecke und Rechtsgrundlagen der Verarbeitung zu beschreiben,

• und über mögliche Risiken automatisierter Entscheidungen (Art. 22 DSGVO) zu informieren.

Zudem ist sicherzustellen, dass Betroffene ihre Rechte nach Art. 15–22 DSGVO (Auskunft, Löschung, Berichtigung, Widerspruch, Einschränkung) wirksam ausüben können.

7. Auftragsverarbeitung oder gemeinsame Verantwortung

Ob die Nutzung von ChatGPT eine Auftragsverarbeitung nach Art. 28 DSGVO darstellt, hängt vom Einsatz ab.
Bei Nutzung der ChatGPT-API oder Team/Enterprise-Pläne kann ein AV-Vertrag mit OpenAI erforderlich sein.
Wird ChatGPT über die öffentliche Web-Oberfläche verwendet, ist OpenAI eigener Verantwortlicher, weshalb personenbezogene Daten vor Eingabe anonymisiert oder pseudonymisiert werden müssen.

8. Chancen und Vorteile

Trotz der rechtlichen Herausforderungen bietet ChatGPT erhebliche Vorteile für Unternehmen:

• Automatisierung repetitiver Aufgaben (Texte, E-Mails, Berichte).

• Effizientes Wissensmanagement durch Analyse und Zusammenfassung.

• Kundenkommunikation via Chatbots, sofern keine sensiblen Daten fließen.

• Innovation und Produktivität durch Zeit- und Ressourceneinsparung.

Diese Vorteile können datenschutzkonform genutzt werden, wenn Datenschutz-by-Design (Art. 25 DSGVO) von Anfang an berücksichtigt wird.

9. Handlungsempfehlungen für Unternehmen

1. Keine Eingabe personenbezogener Daten ohne Rechtsgrundlage.

2. „Chatverlauf & Training“ deaktivieren.

3. Team- oder Enterprise-Version verwenden.

4. Risikoprüfung und ggf. DSFA vor Implementierung.

5. AV-Vertrag mit OpenAI/Microsoft bei API-Nutzung abschließen.

6. Datenminimierung und Anonymisierung umsetzen.

7. Zugriffs- und Löschkonzepte dokumentieren.

8. Mitarbeiterschulung und interne Richtlinien etablieren.

10. Fazit

Die Nutzung von ChatGPT ist mit der DSGVO vereinbar – vorausgesetzt, technische Einstellungen und rechtliche Vorgaben werden konsequent umgesetzt.
Wer die Datenschutzoptionen in ChatGPT korrekt konfiguriert, Datenflüsse dokumentiert und interne Kontrollmechanismen etabliert, kann KI-Systeme rechtssicher und effizient in die Unternehmenspraxis integrieren.

Eine datenschutzkonforme KI-Nutzung ist damit kein Hindernis, sondern ein Qualitätsmerkmal verantwortungsvoller Unternehmensführung im digitalen Zeitalter.