„Dürfen wir ChatGPT überhaupt nutzen, ohne die DSGVO zu verletzen?" — kurz: ja, aber es kommt sehr darauf an, wie. Der Unterschied zwischen sauber und riskant liegt oft in einer einzigen Einstellung, die kaum jemand prüft. Hier ist die ehrliche, praxisnahe Einordnung — ohne Panik und ohne Juristendeutsch.
Die DSGVO greift, sobald personenbezogene Daten ins Spiel kommen
Solange du KI für Allgemeines nutzt — einen Werbetext entwerfen, eine Idee strukturieren —, ist Datenschutz kein Thema. Heikel wird es in dem Moment, in dem personenbezogene Daten ins Chat-Fenster wandern: Kundennamen, E-Mail-Adressen, Bewerbungsunterlagen, Krankmeldungen, Vertragsdetails. Dann gelten dieselben Regeln wie für jede andere Datenverarbeitung — Rechtsgrundlage, Zweckbindung, Datensparsamkeit. Die meisten Verstöße im Mittelstand passieren nicht aus bösem Willen, sondern weil niemand diese Grenze definiert hat.
Der eine Hebel, der fast alles entscheidet: Gratis- vs. Business-Konto
Das Wichtigste zuerst, weil es den größten Unterschied macht:
- Kostenlose & Privat-Konten (ChatGPT Free/Plus & Co.) verarbeiten deine Eingaben unter Umständen weiter — auch zum Training der Modelle —, und du bekommst keinen Auftragsverarbeitungsvertrag. Für personenbezogene Daten sind sie damit faktisch tabu.
- Business-, Enterprise- und API-Zugänge trainieren standardmäßig nicht mit deinen Daten, und der Anbieter schließt einen Auftragsverarbeitungsvertrag (AVV) mit dir ab.
Allein der Wechsel vom privaten zum geschäftlichen Konto bringt dich also vom roten in den grünen Bereich — vorausgesetzt, du regelst den Rest.
Drei Dinge, die du beim Anbieter klären musst
1. Der AVV. Sobald ein Anbieter personenbezogene Daten für dich verarbeitet, ist ein Auftragsverarbeitungsvertrag Pflicht. Bei den Business-Tarifen der großen Anbieter ist er verfügbar — du musst ihn nur aktiv abschließen.
2. Der US-Datentransfer. Die meisten KI-Dienste verarbeiten in den USA. Das ist derzeit über das EU-US Data Privacy Framework abgesichert, das im September 2025 vor dem EU-Gericht Bestand hatte. Aber: Die Entscheidung ist angefochten und liegt beim EuGH — und dessen zwei Vorgänger-Abkommen wurden gekippt. Verlass dich also nicht darauf, dass dieser Weg für immer offen bleibt.
3. Der Speicherort. EU-Datenresidenz gibt es inzwischen — aber sie ist nicht automatisch aktiv. Die Standard-Verarbeitung läuft oft weiter über die USA; den EU-Speicherort musst du aktiv konfigurieren. Das ist die Stellschraube, die am häufigsten übersehen wird.
Für sensible Daten: weniger reingeben — oder die KI zu den Daten bringen
Zwei robuste Prinzipien, die unabhängig von jedem Abkommen funktionieren:
Datensparsamkeit. Anonymisiere oder pseudonymisiere, bevor du etwas eingibst. Oft braucht die KI den echten Namen gar nicht — „Kunde A" reicht völlig.
KI dort betreiben, wo die Daten liegen. Für wirklich sensible Daten ist der sauberste Weg, gar nicht erst zu übertragen: ein Modell, das in der EU oder bei dir im Haus läuft. Kleine, spezialisierte Modelle (SLMs) machen das auch wirtschaftlich — und die Datenschutzfrage löst sich von selbst, weil nichts dein Haus verlässt.
Was du nicht tun musst
Die häufigste Überreaktion: ein komplettes KI-Verbot „aus Datenschutzgründen". Das ist genauso falsch wie sorgloses Reinkippen. Für den Großteil der Alltagsarbeit — alles ohne personenbezogene Daten — brauchst du keine Sonderlösung. Pass die Maßnahme an die Daten an: unkritisch → öffentliche Tools mit kurzer Richtlinie; personenbezogen → Business-Konto mit AVV; hochsensibel → EU- oder eigene Modelle. Mehr Aufwand als nötig kostet nur Tempo.
Pragmatisch starten
Der einfachste erste Schritt ist eine klare, kurze KI-Richtlinie: was darf rein, was nicht, welches Konto ist erlaubt. Die erstellst du in Minuten. Und weil Datenschutz und KI-Verordnung ineinandergreifen, lohnt parallel ein Blick auf den EU AI Act im Mittelstand.
Für sensible Daten zeigen wir auf Eigene KI-Modelle, wie KI unter deiner Kontrolle läuft — oder sprich uns direkt an, wenn du wissen willst, was in eurem Fall der saubere Weg ist. (Dieser Beitrag ordnet ein und ersetzt keine Rechtsberatung.)