[{"data":1,"prerenderedAt":19},["ShallowReactive",2],{"post-de-dsgvo-konforme-ki":3},{"slug":4,"title":5,"description":6,"date":7,"dateFmt":8,"minutes":9,"tags":10,"related":14,"image":15,"imageOg":16,"imageAlt":17,"html":18},"dsgvo-konforme-ki","DSGVO-konforme KI: Wie du ChatGPT & Co. im Unternehmen rechtssicher nutzt","DSGVO-konforme KI im Unternehmen — der Unterschied zwischen Gratis- und Business-Konto, der AVV, der US-Datentransfer und der saubere Weg für sensible Daten.","2026-06-21","21. Juni 2026",3,[11,12,13],"dsgvo","datenschutz","compliance","ki-modelle","\u002Fblog\u002Fdsgvo-konforme-ki-cover.webp","\u002Fblog\u002Fdsgvo-konforme-ki-cover.jpg","Ein leuchtendes Vorhängeschloss im Zentrum eines Datenkreises; Datenströme fließen zu einem KI-Kern, bleiben aber innerhalb der schützenden Grenze.","\u003Cp>„Dürfen wir ChatGPT überhaupt nutzen, ohne die DSGVO zu verletzen?&quot; — kurz: ja, aber es kommt sehr darauf an, \u003Cem>wie\u003C\u002Fem>. Der Unterschied zwischen sauber und riskant liegt oft in einer einzigen Einstellung, die kaum jemand prüft. Hier ist die ehrliche, praxisnahe Einordnung — ohne Panik und ohne Juristendeutsch.\u003C\u002Fp>\n\u003Ch2>Die DSGVO greift, sobald personenbezogene Daten ins Spiel kommen\u003C\u002Fh2>\n\u003Cp>Solange du KI für Allgemeines nutzt — einen Werbetext entwerfen, eine Idee strukturieren —, ist Datenschutz kein Thema. Heikel wird es in dem Moment, in dem \u003Cstrong>personenbezogene Daten\u003C\u002Fstrong> ins Chat-Fenster wandern: Kundennamen, E-Mail-Adressen, Bewerbungsunterlagen, Krankmeldungen, Vertragsdetails. Dann gelten dieselben Regeln wie für jede andere Datenverarbeitung — Rechtsgrundlage, Zweckbindung, Datensparsamkeit. Die meisten Verstöße im Mittelstand passieren nicht aus bösem Willen, sondern weil niemand diese Grenze definiert hat.\u003C\u002Fp>\n\u003Ch2>Der eine Hebel, der fast alles entscheidet: Gratis- vs. Business-Konto\u003C\u002Fh2>\n\u003Cp>Das Wichtigste zuerst, weil es den größten Unterschied macht:\u003C\u002Fp>\n\u003Cul>\n\u003Cli>\u003Cstrong>Kostenlose &amp; Privat-Konten\u003C\u002Fstrong> (ChatGPT Free\u002FPlus &amp; Co.) verarbeiten deine Eingaben unter Umständen weiter — auch zum Training der Modelle —, und du bekommst keinen Auftragsverarbeitungsvertrag. Für personenbezogene Daten sind sie damit faktisch tabu.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Business-, Enterprise- und API-Zugänge\u003C\u002Fstrong> trainieren standardmäßig \u003Cstrong>nicht\u003C\u002Fstrong> mit deinen Daten, und der Anbieter schließt einen \u003Cstrong>Auftragsverarbeitungsvertrag (AVV)\u003C\u002Fstrong> mit dir ab.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Allein der Wechsel vom privaten zum geschäftlichen Konto bringt dich also vom roten in den grünen Bereich — vorausgesetzt, du regelst den Rest.\u003C\u002Fp>\n\u003Ch2>Drei Dinge, die du beim Anbieter klären musst\u003C\u002Fh2>\n\u003Cp>\u003Cimg src=\"\u002Fblog\u002Fdsgvo-konforme-ki-datenfluss.webp\" alt=\"Zwei Datenströme verlassen ein Unternehmen: einer entweicht nach außen in eine ferne Cloud, der andere bleibt im schützenden Ring um das Gebäude.\">\u003C\u002Fp>\n\u003Cp>\u003Cstrong>1. Der AVV.\u003C\u002Fstrong> Sobald ein Anbieter personenbezogene Daten für dich verarbeitet, ist ein Auftragsverarbeitungsvertrag Pflicht. Bei den Business-Tarifen der großen Anbieter ist er verfügbar — du musst ihn nur aktiv abschließen.\u003C\u002Fp>\n\u003Cp>\u003Cstrong>2. Der US-Datentransfer.\u003C\u002Fstrong> Die meisten KI-Dienste verarbeiten in den USA. Das ist derzeit über das \u003Cstrong>EU-US Data Privacy Framework\u003C\u002Fstrong> abgesichert, das im September 2025 vor dem EU-Gericht Bestand hatte. Aber: Die Entscheidung ist angefochten und liegt beim EuGH — und dessen zwei Vorgänger-Abkommen wurden gekippt. Verlass dich also nicht darauf, dass dieser Weg für immer offen bleibt.\u003C\u002Fp>\n\u003Cp>\u003Cstrong>3. Der Speicherort.\u003C\u002Fstrong> EU-Datenresidenz gibt es inzwischen — aber sie ist \u003Cstrong>nicht\u003C\u002Fstrong> automatisch aktiv. Die Standard-Verarbeitung läuft oft weiter über die USA; den EU-Speicherort musst du aktiv konfigurieren. Das ist die Stellschraube, die am häufigsten übersehen wird.\u003C\u002Fp>\n\u003Ch2>Für sensible Daten: weniger reingeben — oder die KI zu den Daten bringen\u003C\u002Fh2>\n\u003Cp>Zwei robuste Prinzipien, die unabhängig von jedem Abkommen funktionieren:\u003C\u002Fp>\n\u003Cp>\u003Cstrong>Datensparsamkeit.\u003C\u002Fstrong> Anonymisiere oder pseudonymisiere, bevor du etwas eingibst. Oft braucht die KI den echten Namen gar nicht — „Kunde A&quot; reicht völlig.\u003C\u002Fp>\n\u003Cp>\u003Cstrong>KI dort betreiben, wo die Daten liegen.\u003C\u002Fstrong> Für wirklich sensible Daten ist der sauberste Weg, gar nicht erst zu übertragen: ein Modell, das in der EU oder bei dir im Haus läuft. Kleine, spezialisierte Modelle (\u003Ca href=\"\u002Fblog\u002Fslm-statt-llm\">SLMs\u003C\u002Fa>) machen das auch wirtschaftlich — und die Datenschutzfrage löst sich von selbst, weil nichts dein Haus verlässt.\u003C\u002Fp>\n\u003Ch2>Was du nicht tun musst\u003C\u002Fh2>\n\u003Cp>Die häufigste Überreaktion: ein komplettes KI-Verbot „aus Datenschutzgründen&quot;. Das ist genauso falsch wie sorgloses Reinkippen. Für den Großteil der Alltagsarbeit — alles ohne personenbezogene Daten — brauchst du keine Sonderlösung. Pass die Maßnahme an die Daten an: unkritisch → öffentliche Tools mit kurzer Richtlinie; personenbezogen → Business-Konto mit AVV; hochsensibel → EU- oder eigene Modelle. Mehr Aufwand als nötig kostet nur Tempo.\u003C\u002Fp>\n\u003Ch2>Pragmatisch starten\u003C\u002Fh2>\n\u003Cp>Der einfachste erste Schritt ist eine \u003Cstrong>klare, kurze KI-Richtlinie\u003C\u002Fstrong>: was darf rein, was nicht, welches Konto ist erlaubt. Die \u003Ca href=\"\u002Fki-richtlinien-generator\">erstellst du in Minuten\u003C\u002Fa>. Und weil Datenschutz und KI-Verordnung ineinandergreifen, lohnt parallel ein Blick auf den \u003Ca href=\"\u002Fblog\u002Feu-ai-act-mittelstand\">EU AI Act im Mittelstand\u003C\u002Fa>.\u003C\u002Fp>\n\u003Cp>Für sensible Daten zeigen wir auf \u003Ca href=\"\u002Fki-modelle\">Eigene KI-Modelle\u003C\u002Fa>, wie KI unter deiner Kontrolle läuft — oder \u003Ca href=\"\u002Fkontakt\">sprich uns direkt an\u003C\u002Fa>, wenn du wissen willst, was in eurem Fall der saubere Weg ist. (Dieser Beitrag ordnet ein und ersetzt keine Rechtsberatung.)\u003C\u002Fp>\n",1782055538237]