EU AI Act Selbstcheck 2026 – Welche KI-Pflichten gelten für dich?

ChatGPT & DSGVO 2026: Was du beachten musst (sonst wird es teuer)

ChatGPT & DSGVO 2026: Ist ChatGPT datenschutzkonform nutzbar?

ChatGPT kann DSGVO-konform genutzt werden – aber nicht automatisch. Entscheidend ist, welche Version du nutzt, welche Daten du eingibst, ob personenbezogene oder vertrauliche Informationen verarbeitet werden und ob dein Unternehmen klare Datenschutz- und KI-Regeln hat.

Kurzantwort:
ChatGPT ist nicht pauschal DSGVO-widrig. Problematisch wird es, wenn personenbezogene Daten, Kundendaten, Gesundheitsdaten, Bewerberdaten oder vertrauliche Informationen ohne Prüfung eingegeben werden. Unternehmen sollten Rechtsgrundlage, Zweck, Tool-Version, Datenflüsse, Zugriff, Auftragsverarbeitung und interne Regeln klären.

Diese Seite richtet sich an Selbstständige, KMU, Agenturen, Online-Shops, Berater, Praxen, Teams und Unternehmen, die ChatGPT beruflich nutzen und Datenschutzrisiken vermeiden möchten.

Unsicher, ob deine ChatGPT-Nutzung datenschutzkonform aufgestellt ist?
Jetzt kostenlosen EU AI Act Selbstcheck starten →

Ist ChatGPT DSGVO-konform?

Die ehrliche Antwort lautet: Es kommt auf die Nutzung an. ChatGPT ist nicht automatisch verboten und auch nicht automatisch datenschutzkonform. Entscheidend ist, ob personenbezogene Daten verarbeitet werden, welche Einstellungen und Vertragsgrundlagen bestehen und ob dein Unternehmen die Nutzung dokumentiert und kontrolliert.

Unproblematischer ist die Nutzung meist, wenn du ChatGPT für allgemeine, nicht personenbezogene Inhalte verwendest:

  • Ideen für Blogartikel, Social Media oder Kampagnen entwickeln
  • allgemeine Texte, Überschriften oder Entwürfe formulieren
  • öffentliche Informationen strukturieren oder vereinfachen
  • interne Vorlagen ohne vertrauliche Daten erstellen
  • nicht sensible Texte kürzen, übersetzen oder verbessern

Kritischer wird es, sobald du reale Kundendaten, Mitarbeiterdaten, Gesundheitsdaten, Bewerberdaten, Verträge, Rechnungen, Beschwerden oder vertrauliche Geschäftsinformationen in ChatGPT eingibst.

Wann ist ChatGPT aus DSGVO-Sicht eher unkritisch – und wann kritisch?

Eher unkritisch

  • keine personenbezogenen Daten
  • keine vertraulichen Informationen
  • allgemeine Textentwürfe
  • Brainstorming und Strukturierung
  • öffentliche Informationen
  • redaktionelle Prüfung vor Nutzung

Kritisch

  • Kundendaten im Prompt
  • Gesundheitsdaten oder Bewerberdaten
  • Verträge, Rechnungen oder Beschwerden
  • interne Dokumente und Geschäftsgeheimnisse
  • personenbezogene Analysen
  • automatisierte Entscheidungen

Was sind personenbezogene Daten bei ChatGPT?

Personenbezogene Daten sind Informationen, mit denen eine Person direkt oder indirekt identifiziert werden kann. Dazu gehören nicht nur Name und E-Mail-Adresse, sondern auch Kundennummern, Standortdaten, IP-Adressen, Bestellhistorien, Bewerbungsunterlagen oder Kombinationen aus mehreren Angaben.

Bei ChatGPT sind deshalb besonders vorsichtig zu behandeln:

  • Namen, E-Mail-Adressen, Telefonnummern und Kundennummern
  • Supportfälle, Beschwerden, Bewertungen oder Kundennachrichten
  • Gesundheitsdaten, Diagnosen oder medizinische Informationen
  • Bewerbungen, Lebensläufe, Mitarbeiterdaten und HR-Dokumente
  • Rechnungen, Verträge, Angebote und Zahlungsinformationen
  • interne Protokolle, Strategien und Geschäftsgeheimnisse
  • Daten, die in Kombination Rückschlüsse auf Personen erlauben

Praxisregel: Alles, was einen echten Kunden, Bewerber, Patienten, Mitarbeiter oder Geschäftspartner identifizierbar macht, gehört nicht ungeprüft in ChatGPT.

Macht es einen Unterschied, ob ich ChatGPT privat oder geschäftlich nutze?

Ja. Bei privater Nutzung sind die Risiken meist geringer. Bei geschäftlicher Nutzung gelten strengere Anforderungen, weil Unternehmen für Datenverarbeitung, Vertraulichkeit, Dokumentation, Datenschutzinformationen, Tool-Auswahl und interne Prozesse verantwortlich sind.

Unternehmen sollten besonders prüfen:

  • Welche ChatGPT-Version wird genutzt?
  • Wer im Unternehmen darf ChatGPT verwenden?
  • Welche Daten dürfen eingegeben werden?
  • Wer prüft KI-generierte Ergebnisse?
  • Gibt es eine Rechtsgrundlage für die Datenverarbeitung?
  • Gibt es eine Vereinbarung zur Auftragsverarbeitung, falls erforderlich?
  • Wurde die Nutzung intern dokumentiert?
  • Wurden Mitarbeitende geschult?

Welche ChatGPT-Version ist für Unternehmen besser geeignet?

Für Unternehmen ist es meist sicherer, eine Business-, Enterprise-, Edu- oder API-Lösung mit passenden Datenkontrollen, Admin-Funktionen und Vertragsgrundlagen zu prüfen, statt private Einzelkonten ohne klare Organisation zu nutzen.

OpenAI gibt für Business-, Enterprise-, Edu- und API-Produkte an, Unternehmensdaten standardmäßig nicht zum Training zu verwenden. Trotzdem ersetzt das keine eigene DSGVO-Prüfung. Unternehmen müssen weiterhin bewerten, welche Daten verarbeitet werden, welche Einstellungen aktiv sind, welche Verträge gelten und ob interne Vorgaben eingehalten werden.

Besonders wichtig ist der Unterschied zwischen:

  • privaten Nutzerkonten: oft weniger zentrale Kontrolle durch das Unternehmen
  • Business-/Team-Setups: bessere Verwaltung und Datenkontrollen möglich
  • Enterprise-/API-Lösungen: häufig besser für geregelte Unternehmensprozesse geeignet
  • unkontrollierter Schatten-KI: besonders riskant, wenn Mitarbeitende private Tools für Kundendaten nutzen

Warum AI Act und DSGVO zusammen wichtig sind

Der EU AI Act ersetzt die DSGVO nicht. Beide Regelwerke können parallel relevant sein. Die DSGVO betrifft vor allem personenbezogene Daten. Der AI Act betrifft den Einsatz von KI-Systemen, deren Risiko, Transparenz, menschliche Aufsicht und bestimmte Pflichten je nach Rolle und Anwendungsbereich.

Für Unternehmen bedeutet das:

  • DSGVO prüfen, wenn personenbezogene Daten verarbeitet werden
  • AI Act prüfen, wenn KI geschäftlich eingesetzt wird
  • KI-Nutzung dokumentieren
  • Mitarbeitende zur sicheren Nutzung schulen
  • Transparenzpflichten je nach Einsatzbereich bewerten
  • sensible Anwendungsfälle wie HR, Medizin, Finanzen oder Behörden besonders prüfen

Wichtig: DSGVO und AI Act sind keine Gegensätze. Wer KI im Unternehmen nutzt, sollte Datenschutz, Transparenz, Dokumentation, Verantwortlichkeiten und menschliche Kontrolle gemeinsam betrachten.

Die größten DSGVO-Fehler bei ChatGPT

Die meisten Probleme entstehen nicht durch ChatGPT selbst, sondern durch unkontrollierte Nutzung im Alltag.

  • Kundendaten in ChatGPT eingeben, ohne Rechtsgrundlage oder Prüfung
  • Gesundheitsdaten, Bewerberdaten oder Mitarbeiterdaten nutzen, ohne besondere Schutzmaßnahmen
  • private ChatGPT-Konten geschäftlich verwenden, ohne zentrale Kontrolle
  • keine Auftragsverarbeitung oder Vertragsgrundlage prüfen
  • keine interne KI-Richtlinie haben
  • keine Mitarbeiterschulung zur KI-Nutzung durchführen
  • KI-Ergebnisse ungeprüft veröffentlichen
  • keine Dokumentation der eingesetzten KI-Tools führen

Was du konkret tun solltest

Wenn du ChatGPT im Unternehmen nutzt, brauchst du keinen Aktionismus, sondern eine klare Struktur. Ziel ist nicht, jede KI-Nutzung zu verbieten, sondern riskante Nutzung zu erkennen und zu steuern.

  • KI-Tools im Unternehmen erfassen
  • prüfen, ob personenbezogene Daten verarbeitet werden
  • klären, welche ChatGPT-Version genutzt wird
  • Tool-Einstellungen und Datenkontrollen prüfen
  • Auftragsverarbeitung und Vertragsgrundlagen bewerten
  • keine sensiblen Daten ohne Prüfung eingeben
  • interne KI-Richtlinie erstellen
  • Mitarbeitende zur Nutzung schulen
  • KI-Ausgaben vor Verwendung prüfen
  • AI-Act-Relevanz je nach Einsatzbereich bewerten

Finde jetzt heraus, ob deine KI-Nutzung sauber aufgestellt ist:
Kostenlosen EU AI Act Selbstcheck starten →

Weiterführende Themen zu ChatGPT, DSGVO und AI Act

Wenn du ChatGPT beruflich nutzt, sind diese Seiten besonders hilfreich:

Zum kostenlosen Selbstcheck | Zur Startseite

FAQ: ChatGPT & DSGVO

Ist ChatGPT DSGVO-konform?

ChatGPT kann DSGVO-konform genutzt werden, aber nicht automatisch. Entscheidend sind Tool-Version, Datenarten, Rechtsgrundlage, Zweck, Einstellungen, Vertragsgrundlagen, Zugriffskontrolle und interne Regeln.

Darf ich Kundendaten in ChatGPT eingeben?

Kundendaten sollten nicht ungeprüft in ChatGPT eingegeben werden. Vorher müssen Rechtsgrundlage, Zweck, Vertraulichkeit, Auftragsverarbeitung, Tool-Einstellungen und mögliche Risiken geprüft werden.

Welche Daten darf ich nicht in ChatGPT eingeben?

Besonders vorsichtig solltest du bei Gesundheitsdaten, Bewerberdaten, Mitarbeiterdaten, Kundendaten, Verträgen, Rechnungen, Beschwerden, Geschäftsgeheimnissen und allen personenbezogenen oder vertraulichen Informationen sein.

Ist ChatGPT ohne personenbezogene Daten unproblematisch?

Die Nutzung ohne personenbezogene oder vertrauliche Daten ist meist deutlich weniger riskant. Trotzdem sollten Ergebnisse geprüft, Tool-Bedingungen beachtet und interne Regeln definiert werden.

Brauche ich eine Auftragsverarbeitung für ChatGPT?

Wenn personenbezogene Daten im Auftrag deines Unternehmens verarbeitet werden, kann eine Vereinbarung zur Auftragsverarbeitung relevant sein. Das sollte abhängig von Tool-Version, Vertrag und konkreter Nutzung geprüft werden.

Was ist das größte DSGVO-Risiko bei ChatGPT?

Das größte Risiko ist die unbewusste Eingabe personenbezogener, sensibler oder vertraulicher Daten ohne klare Rechtsgrundlage, ohne Prüfung der Tool-Einstellungen und ohne interne Regeln.

Wie kann ich ChatGPT datenschutzfreundlicher nutzen?

Nutze möglichst keine personenbezogenen Daten, anonymisiere Inhalte, prüfe Tool-Version und Einstellungen, erstelle eine interne KI-Richtlinie, schule Mitarbeitende und dokumentiere, wofür ChatGPT eingesetzt wird.

ChatGPT + DSGVO: Das kann dich 2026 richtig Geld kosten

WhatsApp Telegram