DSGVO und ChatGPT: Was Unternehmen jetzt beachten müssen
Der Einsatz von ChatGPT und anderen Large Language Models im Unternehmen wirft Datenschutzfragen auf. Eine juristische Einordnung der aktuellen Anforderungen.
Von Dr. Sarah Weber | 2026-04-28T09:00:00+02:00 | 11 Min. Lesezeit
Seit der Veröffentlichung von ChatGPT hat sich der Einsatz von Large Language Models in deutschen Unternehmen rasant verbreitet. Doch mit der Nutzung gehen erhebliche datenschutzrechtliche Pflichten einher, die vielen Verantwortlichen nicht vollständig bewusst sind. Die europäischen Datenschutzbehörden haben ihre Positionen 2026 weiter konkretisiert – mit direkten Konsequenzen für den Unternehmensalltag.
Die Ausgangslage: Warum ChatGPT ein Datenschutzproblem sein kann
Wer ChatGPT oder vergleichbare Dienste über die Cloud-APIs von OpenAI, Anthropic oder Google nutzt, gibt in der Regel Daten an Server außerhalb der EU weiter. Das betrifft nicht nur die direkten Eingaben der Nutzer, sondern potenziell auch Metadaten wie IP-Adressen, Nutzungszeiten und die Häufigkeit bestimmter Anfragen. Nach der Datenschutz-Grundverordnung (DSGVO) stellt jede Übermittlung personenbezogener Daten in ein Drittland einen Verarbeitungsvorgang dar, der einer eigenen Rechtsgrundlage bedarf.
Das Problem verschärft sich, wenn Mitarbeitende – bewusst oder unbewusst – personenbezogene Daten in Prompts eingeben. Kundennamen in einer E-Mail, die von KI zusammengefasst werden soll. Bewerberdaten, die für eine Vorauswahl aufbereitet werden. Patientendaten, die in einen medizinischen Bericht einfließen. In all diesen Fällen liegt eine Verarbeitung personenbezogener Daten vor, für die das Unternehmen als Verantwortlicher haftet.
Die italienische Datenschutzbehörde Garante hatte ChatGPT bereits 2023 vorübergehend gesperrt. Seitdem haben mehrere europäische Behörden ihre Anforderungen präzisiert. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlichte im Januar 2026 eine aktualisierte Orientierungshilfe, die erstmals konkrete Maßnahmen für den Unternehmenseinsatz von LLMs benennt.
Die aktuelle Rechtslage: Drei zentrale Anforderungen
Die DSK-Orientierungshilfe stellt drei zentrale Anforderungen an Unternehmen, die ChatGPT oder vergleichbare Dienste einsetzen.
Erste Anforderung: Rechtsgrundlage für die Datenverarbeitung. Unternehmen benötigen eine tragfähige Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Bei der Nutzung von Cloud-APIs kommt in der Regel Art. 6 Abs. 1 lit. f (berechtigtes Interesse) in Betracht, allerdings nur, wenn die Interessen der betroffenen Personen nicht überwiegen. Bei sensiblen Daten – etwa Gesundheitsdaten nach Art. 9 DSGVO – scheidet diese Grundlage regelmäßig aus.
Zweite Anforderung: Auftragsverarbeitungsvertrag (AVV). Wer einen KI-Dienst über eine API nutzt, muss mit dem Anbieter einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abschließen. OpenAI bietet seit 2024 standardisierte AVVs an, die jedoch sorgfältig geprüft werden sollten. Insbesondere die Regelungen zur Weiterverarbeitung der eingegebenen Daten und zum Einsatz von Subunternehmern verdienen Aufmerksamkeit.
Dritte Anforderung: Datenschutz-Folgenabschätzung (DSFA). Bei einem systematischen Einsatz von LLMs, der eine große Anzahl von Mitarbeitenden oder Kunden betrifft, ist in der Regel eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich. Dies gilt insbesondere, wenn die KI für automatisierte Entscheidungsfindung eingesetzt wird, etwa bei der Vorauswahl von Bewerbungen oder der Bonitätsprüfung.
Technische Alternativen: Private AI als Compliance-Lösung
Angesichts der regulatorischen Komplexität entscheiden sich immer mehr Unternehmen für Private-AI-Lösungen, bei denen die KI-Modelle auf eigenen Servern oder bei einem deutschen Hosting-Anbieter betrieben werden. Der Vorteil: Die Daten verlassen den europäischen Rechtsraum nicht, die Kontrolle über die Verarbeitung bleibt vollständig beim Unternehmen.
Technisch ist dieser Ansatz 2026 deutlich praktikabler als noch vor zwei Jahren. Open-Source-Modelle wie Llama, Mistral und deren Nachfolger erreichen in vielen Anwendungsfällen eine Qualität, die mit den proprietären Modellen vergleichbar ist. Die Betriebskosten sind durch effizientere Hardware und optimierte Inferenz-Frameworks gesunken. Ein mittelständisches Unternehmen kann heute ein leistungsfähiges Sprachmodell auf deutschen Servern betreiben, ohne ein sechsstelliges Budget einplanen zu müssen.
Allerdings ist Private AI kein Allheilmittel. Die DSGVO-Anforderungen gelten auch für selbst betriebene Modelle. Entscheidend ist, dass das Training und die Nutzung der Modelle dokumentiert sind, die technischen und organisatorischen Maßnahmen (TOMs) angemessen sind und die Betroffenenrechte gewahrt werden. Ein Sprachmodell, das auf Kundendaten trainiert wurde, muss beispielsweise in der Lage sein, Löschanfragen nach Art. 17 DSGVO umzusetzen – eine technisch anspruchsvolle Anforderung.
Der EU AI Act: Neue Pflichten ab August 2026
Neben der DSGVO kommt ab August 2026 eine weitere Regulierungsebene hinzu: der EU AI Act. Für Unternehmen, die KI-Systeme einsetzen, sind insbesondere die Transparenzpflichten relevant. Wer einen Chatbot einsetzt, muss künftig sicherstellen, dass Nutzer erkennen können, dass sie mit einer Maschine kommunizieren. Bei KI-generierten Inhalten ist eine entsprechende Kennzeichnung vorgeschrieben.
Für Hochrisiko-Anwendungen – etwa KI im Bewerbermanagement oder in der Kreditvergabe – gelten verschärfte Anforderungen: Risikobewertung, Qualitätsmanagement, menschliche Aufsicht und Dokumentationspflichten. Unternehmen, die solche Systeme einsetzen, müssen sich ab August 2026 registrieren und die Einhaltung der Anforderungen nachweisen.
Die praktischen Auswirkungen werden erst in den kommenden Monaten vollständig sichtbar werden. Klar ist aber schon jetzt: Unternehmen, die den Einsatz von KI nicht dokumentieren und nicht systematisch auf Compliance prüfen, gehen ein erhebliches Risiko ein – nicht nur in Form von Bußgeldern, sondern auch in Form von Reputationsschäden.
Handlungsempfehlungen für Unternehmen
Aus der aktuellen Rechtslage lassen sich fünf konkrete Handlungsempfehlungen ableiten. Erstens sollte jedes Unternehmen eine interne Richtlinie für den Umgang mit KI-Tools erstellen, die klar regelt, welche Daten in welche Systeme eingegeben werden dürfen. Zweitens ist ein Verzeichnis aller eingesetzten KI-Anwendungen Pflicht – analog zum Verarbeitungsverzeichnis nach Art. 30 DSGVO.
Drittens sollte der Datenschutzbeauftragte frühzeitig eingebunden werden, idealerweise bereits in der Evaluierungsphase neuer KI-Tools. Viertens empfiehlt es sich, die Mitarbeitenden regelmäßig zu schulen – nicht nur in der Nutzung der Tools, sondern auch im datenschutzkonformen Umgang mit personenbezogenen Daten in KI-Kontexten.
Fünftens: Wer auf Nummer sicher gehen will, setzt auf Private-AI-Infrastrukturen, bei denen die Datenverarbeitung auf deutschen Servern stattfindet. Diese Lösung eliminiert zwar nicht alle Compliance-Anforderungen, reduziert aber die Angriffsfläche erheblich und vereinfacht die Dokumentation gegenüber Aufsichtsbehörden.
Fazit: Rechtssicherheit ist planbar
Der Einsatz von ChatGPT und anderen LLMs im Unternehmen ist nicht per se rechtswidrig. Er erfordert aber eine sorgfältige Planung, Dokumentation und fortlaufende Überprüfung. Unternehmen, die heute die richtigen Weichen stellen, können KI-Technologien nutzen, ohne regulatorische Risiken einzugehen. Wer hingegen ohne Strategie agiert, riskiert nicht nur Bußgelder, sondern auch das Vertrauen von Kunden und Geschäftspartnern.
Die gute Nachricht: Die regulatorischen Anforderungen sind komplex, aber beherrschbar. Mit der richtigen Beratung und einem strukturierten Vorgehen lässt sich ein DSGVO-konformer KI-Einsatz in wenigen Wochen aufsetzen.
