Ratgeber

ChatGPT DSGVO-konform im Unternehmen nutzen: So geht es

Darf man ChatGPT im Unternehmen überhaupt einsetzen? Welche Version ist DSGVO-konform, was gehört in eine Richtlinie und wann lohnt sich eine europäische Alternative? Der praxisnahe Leitfaden für KMU in Österreich.

Have a nice dayHave a nice day11 Min. Lesezeit
ChatGPT DSGVO-konform im Unternehmen nutzen: So geht es

Viele Mitarbeiterinnen und Mitarbeiter nutzen ChatGPT längst – oft, ohne dass die Geschäftsleitung davon weiß. Genau darin liegt das Problem: Nicht die künstliche Intelligenz an sich ist der Datenschutz-Stolperstein, sondern die Frage, welche Daten in welches Werkzeug wandern. Dieser Leitfaden zeigt praxisnah, wie Sie ChatGPT und ähnliche Sprachmodelle in Ihrem Unternehmen so einsetzen, dass die DSGVO gewahrt bleibt – von der richtigen Produktvariante über die interne Richtlinie bis zur Frage, wann eine europäische Alternative sinnvoller ist.

Darf man ChatGPT im Unternehmen überhaupt nutzen?

Die kurze Antwort: Ja – aber nicht ohne Rahmen. ChatGPT ist kein verbotenes Werkzeug, und auch die DSGVO untersagt den Einsatz künstlicher Intelligenz nicht pauschal. Entscheidend ist, welche Daten Sie verarbeiten, mit welcher Produktvariante und auf welcher Rechtsgrundlage. Ein Bäcker, der sich einen Werbetext formulieren lässt, bewegt sich in einem völlig anderen Risikobereich als eine Arztpraxis, die Patientendaten in ein Chatfenster tippt.

Der häufigste Fehler in der Praxis ist nicht die bewusste Entscheidung für ChatGPT, sondern die stille Duldung. Mitarbeiter probieren das Werkzeug aus, es hilft, und schon wird es Teil des Arbeitsalltags – ohne dass jemand geprüft hat, welche Informationen dabei das Unternehmen verlassen. Datenschutzrechtlich ist dieser Zustand die eigentliche Gefahr, weil die sogenannte Schatten-KI jeder Kontrolle entzogen ist.

Als Verantwortlicher im Sinne der DSGVO bleiben Sie für jede Datenverarbeitung im Unternehmen zuständig – auch wenn ein Angestellter eigenmächtig ein KI-Werkzeug nutzt. Das bedeutet nicht, dass Sie ChatGPT verbieten müssen. Es bedeutet, dass Sie den Einsatz bewusst gestalten sollten, statt ihn dem Zufall zu überlassen. Genau hier setzt eine strukturierte KI-Beratung an: Sie ordnet, welche Anwendungsfälle unbedenklich sind und welche einen anderen Weg brauchen.

Wo genau liegen die Datenschutz-Probleme?

Um ChatGPT datenschutzkonform zu nutzen, muss man verstehen, wo die kritischen Punkte liegen. Sie lassen sich auf einige wenige Kernfragen eindampfen, die bei nahezu jedem KI-Werkzeug wiederkehren.

  • Werden Ihre Eingaben zum Training des Modells verwendet? Bei kostenlosen Privatkonten ist das standardmäßig oft der Fall.
  • Gibt es einen Auftragsverarbeitungsvertrag (AVV) zwischen Ihnen und dem Anbieter? Ohne AVV fehlt die vertragliche Grundlage für die Verarbeitung personenbezogener Daten.
  • Wo werden die Daten gespeichert und verarbeitet – innerhalb der EU oder in einem Drittland wie den USA? Für Datenübermittlungen in Drittländer braucht es zusätzliche Garantien.
  • Welche Kategorien von Daten geben Ihre Mitarbeiter tatsächlich ein? Namen, Gesundheitsdaten oder Geschäftsgeheimnisse haben ein deutlich höheres Schutzniveau.
  • Wie lange werden Ihre Eingaben gespeichert und wer beim Anbieter kann darauf zugreifen?

Der sensibelste Punkt ist fast immer die Art der eingegebenen Daten. Ein anonymisierter Fließtext ohne Personenbezug ist datenschutzrechtlich unproblematisch. Sobald aber Kundennamen, Adressen, Krankheitsverläufe oder Vertragsdetails im Prompt landen, verarbeiten Sie personenbezogene Daten – und dann gelten die vollen Anforderungen der DSGVO. Deshalb ist die wichtigste Regel oft die einfachste: Was nicht hineingehört, kommt gar nicht erst ins Chatfenster.

Ein zweiter, oft unterschätzter Punkt ist die Datenübermittlung in Drittländer. Viele bekannte KI-Werkzeuge verarbeiten Daten ganz oder teilweise außerhalb der EU – häufig in den USA. Für solche Übermittlungen verlangt die DSGVO zusätzliche Garantien, etwa Standardvertragsklauseln oder ein anerkanntes Angemessenheitsniveau. Für ein KMU ist das im Alltag schwer zu prüfen. Umso wichtiger ist es, beim Anbieter aktiv nachzufragen, wo genau die Verarbeitung stattfindet und ob eine EU-Option verfügbar ist. Verlassen Sie sich dabei nicht auf allgemeine Werbeaussagen, sondern auf die konkreten Angaben im Vertrag und in der Datenschutzerklärung des Anbieters.

Mitarbeiterin prüft am Laptop, welche Daten sie in ein KI-Werkzeug eingeben darf
Der entscheidende Moment liegt vor dem Absenden: Welche Informationen verlassen mit dem Prompt das Unternehmen?

Welche ChatGPT-Version ist DSGVO-konform?

Nicht jede Variante von ChatGPT eignet sich für den beruflichen Einsatz. Der Unterschied zwischen einem kostenlosen Privatkonto und einer Business-Lizenz ist datenschutzrechtlich erheblich – und wird in der Praxis häufig übersehen, weil die Oberfläche fast identisch aussieht.

AspektKostenloses / Plus-PrivatkontoBusiness- / Enterprise-Variante
Auftragsverarbeitungsvertrag (AVV)Nicht vorgesehenVerfügbar bzw. Bestandteil
Training mit Ihren EingabenStandardmäßig möglichStandardmäßig ausgeschlossen
Nutzerverwaltung im UnternehmenNeinZentrale Verwaltung möglich
Geeignet für personenbezogene DatenNeinNur mit passenden Maßnahmen
Eignung für den beruflichen EinsatzNur für unkritische TexteGrundlage für konformen Einsatz
ChatGPT-Varianten im Datenschutz-Vergleich (Stand der allgemeinen Anbieterangaben – Details immer aktuell prüfen)

Für einen ernsthaften Einsatz im Unternehmen führt an einer Business- oder Enterprise-Variante kaum ein Weg vorbei. Diese Lizenzen bieten einen Auftragsverarbeitungsvertrag, schließen die Nutzung Ihrer Eingaben zum Modelltraining standardmäßig aus und erlauben eine zentrale Verwaltung der Zugänge. Damit schaffen Sie die vertragliche und organisatorische Grundlage, die die DSGVO für die Zusammenarbeit mit einem Dienstleister verlangt.

Beachten Sie außerdem den Serverstandort. Wird die Verarbeitung außerhalb der EU vorgenommen, handelt es sich um eine Datenübermittlung in ein Drittland, für die zusätzliche Garantien nötig sind. Manche Anbieter erlauben inzwischen die Verarbeitung innerhalb der EU – ein Argument, das Sie bei der Auswahl aktiv abfragen sollten. Details und die aktuelle Bewertung solcher Konstellationen prüfen Sie am besten bei WKO oder der Datenschutzbehörde.

Unsicher, welche Variante zu Ihnen passt?

Wir sehen uns Ihre konkreten Anwendungsfälle an und ordnen ein, welche KI-Lösung datenschutzrechtlich tragfähig ist – ohne Fachjargon, mit klaren Empfehlungen.

Zur KI-Beratung

In fünf Schritten zum konformen Einsatz

Der Weg zu einem datenschutzkonformen KI-Einsatz ist weniger technisch als organisatorisch. Die folgenden Schritte haben sich in der Praxis bewährt und lassen sich auch von einem kleinen Betrieb ohne eigene IT-Abteilung umsetzen.

  1. 1
    Ist-Zustand erfassen
    Klären Sie offen, wer im Team bereits KI-Werkzeuge nutzt und wofür. Ohne dieses ehrliche Bild bleibt jede Regel Theorie.
  2. 2
    Anwendungsfälle bewerten
    Trennen Sie unkritische Aufgaben (Textentwürfe, Ideen, Zusammenfassungen öffentlicher Inhalte) von sensiblen Fällen, in denen personenbezogene oder vertrauliche Daten im Spiel sind.
  3. 3
    Passende Variante wählen
    Setzen Sie auf eine Business-Variante mit AVV und ausgeschlossenem Training – nicht auf private Gratiskonten.
  4. 4
    Richtlinie schreiben
    Halten Sie schriftlich fest, welche Daten eingegeben werden dürfen, welche nicht und welche Werkzeuge freigegeben sind.
  5. 5
    Team schulen
    Erklären Sie die Regeln praxisnah und wiederholen Sie die Schulung regelmäßig. Eine Richtlinie wirkt nur, wenn sie verstanden wird.

Auffällig ist, dass keiner dieser Schritte tiefes technisches Wissen verlangt. Der wichtigste Hebel liegt in der Klarheit: Wenn jeder im Team weiß, was erlaubt ist und was nicht, sinkt das Risiko drastisch. Genau diese Struktur einzurichten – statt ein komplexes System zu bauen – ist der pragmatische Weg für kleine und mittlere Unternehmen.

In der Praxis lohnt es sich, diese fünf Schritte nicht als einmaliges Projekt zu verstehen, sondern als kleinen Kreislauf. Nach der ersten Runde merken Sie schnell, wo im Alltag Fragen offenbleiben – etwa, ob ein bestimmter Anwendungsfall doch erlaubt sein sollte oder ob ein neues Werkzeug aufgenommen wird. Wer diese Rückmeldungen sammelt und die Richtlinie behutsam nachschärft, hat nach wenigen Wochen ein Regelwerk, das tatsächlich zum Betrieb passt – und nicht aus einer Vorlage abgeschrieben ist, die niemand liest.

Team bespricht in einem Meeting die internen Regeln für den Einsatz von KI-Werkzeugen
Eine klare Richtlinie und ein informiertes Team wirken stärker als jede technische Einzelmaßnahme.

Was gehört in eine KI-Richtlinie fürs Unternehmen?

Eine interne Richtlinie ist das Herzstück des konformen Einsatzes. Sie muss nicht seitenlang sein – im Gegenteil: Je kürzer und verständlicher, desto eher wird sie gelebt. Wichtig ist, dass sie die typischen Grauzonen des Arbeitsalltags konkret beantwortet.

  • Welche KI-Werkzeuge sind freigegeben und welche ausdrücklich nicht?
  • Welche Daten dürfen niemals eingegeben werden (z. B. Kundennamen, Gesundheitsdaten, Zugangsdaten, Geschäftsgeheimnisse)?
  • Wie werden Inhalte vor der Eingabe anonymisiert oder verallgemeinert?
  • Wer ist Ansprechpartner bei Zweifeln, ob ein Anwendungsfall zulässig ist?
  • Wie werden KI-generierte Ergebnisse vor der Verwendung geprüft (Faktencheck, Freigabeprozess)?
  • Wie wird mit Urheberrecht und der Kennzeichnung von KI-Inhalten umgegangen?
Die beste KI-Richtlinie ist die, die auf eine Seite passt und trotzdem jede Alltagsfrage beantwortet.
Grundsatz aus der Praxis

Neben dem Datenschutz gewinnt zunehmend ein zweiter Aspekt an Bedeutung: die europäische KI-Verordnung. Sie verlangt unter anderem, dass Beschäftigte über ausreichende KI-Kompetenz verfügen. Eine gute Richtlinie kombiniert deshalb Datenschutzregeln mit einem knappen Schulungsteil – so schlagen Sie zwei Fliegen mit einer Klappe. Wie sich beide Anforderungen sinnvoll verbinden lassen, ordnen wir im Rahmen unserer Arbeit für KI für Unternehmen ein.

Welche Daten gehören niemals ins Chatfenster?

Selbst mit einer Business-Lizenz und ausgeschlossenem Training gilt: Bestimmte Daten haben in einem externen KI-Werkzeug schlicht nichts verloren – oder nur nach sorgfältiger Prüfung. Die folgende Faustregel hilft im Alltag, ohne dass jeder Mitarbeiter Jurist sein muss.

  1. Besonders schützenswerte Daten (Gesundheit, Herkunft, religiöse oder politische Überzeugungen) – grundsätzlich tabu.
  2. Identifizierbare Personendaten (vollständige Namen mit Kontext, Adressen, Kundennummern) – nur anonymisiert.
  3. Geschäftsgeheimnisse und interne Kalkulationen – nur in freigegebenen, vertraglich abgesicherten Werkzeugen.
  4. Zugangsdaten, Passwörter, Schlüssel – niemals, unter keinen Umständen.
  5. Öffentliche oder frei erfundene Beispieldaten – unproblematisch und für viele Aufgaben ausreichend.

In der Praxis lässt sich der Großteil der Aufgaben mit anonymisierten oder verallgemeinerten Eingaben lösen. Statt "Kunde Herr Huber aus der Landstraße 12 hat sich über die verspätete Lieferung beschwert" genügt "Ein Kunde beschwert sich über eine verspätete Lieferung – formuliere eine höfliche Antwort". Das Ergebnis ist genauso gut, das Risiko aber verschwindet. Diese kleine Gewohnheit ist der wirkungsvollste Datenschutz-Trick überhaupt.

Darf man ChatGPT im Unternehmen nutzen?
Ja, der Einsatz ist grundsätzlich erlaubt. Entscheidend sind die richtige Produktvariante mit Auftragsverarbeitungsvertrag, klare interne Regeln und der Verzicht auf ungefilterte personenbezogene Daten. Kostenlose Privatkonten sind für berufliche Zwecke ungeeignet.
Welche ChatGPT-Version ist DSGVO-konform?
Für Unternehmen eignen sich die Business- und Enterprise-Varianten, da sie einen AVV bieten und das Training mit Ihren Eingaben standardmäßig ausschließen. Private Gratis- oder Plus-Konten erfüllen diese Voraussetzungen nicht.
Braucht man einen Auftragsverarbeitungsvertrag für ChatGPT?
Sobald personenbezogene Daten verarbeitet werden, ja. Der AVV ist die vertragliche Grundlage dafür, dass ein externer Dienst Daten in Ihrem Auftrag verarbeiten darf. Ohne ihn ist die Verarbeitung formal nicht zulässig.
Werden meine Eingaben zum Training verwendet?
Bei kostenlosen Privatkonten ist das standardmäßig oft der Fall. Business- und Enterprise-Varianten schließen die Nutzung Ihrer Daten zum Modelltraining in der Regel aus. Prüfen Sie die jeweils aktuellen Anbieterbedingungen.
Gibt es DSGVO-konforme Alternativen zu ChatGPT?
Ja. Es gibt europäische Anbieter mit Verarbeitung innerhalb der EU sowie selbst betriebene Modelle, die Ihr Unternehmen nicht verlassen. Für sensible Branchen ist das oft der sicherere Weg.
Muss ich Mitarbeiter im Umgang mit KI schulen?
Die europäische KI-Verordnung verlangt ausreichende KI-Kompetenz der Beschäftigten. Unabhängig davon ist eine Schulung praktisch unverzichtbar, weil eine Richtlinie nur wirkt, wenn sie verstanden und gelebt wird.
Wer haftet, wenn ein Mitarbeiter Daten in ChatGPT eingibt?
Als Verantwortlicher im Sinne der DSGVO bleibt Ihr Unternehmen für die Verarbeitung zuständig – auch bei eigenmächtigem Handeln eines Angestellten. Umso wichtiger sind klare Regeln und Schulungen.

Wann ist eine europäische oder eigene Lösung sinnvoller?

Nicht für jedes Unternehmen ist ein US-basiertes Werkzeug die beste Wahl. Wer regelmäßig mit besonders schützenswerten Daten arbeitet – etwa Arztpraxen, Kanzleien, Steuerberatungen oder Betriebe mit hohem Schutzbedarf – sollte prüfen, ob eine europäische Lösung mit Verarbeitung innerhalb der EU oder ein selbst betriebenes Modell besser passt.

Bei einer sogenannten On-Premise- oder EU-gehosteten Variante verlassen die Daten Ihre kontrollierte Umgebung gar nicht erst. Damit entfallen viele der heiklen Fragen rund um Drittlandübermittlung und Trainingsnutzung. Der Preis dafür ist ein etwas höherer Einrichtungsaufwand – dafür gewinnen Sie maximale Kontrolle. Wie das konkret aussieht, zeigen wir unter KI On-Premise.

Serverschrank in einem Unternehmen als Sinnbild für eine selbst betriebene KI-Lösung
Bei besonders sensiblen Daten kann eine EU-gehostete oder selbst betriebene KI die Daten im Haus behalten.

Die Entscheidung zwischen einem etablierten Cloud-Werkzeug und einer eigenen Lösung ist keine reine Datenschutzfrage, sondern eine Abwägung aus Schutzbedarf, Aufwand und Nutzen. Für viele KMU ist eine Business-Variante mit sauberer Richtlinie völlig ausreichend. Für einen kleineren Kreis mit hohem Schutzbedarf lohnt sich der Blick auf europäische Alternativen. Beides lässt sich sauber einrichten – wichtig ist, dass die Wahl bewusst getroffen wird und nicht dem Zufall überlassen bleibt.

Fazit: Bewusst nutzen statt heimlich dulden

ChatGPT lässt sich DSGVO-konform im Unternehmen nutzen – aber nur, wenn Sie den Einsatz aktiv gestalten. Die drei Hebel sind immer dieselben: die richtige Produktvariante mit Auftragsverarbeitungsvertrag, eine klare interne Richtlinie und ein geschultes Team, das weiß, welche Daten ins Chatfenster dürfen und welche nicht. Wer diese drei Punkte einrichtet, holt sich den Produktivitätsgewinn ins Haus, ohne die Kontrolle über die eigenen Daten zu verlieren.

Der entscheidende Schritt ist der erste: den stillen, unkontrollierten Einsatz durch bewusste, geregelte Nutzung zu ersetzen. Wenn Sie dabei Orientierung suchen – von der Richtlinie bis zur Frage, ob eine europäische Alternative sinnvoll ist – begleiten wir Sie gerne.

KI datenschutzkonform in Ihrem Betrieb einrichten

Wir sehen uns Ihre Anwendungsfälle an, helfen bei Richtlinie und Auswahl und richten bei Bedarf eine europäische oder selbst betriebene Lösung ein. Verständlich, praxisnah und ohne Fachjargon.

Gespräch vereinbaren
Have a nice day
Have a nice day
Redaktion

Redaktion von Have a nice day — wir entwickeln individuelle Software, Apps und KI-Lösungen für kleine und mittlere Unternehmen in Österreich. Im Blog teilen wir, was in der Praxis funktioniert.

Passende Lösungen von uns