Welche ChatGPT-Version ist DSGVO-konform und welche nicht?
Die Antwort hängt vollständig von der Lizenz ab. OpenAI bietet fünf Modelle an, aber für den Unternehmenseinsatz kommen nur drei in Frage.
Bei der kostenlosen Version und ChatGPT Plus fließen Ihre Eingaben standardmäßig ins Modelltraining. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO ist nicht verfügbar. Wer hier Kundennamen, Vertragsdaten oder Mitarbeiterinformationen eingibt, übermittelt personenbezogene Daten an OpenAI, ohne eine rechtskonforme Grundlage dafür zu haben.
Bei ChatGPT Team, Enterprise und der API sieht es anders aus. OpenAI agiert hier als Auftragsverarbeiter, stellt ein Data Processing Agreement bereit und trainiert standardmäßig nicht auf Ihren Eingaben. Seit Februar 2025 bietet OpenAI zudem EU-Datenresidenz für Enterprise und API an – ein wichtiger Schritt, aber kein Freifahrtschein, wie wir gleich sehen werden.
Die Datenschutzkanzlei Dr. Schwenke hat die rechtlichen Unterschiede zwischen Consumer- und Business-Diensten von OpenAI detailliert analysiert und betont die Notwendigkeit solider EU-Standardvertragsklauseln für Drittlandtransfers.
Was EU-Datenresidenz bei ChatGPT Enterprise tatsächlich bedeutet und was nicht
Seit Februar 2025 können ChatGPT-Enterprise-Kunden wählen, dass Kundendaten in der EU gespeichert werden. Seit Januar 2026 ist zusätzlich Inferenz-Residenz in der EU verfügbar – die GPU-Verarbeitung findet dann ebenfalls auf europäischen Servern statt. Das klingt nach einer Lösung. In der Praxis bleiben jedoch Einschränkungen, die für regulierte Branchen relevant sind.
Was in der EU bleibt: Konversationen, hochgeladene Dateien, Modellausgaben – also die eigentlichen Kundendaten – werden verschlüsselt in der EU gespeichert. Bei aktivierter Inferenz-Residenz läuft auch die GPU-Verarbeitung in der EU.
Was weiterhin global verarbeitet wird: Metadaten des Arbeitsbereichs (Workspace-Name, Rechnungsdaten, Benutzeranmeldungen), Authentifizierung, Routing und Analytics sowie Daten, die über Drittanbieter-Integrationen (Websuche, Apps, MCP-Server) laufen. OpenAI betont selbst, dass CPU-basierte Verarbeitung und Systemdaten nicht unter die Inferenz-Residenz fallen.
Das Grundproblem bleibt: OpenAI ist ein US-Unternehmen. Gesetze wie FISA 702 und der Cloud Act geben US-Behörden potenziellen Zugriff auf Daten europäischer Kunden – unabhängig davon, wo die Server stehen. Ein Transfer Impact Assessment bleibt daher Pflicht. Die EU-Datenresidenz mindert das Risiko, beseitigt es aber nicht vollständig.
Die ONKIDA-Orientierungshilfe des Landesdatenschutzbeauftragten Baden-Württemberg bietet strukturierte Leitfäden und Checklisten, um diese Abwägung für das eigene Unternehmen vorzunehmen.
Welche DSGVO-Pflichten gelten beim Einsatz von KI-Plattformen?
Unabhängig davon, ob Sie ChatGPT Enterprise, ASCADI oder eine andere Plattform nutzen – die DSGVO-Anforderungen sind identisch. In der Praxis sehen wir bei unseren Kunden, dass vier Bereiche besonders häufig Probleme verursachen.
Rechtsgrundlage dokumentieren. Jede Verarbeitung personenbezogener Daten durch ein KI-System braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Die meisten Unternehmen stützen sich auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f) – das funktioniert, aber nur mit einer dokumentierten Interessenabwägung. Wer diese nicht hat, handelt rechtlich ungesichert. Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.
Auftragsverarbeitungsvertrag abschließen. Ein schriftlicher AV-Vertrag nach Art. 28 DSGVO ist die Mindestvoraussetzung für jeden externen KI-Dienst. Er muss Zwecke, Mittel und Schutzniveau der Verarbeitung definieren. Bei OpenAI heißt dieses Dokument „Data Processing Addendum" – es ist standardisiert und erfordert bei Enterprise-Kunden in der Regel keine individuelle Verhandlung. Für regulierte Branchen wie Steuerberatung oder Medizintechnik sollten branchenspezifische Anforderungen (§203 StGB, MDR) zusätzlich vertraglich adressiert werden.
Transparenz schaffen. Art. 13 und 14 DSGVO verlangen, dass Mitarbeiter und Kunden wissen, dass KI-Systeme im Einsatz sind. Das bedeutet: verständliche Kommunikation über Zwecke, beteiligte Dienstleister und Betroffenenrechte. Eine Klausel in den AGB reicht dafür nicht aus.
Datenschutz-Folgenabschätzung prüfen. Bei systematischer Verarbeitung personenbezogener Daten durch KI ist eine DSFA nach Art. 35 DSGVO häufig Pflicht. In der Praxis beobachten wir, dass viele Unternehmen diese Anforderung unterschätzen – insbesondere wenn KI-Tools nicht zentral eingeführt werden, sondern als Schatten-KI über private Accounts laufen.
Welche DSGVO-Pflichten gelten beim Einsatz von KI-Plattformen?
Unabhängig davon, ob Sie ChatGPT Enterprise, ASCADI oder eine andere Plattform nutzen – die DSGVO-Anforderungen sind identisch. In der Praxis sehen wir bei unseren Kunden, dass vier Bereiche besonders häufig Probleme verursachen.
Rechtsgrundlage dokumentieren. Jede Verarbeitung personenbezogener Daten durch ein KI-System braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Die meisten Unternehmen stützen sich auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f) – das funktioniert, aber nur mit einer dokumentierten Interessenabwägung. Wer diese nicht hat, handelt rechtlich ungesichert. Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.
Auftragsverarbeitungsvertrag abschließen. Ein schriftlicher AV-Vertrag nach Art. 28 DSGVO ist die Mindestvoraussetzung für jeden externen KI-Dienst. Er muss Zwecke, Mittel und Schutzniveau der Verarbeitung definieren. Bei OpenAI heißt dieses Dokument „Data Processing Addendum" – es ist standardisiert und erfordert bei Enterprise-Kunden in der Regel keine individuelle Verhandlung. Für regulierte Branchen wie Steuerberatung oder Medizintechnik sollten branchenspezifische Anforderungen (§203 StGB, MDR) zusätzlich vertraglich adressiert werden.
Transparenz schaffen. Art. 13 und 14 DSGVO verlangen, dass Mitarbeiter und Kunden wissen, dass KI-Systeme im Einsatz sind. Das bedeutet: verständliche Kommunikation über Zwecke, beteiligte Dienstleister und Betroffenenrechte. Eine Klausel in den AGB reicht dafür nicht aus.
Datenschutz-Folgenabschätzung prüfen. Bei systematischer Verarbeitung personenbezogener Daten durch KI ist eine DSFA nach Art. 35 DSGVO häufig Pflicht. In der Praxis beobachten wir, dass viele Unternehmen diese Anforderung unterschätzen – insbesondere wenn KI-Tools nicht zentral eingeführt werden, sondern als Schatten-KI über private Accounts laufen.
Technische Schutzmaßnahmen, die tatsächlich funktionieren müssen
Art. 32 DSGVO fordert „angemessene technische und organisatorische Maßnahmen". Konkret heißt das für KI-Systeme:
Datenverschlüsselung mit TLS 1.2+ für Daten in Übertragung und AES-256 für Daten in Ruhe – beides ist heute Standard bei seriösen Anbietern. Rollenbasierte Zugriffssteuerung (RBAC), die verhindert, dass jeder Mitarbeiter auf alle Daten zugreifen kann. Audit-Logging, das alle Interaktionen mit dem KI-System protokolliert und damit die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfüllt. Und regelmäßige Sicherheitsupdates, die nicht bei der ersten Deadline verschoben werden.
Entscheidend ist: Diese Maßnahmen müssen nicht nur existieren, sondern nachweislich funktionieren. Genau diesen Nachweis verlangt ein Auditor – und genau hier scheitern Unternehmen, die KI ohne strukturierte Einführung betreiben.
DSGVO-konforme Alternativen zu ChatGPT: Was der Markt bietet
Für Unternehmen, die das Drittlandtransfer-Risiko komplett eliminieren wollen, gibt es mittlerweile mehrere Plattformen mit EU-Hosting. Die Frage ist nicht nur „Wo stehen die Server?", sondern auch „Wie stelle ich sicher, dass meine Mitarbeiter die Plattform tatsächlich nutzen?"
ASCADI von Visionary Data bietet Multi-LLM-Zugang (GPT-4o, Claude 4.5 Sonnet, Gemini) mit ausschließlicher Datenverarbeitung in ISO 27001-zertifizierten Rechenzentren in Deutschland. Ein vollständiger deutscher AV-Vertrag wird direkt mitgeliefert. Kundendaten werden vertraglich garantiert nicht für Modelltraining verwendet. Was ASCADI von reinen Software-Lösungen unterscheidet: Die Plattform wird mit einem strukturierten Einführungsprogramm geliefert – Workshop, Assistenten-Konfiguration, Enablement. Aus unseren Nutzungsdaten wissen wir: ASCADI-Nutzer stellen durchschnittlich 15 KI-Anfragen pro Tag. Reguläre ChatGPT-Nutzer im Top-Quintil kommen auf 3–4 (interne ASCADI-Nutzungsdaten). Der Unterschied entsteht nicht durch bessere Technologie, sondern durch gezielte Einführung. Sicherheits- und Compliance-Details sind vollständig dokumentiert.
Andere Anbieter im DACH-Markt, die ebenfalls EU-Hosting und DSGVO-Konformität anbieten, sind unter anderem Langdock (Multi-LLM, starker Enterprise-Fokus), kamium (Azure-basiert, DSGVO-konform) und Aleph Alpha (deutsches Foundation Model mit souveräner Cloud-Option). Jeder dieser Anbieter hat ein anderes Profil – die Wahl hängt von Ihren Anforderungen an Branchenspezifik, Einführungsbegleitung und technische Integration ab.
Vergleich: Wo landen meine Daten tatsächlich?
| Kriterium | ChatGPT Enterprise (mit EU-Residenz) | ASCADI |
|---|---|---|
| Datenstandort (at rest) | EU (seit Feb 2025) | Deutschland |
| GPU-Inferenz | EU (seit Jan 2026, optional) | Deutschland |
| Metadaten-Verarbeitung | Global (US-Server) | Deutschland |
| AV-Vertrag | Standardisiertes DPA (englisch) | Vollständiger deutscher AV-Vertrag |
| Datennutzung für Training | Nein (Standard bei Enterprise) | Nein (vertraglich garantiert) |
| US-Jurisdiktion (Cloud Act, FISA) | Ja – OpenAI ist US-Unternehmen | Nein – deutsche GmbH |
| §203-StGB-Kompatibilität | Nicht adressiert | Vertraglich adressiert |
| Transfer Impact Assessment nötig | Ja | Nein |
| Strukturiertes Einführungsprogramm | Nein | Ja (Workshop, Enablement, Coaching) |
Der Vergleich zeigt: ChatGPT Enterprise mit EU-Datenresidenz ist ein deutlicher Fortschritt gegenüber der kostenlosen Version. Für Unternehmen ohne besondere Compliance-Anforderungen kann das ausreichen. Für regulierte Branchen – Steuerberatung, Wirtschaftsprüfung, Medizintechnik – bleiben Restrisiken durch die US-Jurisdiktion bestehen, die eine europäische Lösung vermeidet.
So sichern Sie Ihr Unternehmen in drei Schritten ab
Egal für welche Plattform Sie sich entscheiden: Diese drei Schritte sollten Sie sofort umsetzen.
Erstens: Bestandsaufnahme machen. Finden Sie heraus, welche KI-Tools in Ihrem Unternehmen bereits genutzt werden – auch und gerade die privaten Accounts. Laut Bitkom (Oktober 2025) weiß fast jedes vierte Unternehmen nicht sicher, ob Beschäftigte private KI-Tools nutzen. Fragen Sie Ihre Abteilungsleiter direkt.
Zweitens: KI-Richtlinie erstellen. Definieren Sie, welche Tools erlaubt sind, welche Daten eingegeben werden dürfen und welche nicht. Eine Seite reicht. Der Bitkom-Leitfaden „Generative KI im Unternehmen" liefert eine gute Grundlage für die rechtlichen Fragen.
Drittens: Unternehmensweiten Zugang bereitstellen. Schatten-KI entsteht, weil Mitarbeiter produktiv sein wollen und keine offizielle Lösung bekommen. Stellen Sie ein kontrolliertes, DSGVO-konformes Tool zur Verfügung – ob ChatGPT Enterprise mit EU-Residenz oder eine EU-native Plattform. Entscheidend ist: Der offizielle Kanal muss mindestens so gut funktionieren wie der private.
Für Unternehmen, die KI rechtssicher und effektiv einführen möchten, bietet Visionary Data strategische Beratung und KI-Potenzial-Workshops an. Kein Pitch, sondern eine ehrliche Bestandsaufnahme: Wo steht Ihr Unternehmen, wo liegen die größten Hebel – und wo die Risiken?
Häufige Fragen
Kann ich ChatGPT DSGVO-konform im Unternehmen nutzen?
Ja, aber nur mit der richtigen Lizenz. ChatGPT Team, Enterprise und die API ermöglichen den Abschluss eines Auftragsverarbeitungsvertrags. Seit Februar 2025 bietet OpenAI für Enterprise-Kunden EU-Datenresidenz an, seit Januar 2026 auch EU-Inferenz-Residenz. Die kostenlose Version und ChatGPT Plus sind für den Unternehmenseinsatz mit personenbezogenen Daten nicht geeignet, da kein AV-Vertrag verfügbar ist und Eingaben ins Modelltraining fließen können.
Was ist das größte DSGVO-Risiko bei KI im Unternehmen?
Welche DSGVO-konformen Alternativen zu ChatGPT gibt es für deutsche Unternehmen?
Warum ist die Nutzung der kostenlosen ChatGPT-Version rechtlich riskant?
Die kostenlose Version überträgt Daten in die USA und verwendet sie für Modelltraining, ohne dass ein AV-Vertrag abgeschlossen werden kann. Diese Praxis erfüllt nicht die Anforderungen der DSGVO und kann Bußgelder von bis zu 20 Millionen Euro nach sich ziehen. Unternehmen, die glauben, dass diese Version DSGVO-konform genutzt werden kann, irren und setzen sich erheblichen rechtlichen Risiken aus.
