VIBEPROCESS
Vom VibeProcess Team·2026-05-14
KI & Compliance
2026-05-14· 9 min Lesezeit

ChatGPT im Unternehmen DSGVO-konform einsetzen

2026 ist DSGVO-Compliance für KI-Tools kein "nice to have" mehr — es ist Pflicht und kann teuer werden. Hier ist der konkrete Setup-Leitfaden, nicht die übliche Compliance-Phrase.

Die Ausgangssituation 2026

Mit EU AI Act in Kraft und verschärfter DSGVO-Durchsetzung gibt es konkrete Bußgeld-Beispiele in 2025 und 2026: italienische Aufsichtsbehörde hat OpenAI mehrfach belangt, deutsche Datenschutzbeauftragte prüfen aktiver. Trotzdem nutzen viele Mittelstands-Unternehmen ChatGPT auf privaten Konten ihrer Mitarbeiter — ein Risiko, das Sie 2026 nicht eingehen sollten.

Was DSGVO konkret verlangt

Datenminimierung

Nur Daten verarbeiten, die für den Zweck nötig sind — nicht "alles in den Prompt für Kontext".

Rechtsgrundlage

Art. 6 DSGVO: berechtigtes Interesse, Vertrag oder Einwilligung — abhängig von Use Case.

EU-Datenverarbeitung

Drittland-Transfer (USA) nur mit SCCs (Standardvertragsklauseln) und ergänzenden Maßnahmen.

Transparenz

Betroffene müssen informiert werden, dass ihre Daten von KI verarbeitet werden.

Die 3 typischen Fallen

Falle 1: ChatGPT-Privat-Konten

Wenn Mitarbeiter ihre privaten ChatGPT-Konten für berufliche Aufgaben nutzen, fließen Unternehmensdaten unkontrolliert in OpenAI-Training-Daten. Das ist:

Falle 2: Customer-facing-Bots ohne Bewertung

Ein Support-Chatbot mit Standard-OpenAI-Setup verarbeitet Kunden-Daten. Wenn der Kunde nicht explizit informiert wird und keine Rechtsgrundlage besteht — Bußgeld-Risiko.

Falle 3: HR-Anwendungen mit AI

Bewerber-Screening mit KI ist nach EU AI Act ein "Hochrisiko-System". Sie brauchen formale Risikobewertung, Transparenz, menschliche Aufsicht — und entsprechende Dokumentation.

Der konforme Setup: 4 Optionen

Option 1: OpenAI Enterprise / ChatGPT Team

EU-Region

Verarbeitung

No-Training

Standard

DPA

Inklusive

OpenAI bietet seit 2024 ChatGPT Team und Enterprise mit:

Kosten: ~25 €/Mitarbeiter/Monat. Geeignet für: Teams, die ChatGPT-Interface direkt nutzen wollen.

Option 2: Azure OpenAI Service

Microsoft Azure hostet OpenAI-Modelle in EU-Rechenzentren mit:

Kosten: Pay-per-token, ähnlich OpenAI direkt. Geeignet für: Microsoft-zentrierte IT-Landschaften.

Option 3: API mit eigener Anwendung (empfohlen für Custom Use Cases)

Wenn Sie KI in eigene Apps oder Workflows einbauen: API direkt nutzen + Datenfluss kontrollieren. Volle Kontrolle, klare Dokumentation, EU-Hosting Ihrer Anwendung.

Setup:

Option 4: Open-Source-Modelle (für höchste Sensitivität)

Modelle wie Mistral, Llama 3, oder Anthropic-on-Bedrock können auf eigener Infrastruktur laufen — kein Datenfluss zu Drittanbietern. Empfehlung für:

Trade-off: Höherer Aufwand für Infrastruktur, etwas geringere Qualität als GPT-4 oder Claude für allgemeine Aufgaben.

Konkretes Setup für typische Use Cases

Use Case: Interne Wissensbasis-Suche

1

Dokumente klassifizieren

Welche Inhalte dürfen extern verarbeitet werden? Trennung zwischen "öffentlich/intern" und "vertraulich".

2

Embeddings lokal

Für vertrauliche Dokumente: lokale Embeddings (z.B. mit Sentence Transformers) statt OpenAI Embeddings API.

3

Retrieval first, dann LLM

Suchen Sie relevante Dokumente per Vector-Search, schicken Sie nur die nötigsten Auszüge an LLM — nicht die ganze Datenbank.

4

Audit-Log

Jede Anfrage und Antwort gelogt mit Zeitstempel — für DSGVO-Anfragen und Audits.

Use Case: Customer-Support-Bot

1

Cookie-Banner + Hinweis

Vor erster Nachricht: "Diese Chat-Funktion nutzt KI. Ihre Nachricht wird zur Beantwortung verarbeitet. Details siehe Datenschutz."

2

Opt-in für PII

Wenn Kunde persönliche Daten teilt (E-Mail, Bestellnummer): explizite Bestätigung.

3

Eskalation an Menschen

Bei sensiblen Themen automatische Übergabe an menschlichen Support — KI nicht für alle Anfragen.

4

Speicherdauer-Policy

Chat-Logs nach X Tagen automatisch löschen (DSGVO-Datenminimierung).

Checkliste für Ihren Compliance-Stand

Auftragsverarbeitung

DPA mit jedem KI-Anbieter unterschrieben?

Datenschutzerklärung

KI-Tools in Ihrer Datenschutzerklärung aufgeführt?

Mitarbeiter-Richtlinie

Klare Policy, was Mitarbeiter mit ChatGPT & Co dürfen — und was nicht?

Audit-Log

Können Sie nachweisen, wer wann was mit der KI gemacht hat?

Datenklassifikation

Welche Daten dürfen extern, welche nur intern verarbeitet werden?

Hochrisiko-Bewertung

Bei HR / Bewerber-Screening / Kreditentscheidung: AI Act Hochrisiko-Bewertung gemacht?

Häufige Fehlannahmen

Fehlannahme: "Wir nutzen ChatGPT nur intern, also kein DSGVO-Problem."

Realität: Wenn Mitarbeiter Kundennamen, E-Mails oder Vertragsdaten ins Chat einfügen, ist das schon eine DSGVO-relevante Verarbeitung — auch intern.

Fehlannahme: "OpenAI ist eine US-Firma, das ist sowieso nicht DSGVO-konform."

Realität: Mit DPA + ChatGPT Team/Enterprise + EU-Region-Setup ist es konform. Standard-ChatGPT ohne Business-Tier ist es nicht.

Fehlannahme: "Wir warten, bis EU AI Act vollständig klar ist."

Realität: Der Act ist seit August 2026 in Kraft. Warten = aktives Risiko.

Wo Sie anfangen

Wenn Sie heute keine klare KI-Compliance-Strategie haben:

  1. Inventur: Welche KI-Tools werden im Unternehmen genutzt (auch privat)?
  2. Klassifikation: Welche Daten fließen in welche Tools?
  3. Sofort-Maßnahme: Mitarbeiter-Policy aufsetzen, ChatGPT-Privat-Konten verbieten
  4. Mittelfristig: Kontrolliertes Enterprise-Setup (ChatGPT Team, Azure OpenAI oder eigene App)
  5. Dokumentation: DPA, Datenschutzerklärung-Update, Audit-Log-Setup

Wenn Sie Hilfe bei einer DSGVO-konformen KI-Implementierung brauchen — wir beraten dazu und bauen entsprechende Setups. Kostenfreies Erstgespräch zur Klärung Ihrer konkreten Situation.