ChatGPT ist nicht automatisch datenschutzkonform. Mit dem richtigen Tarif, einem abgeschlossenen AVV und klaren internen Regeln können Sie es aber geschäftlich einsetzen. Für Berufsgeheimnisträger wie Anwälte und Ärzte gelten zusätzliche Anforderungen.
Kurze Antwort
ChatGPT ist mit Team, Enterprise oder API (mit Zero-Data-Retention) plus abgeschlossenem AVV DSGVO-konform einsetzbar. Sie brauchen (1) einen Business-Tarif, (2) einen Auftragsverarbeitungsvertrag mit OpenAI Ireland Ltd, (3) eine Nutzungsrichtlinie für Mitarbeiter und (4) einen Verfahrensverzeichnis-Eintrag. Der Free-Plan und ChatGPT Plus sind für Geschäftsnutzung nicht geeignet. Berufsgeheimnisträger müssen zusätzlich abwägen.
Dieser Leitfaden ist ein Anhaltspunkt, ersetzt aber keine individuelle Rechtsprüfung. Klären Sie Ihre konkrete Lage mit Ihrem DSB oder Anwalt.
Das Problem in einem Satz
Der Free-Plan und ChatGPT Plus nutzen Ihre Eingaben standardmäßig zum Trainieren, Server stehen überwiegend in den USA, und es gibt keinen AVV für Verbraucher-Tarife.
Voraussetzungen
Bevor Sie ChatGPT geschäftlich einsetzen, müssen folgende Bedingungen erfüllt sein:
- Geeigneter Tarif: ChatGPT Team oder Enterprise — oder OpenAI API mit Opt-out aus Data Retention
- Abgeschlossener AVV: Auftragsverarbeitungsvertrag mit OpenAI Ireland Ltd (EU-Vertretung), Sub-Prozessoren (v. a. Microsoft Azure) müssen bekannt sein
- Verfahrensverzeichnis-Eintrag: Nach Art. 30 DSGVO dokumentieren Sie Einsatz, Datenkategorien und Empfänger
- Interne Nutzungsrichtlinie: Schriftliche Vorgaben, welche Datentypen rein dürfen — und welche nicht
- Datenklassifizierung: Explizite Trennung von “darf in ChatGPT” und “darf nicht”
- Bei Berufsgeheimnisträgern (§203 StGB): Zusätzliche Risikoabwägung mit Ihrem Datenschutzbeauftragten oder einem Fachanwalt
- DSFA falls nötig: Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei umfangreicher oder besonders sensibler Verarbeitung
Schritt-für-Schritt-Anleitung
Schritt 1: Den richtigen Tarif wählen
Der Tarif ist entscheidend. Free-Plan und ChatGPT Plus sind für geschäftliche Datenverarbeitung nicht geeignet — Ihre Eingaben können zum Modelltraining verwendet werden, und es gibt keinen AVV.
ChatGPT Team (Stand 06/2026 ab ca. 25 USD/Benutzer/Monat bei jährlicher Zahlung) ist die Einstiegslösung. Zero-Retention ist standardmäßig aktiv: Inhalte werden nicht zum Trainieren verwendet. Ein AVV ist verfügbar.
ChatGPT Enterprise richtet sich an größere Organisationen. Sie bekommen zusätzlich SSO, erweiterte Admin-Controls, höhere Limits und Audit-Logs. Preis wird individuell verhandelt.
OpenAI API mit Opt-out: Wenn Sie nur die API (nicht die Web-App) nutzen, können Sie Data Retention auf 0 Tage setzen — Antrag bei OpenAI über Ihre Organisation. Das ist oft die kostengünstigere Variante für automatisierte Prozesse.
Für alle drei Varianten: Stellen Sie sicher, dass der Vertrag mit OpenAI Ireland Ltd läuft, nicht mit OpenAI US.
Schritt 2: AVV abschließen
Der Auftragsverarbeitungsvertrag (AVV) ist die rechtliche Grundlage dafür, dass Sie personenbezogene Daten an OpenAI weitergeben dürfen.
Bei Team/Enterprise: Im Admin-Dashboard unter “Workspace-Settings → Compliance” finden Sie das vorbereitete Data Processing Addendum. Sie können es elektronisch akzeptieren.
Wichtig: Der AVV regelt auch Sub-Prozessoren (v. a. Microsoft Azure als Infrastruktur). Diese müssen Sie zur Kenntnis nehmen. Der Rechtsrahmen basiert auf Standardvertragsklauseln (SCC) plus der DPF-Zertifizierung von OpenAI. Die DPF-Listung allein reicht nicht — Sie brauchen den AVV plus SCC.
Dokumentieren Sie den Abschluss-Zeitpunkt und den Link zum AVV in Ihrem Verfahrensverzeichnis.
Schritt 3: Datenschutz-Einstellungen konfigurieren
Nach dem Vertragsabschluss konfigurieren Sie die Sicherheitseinstellungen:
- Admin-Dashboard öffnen (über die Workspace-Einstellungen)
- Data Controls prüfen: “Training” → OFF (Standard bei Team/Enterprise, trotzdem prüfen); “Memory” → deaktivieren
- Custom Instructions nur mit nicht-personenbezogenen Anweisungen füllen — keine Klarnamen, keine Kundenkontexte
- Audit-Log aktivieren (Enterprise)
- SSO-Integration einrichten, wenn möglich
- Regelmäßige Prüfung: Admin-Dashboard mindestens monatlich auf unautorisierte Benutzer kontrollieren
Schritt 4: Nutzungsrichtlinie für Mitarbeiter schreiben
Ohne Richtlinie geben Mitarbeiter erfahrungsgemäß zu viel in den Prompt. Was darf rein: Anonymisierte Texte, öffentliche Informationen, fiktive Szenarien, Code-Snippets ohne Geheimnisse. Was darf NICHT rein: Klarnamen mit Kontext, Gesundheitsdaten, Mandantenakten, Passwörter, Geschäftsgeheimnisse, NDA-Dokumente.
Beispiel-Formulierung: “Mitarbeiter dürfen ChatGPT nur mit anonymisierten Daten nutzen. Bei neuen Datenkategorien ist der DSB vorab zu informieren.” Pflicht-Schulung beim Onboarding, jährliche Auffrischung.
Schritt 5: Verfahrensverzeichnis ergänzen
Nach Art. 30 DSGVO dokumentieren Sie den Einsatz. Der Eintrag enthält Zweck, Datenkategorien, Empfänger (OpenAI Ireland Ltd + Microsoft Azure), Rechtsgrundlage (Art. 6 Abs. 1 DSGVO), Speicherdauer (0 Tage bei Zero-Retention), Drittlandtransfer (USA — über Standardvertragsklauseln und DPF) sowie technische und organisatorische Maßnahmen.
Schritt 6: Monitoring & regelmäßige Audits
- Monatlich: Admin-Dashboard auf neue Benutzer prüfen, Audit-Log checken
- Jährlich: Nutzungsrichtlinie überprüfen, DSFA erneuern, Mitarbeiter-Schulung auffrischen
- Bei Zwischenfällen: Dokumentieren, ggf. nach Art. 33–34 DSGVO melden
Häufige Stolperfallen
“Ich nutze den Free-Plan nur privat, das ist ok.” Sobald geschäftliche Inhalte rein gehen, ist es geschäftliche Datenverarbeitung — auch wenn das Konto privat angemeldet ist.
“ChatGPT Plus reicht für kleine Teams.” Nein. Plus ist ein Verbraucher-Tarif ohne AVV und mit Standard-Training-Opt-in. Auch Freelancer brauchen Team/Enterprise oder API mit Opt-out.
“Custom GPTs sind sicher, weil sie nur intern sind.” Wenn ein Custom GPT externe Tools (APIs, Webhooks) nutzt, fließen Daten an Drittanbieter. Klären Sie ab, welche Inhalte übermittelt werden.
“Memory deaktivieren reicht aus.” Memory ist nur eine von mehreren Speicherquellen. Bei API ohne Opt-out gelten 30 Tage Retention.
“Ich anonymisiere sensible Daten einfach.” Anonymisierung ist schwierig — allein der Kontext kann zur Re-Identifizierung reichen. Setzen Sie lieber auf vollständig fiktive Szenarien.
“Voice Mode ist wie Chat, nur gesprochen.” Voice nutzt andere Datenflusswege und teils weitere Sub-Dienste. Prüfen Sie die Dokumentation separat.
ChatGPT-DSGVO-Check
Vor jeder neuen Nutzungskategorie diese Liste durchgehen:
- Ist ein AVV mit OpenAI Ireland Ltd abgeschlossen und aktuell?
- Nutzen Sie einen Business-Tarif (Team / Enterprise / API mit Opt-out)?
- Ist die Datenkategorie in Ihrer internen Richtlinie als zulässig markiert?
- Ist “Training” im Admin-Dashboard OFF?
- Ist “Memory” deaktiviert?
- Betrifft das Berufsgeheimnisse (§203 StGB)? Wenn ja, mit DSB/Anwalt geklärt?
- Ist der Einsatz im Verfahrensverzeichnis dokumentiert?
- Brauchen Sie eine DSFA? Wenn ja, durchgeführt?
- Sind die Mitarbeiter zu dieser Nutzung geschult?
Wann Sie ChatGPT NICHT nutzen sollten
Berufsgeheimnis-Träger nach §203 StGB: Anwälte, Ärzte, Psychotherapeuten und Notare haben eine absolute Geheimhaltungspflicht. Selbst mit AVV und Zero-Retention ist die Übermittlung an einen US-Server kritisch — prüfen Sie das mit DSB, Kammer und ggf. Fachanwalt.
Patientendaten, Mandantenakten, Geschäftsgeheimnisse, NDA-Dokumente: Diese Datenkategorien gehören grundsätzlich nicht in ChatGPT.
Alternativen mit DSGVO-Bewertung
| Tool | DSGVO-Score | Besonderheit |
|---|---|---|
| Claude (Anthropic) | 6,0/10 | EU-Datenkontroller, AVV verfügbar |
| DeepL Pro | 7,0/10 | EU-Server, stark für Übersetzung |
| LanguageTool Business | 5,0/10 | EU-Hosting, Fokus auf Textkorrektur |
Lokale Alternativen ohne Cloud-Risiko: Open-Source-Modelle via Ollama auf eigener Hardware.
Fazit
ChatGPT ist mit Team oder Enterprise, abgeschlossenem AVV und sauberer Governance DSGVO-konform einsetzbar. Die nötigen Schritte — Tarif-Upgrade, Vertragsabschluss, Mitarbeiter-Richtlinie, Verfahrensverzeichnis — sind machbar und kosten wenig Zeit. Für Berufsgeheimnisträger und besonders sensible Daten braucht es eine zusätzliche Rechtsprüfung. Alle DSGVO-geprüften Alternativen finden Sie in unserer Tool-Übersicht.