Zum Inhalt springen
12.4Fortgeschritten6 min

OpenAI / ChatGPT DSGVO-konform nutzen: Consumer vs. Enterprise vs. API

Blck Alpaca·
Definition

OpenAI DSGVO-konform zu nutzen heißt: für Unternehmensdaten ausschließlich ChatGPT Enterprise/Team oder die OpenAI API mit abgeschlossenem Auftragsverarbeitungsvertrag (DPA) einzusetzen, wo Kundendaten standardmäßig nicht zum Training verwendet werden. Consumer-ChatGPT ist dafür ungeeignet, weil ein verbindlicher AVV und konfigurierbare Datenresidenz fehlen.

Auf einen Blick

  • Consumer-ChatGPT (kostenlos/Plus) ist für personenbezogene Unternehmensdaten nicht DSGVO-tauglich: kein DPA als Verarbeiter, keine garantierte EU-Datenresidenz, keine vertragliche Zero-Data-Retention.
  • ChatGPT Enterprise/Team und die OpenAI API laufen über den OpenAI-DPA (wirksam ab 1. Januar 2026, OpenAI Ireland Ltd. als EEA/CH-Vertragspartner); Kundendaten werden standardmäßig nicht zum Modelltraining genutzt.
  • Aufbewahrung unterscheidet sich stark: API standardmäßig max. 30 Tage, ChatGPT Enterprise für die Vertragslaufzeit, Zero-Data-Retention (ZDR) nur vertraglich verfügbar.
  • EU-Datenresidenz ist nur für berechtigte Enterprise-/Edu-Konten und bestimmte API-Setups verfügbar; Standard ist globales Routing.
  • Die italienische Garante verhängte am 2. November 2024 ein Bußgeld von 15 Mio. Euro gegen OpenAI - der Pflichtnachweis von Rechtsgrundlage, Transparenz und Auftragsverarbeitung ist enforcement-relevant.
  • DSGVO-konformer Einsatz erfordert DPA, Sub-Prozessor-Mapping, Trainings-Opt-out, Datenresidenz-Konfiguration, Retention-Steuerung und eine Datenschutz-Folgenabschätzung (DSFA).

OpenAI DSGVO-konform zu nutzen heißt: für personenbezogene Unternehmensdaten ausschließlich ChatGPT Enterprise/Team oder die OpenAI API mit abgeschlossenem Auftragsverarbeitungsvertrag (DPA) einzusetzen, bei denen Kundendaten standardmäßig nicht zum Modelltraining verwendet werden. Consumer-ChatGPT ist dafür ungeeignet, weil ein verbindlicher DPA als Verarbeiter, garantierte EU-Datenresidenz und vertragliche Zero-Data-Retention fehlen.

Die Kernfrage für DACH-Unternehmen und Agenturen ist nicht "ChatGPT ja oder nein", sondern "welcher Bezugsweg unter welchem Vertrag". Genau hier entscheidet sich die DSGVO-Konformität.

  • Consumer-ChatGPT (kostenlos, Plus): kein DPA als Verarbeiter, kein zuverlässiger Trainingsausschluss auf Vertragsbasis, keine garantierte EU-Datenresidenz - tabu für personenbezogene Geschäftsdaten.
  • ChatGPT Enterprise/Team: läuft unter dem OpenAI-DPA, kein Training auf Kundendaten by default, OpenAI als Auftragsverarbeiter.
  • OpenAI API: ebenfalls unter DPA, standardmäßig max. 30 Tage Aufbewahrung, Zero-Data-Retention (ZDR) vertraglich verfügbar.

Warum Consumer-ChatGPT im Unternehmen ausscheidet

Bei jeder Verarbeitung personenbezogener Daten über ein KI-System ist OpenAI im Unternehmenskontext Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein wirksamer Auftragsverarbeitungsvertrag (AVV/DPA) ist damit Pflicht. Den Consumer-Tarifen fehlt dieser Vertrag in der Form, die ein Verantwortlicher benötigt: keine dokumentierten Weisungsbindungen, keine zugesicherte Datenresidenz, keine konfigurierbaren Aufbewahrungsfristen.

Hinzu kommt das technische Risiko der Memorisierung. Nasr et al. (2023) demonstrierten die Extraktion von Trainingsdaten - inklusive personenbezogener Daten - aus produktiven Modellen wie ChatGPT zu Abfragekosten von rund 200 US-Dollar. Wer ungeschützt Kundennamen, Personaldaten oder Gesundheitsangaben in ein Consumer-Frontend eingibt, kann den Verbleib dieser Daten nicht kontrollieren.

Auch halluzinierte personenbezogene Daten bleiben personenbezogene Daten. Das bestätigen die Hamburger ChatGPT-Beschwerde und das Garante-Verfahren gegen OpenAI gleichermaßen - eine falsche, aber plausible Aussage über eine identifizierbare Person löst Berichtigungs- und Auskunftspflichten aus.

Consumer vs. Enterprise/Team vs. API im DSGVO-Vergleich

Die folgende Tabelle fasst die für die Compliance entscheidenden Unterschiede zusammen. Alle Angaben beruhen auf der internen Research und sind bei Vertragsabschluss zu re-validieren, da Anbieterbedingungen sich häufig ändern.

Kriterium

Consumer-ChatGPT (Free/Plus)

ChatGPT Enterprise/Team

OpenAI API

DPA / AVV als Verarbeiter

Nicht in unternehmenstauglicher Form

Ja, OpenAI-DPA (wirksam ab 1. Jan. 2026)

Ja, OpenAI-DPA (wirksam ab 1. Jan. 2026)

Vertragspartner für EEA/CH

OpenAI Ireland Ltd.

OpenAI Ireland Ltd.

Training auf Kundendaten

Nicht in der gleichen Weise vertraglich ausgeschlossen

Nein, standardmäßig kein Training

Nein, standardmäßig kein Training

Standard-Aufbewahrung

Nicht unternehmensseitig steuerbar

Vertragslaufzeit

Max. 30 Tage

Zero-Data-Retention (ZDR)

Nicht verfügbar

Vertraglich verfügbar

Vertraglich verfügbar

EU-Datenresidenz

Nicht garantiert

Für berechtigte Enterprise-/Edu-Konten

Für bestimmte API-Setups; sonst global

Sub-Prozessor-Liste

Veröffentlicht (Stand April 2025 ff., u. a. Microsoft Azure)

Veröffentlicht (u. a. Azure-Hosting, Moderation)

Wichtig: Der Trainingsausschluss und ZDR sind vertragliche Zusagen, keine gesetzlichen Mindeststandards. Anbieter behalten sich typischerweise enge Rechte für Abuse-Monitoring, Safety-Review und aggregierte Analysen vor, in denen sie als eigener Verantwortlicher agieren können. Diese Carve-outs gehören im DPA bright-line abgegrenzt.

Was die Garante-Entscheidung lehrt

Das führende Enforcement-Beispiel ist die Entscheidung der italienischen Garante vom 2. November 2024 (veröffentlicht 20. Dezember 2024): 15 Mio. Euro Bußgeld gegen OpenAI. Festgestellte Verstöße:

  • Verarbeitung personenbezogener Daten zum Training von ChatGPT, bevor eine taugliche Rechtsgrundlage identifiziert wurde - Verstoß gegen Art. 5(1)(a), Art. 5(2) und Art. 6 DSGVO.
  • Unzureichende Transparenz gegenüber Nutzern (Art. 12, 13).
  • Keine adäquate Altersverifikation (Art. 8, 25).
  • Verspätete Meldung des Chat-History-Datenlecks vom März 2023 (Art. 33).
  • Zusätzlich: verpflichtende sechsmonatige Aufklärungskampagne in italienischen Medien.

Der DSGVO-Bußgeldrahmen liegt nach Art. 83 bei bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes. Zum Vergleich: Clearview AI wurde in Italien wegen Scraping öffentlicher Daten mit 20 Mio. Euro belegt (10. Februar 2022) - öffentlich zugänglich heißt eben nicht "frei verwendbar".

Sieben Schritte zum rechtskonformen Einsatz

  1. Bezugsweg festlegen. Für personenbezogene Daten nur ChatGPT Enterprise/Team oder die API. Consumer-Zugänge organisatorisch sperren (Policy, ggf. technisches Blocking).
  2. DPA abschließen und prüfen. OpenAI-DPA (wirksam ab 1. Januar 2026) mit OpenAI Ireland Ltd. als EEA/CH-Vertragspartner; "no training"-Zusage, Weisungsbindung und Abuse-Monitoring-Carve-out kontrollieren.
  3. Sub-Prozessoren mappen. Veröffentlichte Sub-Prozessor-Liste (u. a. Microsoft Azure als Hosting) in das Verzeichnis der Verarbeitungstätigkeiten (RoPA) aufnehmen; ununterbrochene AVV-Kette nach Art. 28(4) sicherstellen.
  4. Datenresidenz konfigurieren. EU-Datenresidenz für berechtigte Enterprise-/Edu-Konten bzw. geeignete API-Setups aktivieren; Standard ist globales Routing.
  5. Retention steuern. API-Standard sind max. 30 Tage, Enterprise speichert für die Vertragslaufzeit. Für sensible Daten ZDR vertraglich vereinbaren; Prompt-Logs vor dauerhafter Speicherung pseudonymisieren/redigieren.
  6. Transfer-Grundlage absichern. EU-US-DPF nutzen, aber Standardvertragsklauseln als Fallback und ein Transfer Impact Assessment dokumentieren (Stand 2026: DPF-Berufung Latombe seit 31. Oktober 2025 beim EuGH anhängig, vorbehaltlich Änderung).
  7. DSFA und Rechtsgrundlage dokumentieren. Datenschutz-Folgenabschätzung gemäß DSK-Orientierungshilfe (6. Mai 2024); Rechtsgrundlage je Use-Case festhalten - meist Art. 6(1)(f) mit dokumentiertem berechtigten Interesse, bei Kundenservice ggf. Art. 6(1)(b).

Was Sie mit Consumer-ChatGPT NICHT tun sollten

  • Kundennamen, CRM-Auszüge, Bewerber- oder Personaldaten eingeben.
  • Besondere Kategorien nach Art. 9 (Gesundheit, Religion, Gewerkschaft, Sexualleben) verarbeiten.
  • Vertrauliche Geschäftsunterlagen oder ganze Dokumentensätze hochladen.
  • Automatisierte Entscheidungen mit rechtlicher oder erheblicher Wirkung vorbereiten (Art. 22). Ergänzend gilt: Das Recht auf Erklärung individueller Entscheidungen nach EU-AI-Act Art. 86 wird ab 2. August 2026 wirksam (rechtlich verbindliches Anwendungsdatum, Stand 2026).

Rechenbeispiel: Aufbewahrung als Risiko-Hebel

Eine Agentur betreibt für einen Mandanten einen Support-Assistenten über die OpenAI API mit 5.000 Prompts pro Tag, davon enthalten rund 8 Prozent (400 Prompts) Kundennamen oder Kontaktdaten. Bei der API-Standardaufbewahrung von max. 30 Tagen liegen zu jedem Zeitpunkt bis zu 12.000 personenbezogene Prompts (400 x 30) im Speicher des Verarbeiters - jeder davon im Anwendungsbereich von Auskunfts- und Löschanfragen. Mit vertraglich vereinbarter ZDR plus vorgelagerter Redaktion sinkt dieser dauerhafte Bestand auf nahezu null. Das ist der Unterschied zwischen einem beantwortbaren und einem unbeantwortbaren Auskunftsersuchen (DSAR).

Für Agenturen und B2B

Marketing-Agenturen und B2B-Entscheider, die ChatGPT in Kundenprojekten einsetzen, sind in der Regel selbst Verantwortliche oder Auftragsverarbeiter ihrer Mandanten - und müssen die Kette nach unten sauber abbilden: DPA mit OpenAI, dokumentierte Datenresidenz, ZDR für sensible Flows und ein DSFA-Template, das pro Use-Case wiederverwendbar ist. Wer das einmal sauber aufsetzt, macht aus einem Compliance-Risiko ein verkaufbares Qualitätsmerkmal. Blck Alpaca unterstützt bei DPA-Review, Sub-Prozessor-Mapping und DSFA für KI-Agenten im DACH-Raum.

Hinweis: Dieser Beitrag dient der fachlichen Information und stellt keine Rechtsberatung dar. Für die rechtsverbindliche Bewertung Ihres konkreten Einsatzszenarios ziehen Sie bitte eine Datenschutzbeauftragte oder einen spezialisierten Rechtsbeistand hinzu.

Häufig gestellte Fragen

Darf ich kostenloses ChatGPT oder ChatGPT Plus mit Kundendaten nutzen?
Für personenbezogene Unternehmens- oder Kundendaten ist davon abzuraten. Den Consumer-Tarifen fehlt ein Auftragsverarbeitungsvertrag (DPA) nach Art. 28 DSGVO als Verarbeiter, eine garantierte EU-Datenresidenz und vertragliche Zero-Data-Retention. Ohne DPA fehlt eine tragfähige Grundlage für die Auftragsverarbeitung. Verwenden Sie für Geschäftsdaten ChatGPT Enterprise/Team oder die OpenAI API.
Werden meine Daten bei ChatGPT Enterprise oder der OpenAI API zum Training verwendet?
Nein. Laut OpenAI-DPA werden Kundendaten der API sowie von ChatGPT Enterprise/Team standardmäßig nicht zum Training der OpenAI-Modelle genutzt. Das ist allerdings eine vertragliche Zusage, kein gesetzlicher Standard - prüfen Sie die jeweils gültigen Vertragsbedingungen bei Vertragsabschluss.
Was ist Zero-Data-Retention (ZDR) und brauche ich das?
ZDR bedeutet, dass OpenAI Prompts und Ausgaben nicht speichert. Standardmäßig gilt für die API eine Aufbewahrung von maximal 30 Tagen, bei ChatGPT Enterprise für die Vertragslaufzeit. ZDR ist nur vertraglich (per DPA) verfügbar und empfiehlt sich besonders für sensible oder besondere Kategorien personenbezogener Daten (Art. 9 DSGVO).
Sind US-Datentransfers an OpenAI DSGVO-konform?
Die EU-US-Data-Privacy-Framework-Angemessenheitsentscheidung (10. Juli 2023) ist derzeit gültig; das EuG hat sie am 3. September 2025 (Latombe, T-553/23) für den Zeitpunkt des Erlasses bestätigt. Die Berufung beim EuGH ist seit 31. Oktober 2025 anhängig (Stand 2026, vorbehaltlich Änderung). Halten Sie Standardvertragsklauseln als Fallback bereit und dokumentieren Sie ein Transfer Impact Assessment.
Welches Bußgeld droht bei Verstößen?
Nach Art. 83 DSGVO sind Bußgelder bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes möglich. Die italienische Garante verhängte am 2. November 2024 gegen OpenAI 15 Mio. Euro - unter anderem wegen fehlender Rechtsgrundlage vor dem Training und unzureichender Transparenz.
Brauche ich für den ChatGPT-Einsatz eine DSFA?
In den meisten Unternehmensszenarien ja. Laut DSK-Orientierungshilfe (6. Mai 2024) ist für die meisten LLM-Deployments eine Datenschutz-Folgenabschätzung erforderlich, insbesondere bei großflächiger Verarbeitung, Profiling oder potenziell automatisierten Entscheidungen nach Art. 22 DSGVO.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
VorherigerEU-Datenresidenz für LLMs: Wo Ihre Daten verarbeitet werdenNächsterMistral und Aleph Alpha: Die DSGVO-Vorteile europäischer LLM-Anbieter