Kundendaten in ChatGPT – warum die DSGVO-Risiken größer sind als gedacht
Ein Mitarbeiter kopiert eine Kunden-E-Mail in ChatGPT, um eine Antwort formulieren zu lassen. Klingt harmlos – ist es aber nicht. Denn in dem Moment, in dem personenbezogene Daten in ein KI-Tool eingegeben werden, greifen die DSGVO-Regeln für Auftragsverarbeitung. Und die meisten Unternehmen haben dafür weder einen Vertrag noch ein Konzept.
Das Grundproblem: KI-Tools lernen mit Ihren Eingaben
Bei den kostenlosen Versionen von ChatGPT, Claude und Gemini werden Ihre Eingaben standardmäßig für das Training zukünftiger Modelle verwendet. Das heißt: Was Sie eintippen, kann – in verarbeiteter Form – später in Antworten an andere Nutzer auftauchen.
Für private Nutzung ist das akzeptabel. Für geschäftliche Daten ist es ein Datenschutz-Albtraum. Denn wenn ein Kundenname, eine E-Mail-Adresse oder eine Vertragsnummer im Trainingsmaterial eines US-amerikanischen KI-Unternehmens landet, verstoßen Sie gleich gegen mehrere DSGVO-Grundsätze.
Warum „das macht doch jeder" kein Schutz ist
Keine Rechtsgrundlage: Personenbezogene Daten dürfen nur mit Rechtsgrundlage verarbeitet werden. „Der Mitarbeiter wollte schneller arbeiten" ist keine Rechtsgrundlage.
Kein Auftragsverarbeitungsvertrag: Wenn Sie Kundendaten an einen Dienstleister weitergeben (und ein KI-Tool ist ein Dienstleister), brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Die meisten Unternehmen haben keinen AVV mit OpenAI, Anthropic oder Google – und die kostenlosen Versionen bieten auch keinen an.
Datenübermittlung in Drittländer: ChatGPT-Server stehen in den USA. Die Datenübermittlung in die USA ist unter der DSGVO nur unter bestimmten Bedingungen erlaubt – und diese Bedingungen sind für kostenlose KI-Tools praktisch nie erfüllt.
Keine Kontrolle nach der Eingabe: Einmal eingetippte Daten können nicht zurückgeholt werden. Sie können nicht verlangen, dass OpenAI „Ihre" Daten aus dem Trainingsmaterial löscht – weil die Daten im Modell verarbeitet werden, nicht als einzelne Dateien gespeichert.
Was Sie niemals in KI-Tools eingeben sollten
Egal welches Tool, egal welche Version – diese Daten gehören nicht in einen Chatbot:
Namen und Kontaktdaten von Kunden. E-Mails mit personenbezogenen Inhalten. Vertragsnummern, Kundennummern, Kontonummern. Gesundheitsdaten, Gehaltsinformationen, Bewerbungsunterlagen. Interne Geschäftszahlen und Strategiepapiere.
Die Faustregel: Wenn Sie die Information nicht auf einer Postkarte schreiben würden, gehört sie nicht in einen Chatbot.
Wie Sie KI trotzdem datenschutzkonform nutzen
1. Anonymisieren vor der Eingabe: Ersetzen Sie Namen durch Platzhalter („Kunde A"), entfernen Sie E-Mail-Adressen und Nummern. Die KI braucht den Kontext, nicht die konkreten Daten.
2. Business-Versionen nutzen: ChatGPT Team/Enterprise, Claude for Business, Google Workspace mit Gemini – diese Versionen bieten einen AVV und verwenden Ihre Daten nicht für Training.
3. Opt-out aktivieren: Bei ChatGPT können Sie unter Einstellungen → Datenschutz das Training mit Ihren Daten deaktivieren. Das ist kein vollständiger DSGVO-Schutz, aber ein erster Schritt.
4. Richtlinien für Mitarbeiter erstellen: Definieren Sie klar, was in KI-Tools eingegeben werden darf und was nicht. Ohne Richtlinie entscheidet jeder Mitarbeiter selbst – und das geht fast immer schief.
5. Lokale KI prüfen: Für hochsensible Daten gibt es KI-Modelle, die lokal auf Ihrem Rechner laufen (z.B. LM Studio, Ollama). Keine Cloud, keine Datenübermittlung. Die Qualität ist geringer als bei ChatGPT, aber der Datenschutz ist perfekt.
Wann Sie das selbst regeln – und wann nicht
Opt-out aktivieren und Mitarbeiter informieren – das können Sie sofort selbst machen. Für den privaten Gebrauch reicht das.
Für den geschäftlichen Einsatz brauchen Sie mehr: Eine saubere Richtlinie, die richtige Lizenz, ggf. einen AVV, und eine Schulung für Mitarbeiter. Das ist nicht nur eine technische Frage, sondern auch eine organisatorische – und Fehler können Bußgelder nach sich ziehen.
KI datenschutzkonform einsetzen? Wir helfen.
Richtiges Tool wählen, Einstellungen konfigurieren, Team schulen – per Fernwartung, ab 29 €.
Jetzt KI-Schulung buchenHäufig gestellte Fragen
Darf ich Kundendaten in ChatGPT eingeben?
In der kostenlosen Version: Nein, nicht ohne Rechtsgrundlage und AVV. In der Business-Version mit AVV und Opt-out: Unter bestimmten Bedingungen ja – aber anonymisieren sollten Sie trotzdem, wo möglich.
Welche KI ist am datenschutzfreundlichsten?
Alle großen Anbieter bieten Business-Versionen mit Datenschutzgarantien. Für maximalen Schutz: Lokale KI-Modelle, die komplett auf Ihrem Rechner laufen und keine Daten ins Internet senden.
Kann ich eine datenschutzkonforme KI-Einführung buchen?
Ja. Wir richten das richtige Tool ein, konfigurieren die Datenschutz-Einstellungen und schulen Ihr Team im DSGVO-konformen Umgang mit KI – per Fernwartung.
Weiterlesen — verwandte Artikel
AGI vs. Heutige KI (GenAI) – Was kann künstliche Intelligenz wirklich?
Die aktuellen KI-Systeme (GenAI) und das Konzept AGI unterscheiden sich grundlegend. Was jetzt schon geht, und was Zukunftsmusik bleibt.
KI-WissenAgent Harness – warum dieser eine Begriff gerade die KI-Branche umkrempelt
Im Februar 2026 hat Mitchell Hashimoto dem Konzept einen Namen gegeben. Was ein Agent Harness ist, warum die Pferdemetapher passt und was es für den Mittelstand heißt.
KI-WissenChatGPT Images 2.0 ist da – und trifft auf Google’s Nano Banana
Zwei Release-Wellen in vier Monaten: Wo OpenAIs neues Bildmodell punktet, was Nano Banana 1, 2 und Pro wirklich unterscheidet und welches Tool für welche Aufgabe taugt.
Deutsches Recht, deutsche Anschrift.
nach Art. 28 für Geschäftskunden.
oder AnyDesk mit TLS-Schutz.
Kein Vertrag, keine Mindestlaufzeit.
3 Mio EUR Personen-/Sachschaeden.
Beschreiben Sie Ihr Problem
Wir melden uns bei Ihnen und finden eine Lösung.