Künstliche Intelligenz ist im Unternehmensalltag angekommen. ChatGPT, Microsoft Copilot, Google Gemini und ähnliche Tools werden in deutschen Unternehmen täglich für das Verfassen von Texten, die Analyse von Daten oder die Optimierung interner Abläufe eingesetzt. Doch so praktisch diese Tools sind – sie stellen Unternehmen vor ernsthafte datenschutzrechtliche Fragen. Wer personenbezogene Daten in einen KI-Chatbot eingibt, ohne zu wissen, was damit passiert, riskiert empfindliche DSGVO-Bußgelder. Die Kanzlei Wetzel erklärt, was Sie jetzt wissen müssen und wie Sie KI-Tools rechtssicher einsetzen können.
Management Summary: Das Wichtigste auf einen Blick
- KI-Tools verarbeiten häufig personenbezogene Daten und unterliegen damit der DSGVO
- Die kostenlose Version von ChatGPT ist für den betrieblichen Einsatz mit personenbezogenen Daten grundsätzlich ungeeignet
- Business- und Enterprise-Lizenzen ermöglichen den Abschluss eines Auftragsverarbeitungsvertrags (AVV) – dieser ist DSGVO-Pflicht
- Unternehmen benötigen klare interne KI-Nutzungsrichtlinien und müssen KI-Verarbeitungen im Verarbeitungsverzeichnis dokumentieren
- Ab August 2026 verschärft der EU AI Act die Anforderungen: Unternehmen müssen nachweisbare KI-Kompetenz ihrer Mitarbeitenden sicherstellen
Warum sind KI-Tools datenschutzrechtlich relevant?
Immer dann, wenn ein KI-Tool personenbezogene Daten verarbeitet – also Informationen, die eine natürliche Person identifizierbar machen – greift die Datenschutz-Grundverordnung (DSGVO). Das passiert schneller als gedacht:
- Kundennamen und E-Mail-Adressen in einem Entwurf, der von ChatGPT formuliert wird
- Mitarbeiterdaten in einer HR-Analyse, die durch Copilot unterstützt wird
- Vertragsdetails mit Personenbezug, die in einen KI-Prompt eingegeben werden
In all diesen Fällen muss rechtlich geklärt sein: Auf welcher Rechtsgrundlage erfolgt die Verarbeitung? Wer ist datenschutzrechtlich Verantwortlicher, wer Auftragsverarbeiter? Wohin fließen die Daten und werden sie für das Training des KI-Modells genutzt?
„Wer Kundendaten in einen KI-Chatbot eingibt, ohne die datenschutzrechtlichen Grundlagen geprüft zu haben, begeht einen DSGVO-Verstoß – auch wenn er es nicht beabsichtigt hat.”
Die kostenlose ChatGPT-Version: Ungeeignet für den Unternehmenseinsatz
Die kostenlose Version von ChatGPT (OpenAI) verarbeitet eingegebene Daten standardmäßig für das Training der KI-Modelle. OpenAI bietet für diese Version keinen Auftragsverarbeitungsvertrag (AVV) an. Damit fehlt die Grundvoraussetzung für eine rechtskonforme betriebliche Nutzung mit personenbezogenen Daten. Wer Kundendaten, Mitarbeiterinformationen oder andere personenbezogene Daten in die kostenlose Version eingibt, verstößt in aller Regel gegen die DSGVO.
Hinzu kommt: OpenAI hat seinen Hauptsitz in den USA. Die Eingabe personenbezogener Daten in die kostenlose Version kann damit eine unzulässige Datenübermittlung in ein Drittland darstellen.
Business- und Enterprise-Lizenzen: Die rechtssichere Alternative
Für die kostenpflichtigen Versionen (ChatGPT Team, ChatGPT Enterprise, API) bietet OpenAI einen Auftragsverarbeitungsvertrag an und verpflichtet sich, Eingaben nicht für das Training zu verwenden. Das schafft eine wesentlich bessere Grundlage für den DSGVO-konformen Betrieb. Dennoch müssen Unternehmen prüfen:
- Wo werden die Daten verarbeitet? Seit Januar 2026 bietet OpenAI für Enterprise-Kunden EU-basierte Datenverarbeitung an – dies ist jedoch nicht der Standard.
- Gilt der EU-US Data Privacy Framework? OpenAI ist aktuell zertifiziert, doch die politische Stabilität dieses Mechanismus bleibt zu beobachten.
- Sind die technischen und organisatorischen Maßnahmen (TOMs) ausreichend? Unternehmen müssen dies dokumentieren.
Microsoft Copilot: Datenschutz im M365-Ökosystem
Microsoft Copilot ist in viele M365-Produkte integriert und greift über Microsoft Graph auf Organisationsdaten zu. Microsoft agiert dabei als Auftragsverarbeiter und bietet entsprechende vertragliche Grundlagen. Prompts, Antworten und verarbeitete Daten verbleiben grundsätzlich innerhalb der M365-Dienstgrenze des Unternehmens.
Damit ist Copilot für M365 prinzipiell datenschutzkonform einsetzbar – vorausgesetzt:
- Die Datenschutzeinstellungen in Microsoft 365 sind korrekt konfiguriert
- Ein Datenschutzzusatz (Data Processing Agreement) mit Microsoft liegt vor
- Zugriffsrechte sind nach dem Minimalprinzip vergeben
- Die Nutzung ist im Verarbeitungsverzeichnis dokumentiert
„Auch bei datenschutzfreundlichen Tools wie Microsoft Copilot entbindet die technische Konfiguration nicht von der rechtlichen Prüfpflicht.”
Interne KI-Richtlinien: Pflicht, keine Kür
Unabhängig vom verwendeten Tool brauchen Unternehmen klare, schriftliche Richtlinien für den KI-Einsatz. Diese sollten mindestens regeln:
- Welche KI-Tools sind für welche Zwecke genehmigt?
- Welche Datenkategorien dürfen in KI-Prompts eingegeben werden?
- Wer ist im Unternehmen für den Datenschutz beim KI-Einsatz verantwortlich?
- Wie werden Mitarbeitende geschult und sensibilisiert?
Die KI-Nutzung muss außerdem im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert werden. Ab August 2026 verschärft der EU AI Act diese Anforderungen: Unternehmen, die KI-Systeme einsetzen, müssen eine ausreichende „KI-Kompetenz” (AI Literacy) ihrer Mitarbeitenden sicherstellen und dokumentieren (Art. 4 EU AI Act).
Datenübermittlung in die USA: Was gilt 2026?
OpenAI, Google und Microsoft sind aktuell unter dem EU-US Data Privacy Framework (DPF) zertifiziert, was Datentransfers in die USA grundsätzlich ermöglicht. Allerdings: Der EuGH hat frühere Übertragungsmechanismen (Safe Harbor 2015, Privacy Shield 2020) für ungültig erklärt. Unternehmen sollten regelmäßig prüfen, ob die rechtliche Grundlage für Drittlandtransfers noch besteht und dies dokumentieren.
Als Alternative bieten sich europäische KI-Lösungen an, bei denen die Daten ausschließlich in der EU verarbeitet werden.
Wie kann die Kanzlei Wetzel helfen?
Die Kanzlei Wetzel unterstützt Unternehmen, Freiberufler und Organisationen als externer Datenschutzbeauftragter und Rechtsberater beim datenschutzkonformen Einsatz von KI-Tools:
- Überprüfung und Verhandlung von Auftragsverarbeitungsverträgen (AVV) mit KI-Anbietern
- Erstellung interner KI-Nutzungsrichtlinien für Ihr Unternehmen
- Aktualisierung des Verarbeitungsverzeichnisses um KI-Verarbeitungstätigkeiten
- Beratung zu Drittlandtransfers und dem EU-US Data Privacy Framework
- Durchführung von Datenschutz-Folgenabschätzungen (DSFA) beim Einsatz risikoreicher KI-Tools
- Beratung zur Umsetzung der AI Literacy-Pflicht nach Art. 4 EU AI Act
Vereinbaren Sie jetzt ein unverbindliches Erstgespräch mit der Kanzlei Wetzel. Besuchen Sie auch unseren „Blog – Recht einfach”, in dem wir juristisch fundierte, aber dabei allgemeinverständliche Artikel zu aktuellen Rechtsthemen veröffentlichen – täglich und tagesaktuell!
Häufige Fragen (FAQ)
Darf ich ChatGPT mit Kundendaten nutzen?
In der kostenlosen Version von ChatGPT ist das in der Regel nicht DSGVO-konform möglich, da OpenAI für diese Version keinen Auftragsverarbeitungsvertrag anbietet und Eingaben für das Training des Modells genutzt werden können. Mit einer kostenpflichtigen Business- oder Enterprise-Lizenz und einem abgeschlossenen AVV kann die Nutzung unter Einhaltung weiterer Voraussetzungen datenschutzkonform gestaltet werden. Wir empfehlen eine rechtliche Prüfung im Einzelfall.
Was ist ein Auftragsverarbeitungsvertrag (AVV) und wann brauche ich ihn?
Ein AVV ist ein Vertrag zwischen dem datenschutzrechtlich Verantwortlichen (Ihrem Unternehmen) und dem Auftragsverarbeiter (dem KI-Anbieter), der regelt, wie personenbezogene Daten verarbeitet werden dürfen. Er ist nach Art. 28 DSGVO verpflichtend, sobald ein Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet. Beim Einsatz von KI-Tools im Unternehmensalltag ist ein AVV daher in der Regel zwingend erforderlich.
Muss ich den Betriebsrat einbinden, wenn wir KI-Tools einführen?
In vielen Fällen besteht ein Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG, wenn technische Einrichtungen zur Überwachung von Mitarbeitenden eingesetzt werden. KI-Tools, die das Verhalten oder die Leistung von Mitarbeitenden erfassen können, fallen häufig unter diese Regelung. Eine rechtliche Prüfung und ggf. der Abschluss einer Betriebsvereinbarung sind daher empfehlenswert.
Welche Bußgelder drohen bei DSGVO-Verstößen beim KI-Einsatz?
Verstöße gegen die DSGVO können mit Bußgeldern von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Datenschutzbehörden prüfen zunehmend aktiv, ob Unternehmen KI-Tools DSGVO-konform einsetzen. Zusätzlich drohen zivilrechtliche Schadensersatzansprüche betroffener Personen.
Muss ich die Nutzung von KI-Tools im Verarbeitungsverzeichnis dokumentieren?
Ja. Wenn KI-Tools personenbezogene Daten verarbeiten, muss dieser Verarbeitungsvorgang im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert werden. Dazu gehören Angaben zu Zweck, Rechtsgrundlage, Datenkategorien, Empfängern und ggf. Drittlandtransfers. Viele Unternehmen vernachlässigen dies – und setzen sich damit einem erheblichen Bußgeldrisiko aus.