KI & DSGVO 2025: Was deutsche Unternehmen wissen müssen

Q: Darf ich Kundendaten in ChatGPT eingeben?

Grundsätzlich nein, ohne entsprechende Absicherung. OpenAI bietet für Unternehmenskunden eine API mit AVV an. Die kostenlose ChatGPT-Version ist für die Verarbeitung personenbezogener Kundendaten nicht geeignet.

Der EU AI Act ist in Kraft, ChatGPT wird täglich von Millionen Unternehmen genutzt — und viele KMU fragen sich: Was darf ich eigentlich? Was muss ich beachten? Dieser Artikel gibt Ihnen eine klare Übersicht, ohne Juristendeutsch.

Kurz zusammengefasst: Die meisten KI-Tools, die KMU nutzen, fallen in die niedrige Risikoklasse des EU AI Act. Trotzdem gilt: Personenbezogene Daten dürfen Sie nur mit geeigneten Schutzmaßnahmen in KI-Systeme eingeben.

Was ist der EU AI Act?

Der EU AI Act ist die weltweit erste umfassende gesetzliche Regulierung für Künstliche Intelligenz. Er trat im August 2024 in Kraft und wird schrittweise bis 2026 vollständig angewendet. Das Gesetz teilt KI-Systeme in vier Risikoklassen ein:

Inakzeptables Risiko — verboten (z.B. Social Scoring durch Behörden)
Hohes Risiko — strenge Auflagen (z.B. KI in medizinischen Geräten, Personalentscheidungen)
Geringes Risiko — Transparenzpflichten (z.B. Chatbots müssen als KI erkennbar sein)
Minimales Risiko — kaum Einschränkungen (z.B. KI-Textgeneratoren, Spam-Filter)

Für die meisten KMU-Anwendungen — Texte schreiben, E-Mails formulieren, Prozesse automatisieren — gilt: minimales oder geringes Risiko. Großartige Auflagen entstehen dadurch nicht.

DSGVO & KI: Die wichtigsten Regeln

Unabhängig vom EU AI Act gilt weiterhin die DSGVO. Die entscheidende Frage ist immer: Verarbeite ich personenbezogene Daten?

Was sind personenbezogene Daten?

Alles, womit eine Person direkt oder indirekt identifiziert werden kann: Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen, Kundennummern, Fotos — und auch Kombinationen von Daten, die zusammen eine Person erkennbar machen.

Wann greift die DSGVO beim KI-Einsatz?

Sobald Sie solche Daten in ein KI-Tool eingeben, gelten die DSGVO-Regeln. Das bedeutet konkret:

Der KI-Anbieter muss einen Auftragsverarbeitungsvertrag (AVV) anbieten
Der Anbieter muss Datenschutzstandards erfüllen (DSGVO-konform oder Standardvertragsklauseln)
Sie müssen wissen, ob Ihre Daten zum Training genutzt werden

Achtung: Die kostenlose ChatGPT-Version (chatgpt.com) ist für die Verarbeitung personenbezogener Kundendaten nicht geeignet. OpenAI nutzt dort Eingaben standardmäßig für das Training. Für Unternehmenseinsatz: ChatGPT Team/Enterprise oder die API verwenden.

Welche KI-Tools sind DSGVO-konform einsetzbar?

ChatGPT (OpenAI)

Die API und das Team/Enterprise-Paket bieten einen AVV und deaktivieren das Training auf Ihren Daten. Geeignet für Unternehmenseinsatz. Die kostenlose Version: nur für allgemeine Aufgaben ohne Kundendaten.

Claude (Anthropic)

Claude for Business und die API bieten DSGVO-konformes Setup mit AVV. Anthropic verarbeitet Daten grundsätzlich nicht für Training ohne ausdrückliche Zustimmung.

Microsoft Copilot (for Business)

In Microsoft 365 Business integriert, mit EU-Datenhaltung möglich. AVV ist über den Microsoft-Kundenvertrag abgedeckt. Gut geeignet für Unternehmen, die bereits auf Microsoft setzen.

Deutsche/EU-Alternativen

Aleph Alpha (Luminous), DeepL, Neuroflash — europäische Anbieter mit Rechenzentren in der EU. Gut für datensensible Branchen wie Gesundheit, Recht oder Finanzen.

Praktische Checkliste für KMU

✅ Welche KI-Tools setzen wir ein? Liste erstellen.
✅ Hat jeder Anbieter einen AVV? Prüfen und abschließen.
✅ Werden unsere Daten für Training genutzt? In den Einstellungen deaktivieren.
✅ Mitarbeiter sensibilisieren: keine Kundendaten in kostenlose KI-Tools.
✅ KI-Nutzung ins Verarbeitungsverzeichnis aufnehmen.
✅ Bei Chatbots auf der Website: Hinweis „Dieser Chat wird von KI unterstützt" ergänzen.

Häufige Fragen

Gilt die DSGVO auch für KI-Tools wie ChatGPT?

Ja. Wenn Sie personenbezogene Daten (Namen, E-Mails, Kundendaten) in ein KI-Tool eingeben, greift die DSGVO. Sie müssen sicherstellen, dass der Anbieter einen EU-konformen Auftragsverarbeitungsvertrag (AVV) anbietet.

Was ist der EU AI Act und was bedeutet er für KMU?

Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Für die meisten KMU relevant: KI-Systeme werden nach Risikoklassen eingeteilt. Standardanwendungen wie Textgenerierung oder Prozessautomatisierung gelten als geringes Risiko und sind weitgehend uneingeschränkt nutzbar.

Darf ich Kundendaten in ChatGPT eingeben?

In der kostenlosen Version grundsätzlich nein. OpenAI bietet für Unternehmenskunden (Team, Enterprise, API) einen AVV an — damit ist die Nutzung mit Kundendaten rechtlich absicherbar.

Unsicher, welche KI-Tools für Ihr Unternehmen DSGVO-konform sind?

Im kostenlosen 30-Minuten Gespräch analysiere ich Ihre aktuelle KI-Nutzung und zeige Ihnen, was Sie anpassen müssen — und was bereits passt.

Kostenlosen Termin buchen →

Michelle Merola

IHK-zertifizierte KI-Beraterin mit 12 Jahren B2B-Erfahrung. Inhaberin von AI Integration in Vreden (Westmünsterland). Sie begleitet KMU in NRW bei der sicheren, praktischen Einführung von Künstlicher Intelligenz.

← Zurück zum Blog

KI & DSGVO: Was deutsche Unternehmen 2025 wissen müssen