EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
GPAI

ChatGPT im Unternehmen rechtssicher einsetzen — Schritt-für-Schritt

Zuletzt aktualisiert: Mai 2026·12 min Lesezeit
TL;DR

ChatGPT Standard/Plus = NICHT für Geschäftsdaten geeignet (US-Server, Trainingsdaten-Default). ChatGPT Team = OK für interne Daten (kein Training auf Inputs). ChatGPT Enterprise = OK für sensible Daten (SOC 2, EU-Datenresidenz). Unter EU AI Act ist ChatGPT GPAI mit Art. 50 Transparenzpflicht.

ChatGPT ist das meistgenutzte KI-Tool der Welt und wird von Millionen DACH-Mitarbeitenden genutzt — oft ohne Genehmigung der IT-Abteilung. Wie nutzt du es rechtskonform unter EU AI Act, DSGVO und Berufsrecht?

Die vier ChatGPT-Versionen im Vergleich

VersionDatennutzungDatenresidenzEignung
ChatGPT FreeInputs zum TrainingUS (Standard)Privat, KEINE Geschäftsdaten
ChatGPT Plus ($20/Monat)Inputs zum Training (Default ON)USPrivat, NICHT für Geschäftsdaten
ChatGPT Team ($30/User/Monat)KEIN TrainingUS (mit DPA)Interne Geschäftsdaten OK
ChatGPT Enterprise (Verhandeln)KEIN TrainingEU optionalSensible Daten + Mandantendaten

Kritische Unterschiede:

  • Free/Plus: deine Inputs trainieren das Modell weiter. Ein Berufsgeheimnis-Verstoss schon beim ersten Mandanten-Brief.
  • Team: deine Inputs werden nicht zum Training verwendet. SOC 2 Type II zertifiziert.
  • Enterprise: zusätzlich EU-Datenresidenz-Option, DPA, SAML-SSO, Admin-Console, MFA-Pflicht.

Klassifikation unter EU AI Act

ChatGPT ist ein GPAI-Modell unter Art. 51-55 EU AI Act:

  • OpenAI als Provider hat die GPAI-Pflichten (technische Doku, Copyright-Policy, Trainingsdaten-Summary)
  • Du als Deployer hast nur Art. 50 Transparenzpflicht: Output muss als KI-generiert kenntlich sein, wenn er an Endkunden geht

Wichtig: Solange du ChatGPT für interne Zwecke nutzt (Schreibhilfe, Recherche, Code-Generierung), greift KEIN Hochrisiko-Pfad — das System bleibt minimal-risk + Art. 50 Transparenz.

Aber: Wenn du ChatGPT in einen Hochrisiko-Workflow integrierst (z.B. ATS für Recruiting, Kreditscoring, Medizin-Diagnose), wirst DU zum Provider eines Hochrisiko-Systems — auch wenn das zugrundeliegende Modell GPAI ist.

DSGVO-Pflichten beim ChatGPT-Einsatz

1. Auftragsverarbeitungsvertrag (DPA): OpenAI bietet ein DPA für Team und Enterprise. Free/Plus haben KEINEN gültigen DPA für DSGVO-Zwecke. 2. Drittlandtransfer: USA — gestützt auf EU-US Data Privacy Framework (Adequacy Decision Juli 2023). Aktuell wackelig, aber gültig. 3. Rechtsgrundlage: berechtigtes Interesse (Art. 6(1)(f)) für interne Nutzung. Bei Mitarbeiter-Daten: Betriebsvereinbarung empfohlen. 4. Informationspflichten: Mitarbeiter müssen wissen, dass ChatGPT eingesetzt wird (DSGVO Art. 13/14).

Konkrete Use Cases — Erlaubt vs. Verboten

Erlaubt mit ChatGPT Team/Enterprise:

✅ Interne E-Mail-Drafting ✅ Code-Generation (mit Copyright-Check) ✅ Übersetzungen interner Dokumente ✅ Brainstorming, Slogan-Erstellung ✅ Anonymisierte Kundenanfragen analysieren ✅ Reporting-Texte aus Daten generieren ✅ Schulungsmaterial entwerfen

Erlaubt mit Vorsicht:

⚠️ Vertragsanalyse (mit Mandantenzustimmung bei Anwälten) ⚠️ Personalbezogene Daten (DSFA empfohlen) ⚠️ Marketing-Texte (Copyright-Check, Faktenprüfung) ⚠️ Code-Review (Halluzinations-Risiko)

NICHT erlaubt (oder nur mit Enterprise + besonderen Maßnahmen):

❌ Mandanten-Anwaltsdaten ohne Zustimmung (BRAO § 43a) ❌ Patientendaten ohne explizite Einwilligung (DSGVO Art. 9) ❌ Geschäftsgeheimnisse von Kunden ❌ Gehaltsdaten, Beurteilungen, Disziplinarmassnahmen

Praktische Umsetzung

Schritt 1 — Bestandsaufnahme: Welche Mitarbeitenden nutzen aktuell ChatGPT? In welcher Version? Wofür?

Schritt 2 — Lizenz-Migration: Free/Plus-Accounts auf Team migrieren. Kosten: $30/User/Monat = 360 EUR/User/Jahr.

Schritt 3 — KI-Richtlinie aufsetzen:

  • Welche Daten dürfen rein, welche nicht?
  • Wer ist Ansprechperson?
  • Wie wird Output verifiziert (Halluzination-Check)?
  • Welcher Output braucht Disclosure?

Schritt 4 — Schulung (Art. 4 KI-Literacy):

  • 2-stündige Pflicht-Schulung für alle Mitarbeitenden mit ChatGPT-Nutzung
  • Inhalte: was ist ChatGPT, was kann es, was darf rein, wie verifiziere ich
  • Dokumentation der Teilnahme

Schritt 5 — Monitoring:

  • Admin-Console nutzen (Team/Enterprise)
  • Quartalsweise Stichproben-Check der Use Cases

Schritt 6 — DSFA bei sensiblen Use Cases:

  • HR-Anwendungen: zwingend
  • Mandanten-Anwendungen: zwingend
  • Allgemeine Schreibhilfe: nicht zwingend

Alternativen zu ChatGPT

Wenn ChatGPT nicht passt:

  • Microsoft Copilot for M365: bessere Integration in Office, Tenant-Isolation, EU-Region
  • Claude (Anthropic): bessere Schreibqualität, US-Hosting (Standard), AWS Frankfurt verfügbar
  • Gemini for Google Workspace: Google-Workspace-Integration, EU-Region
  • Le Chat (Mistral): EU-basierter Anbieter, Open-Source-Modelle
  • Aleph Alpha: deutsche Alternative, in Heilbronn gehostet
  • Self-hosted (LLaMA-3, Mixtral): maximale Datenkontrolle, technisch aufwendig

Häufige Fallstricke

1. "Wir nutzen Free, das kostet nichts" — Ja, aber jeder Input ist potenziell Trainingsdaten. Berufsrechtsverstoss bei Anwälten/Ärzten/Beratern garantiert.

2. "Wir haben Plus, das ist sicher" — NEIN. Plus ist nur für Privatpersonen. Für Geschäftsdaten Team oder Enterprise nötig.

3. "OpenAI ist US-Anbieter, geht nicht für DSGVO" — Doch, mit gültigem DPA und EU-US-DPF gestützt. Aber Risiken bleiben (CLOUD Act).

4. "Wir lassen ChatGPT Verträge prüfen, das ist unkritisch" — Vertragsdaten sind oft Geschäftsgeheimnis. Unter Free/Plus gehen sie ins Training. Nur mit Team/Enterprise rechtskonform.

5. "KI-generierte Texte sind nicht copyright-geschützt, also sicher" — Stimmt nur bedingt. Wenn ChatGPT Copyright-geschützten Trainingscontent reproduziert, kannst du in Schwierigkeiten geraten.

Häufig gestellte Fragen

Welche ChatGPT-Version brauche ich für mein Unternehmen?+

Für interne Geschäftsdaten: ChatGPT Team ($30/User/Monat) als Minimum. Daten gehen nicht ins Training, SOC 2 zertifiziert. Für sensible Daten (Mandanten, Patienten, Geschäftsgeheimnisse): ChatGPT Enterprise mit DPA, EU-Datenresidenz und SAML-SSO. NICHT für Geschäftsdaten: Free oder Plus.

Ist ChatGPT DSGVO-konform?+

Mit ChatGPT Team/Enterprise + gültigem DPA + EU-US Data Privacy Framework: ja, technisch konform. Aber: Vorsicht bei besonderen Daten (Art. 9 DSGVO), Mitarbeiterdaten (Betriebsvereinbarung empfohlen) und CLOUD-Act-Risiko bei US-Anbietern. DSFA bei sensiblen Use Cases zwingend.

Muss ich ChatGPT-Outputs kennzeichnen?+

Wenn der Output an Endkunden geht (Werbetexte, Mandanten-Briefe, Patientenkommunikation): Art. 50 EU AI Act verlangt Transparenz. Konkret: Hinweis dass KI-generiert oder eindeutige Disclosure. Für interne Nutzung keine zwingende externe Kennzeichnung, aber empfohlen für Verifikations-Trail.

Was sind die wichtigsten Risiken bei ChatGPT-Nutzung?+

Drei Hauptrisiken: (1) Datenleakage in Trainingsdaten bei Free/Plus; (2) Halluzinationen — erfundene Fakten, Zitate, Präzedenzfälle; (3) Copyright-Reproduktion aus Trainingsdaten. Gegenmaßnahmen: Team/Enterprise nutzen, Outputs immer verifizieren, KI-Richtlinie etablieren.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Consulting GmbH — EU AI Act Compliance

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
ChatGPT Unternehmen rechtssicher — EU AI Act 2026 | ai-risk-check.com