← Blog

24. Januar 2026

ChatGPT im Unternehmen: Rechtlich erlaubt?

Viele Unternehmen nutzen ChatGPT, Microsoft Copilot oder ähnliche Dienste für Texte, Code oder interne Auskünfte. Ist das rechtlich zulässig? Die Antwort hängt vom konkreten Einsatz ab – DSGVO und EU AI Act sind dabei zentral.

Grundsatz: Nicht pauschal verboten, aber reguliert

ChatGPT & Co. sind per se nicht verboten. Entscheidend sind: Welche Daten fließen in die KI? Wo werden sie verarbeitet? Für welche Zwecke nutzen Sie die Ausgaben? Je nach Use-Case können Datenschutz, Verträge und der AI Act Auflagen oder Verbote begründen.

DSGVO: Personenbezogene und sensible Daten

Geben Mitarbeiter oder Kunden personenbezogene Daten in ChatGPT ein (z. B. Namen, E-Mails, Kundendaten), greift die DSGVO. Relevant sind u. a.:

  • Rechtsgrundlage für die Verarbeitung
  • Drittlandtransfer: OpenAI und viele Anbieter verarbeiten in den USA. Ohne geeignete Garantien (z. B. EU-Standardvertragsklauseln) kann der Transfer unzulässig sein.
  • AV-Vertrag bzw. Auftragsverarbeitung: Ist der Anbieter „Auftragsverarbeiter“? Sind die Vertragsinhalte DSGVO-konform?

Praktischer Tipp: Sensible oder geschäftskritische Daten möglichst nicht in öffentliche Chat-Interfaces eingeben. Für Enterprise-Varianten (z. B. ChatGPT Team/Enterprise, Copilot mit geschütztem Modus) gelten oft strengere Verträge und bessere Kontrolle.

EU AI Act: Transparenz und Risikokategorien

Der AI Act verlangt u. a. Transparenz: Nutzer müssen erkennen können, dass sie mit KI interagieren. Bei generativen Systemen wie ChatGPT können zudem Kennzeichnungspflichten für künstlich erzeugte Inhalte relevant werden. Abhängig vom Einsatz (z. B. in HR, Gesundheit, Rechtsberatung) können auch Hochrisiko-Anforderungen greifen. Hier muss jeder Use-Case einzeln eingeordnet werden.

Empfehlungen für die Praxis

  • Nutzungsrichtlinien festlegen: Was darf in ChatGPT/Copilot, was nicht?
  • Datenfluss und Anbieter (Rechtssitz, Subprozessoren) prüfen; AV-Verträge und Drittlandtransfers klären.
  • Use-Cases dokumentieren und datenschutz- wie AI-Act‑gerecht einordnen.
  • Wo sinnvoll: Enterprise- oder On-Premise-Lösungen erwägen, um Kontrolle und Compliance zu erhöhen.

KI-Use-Cases einordnen – in wenigen Minuten

Unser Governance-System unterstützt bei der Einordnung nach AI Act & DSGVO und liefert ein Prüfprotokoll.

Jetzt kostenlos testen