DSGVO · Cloud-KI im Unternehmen

Darf ich ChatGPT, Claude & Co. mit Kundendaten nutzen?

Kurze Antwort: Nein – nicht in den Standardvarianten.

ChatGPT, Claude, Gemini und Copilot sind US-Cloud-Dienste. Sobald personenbezogene Daten in den Prompt fließen, beginnt ein Drittlandstransfer in die USA – mit allen DSGVO-Pflichten, die deutsche Unternehmen oft unterschätzen. Wer ohne Auftragsverarbeitungsvertrag arbeitet oder die kostenlose Variante nutzt, verletzt die DSGVO regelmäßig im ersten Prompt.

Souveräne Alternative ansehen Beratung anfragen
Nein

Mit Standardkonten und ohne zusätzliche Maßnahmen ist der Einsatz nicht DSGVO-konform.

  • Kein AV-Vertrag bei Free/Plus/Pro
  • Datenübermittlung in die USA
  • Berufsgeheimnis kann strafbar verletzt werden
Worum geht es?

ChatGPT, Claude & Co. – das sind die Tools

Alle vier marktführenden KI-Assistenten sind Cloud-Dienste US-amerikanischer Anbieter. Jeder eingegebene Text verlässt damit dein Unternehmen und Europa.

ChatGPT
OpenAI · USA

Marktführer von OpenAI. Eingaben werden in den USA verarbeitet. Free- und Plus-Konten haben keinen Auftragsverarbeitungsvertrag und können Eingaben fürs Modelltraining nutzen.

Claude
Anthropic · USA

Sprachmodell von Anthropic. Hosting auf AWS US. Standard-Konten sind nicht für die Verarbeitung personenbezogener Daten in deutschen Unternehmen ausgelegt.

Gemini
Google · USA

Googles Sprachmodell. Eingaben fließen ins Google-Ökosystem. Verflechtung mit weiteren US-Diensten erhöht die Drittlandsproblematik.

Copilot
Microsoft · USA

Microsofts KI-Assistent (auf OpenAI-Modellen). Auch mit M365-Tenant in der EU bleibt der Anbieter dem US CLOUD Act unterworfen.

Die rechtlichen Knackpunkte

Sechs DSGVO-Fragen, die Cloud-LLMs selten sauber beantworten

Wer Kundendaten in ChatGPT, Claude oder Gemini eingibt, stolpert in der Regel über mehrere dieser Punkte gleichzeitig.

01

Auftragsverarbeitung fehlt

Art. 28 DSGVO

Free-, Plus- und Pro-Konten bieten keinen Auftragsverarbeitungsvertrag. Ohne AV-Vertrag ist die Weitergabe personenbezogener Daten an den Dienstleister bereits unzulässig.

02

Drittlandsübermittlung in die USA

Art. 44–49 DSGVO · Schrems II

Daten landen auf US-Servern. Das EU-US Data Privacy Framework von 2023 ist eine politische Brücke, deren Rechtssicherheit Datenschützer und Gerichte erneut anzweifeln. Der CLOUD Act bleibt unangetastet.

03

Keine tragfähige Rechtsgrundlage

Art. 6 DSGVO

Eine echte Einwilligung deiner Kunden für die Verarbeitung durch OpenAI oder Anthropic ist praktisch nie eingeholt. Das berechtigte Interesse wiegt die Risiken einer Drittlandsübermittlung selten auf.

04

Informationspflichten unerfüllt

Art. 13 & 14 DSGVO

Kunden müssten transparent über die Weitergabe ihrer Daten an US-LLMs informiert werden – inklusive Empfänger, Drittlandstransfer und Rechtsgrundlage. In der Praxis steht das in keiner Datenschutzerklärung.

05

Berufsgeheimnis verletzt

§ 203 StGB

Ärzte, Anwälte, Steuerberater, Apotheker, Versicherungen, Banken: Wer Mandanten- oder Patientendaten in Cloud-LLMs eingibt, kann eine Strafbarkeit nach § 203 StGB erfüllen – mit Geld- oder Freiheitsstrafe.

06

Geschäftsgeheimnisse offengelegt

GeschGehG

Sobald Vertragsentwürfe, Preise, Quellcode oder Strategien in Cloud-LLMs gelangen, gelten sie meist nicht mehr als ausreichend geschützt im Sinne des Geschäftsgeheimnisgesetzes.

Konkret

Welche Kundendaten besonders kritisch sind

Personenbezogen ist alles, was eine Person identifizierbar macht – Namen, E-Mail-Adressen, Kundennummern, Telefonnummern, IP-Adressen. Schon ein einziges dieser Felder im Prompt löst die DSGVO-Pflichten aus.

Besonders schützenswerte Daten nach Art. 9 DSGVO – Gesundheit, Religion, ethnische Herkunft, sexuelle Orientierung – dürfen praktisch nie in Cloud-LLMs gelangen. Hier ist das Risiko maximal.

Niemals in Cloud-LLMs eingeben

  • Klarnamen, Anschriften, Geburtsdaten von Kunden
  • Gesundheits- oder Behandlungsdaten (Art. 9)
  • Bewerbungsunterlagen, Lebensläufe
  • Vertrags-, Preis- und Konditionendaten
  • Quellcode mit internen Logiken oder Credentials
  • E-Mail-Verläufe mit Kunden 1:1
  • Mandanten-, Patienten- oder Klientendaten
Die Konsequenzen

Was kann passieren, wenn es schiefläuft?

⚖️

DSGVO-Bußgeld

bis 20 Mio. €

Oder 4 % des weltweiten Konzernumsatzes. Maßgebend ist der höhere Betrag (Art. 83 DSGVO).

👥

Schadensersatz

Art. 82 DSGVO

Jede betroffene Person kann immateriellen Schadensersatz fordern – auch ohne konkret nachgewiesenen Schaden.

🚨

Strafbarkeit

§ 203 StGB

Bei Berufsgeheimnisträgern droht zusätzlich eine Geld- oder Freiheitsstrafe für den Verantwortlichen persönlich.

📉

Reputation

schwer messbar

Veröffentlichte Bußgelder und Datenschutzvorfälle bleiben in Suchmaschinen und Branchenpresse jahrelang sichtbar.

Lösungen

Wie geht KI im Unternehmen rechtssicher?

Drei Wege – sortiert nach Schutzniveau. Die robusteste Lösung ist die, bei der deine Daten dein Haus nie verlassen.

Empfohlen · höchstes Schutzniveau

On-Premise KI – Daten bleiben im Haus

Eine KI, die auf deiner eigenen Hardware läuft. Kein Drittlandstransfer, kein AV-Vertrag nötig, voller Zugriff auf interne Quellen ohne Compliance-Risiko.

  • Keine Daten verlassen dein Netzwerk
  • DSGVO out of scope (kein externer Verarbeiter)
  • Auch für § 203 StGB-Berufe geeignet
Mehr zu KOSMO On-Premise
Bedingt geeignet

EU-gehosteter KI-Anbieter mit AV-Vertrag

Spezialisierte europäische Anbieter mit Hosting in der EU, AV-Vertrag und transparenter Trainingspolitik. Geringeres Risiko, aber regelmäßige Prüfung nötig.

  • AV-Vertrag und EU-Hosting prüfen
  • Trainingsausschluss für deine Eingaben
  • Mutterkonzern und CLOUD-Act-Bezug prüfen
Risikoreich · nur mit Vorsicht

Konsequente Anonymisierung

Wenn Cloud-LLMs unverzichtbar sind: Personenbezug vor dem Prompt entfernen. Klarnamen durch Platzhalter, Adressen weglassen, kein Klartext aus Verträgen.

  • Klare Nutzungsrichtlinie im Unternehmen
  • Schulung der Mitarbeitenden
  • Restrisiko bleibt – Re-Identifikation möglich
Häufige Fragen

FAQ – die meistgestellten Detailfragen

ChatGPT Enterprise bietet einen AV-Vertrag, Verzicht auf Modelltraining mit deinen Eingaben und EU-Datenverarbeitung als Option. Das ist deutlich besser als die Plus-Variante. Die Grundproblematik bleibt: OpenAI ist ein US-Konzern, der US CLOUD Act erlaubt US-Behörden den Zugriff. Eine DSGVO-Datenschutzfolgenabschätzung ist Pflicht, und für besonders schützenswerte Daten oder § 203-Berufe ist Enterprise meist nicht ausreichend.

Quellen & weiterführende Informationen

Diese Seite stützt sich auf folgende öffentliche und behördliche Quellen:

Verwandte Themen bei Splitbot.ai

RAG & Datenschutz
Was die DSK-Orientierungshilfe zu RAG-Systemen für KMU bedeutet
On-Premise KI
KOSMO lokal betreiben — Datenhoheit durch eigene Hardware
EU AI Act
Splitblog: Was der EU AI Act für Kommunen und Unternehmen bedeutet
Chatbots im Vergleich
Welcher Chatbot passt zu welchem Use Case? Funktionsvergleich

Souverän statt riskant

KOSMO läuft auf deiner eigenen Hardware oder in souveränen EU-Rechenzentren. Keine US-Cloud, kein Drittlandstransfer, voller Kontrolle.

KOSMO On-Premise entdecken Kostenlose Beratung

Diese Seite gibt einen allgemeinen Überblick und ersetzt keine Rechtsberatung. Im konkreten Fall – insbesondere bei besonders schützenswerten Daten oder Berufsgeheimnis – wende dich an deinen Datenschutzbeauftragten oder eine spezialisierte Kanzlei.

Partner & Förderer