Der Einsatz von KI-Tools wie ChatGPT, Claude, Gemini oder anderen LLMs im Unternehmenskontext berührt zentrale DSGVO-Fragen. Wer personenbezogene Daten in KI-Tools eingibt — Mitarbeiter-, Kunden- oder Mandantendaten — wird im DSGVO-Sinne Verantwortlicher für eine Datenverarbeitung. Daraus ergeben sich konkrete Pflichten, die viele Unternehmen 2026 noch unzureichend umgesetzt haben.
Die wichtigsten DSGVO-Pflichten beim KI-Einsatz
1. Auftragsverarbeitungsvertrag (AVV): Wer KI-Tools eines externen Anbieters nutzt, braucht einen AVV nach Art. 28 DSGVO. OpenAI, Anthropic und Google bieten entsprechende Vereinbarungen — meist nur in den Business- oder Enterprise-Plänen. 2. Drittlandtransfer: Die meisten LLM-Anbieter sitzen in den USA. Datenexport in die USA ist nur unter strengen Voraussetzungen erlaubt — EU-US Data Privacy Framework, Standard Contractual Clauses oder andere Mechanismen. 3. Datensparsamkeit: Nur die wirklich nötigen Daten in KI-Tools eingeben. 4. Aufklärung der Betroffenen: Datenschutzerklärung muss KI-Einsatz transparent darstellen.
Kritische Daten in KI-Tools — was nicht hinein gehört
Mitarbeiterdaten in unbeschränkten Plänen — wer ChatGPT für Personal-Schreiben nutzt, ohne Enterprise-Vertrag, riskiert DSGVO-Verstoß. Mandantendaten bei Anwälten und Steuerberatern — Verschwiegenheitspflicht setzt zusätzliche Hürden. Patientendaten bei Ärzten und Therapeuten — besonders sensibel. Geschäftsgeheimnisse — selbst wenn DSGVO-rechtlich grenzwertig OK, oft nicht klug. Mehr im Lexikoneintrag KI-Chatbot für die Anwendung in Customer-Support-Szenarien.
Praktische Lösungen 2026
Drei Strategien: 1. Enterprise-Verträge mit OpenAI, Anthropic oder Google — DSGVO-konform mit AVV und Datenresidenz-Optionen. 2. Lokale KI-Modelle (Llama, Mistral) auf eigener Infrastruktur — maximale Kontrolle, aber Setup-Aufwand. 3. EU-Anbieter wie Aleph Alpha oder Mistral mit EU-Datenresidenz. Wer 2026 ernsthaft mit KI im Business arbeitet, kommt um eine bewusste Entscheidung nicht herum. Mehr im Beitrag über ChatGPT 5 für Unternehmer.