HOVIGuard

Ist ChatGPT DSGVO-konform?

Die ehrliche Antwort: Es kommt darauf an — auf Tarif, Vertrag und Konfiguration. Hier ist, was wirklich zählt.

Consumer-ChatGPT (kostenlos / Plus)

  • Kein Auftragsverarbeitungsvertrag (AVV) standardmäßig
  • Eingaben können zur Modell-Verbesserung genutzt werden
  • Datenverarbeitung nicht EU-resident
  • Keine zentrale Kontrolle, kein Audit-Trail
  • Garante: 15 Mio. € Bußgeld gegen OpenAI (Dez. 2024)

DSGVO-konformer Einsatz erfordert

  • Auftragsverarbeitungsvertrag (AVV/DPA) abgeschlossen
  • Enterprise/API mit EU-Datenresidenz konfiguriert
  • Kein Training auf Unternehmensdaten
  • Zentrale Governance, Audit-Trail, PII-Filter
  • Rechtsgrundlage und Transparenz dokumentiert

Die kurze Antwort

ChatGPT ist nicht pauschal „DSGVO-konform“ oder „nicht konform“. Entscheidend sind drei Faktoren: welcher Tarif genutzt wird, ob ein Auftragsverarbeitungsvertrag besteht und wo die Daten verarbeitet werden.

Was die Aufsichtsbehörden sagen

Am 20. Dezember 2024 verhängte die italienische Datenschutzbehörde (Garante) ein Bußgeld von 15 Millionen Euro gegen OpenAI — unter anderem wegen fehlender Rechtsgrundlage für das Training mit personenbezogenen Daten, Transparenzmängeln und einer nicht gemeldeten Datenpanne. OpenAI hält das Bußgeld für unverhältnismäßig und legt Berufung ein. Der Fall zeigt: Generative KI steht unter genauer Beobachtung der europäischen Aufsicht.

Der Tarif entscheidet

Das kostenlose ChatGPT und ChatGPT Plus sind für die Verarbeitung personenbezogener Unternehmensdaten in der Regel ungeeignet — ohne AVV und mit potenzieller Nutzung der Eingaben zur Modellverbesserung. ChatGPT Enterprise und die API bieten dagegen einen AVV, optionale EU-Datenresidenz und die Zusage, nicht auf Kundendaten zu trainieren. Wichtig: Die API verarbeitet standardmäßig nicht EU-resident — die EU-Residenz muss aktiv konfiguriert werden.

Das Transfer-Problem

OpenAI ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert und bietet Standardvertragsklauseln. Das DPF ist jedoch rechtlich umstritten und könnte — wie schon seine Vorgänger Safe Harbor und Privacy Shield — gekippt werden. Wer sich allein darauf verlässt, trägt ein Rest-Transferrisiko. EU-gehostete Modelle vermeiden den Drittlandtransfer von vornherein.

Die Bußgeld-Dimension

Verstöße gegen die DSGVO können mit bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist (Art. 83 DSGVO). Für die meisten Unternehmen ist jedoch nicht die Strafe selbst das größte Risiko, sondern der unkontrollierte Datenabfluss über Schatten-KI.

Wie HOVIGuard hilft

HOVIGuard stellt einen zentral verwalteten KI-Zugang bereit — mit EU-gehosteten Modellen, konfigurierbaren PII-Filtern, Audit-Trail und Admin-Kontrolle. Statt einzelne ChatGPT-Accounts abzusichern, erhalten alle Teams einen kontrollierten Zugang über eine DSGVO-orientierte Plattform. Die Wirksamkeit hängt zusätzlich von der internen Richtlinie ab.

DSGVO-Checkliste für ChatGPT im Unternehmen

  • Auftragsverarbeitungsvertrag (AVV) abgeschlossen
  • Geeigneten Tarif gewählt (Enterprise/API, nicht Consumer)
  • EU-Datenresidenz aktiviert
  • Training auf eigenen Daten deaktiviert
  • Rechtsgrundlage und Transparenz dokumentiert
  • Technische Filter für sensible Daten (PII) im Einsatz
  • Audit-Trail und Zugriffskontrolle etabliert

Häufige Fragen: ChatGPT und die DSGVO

Ist die kostenlose Version von ChatGPT DSGVO-konform?+

Für die Verarbeitung personenbezogener Unternehmensdaten in der Regel nicht. Es fehlt standardmäßig ein Auftragsverarbeitungsvertrag, und Eingaben können zur Modellverbesserung genutzt werden. Für betriebliche Zwecke sind Enterprise- oder API-Tarife mit AVV vorzuziehen.

Reicht ein Auftragsverarbeitungsvertrag (AVV) mit OpenAI aus?+

Ein AVV ist eine notwendige, aber nicht hinreichende Bedingung. Zusätzlich braucht es eine Rechtsgrundlage, Transparenz gegenüber Betroffenen, eine Bewertung des Drittlandtransfers in die USA und technisch-organisatorische Maßnahmen. Die Gesamtbeurteilung verantwortet das Unternehmen als Verantwortlicher.

Was bedeutet das italienische Bußgeld für deutsche und österreichische Unternehmen?+

Das Bußgeld von 15 Millionen Euro (Dezember 2024) richtete sich gegen OpenAI als Anbieter, nicht gegen Nutzerunternehmen. Es zeigt aber, dass Aufsichtsbehörden generative KI streng prüfen. Unternehmen sollten ihren eigenen KI-Einsatz dokumentieren und vertraglich wie technisch absichern.

Ist eine US-Datenübermittlung über das Data Privacy Framework sicher?+

Das EU-US Data Privacy Framework bietet aktuell eine Rechtsgrundlage für Transfers in die USA, ist aber juristisch umstritten. Die Vorgänger-Abkommen Safe Harbor und Privacy Shield wurden vom EuGH gekippt. Ein Rest-Transferrisiko bleibt — EU-gehostete Modelle vermeiden das Problem.

Wie macht HOVIGuard den KI-Einsatz DSGVO-orientierter?+

HOVIGuard bündelt EU-gehostete Modelle, PII-Filter, Audit-Trail und zentrale Admin-Kontrolle in einer Plattform. So lässt sich KI-Nutzung steuern und nachvollziehen — ohne dass jeder Mitarbeiter eigene, ungesicherte Accounts nutzt. Die DSGVO-Gesamtkonformität hängt zusätzlich von der internen Richtlinie ab.

KI sicher freigeben — statt ChatGPT zu verbieten

Kostenlos testen