KI im Unternehmen
ChatGPT im Unternehmen DSGVO-konform — der ehrliche Stand 2026
Was drin steht
- ChatGPT ist im Geschäftsalltag angekommen — die DSGVO-Frage entscheidet sich aber an der Lizenz-Variante, nicht am Tool.
- Plus und Free sind für Unternehmens-Nutzung ohne Sonder-Maßnahmen nicht konform. Team und Enterprise haben AVV, EU-Datenresidenz und Trainings-Opt-Out.
- Auch bei Team/Enterprise gilt: keine personenbezogenen Mandanten-Daten ohne Anonymisierung, keine Geschäftsgeheimnisse, keine sensitiven Branchen-Daten in den Prompt.
- Echte Alternativen für strenge EU-Residenz: Mistral La Plateforme (Paris) und Anthropic Claude über EU-gehostete Anbieter — beide nativ EU.
- Wer im Unternehmen mit KI arbeitet, hat seit 02.02.2025 Schulungspflicht nach EU AI Act Art. 4 — egal welche Lizenz.
„Darf ich ChatGPT im Unternehmen einsetzen?" — diese Frage stellt uns jeder Mittelständler, der mit KI ernst macht. Die Antwort ist ein klares „kommt drauf an" — und die Klarheit kommt aus drei Dingen: welche Lizenz, welche Daten, welche Pflichten.
Im Folgenden: der ehrliche Stand 2026, ohne Tech-Influencer-Bling und ohne Datenschutz-Panik. Was geht, was nicht, und was du absolut wissen musst.
Die vier Lizenz-Varianten von OpenAI
Free
Kostenlos, nutzbar mit Mail-Adresse. Daten gehen an OpenAI in die USA, werden für Modell-Training verwendet (Opt-Out manuell möglich, aber Default ist In). Für Unternehmen: nicht geeignet. Wer im Unternehmen Free nutzt und damit auch nur einen Kunden-Namen tippt, hat ein DSGVO-Problem.
Plus
Etwa 20 USD pro Monat pro Person. Bessere Modelle (GPT-4o, GPT-5), aber gleicher DSGVO-Status wie Free: Trainings-Opt-Out manuell, keine AVV, US-Datenresidenz Default. Für Unternehmen: nur für absolut nicht-personenbezogene Tätigkeiten.
Team
Ca. 25 USD pro Monat pro Person (Jahres-Abrechnung). Mindestens zwei Lizenzen. Hat AVV-Vereinbarung, Trainings-Opt-Out Default-an, geteilter Workspace mit Workspace-Admin. EU-Datenresidenz für Workspace-Daten verfügbar bei neuen Accounts seit 2024. Für Unternehmen: brauchbarer Standard für allgemeine Mitarbeiter-Nutzung.
Enterprise
Preis verhandelbar, typisch ab 60 USD pro User pro Monat. Voll-DSGVO-Stack: AVV, EU-Datenresidenz auf Anforderung, SAML-SSO, eigene Encryption Keys, längere Retention-Optionen abschaltbar, dedizierte Compliance-Reports. Für Unternehmen: Standard ab ca. 50 Mitarbeitern oder bei sensiblen Branchen.
Was du in deinen Prompts NIE tippen darfst
Auch mit Team oder Enterprise: drei harte Tabus.
1. Personenbezogene Daten von Mandanten / Kunden
Namen, Adressen, Mail-Adressen, Telefonnummern, Geburtsdaten, finanzielle Details, Krankheits-Daten — gehört nicht in ChatGPT, auch nicht in Enterprise. AVV deckt die Verarbeitung im Sinne der Beauftragten Verarbeitung — aber dein Mandant hat nicht eingewilligt, dass seine Daten in einer US-Cloud bearbeitet werden, selbst wenn EU-Daten-Region aktiv ist. Anonymisiere vor dem Prompt, immer.
2. Geschäftsgeheimnisse / Wettbewerbs-Geheimnisse
Wenn dein Unternehmen einen Marktvorteil hat, der auf einem nicht-öffentlichen Verfahren oder einer Strategie beruht — Kalkulations-Formeln, Lieferanten-Verträge, interne Roadmaps — landet das niemals ungeschützt in einem Cloud-LLM. Selbst mit AVV und Trainings-Opt-Out: das Datum ist auf US-Cloud-Speichern gewesen.
3. Daten unter besonderer Verarbeitung (Art. 9 DSGVO)
Gesundheits-Daten, Religions-Zugehörigkeit, Gewerkschafts-Zugehörigkeit, biometrische Daten zur eindeutigen Identifizierung — Sonderkategorie nach Art. 9 DSGVO. Verarbeitung in nicht-EU-Clouds ist nur unter sehr engen Bedingungen zulässig. Wer eine Arzt-Praxis betreibt und ChatGPT für Patient-Briefings nutzt, hat ohne explizite Patient-Einwilligung ein hartes Problem.
Schrems II / III — was bedeutet das konkret?
Schrems II (2020) hat das EU-US-Privacy-Shield gekippt — die juristische Brücke, über die viele US-Cloud-Anbieter ihre EU-Daten-Verarbeitung legitimiert haben. Schrems III (laufendes Verfahren, möglicher Entscheidung 2026) könnte das EU-US-Data-Privacy-Framework (Nachfolger) auch kippen.
Für ChatGPT-Nutzer heißt das: Die Standardvertragsklauseln (SCC) plus die zusätzlichen Schutz-Maßnahmen müssen wirksam sein, sonst ist die Verarbeitung in den USA nicht zulässig. OpenAI Enterprise bietet EU-Datenresidenz und damit den klaren Pfad — Team eingeschränkt, Plus und Free praktisch nicht.
EU AI Act — Schulungspflicht ab 02.02.2025
Unabhängig von der DSGVO gilt seit 02.02.2025 die KI-Schulungspflicht nach Art. 4 EU AI Act. Alle, die in einem Unternehmen mit KI-Systemen umgehen, müssen eine angemessene KI-Kompetenz haben. Angemessen heißt: dem Risiko und der Anwendung entsprechend.
Für einen Steuerberater, der ChatGPT für Mandanten-Mail-Schliff nutzt, ist das eine kleine, dokumentierbare Schulung (1-2 Stunden, Inhalte: Was geht, was nicht, DSGVO-Grenzen). Für einen Anbieter, der KI in Hochrisiko-Anwendungen einsetzt (medizinische Diagnose, Recruiting-Filter), ist das umfangreich.
Mehr in unserem Tiefen-Artikel zu KI-Schulungspflicht.
EU-native Alternativen — wenn ChatGPT nicht ausreicht
Mistral La Plateforme (Paris)
Französischer KI-Anbieter, native EU-Datenresidenz, AVV verfügbar, Modelle auf Niveau von ChatGPT 4o für Standard-Texte (Mistral Large 2 / Medium 3). Für deutsche Texte etwas knapper als Claude, aber für strenge EU-Compliance der einfachste Switch.
Anthropic Claude über EU-gehostete Anbieter
Anthropic Claude (Sonnet 4.6, Opus 4.6) verfügbar über EU-gehosteten Anbieter in der Region eu-central-1 (Frankfurt). DSGVO-konform via AWS-AVV plus Anthropic als Sub-Processor mit eigener AVV. Kein Drittlandtransfer. In unserer Roadmap als letzter Sprint der NXV-6-Serie für unseren eigenen Stack.
Self-Hosted Open-Source-Modelle
Llama, Mistral-Open, Phi-3 auf eigener Hardware. Maximale DSGVO-Sicherheit, aber: GPU-Hardware-Aufwand, geringere Qualität als Frontier-Modelle, IT-Last. Lohnt sich für Banken, Versicherungen, Gesundheits-Anbieter mit sehr sensiblen Daten.
Pragma-Empfehlung für Mittelständler
Drei Szenarien, mit ehrlicher Empfehlung:
Szenario A: Du nutzt KI für allgemeine Texte (Newsletter, Blog-Drafts, interne Kommunikation)
Empfehlung: ChatGPT Team. AVV, Trainings-Opt-Out, EU-Residenz möglich. 25 USD/Monat. Niemals personenbezogene Mandanten-Daten reinkippen, immer anonymisieren.
Szenario B: Du nutzt KI für Mandanten-Korrespondenz oder sensitive Branche (Anwalt, Steuerberater, Arzt)
Empfehlung: Anthropic Claude über EU-gehostete Anbieter oder Mistral Enterprise. Native EU. Mehr Setup-Aufwand, aber jenseits aller Drittland-Diskussionen.
Szenario C: Dein Geschäft hängt direkt von KI-Antworten ab (KI-as-a-Service, KI-Produkte)
Empfehlung: Multi-Provider-Stack. Anthropic Claude EU-gehostet primär, Mistral als Backup, optional Self-Hosted für Embeddings und Vektor-Suchen. Kommt mit interner KI-Compliance-Governance, KI-Beauftragten, dokumentiertem Modell-Lebenszyklus.
Wo wir das einbauen
In unseren Mittelstands-Setups bauen wir Hannes mit Anthropic Claude EU-gehostet ein — als Standard. Du redest mit Heike und Lutz, die Werkstatt arbeitet leise im Hintergrund, alle Daten bleiben in der EU. Was bei dir intern an KI-Nutzung läuft (ChatGPT Team für deine Mitarbeiter o.ä.), bleibt deine Entscheidung — wir können beraten.
Wer Klarheit zum eigenen KI-Stack möchte, fragt Hannes — er gibt einen ehrlichen Befund, und dahinter stehen Heike und Lutz.
Häufige Fragen
Kann ich ChatGPT Plus geschäftlich nutzen, wenn ich keine personenbezogenen Daten reinkippe?
Was ist mit ChatGPT API-Zugang? Ist das DSGVO-konform?
Muss ich meinen Mitarbeitern KI-Nutzung verbieten?
Was kostet eine KI-konforme Setup-Beratung?
Was ist mit Microsoft 365 Copilot — ist das DSGVO-konform?
Darf ich KI-generierte Texte als meine eigenen ausgeben?
Wer haftet, wenn ChatGPT in meinem Workflow halluziniert und Mandanten-Schaden entsteht?
Das regeln wir — so sieht das bei uns aus.
Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.