ChatGPT im Unternehmen: Wo liegt das DSGVO-Problem?
ChatGPT hat die Arbeitswelt revolutioniert. Laut aktuellen Umfragen nutzen bereits über ein Drittel der deutschen Unternehmen KI-Tools im Arbeitsalltag – Tendenz stark steigend (Quelle: Bitkom, 2025). Doch was viele Entscheider übersehen: Der Einsatz von ChatGPT in seiner Standardkonfiguration ist für europäische Unternehmen mit erheblichen datenschutzrechtlichen Risiken verbunden. Wer nach einer sicheren ChatGPT Alternative sucht, die DSGVO-konform funktioniert, muss die Risiken zuerst verstehen.
Das Problem ist nicht die KI-Technologie selbst – sondern wo und wie die Daten verarbeitet werden. OpenAI ist ein US-amerikanisches Unternehmen. Ihre Eingaben werden auf Servern in den USA verarbeitet. Und genau hier beginnt der Konflikt mit der Europäischen Datenschutz-Grundverordnung (DSGVO).
In diesem Ratgeber erfahren Sie, welche konkreten Risiken bestehen, was Ihnen bei Verstößen droht, und wie Sie mit der richtigen ChatGPT Alternative KI rechtssicher und DSGVO-konform in Ihrem Unternehmen einsetzen.
Wichtiger Hinweis
Dieser Artikel dient der Information und ersetzt keine Rechtsberatung. Bei konkreten Datenschutzfragen konsultieren Sie Ihren Datenschutzbeauftragten oder eine auf Datenschutzrecht spezialisierte Kanzlei.
Die DSGVO-Problematik bei ChatGPT lässt sich auf drei zentrale Risikobereiche herunterbrechen, die jedes Unternehmen verstehen muss:
1. Der US CLOUD Act: Ihre Daten im Zugriff von US-Behörden
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) von 2018 ist das zentrale Problem. Dieses US-Gesetz verpflichtet amerikanische Unternehmen – und dazu gehört OpenAI –, auf Anfrage von US-Behörden Daten herauszugeben. Unabhängig davon, wo diese Daten physisch gespeichert sind.
Das bedeutet konkret: Selbst wenn OpenAI Daten theoretisch auf europäischen Servern speichern würde, könnten US-Behörden (FBI, NSA, CIA) nach dem CLOUD Act Zugriff verlangen. OpenAI wäre gesetzlich verpflichtet, diese Daten herauszugeben – ohne dass Sie als europäisches Unternehmen davon erfahren oder zustimmen müssten.
Für Unternehmen mit vertraulichen Daten ist das ein fundamentales Compliance-Problem. Ein Mitarbeiter, der Kundendaten in ChatGPT eingibt, könnte unbeabsichtigt einen Datenschutzverstoß auslösen.
CLOUD Act in Zahlen
2018
In Kraft getreten
100%
US-Firmen betroffen
0
Benachrichtigung nötig
2. Ihre Eingaben als Trainingsmaterial: Wer liest mit?
In der Standardeinstellung nutzt OpenAI Ihre Eingaben, um ChatGPT weiterzuentwickeln. Das bedeutet: Was Sie heute in ChatGPT eingeben, könnte morgen Teil des Trainingsmodells sein – und potenziell in Antworten an andere Nutzer auftauchen.
Zwar bietet OpenAI inzwischen die Möglichkeit, das Training über Ihre Daten zu deaktivieren (über die Einstellungen oder per API mit der Enterprise-Version). Doch selbst dann bleiben kritische Fragen offen:
- Wie lange werden Ihre Eingaben auf OpenAI-Servern gespeichert?
- Wer hat innerhalb von OpenAI Zugriff auf die Daten – etwa für Qualitätskontrolle oder Moderation?
- Werden die Daten an Subunternehmer oder Cloud-Provider weitergegeben?
- Können Sie die vollständige Löschung Ihrer Daten nachweislich einfordern?
Für DSGVO Art. 5 – insbesondere die Grundsätze der Zweckbindung und Datenminimierung – ist das problematisch. Sie geben Daten für einen bestimmten Zweck ein (z.B. Textanalyse), die dann für einen anderen Zweck verwendet werden (KI-Training). Das widerspricht dem Grundsatz der Zweckbindung.
3. Drittlandtransfer: Das Schrems-Erbe
Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs (2020) ist der Datentransfer in die USA rechtlich kompliziert. Das EU-US Data Privacy Framework (DPF) bietet zwar seit 2023 eine neue Rechtsgrundlage, steht aber politisch und juristisch auf unsicherem Boden. Datenschutzexperten wie Max Schrems haben bereits angekündigt, auch das DPF gerichtlich anzufechten.
Für Unternehmen bedeutet das: Wer sich heute auf das DPF als Rechtsgrundlage verlässt, riskiert, dass diese Grundlage morgen wegfällt – wie es bereits zweimal geschehen ist (Safe Harbor 2015, Privacy Shield 2020). Jedes Mal mussten Unternehmen kurzfristig ihre gesamte Datenverarbeitung umstellen.
Die sicherste Lösung: Daten gar nicht erst in die USA transferieren. Eine ChatGPT Alternative mit EU-Hosting eliminiert das Drittlandtransfer-Risiko vollständig.
Konsequenzen: Was Unternehmen bei DSGVO-Verstößen droht
Die Risiken eines DSGVO-Verstoßes durch den unkontrollierten Einsatz von ChatGPT sind keine theoretischen Szenarien – sie sind reale, dokumentierte Fälle:
| Fall | Bußgeld | Grund |
|---|---|---|
| OpenAI / Italien (2024) | 15 Mio. € | Fehlende Rechtsgrundlage, mangelnde Transparenz bei der Datenverarbeitung |
| Meta / Irland (2023) | 1,2 Mrd. € | Rechtswidriger Datentransfer in die USA (Drittlandtransfer) |
| H&M / Hamburg (2020) | 35,3 Mio. € | Unzulässige Verarbeitung personenbezogener Mitarbeiterdaten |
Die maximalen DSGVO-Bußgelder betragen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Dazu kommen:
- Reputationsschäden: Datenschutzverstöße werden öffentlich und können das Vertrauen von Kunden und Geschäftspartnern nachhaltig beschädigen
- Schadensersatzansprüche: Betroffene Personen können nach Art. 82 DSGVO Schadensersatz fordern – auch für immaterielle Schäden
- Abmahnungen und Unterlassungsklagen: Wettbewerber können DSGVO-Verstöße wettbewerbsrechtlich abmahnen
- Betriebsinterne Konsequenzen: Verantwortliche Geschäftsführer können persönlich haftbar gemacht werden
Der EU AI Act: Neue Anforderungen ab 2025
Als wäre die DSGVO-Problematik nicht komplex genug, kommt seit 2025 der EU AI Act (Verordnung über Künstliche Intelligenz) hinzu – das weltweit erste umfassende KI-Gesetz. Es stellt zusätzliche Anforderungen an Unternehmen, die KI-Systeme einsetzen:
- Risikoklassifizierung: KI-Systeme werden in Risikokategorien eingeteilt. Der Einsatz von KI in HR (z.B. Bewerberscreening) oder bei Kreditentscheidungen gilt als „hochriskant" und unterliegt besonderen Auflagen
- Transparenzpflichten: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren. KI-generierte Inhalte müssen als solche kennzeichenbar sein
- Dokumentationspflichten: Unternehmen müssen dokumentieren, welche KI-Systeme sie einsetzen, wie sie funktionieren und welche Risiken bestehen
- Menschliche Aufsicht: Für hochriskante Anwendungen muss eine menschliche Überprüfung der KI-Ergebnisse sichergestellt sein
Die Bußgelder beim EU AI Act sind sogar noch höher als bei der DSGVO: Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes. Für Unternehmen bedeutet das: Der Einsatz von KI wird zunehmend reguliert – und wer frühzeitig auf eine DSGVO-konforme ChatGPT Alternative setzt, ist für die Zukunft besser aufgestellt.
DSGVO-Checkliste: KI sicher im Unternehmen einsetzen
Wenn Sie KI in Ihrem Unternehmen einsetzen möchten – ob ChatGPT oder eine ChatGPT Alternative – sollten Sie diese 10-Punkte-Checkliste abarbeiten:
Hosting-Standort prüfen
Wo werden die Daten verarbeitet? EU-Hosting bevorzugen, um Drittlandtransfer-Risiken zu eliminieren.
Auftragsverarbeitungsvertrag (AVV) abschließen
Nach Art. 28 DSGVO ist ein AVV mit dem KI-Anbieter zwingend erforderlich.
Datenschutz-Folgenabschätzung (DSFA) durchführen
Für den KI-Einsatz im Unternehmen ist nach Art. 35 DSGVO eine DSFA notwendig.
KI-Training mit Ihren Daten deaktivieren
Stellen Sie sicher, dass Ihre Eingaben nicht für das Training des KI-Modells verwendet werden.
Mitarbeiter schulen
Definieren Sie klare Richtlinien: Welche Daten dürfen eingegeben werden, welche nicht?
Verarbeitungsverzeichnis aktualisieren
Der KI-Einsatz muss in Ihrem Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.
Datenlöschung nach Verarbeitung sicherstellen
Eingaben sollten nach der Verarbeitung gelöscht und nicht langfristig gespeichert werden.
CLOUD Act Risiko bewerten
Bei US-Anbietern: Dokumentieren Sie das Restrisiko durch den CLOUD Act und informieren Sie Betroffene.
Technische Schutzmaßnahmen implementieren
Verschlüsselung, Zugriffskontrollen und Audit-Logs für die KI-Nutzung einrichten.
Regelmäßige Überprüfung planen
KI-Richtlinien und Compliance-Maßnahmen mindestens jährlich überprüfen und anpassen.
Der einfachste Weg, die meisten dieser Punkte zu erfüllen: Nutzen Sie von Anfang an eine DSGVO-konforme KI-Lösung mit EU-Hosting. Damit fallen Drittlandtransfer, CLOUD Act und KI-Training als Risikofaktoren weg.
Die Lösung: Lurus als DSGVO-konforme ChatGPT Alternative
Lurus
Ab 12€/MonatDSGVO-konforme ChatGPT Alternative – Made in Germany, gehostet in Europa. Alle DSGVO-Anforderungen ab Werk erfüllt.
Lurus wurde als DSGVO-konforme ChatGPT Alternative entwickelt, die alle oben genannten Risiken von Grund auf eliminiert. Statt bestehende US-Infrastrukturen nachzubessern, wurde die Plattform von Anfang an für den europäischen Markt konzipiert.
Was Lurus anders macht
Im Vergleich zu ChatGPT löst Lurus die DSGVO-Problematik nicht durch Workarounds, sondern durch architektonische Entscheidungen:
| Kriterium | ChatGPT | Lurus |
|---|---|---|
| Hosting | USA | EU (Deutschland) |
| CLOUD Act | Betroffen | Nicht betroffen |
| KI-Training mit Ihren Daten | Standard: Ja | Nein, niemals |
| AVV verfügbar | Ja (DPA) | Ja |
| Datenlöschung nach Verarbeitung | Unklar / eingeschränkt | Ja, garantiert |
| Drittlandtransfer | Ja (USA) | Nein |
| Lokale Speicherung | Nicht verfügbar | Ja (IndexedDB) |
| Verschlüsselung | TLS 1.3 + AES-256 | TLS 1.3 + AES-256 |
| Preis (Einzelnutzer) | $20/Monat | Ab 12€/Monat |
EU-Hosting: Der entscheidende Unterschied
Lurus hostet alle Daten ausschließlich in europäischen Rechenzentren mit ISO 27001-Zertifizierung. Damit entfällt das Drittlandtransfer-Risiko vollständig. Als deutsches Unternehmen unterliegt Lurus nicht dem US CLOUD Act – ein Zugriff durch US-Behörden ist technisch und rechtlich ausgeschlossen. Mehr dazu auf der Sicherheitsseite.
Kein KI-Training – vertraglich garantiert
Ihre Eingaben werden niemals für das Training von KI-Modellen verwendet. Nach der Verarbeitung werden die Daten nicht auf Servern gespeichert. Zusätzlich bietet Lurus eine einzigartige lokale Speicherung: Chat-Verläufe bleiben auf Wunsch ausschließlich auf Ihrem Endgerät – es werden 0 Bytes auf Lurus-Servern gespeichert.
15+ KI-Modelle, volle Leistung, halber Preis
Im Vergleich zu ChatGPT ($20/Monat mit Zugang zur GPT-Modellfamilie) bietet Lurus Zugriff auf über 15 KI-Modelle – darunter Llama 3, GPT OSS, Qwen, Mistral und mehr – ab nur 12€/Monat. Dazu kommen über 100 Tool-Integrationen für Google Workspace, Microsoft 365, Jira, Confluence, WhatsApp und Telegram. Ein Team von 20 Personen zahlt bei Lurus 69€/Monat – bei ChatGPT wären das $500/Monat.
Sie möchten alle Alternativen im Detail vergleichen? Lesen Sie unseren umfassenden Vergleich: Die 8 besten ChatGPT Alternativen 2026 im Vergleich
Fazit: DSGVO-Konformität ist kein Nice-to-have
Der Einsatz von ChatGPT im Unternehmen ist 2026 möglich – aber nicht ohne Risiken. Der US CLOUD Act, die Drittlandtransfer-Problematik und die Nutzung von Daten für KI-Training stellen europäische Unternehmen vor reale Compliance-Herausforderungen.
Die gute Nachricht: Es gibt DSGVO-konforme ChatGPT Alternativen, die den gleichen oder sogar größeren Funktionsumfang bieten – ohne die Datenschutz-Risiken. Lurus zeigt, dass Leistung und Datenschutz kein Widerspruch sein müssen.
Unsere Empfehlung: Warten Sie nicht auf den nächsten DSGVO-Skandal. Prüfen Sie noch heute, ob Ihr aktueller KI-Einsatz den Anforderungen der DSGVO und des EU AI Act entspricht – und wechseln Sie bei Bedarf zu einer Lösung, die Datenschutz nicht als Hindernis, sondern als Grundprinzip versteht.