Musketier Software
01 KI-Beratung 02 Softwareentwicklung 03 Über mich 04 Blog
DE EN
Gespräch vereinbaren
Alle Beiträge

KI & Recht

Datenschutz im Prompt: Was wirklich mit Ihren Unternehmensdaten in ChatGPT & Co. passiert

5. März 2026 13 Min. Lesezeit Leon Lotz

Ein einziger Copy-and-paste-Moment entscheidet darüber, ob Ihr Unternehmen ein Datenschutz- oder Geheimnisschutz-Problem hat: Sobald jemand einen Vertragsentwurf, eine Bewerberliste oder ein Strategiepapier in ein Chatfenster fügt, verlässt der Inhalt Ihre Kontrolle — übertragen an fremde Server, dort verarbeitet, geloggt und je nach Tarif zum Training eines Modells weiterverwendet. Die meisten Diskussionen darüber drehen sich um die falsche Frage („Merkt sich die KI das?”). Die richtige lautet: Was macht das Unternehmen hinter der KI mit dem, was ich eingebe — und unter welcher Rechtsgrundlage?

Dieser Beitrag beantwortet das aus zwei Perspektiven, die sonst getrennt verhandelt werden: technisch (wohin die Daten wirklich fließen) und juristisch (DSGVO, AVV, Drittlandtransfer, Geschäfts- und Berufsgeheimnis). Am Ende steht keine Verbotsliste, sondern eine belastbare Reihenfolge, mit der Sie KI produktiv und auditfest einsetzen.

Die Reise eines Prompts — was technisch mit Ihrer Eingabe geschieht

Bevor man die juristische Frage beantworten kann, muss man verstehen, wohin die Daten überhaupt fließen. Ein Prompt durchläuft typischerweise sechs Stationen:

  1. Eingabe — Sie tippen oder fügen Text (oder ein Dokument, ein Bild) in das Tool ein. In diesem Moment verlassen die Daten Ihre Kontrolle noch nicht.
  2. Übertragung — die Eingabe wird verschlüsselt (TLS/HTTPS) an den Anbieter gesendet. Die Transportverschlüsselung schützt gegen Mitlesen unterwegs — nicht aber gegen das, was der Anbieter danach mit den Daten tut.
  3. Verarbeitung/Inferenz — der Text wird in Tokens zerlegt und vom Modell verarbeitet, um eine Antwort zu erzeugen.
  4. Logging & Aufbewahrung (Retention) — der Anbieter speichert die Eingabe in der Regel für eine bestimmte Dauer, etwa zur Missbrauchserkennung oder zur Anzeige Ihres Chatverlaufs.
  5. Optionales Modelltraining — je nach Tarif werden Eingaben verwendet, um das Modell zu verbessern (dazu gleich mehr).
  6. Speicherort/Drittlandtransfer — die Verarbeitung findet häufig auf Servern außerhalb der EU statt, typischerweise in den USA.

Ein verbreitetes Missverständnis lohnt die Klarstellung: Das Modell „merkt” sich Ihren einzelnen Prompt nicht von selbst und spuckt ihn auch nicht beim nächsten Nutzer wieder aus. Die Modellgewichte stehen vor Ihrer Eingabe fest; ein einzelner Prompt verändert sie nicht. Das Risiko liegt eine Ebene tiefer — beim Anbieter, der die Eingabe speichert, loggt und je nach Tarif für eine spätere Trainingsrunde sammelt. Datenschutzrechtlich entscheidend ist deshalb nicht die Modellarchitektur, sondern die Verarbeitungs- und Aufbewahrungspolitik des Unternehmens dahinter.

Datenreise eines Prompts in sechs Stationen von der Eingabe über Übertragung, Verarbeitung, Logging und Training bis zum Speicherort im Drittland außerhalb der EU

Die sechs Stationen einer Prompt-Eingabe: Erst ab Station 4 (Logging) und 5 (Training) liegt das eigentliche Datenschutzrisiko — nicht im Modell selbst.

Werden meine Eingaben zum Training des KI-Modells verwendet?

Das hängt vom Tarif ab. Bei den geschäftlichen Stufen großer Anbieter werden Eingaben standardmäßig nicht zum Training genutzt; bei den kostenlosen oder rein privaten Stufen ist das Gegenteil der Fall — dort ist eine Nutzung für Modellverbesserung der Normalfall, dem Sie aber widersprechen können.

Konkret bei OpenAI (Stand März 2026): Daten aus ChatGPT Enterprise, Team/Business und über die API werden laut Anbieter standardmäßig nicht für das Training verwendet, und es lässt sich ein DPA abschließen (Data Processing Agreement — derselbe Vertragstyp wie der AVV, nur unter seiner englischen Bezeichnung). Bei Free und Plus ist das Training mit Ihren Eingaben der Standard; widersprechen können Sie in den Datenschutz-Einstellungen.

ChatGPT-StufeAVV/DPA verfügbar?Training mit Eingaben (Standard)Für Unternehmensdaten geeignet?
Free / Plusneinja (Widerspruch möglich)nein
Team / Businessjaneinmit Richtlinie
Enterprisejaneinja
APIjaneinja

Diese Werte ändern sich. Prüfen Sie sie vor einer Tool-Entscheidung am aktuellen OpenAI-Hilfecenter bzw. der Enterprise-Privacy-Seite (Quellen unten). Andere Anbieter — Microsoft Copilot, Anthropic Claude, Google Gemini, Mistral (EU) — haben eigene, abweichende Regeln.

Der Unterschied zwischen „ja” (Enterprise/API) und „mit Richtlinie” (Team/Business) liegt nicht am Vertrag — AVV/DPA und Trainingsausschluss gelten in beiden Fällen. Er liegt an den Kontroll- und Administrationsfunktionen: Enterprise und API bieten zentrale Verwaltung, Audit-Werkzeuge und teils Zero-Data-Retention, sodass sich der Datenfluss organisationsweit erzwingen lässt. Team/Business deckt denselben rechtlichen Rahmen ab, überlässt die Durchsetzung im Arbeitsalltag aber stärker einer internen Nutzungsrichtlinie — ohne sie bleibt eine Lücke zwischen Vertrag und tatsächlichem Verhalten.

Zwei Feinheiten, die in der Praxis oft untergehen:

  • „Kein Training” heißt nicht „keine Speicherung”. Auch wenn ein Anbieter Ihre Eingaben nicht zum Training nutzt, behält er sie typischerweise für eine Aufbewahrungsfrist (etwa 30 Tage zur Missbrauchserkennung) und gibt sie zur Prüfung an Mitarbeitende oder Sub-Dienstleister weiter. Für besonders sensible Daten lässt sich bei einigen Anbietern eine Zero-Data-Retention-Konfiguration vereinbaren — das ist der eigentliche Hebel, nicht der Trainings-Schalter allein.
  • Opt-out ist nicht rückwirkend. Wenn Sie in den Free/Plus-Einstellungen dem Training widersprechen, gilt das ab dem Zeitpunkt des Widerspruchs — bereits in einen Trainingslauf eingeflossene Eingaben holen Sie nicht zurück. Datensparsamkeit vorab schlägt jede nachträgliche Einstellung.

Wo liegen die Daten — und gilt dort überhaupt die DSGVO?

Die DSGVO „reist mit”: Sobald Sie als europäisches Unternehmen personenbezogene Daten verarbeiten, gilt sie unabhängig davon, wo der Server steht. Liegt der Server aber außerhalb der EU/des EWR — bei den großen US-Anbietern der Regelfall —, kommt zusätzlich Kapitel V der DSGVO ins Spiel: der Drittlandtransfer (Art. 44 ff.).

Für Übermittlungen in die USA ist das EU-U.S. Data Privacy Framework (DPF) die zentrale Grundlage. Die EU-Kommission hat es am 10. Juli 2023 per Angemessenheitsbeschluss anerkannt; am 3. September 2025 hat das Gericht der EU eine Nichtigkeitsklage dagegen abgewiesen. Der Rahmen ist damit zum jetzigen Stand gültig — aber politisch beobachtet (u. a. wegen Bedenken zur Aufsicht durch das US-Gremium PCLOB). Praktisch heißt das: Der US-Anbieter muss DPF-zertifiziert sein, sonst brauchen Sie andere Garantien (etwa Standardvertragsklauseln plus zusätzliche Maßnahmen).

Ein zweiter Faktor ist der US-amerikanische CLOUD Act, der US-Behörden unter Umständen Zugriff auf Daten von US-Anbietern ermöglicht — und zwar potenziell auch auf Daten, die physisch in einem EU-Rechenzentrum liegen, sofern der Anbieter US-Jurisdiktion unterliegt. Wie weit dieser Zugriff im Konflikt mit der DSGVO tatsächlich reicht, ist juristisch umstritten und Gegenstand laufender Debatte; unstrittig ist, dass eine EU-Region das Risiko nicht vollständig beseitigt, solange der Konzern US-amerikanischem Recht untersteht. Genau deshalb sind echte EU-Datenresidenz-Optionen und europäische Modelle ein eigener Risiko-Hebel, kein Marketing-Gimmick — eine Abwägung, die ich im Vergleich EU-gehosteter und US-LLMs im Detail durchgehe.

Aktueller Sonderfall: die NYT-Speicheranordnung gegen OpenAI

Im Rechtsstreit der New York Times gegen OpenAI ordnete ein US-Gericht im Mai 2025 an, OpenAI müsse Chat-Logs aufbewahren — auch solche, die sonst gelöscht worden wären. Diese pauschale Anordnung wurde laut Berichten ab Ende September 2025 für neue Logs wieder aufgehoben; bereits gesicherte Daten sowie Daten von der NYT markierter Konten müssen jedoch weiter aufbewahrt werden, und OpenAI legt Rechtsmittel ein. Der Fall zeigt eine reale Spannung: Eine gerichtlich erzwungene Aufbewahrung kann mit der DSGVO-Löschpflicht (Art. 17) kollidieren. Stand der Dinge: laufendes US-Verfahren — kein deutscher Dauerzustand, aber ein Argument für Datensparsamkeit.

Kein Rechtsrat im Einzelfall. Dieser Beitrag erklärt die Lage allgemein und nach bestem Wissen zum genannten Stand. Für Ihre konkrete Konstellation ersetzt er keine individuelle Prüfung.

Brauche ich einen AVV? — Auftragsverarbeitung bei KI

Kurz: In aller Regel ja. Wenn ein KI-Anbieter in Ihrem Auftrag personenbezogene Daten verarbeitet, ist er Auftragsverarbeiter im Sinne von Art. 28 DSGVO — und dann ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht, und zwar vor der ersten Verarbeitung. Ohne AVV ist die Verarbeitung unzulässig, egal wie technisch sicher das Tool ist.

Wichtig: Den AVV bieten die Anbieter nur für ihre geschäftlichen Stufen an (bei OpenAI also Team/Business, Enterprise, API). Für Free/Plus gibt es keinen — schon deshalb sind diese Stufen für echte Unternehmensdaten ungeeignet.

Die juristisch schärfere Frage lautet aber: Verantwortlicher oder Auftragsverarbeiter? Verarbeitet der Anbieter ausschließlich nach Ihrer Weisung und für Ihre Zwecke, ist er Auftragsverarbeiter — der AVV nach Art. 28 passt. Verfolgt er mit den Daten eigene Zwecke (etwa Produktverbesserung, Modelltraining, Sicherheits-Analytik nach eigenem Ermessen), wird er insoweit zum eigenständig Verantwortlichen oder zum gemeinsam Verantwortlichen (Art. 26) — und ein AVV deckt diesen Teil gerade nicht ab. Genau hier liegt der häufigste Fehler: Ein unterschriebener DPA suggeriert Sicherheit, obwohl die Trainings- oder Analyse-Klauseln den Anbieter zum Verantwortlichen mit eigener Rechtsgrundlagen-Pflicht machen. Lesen Sie deshalb die Vertragsanlage, nicht nur das Marketing-Versprechen.

Praktische Checkliste vor dem ersten Prompt mit Personenbezug:

  • AVV/DPA abgeschlossen und gegengezeichnet (nicht nur „verfügbar”)?
  • Liste der Sub-Auftragsverarbeiter geprüft und genehmigt?
  • Speicherort/Datenresidenz und Drittlandgarantie (DPF-Zertifizierung oder SCC) dokumentiert?
  • Aufbewahrungsfrist und Löschkonzept geklärt (Stichwort Zero-Data-Retention)?
  • Trainings-/Analysenutzung vertraglich ausgeschlossen — und damit keine verdeckte Verantwortlichen-Rolle?

Schatten-KI — das eigentliche Risiko

Schatten-KI (Shadow AI) bezeichnet die Nutzung von KI-Tools durch Mitarbeitende ohne Freigabe und Wissen der Organisation — etwa, wenn jemand einen vertraulichen Vertragsentwurf in die private ChatGPT-Gratisversion kopiert, um ihn „mal eben zusammenfassen zu lassen”. Sie entsteht meist nicht aus böser Absicht, sondern aus einer Lücke: Das Unternehmen stellt kein offizielles, freigegebenes Tool bereit, also greifen die Leute zu dem, was sie privat kennen.

Das Risiko ist konkret und mehrschichtig:

  • Datenschutzverstoß: Personenbezogene Daten Dritter landen ohne Rechtsgrundlage und ohne AVV bei einem Anbieter.
  • Verlust des Geschäftsgeheimnis-Schutzes: Der rechtliche Schutz nach dem Geschäftsgeheimnisgesetz (GeschGehG) setzt angemessene Geheimhaltungsmaßnahmen voraus. Wer Geheimnisse in ein öffentliches Tool eingibt, kann diesen Schutz verlieren.
  • Bruch von Berufsgeheimnissen: In Kanzleien, Steuerberatung oder Arztpraxen kann die Eingabe von Mandanten- oder Patientendaten § 203 StGB (Verletzung von Privatgeheimnissen) berühren.

Das Ausmaß ist belegt: Im Work Trend Index 2024 von Microsoft und LinkedIn (31.000 Befragte in 31 Ländern) gaben 78 % der Beschäftigten, die KI bei der Arbeit nutzen, an, eigene, nicht freigegebene Tools mitzubringen („Bring Your Own AI”) — in kleinen und mittleren Unternehmen sogar 80 %. Die genaue Zahl variiert je nach Erhebung und Definition; die Größenordnung aber ist konsistent hoch. Festzuhalten bleibt: Ein Verbot allein erzeugt keine Sicherheit, es erzeugt nur Schatten-KI. Sicherheit entsteht durch ein freigegebenes Tool plus klare Regeln. Wie sich das konkret einfangen lässt, vertiefe ich im eigenen Beitrag zu Schatten-KI im Unternehmen.

Welche Daten Sie niemals in eine öffentliche KI eingeben sollten

Als verlässlicher Reflex — diese Inhalte gehören nicht ungefiltert in ein öffentliches, ungeprüftes KI-Tool:

  1. Personenbezogene Daten Dritter ohne Rechtsgrundlage (Kundennamen, Bewerberdaten, Mitarbeiterdaten).
  2. Besonders geschützte Daten nach § 203 StGB — Mandanten-, Patienten-, Klientendaten.
  3. Geschäftsgeheimnisse — Strategiepapiere, Kalkulationen, Quellcode, ungeschützte Erfindungen.
  4. Zugangsdaten — Passwörter, API-Schlüssel, Tokens.
  5. Ungeschwärzte Verträge und Dokumente mit identifizierbaren Personen.

Der Pflicht-Reflex davor heißt Anonymisierung oder Pseudonymisierung: Namen, Aktenzeichen und identifizierende Details entfernen oder durch Platzhalter ersetzen (z. B. „Person A”, „Firma X”, „Datum D”), bevor etwas in ein Tool wandert — sofern Sie kein geschäftliches Tool mit AVV und ausgeschlossenem Training nutzen. Zwei Fallstricke dabei: Erstens ist Pseudonymisierung kein Freibrief — pseudonyme Daten bleiben personenbezogen, solange die Zuordnungstabelle existiert. Zweitens kann ein Mosaik aus für sich harmlosen Details (Branche + Region + Umsatzgröße + Projektname) eine Person oder ein Unternehmen wieder identifizierbar machen. Anonymisierung im Rechtssinn ist erreicht, wenn eine Re-Identifizierung praktisch ausgeschlossen ist — das ist anspruchsvoller, als nur den Namen zu schwärzen.

So nutzen Sie KI im Unternehmen DSGVO-konform

DSGVO und produktive KI-Nutzung schließen sich nicht aus — entscheidend ist die Reihenfolge.

  1. Tool-Stufe mit AVV wählen — Enterprise/Team/Business/API statt Free/Plus.
  2. Training deaktivieren und verifizieren — nicht annehmen, sondern in den Einstellungen/Verträgen prüfen.
  3. Speicherort/Datenresidenz klären — EU-Region oder DPF-zertifizierter Anbieter; bei sehr sensiblen Daten europäische oder lokale Modelle erwägen.
  4. KI-Nutzungsrichtlinie erstellen — was darf rein, was nicht, welches Tool ist freigegeben. Das ist das wirksamste Mittel gegen Schatten-KI; Aufbau und Struktur zeige ich im Leitfaden zur KI-Richtlinie.
  5. Schulung — Mitarbeitende befähigen (auch im Sinne der KI-Kompetenz-Pflicht aus Art. 4 EU AI Act, die seit dem 2. Februar 2025 gilt).
  6. Datenschutz-Folgenabschätzung (DSFA) prüfen, wo nötig (Art. 35 DSGVO) — wann sie greift, klärt der DSFA-Leitfaden für KI-Systeme.
  7. Betriebsrat einbinden, wo Mitbestimmung greift (siehe FAQ).

Genau diese Kette — vom Recht über die Richtlinie bis zur Architektur — ist der Punkt, an dem die meisten Projekte scheitern, weil sie auseinanderfallen: Die Kanzlei schreibt die Richtlinie, die IT baut das Tool, und dazwischen klafft eine Lücke. Ich arbeite an beiden Enden — juristische Bewertung und technische Umsetzung — und schließe damit die Lücke, an der Richtlinie und Architektur sonst auseinanderlaufen.

FAQ

Was passiert mit meinen Daten, wenn ich sie in ChatGPT eingebe?

Die Eingabe wird verschlüsselt an die Server des Anbieters (meist in den USA) übertragen, dort verarbeitet und für eine bestimmte Dauer gespeichert. Je nach Tarif kann sie zur Modellverbesserung genutzt werden: bei geschäftlichen Stufen standardmäßig nicht, bei Free/Plus standardmäßig schon (Widerspruch möglich).

Werden meine Eingaben zum Training des Modells verwendet?

Bei ChatGPT Enterprise, Team/Business und der API werden Eingaben laut OpenAI standardmäßig nicht zum Training verwendet. Bei den kostenlosen oder privaten Stufen ist das Training der Standard, dem Sie in den Datenschutz-Einstellungen widersprechen können.

Brauche ich für ChatGPT einen Auftragsverarbeitungsvertrag (AVV)?

In aller Regel ja, sobald personenbezogene Daten verarbeitet werden. Der Anbieter ist dann Auftragsverarbeiter nach Art. 28 DSGVO, und der AVV ist Pflicht — vor der ersten Verarbeitung. Einen AVV/DPA gibt es nur für die geschäftlichen Stufen, nicht für Free/Plus.

Ist die kostenlose Version oder ChatGPT Plus für Unternehmensdaten erlaubt?

In der Regel nein. Für diese Stufen gibt es keinen AVV, und Eingaben werden standardmäßig zum Training genutzt. Für personenbezogene Daten oder Geschäftsgeheimnisse sind sie deshalb ungeeignet.

Was ist Schatten-KI und warum ist sie ein Datenschutzrisiko?

Schatten-KI ist die Nutzung von KI-Tools ohne Freigabe der Organisation. Sie ist riskant, weil personenbezogene Daten ohne Rechtsgrundlage und AVV abfließen, der Schutz von Geschäftsgeheimnissen erlöschen und in Kanzlei/Praxis § 203 StGB berührt sein kann.

Muss der Betriebsrat bei KI-Nutzung mitbestimmen?

Häufig ja. Sobald ein KI-Tool geeignet ist, Verhalten oder Leistung von Beschäftigten zu überwachen, kann ein Mitbestimmungsrecht des Betriebsrats nach § 87 BetrVG ausgelöst werden. Die Einbindung sollte früh erfolgen, nicht erst nach dem Rollout.

Fazit

Datenschutz im Prompt ist kein abstraktes Risiko, sondern eine konkrete Kette von Entscheidungen: richtige Tool-Stufe, AVV, Training aus, Speicherort geklärt, Richtlinie und Schulung. Die größte Gefahr ist nicht die Technik der KI, sondern die unkontrollierte Eingabe — die Schatten-KI. Wer die Reihenfolge einhält, nutzt KI produktiv und bleibt auditfest.

Stand: März 2026. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung im Einzelfall. — Leon Lotz, Wirtschaftsjurist (MusketierSoftware).

Quellen — Stand 05.03.2026
Leon Lotz

Leon Lotz

Leon Lotz ist Wirtschaftsjurist und Gründer von MusketierSoftware. Er verbindet juristische Tiefe mit echtem Software-Handwerk.

Verwandte Beiträge

KI & Recht KI & Recht
18. Juni 2026 · 10 Min.

Der Claude-Mythos: Was hinter Anthropics Sicherheits-Narrativ wirklich steckt

Lesen
KI & Recht KI & Recht
13. Juni 2026 · 12 Min.

Fable 5 & Mythos abgeschaltet: Was die staatliche Modell-Sperre für Unternehmen bedeutet

Lesen