Sind KI-Tools wie ChatGPT DSGVO-konform?

ChatGPT (OpenAI) bietet seit 2024 einen Data Processing Agreement (DPA) an und verarbeitet EU-Kundendaten im Rahmen des EU-US Data Privacy Framework. Für Unternehmen, die personenbezogene Daten eingeben, bleibt ein eigener DPA-Abschluss Pflicht.

Was bedeutet DSGVO-Konformität bei KI-Tools konkret?

Ein Tool gilt als DSGVO-konform, wenn es einen abschließbaren DPA anbietet, Daten nicht ohne Rechtsgrundlage in Drittstaaten überträgt, Betroffenenrechte (Auskunft, Löschung) technisch umsetzt und keine Trainingsdaten ohne Einwilligung nutzt.

Welche KI-Tools speichern Daten in der EU?

Aleph Alpha (Luminous) und Picsart AI arbeiten mit EU-Rechenzentren. Microsoft Copilot (M365) speichert EU-Kundendaten in EU-Rechenzentren, wenn der Tenant entsprechend konfiguriert ist. Google Gemini bietet EU-Datenspeicherung für Workspace-Kunden an.

Darf ich personenbezogene Daten in KI-Tools eingeben?

Nur wenn ein gültiger DPA mit dem Anbieter besteht, eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt und die betroffenen Personen falls nötig informiert wurden. Ohne DPA ist die Eingabe personenbezogener Daten in der Regel unzulässig.

Was passiert, wenn ich nicht-konforme KI-Tools nutze?

Bußgelder bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. Euro (je nachdem, was höher ist) nach Art. 83 DSGVO. Zusätzlich drohen Abmahnungen, Klagen von Betroffenen und Reputationsschäden.

2026-06-02·14 Min. Lesezeit·KI Tools DE Redaktion

DSGVO-konforme KI-Tools 2026: Welche darf ich als deutsches Unternehmen nutzen?

Welche KI-Tools sind 2026 wirklich DSGVO-konform? 5 Prüfkriterien und ein Klartext-Urteil zu 10 populären Tools für deutsche Unternehmen.

#DSGVO#KI-Tools#Datenschutz#Compliance#ChatGPT#Claude#Unternehmen

DSGVO-konforme KI-Tools 2026: Welche darf ich als deutsches Unternehmen nutzen?

KI-Tools sind in deutschen Unternehmen angekommen. Marketing-Teams schreiben mit Jasper, Entwickler arbeiten mit GitHub Copilot, Buchhalter nutzen Notion AI. Aber welche dieser Tools sind überhaupt legal einsetzbar, wenn Kundendaten, Mitarbeiterdaten oder Geschäftsgeheimnisse im Spiel sind?

Die Antwort ist nicht so einfach wie viele Anbieter suggerieren. "DSGVO-konform" auf einer Produktseite bedeutet wenig, solange kein geprüfter DPA abgeschlossen wurde und die Datenflüsse unklar bleiben. Dieser Artikel gibt dir Klartext: Was DSGVO-Konformität bei KI-Tools wirklich bedeutet, nach welchen Kriterien du Tools prüfst und was die 10 populärsten Tools im Vergleich taugen.

Was DSGVO-Konformität bei KI-Tools tatsächlich bedeutet

Die DSGVO unterscheidet zwischen Verantwortlichen (dein Unternehmen) und Auftragsverarbeitern (der KI-Anbieter). Sobald du personenbezogene Daten in ein KI-Tool eingibst, bist du der Verantwortliche. Der Anbieter wird zum Auftragsverarbeiter. Das zieht konkrete Pflichten nach sich:

Auftragsverarbeitungsvertrag (AVV/DPA): Ohne abgeschlossenen DPA ist die Nutzung mit personenbezogenen Daten schlicht rechtswidrig. Der DPA muss die Anforderungen aus Art. 28 DSGVO erfüllen: Weisungsbindung, Subauftragnehmer-Transparenz, Sicherheitsmaßnahmen, Unterstützung bei Betroffenenrechten.

Rechtsgrundlage: Du brauchst eine Rechtsgrundlage nach Art. 6 DSGVO. Meist ist das berechtigtes Interesse (Art. 6 Abs. 1 lit. f) oder Vertragserfüllung (lit. b). Für besonders sensible Daten (Gesundheitsdaten, politische Meinungen) greift Art. 9 DSGVO mit deutlich höheren Anforderungen.

Drittstaatentransfers: Verarbeitung in den USA ist nicht automatisch verboten, aber sie erfordert geeignete Garantien: EU-US Data Privacy Framework (DPF) Zertifizierung, Standardvertragsklauseln (SCC) oder Binding Corporate Rules. Seit dem Schrems-II-Urteil 2020 reicht der Privacy Shield nicht mehr.

Trainingsdaten: Viele Anbieter nutzen Nutzereingaben zum Modelltraining. Das ist problematisch, wenn dabei personenbezogene Daten einfließen. Prüfe, ob das Tool eine Option hat, Training mit eigenen Daten zu deaktivieren.

5 Kriterien zur DSGVO-Prüfung von KI-Tools

Kriterium 1: DPA-Verfügbarkeit und -Qualität

Ein DPA muss vorhanden und abschließbar sein. Beachte: Manche Anbieter bieten DPAs nur in höheren Preistarifen an. Prüfe außerdem, ob der DPA tatsächlich Art. 28 DSGVO-konform ist oder ob er Klauseln enthält, die dem Anbieter zu viel Spielraum lassen (z.B. einseitige Änderungsrechte, Ausnahmen vom Weisungsrecht).

Kriterium 2: Datenspeicherort und -transfer

Wo werden die Daten verarbeitet? EU-Rechenzentren sind die sicherste Option. Bei US-Anbietern: Sind sie unter dem EU-US DPF zertifiziert? Die DPF-Zertifizierungsliste des U.S. Department of Commerce ist öffentlich einsehbar. SCCs allein reichen nach dem Schrems-II-Urteil nur, wenn eine Transfer Impact Assessment (TIA) durchgeführt wurde.

Kriterium 3: Trainingsnutzung deiner Daten

Nutzt der Anbieter deine Eingaben zum Training? Wenn ja, gibt es eine Opt-out-Option? Opt-out ist besser als kein Opt-out, aber Opt-in (d.h. Training ist standardmäßig deaktiviert) ist die datenschutzfreundlichste Variante. Prüfe die Nutzungsbedingungen, nicht nur die Marketingversprechen.

Kriterium 4: Datenaufbewahrung und Löschung

Wie lange speichert der Anbieter Eingaben und Ausgaben? Gibt es klar definierte Aufbewahrungsfristen? Kannst du als Nutzer eigene Daten exportieren und löschen lassen? Diese Punkte sind besonders relevant für das Recht auf Vergessenwerden nach Art. 17 DSGVO.

Kriterium 5: Transparenz über Subauftragnehmer

KI-Tools nutzen oft Infrastruktur von AWS, Google Cloud oder Azure und weitere Sub-Subauftragnehmer. Der DPA muss eine Subauftragnehmer-Liste enthalten und über Änderungen informieren. Fehlen diese Angaben, ist das ein rotes Flag.

Die 10 populärsten KI-Tools im DSGVO-Check

ChatGPT (OpenAI)

OpenAI bietet seit 2023 einen DPA an, der für Teams- und Enterprise-Tarife verfügbar ist. Im kostenlosen Tarif gibt es keinen DPA. OpenAI ist unter dem EU-US DPF zertifiziert. Datenspeicherung erfolgt in den USA. Training mit Nutzerdaten lässt sich über die Einstellungen deaktivieren. Urteil: Mit DPA und deaktiviertem Training für nicht-sensible Geschäftsdaten einsetzbar. Ohne DPA nicht für personenbezogene Daten.

Claude (Anthropic)

Anthropic bietet einen DPA für Pro- und Team-Tarife an. Datenspeicherung in den USA. EU-US DPF-Zertifizierung vorhanden. Training mit Konversationsdaten standardmäßig deaktiviert für kostenpflichtige Tarife. Urteil: Ähnlich wie ChatGPT, mit DPA und für nicht-hochsensible Daten verwendbar.

Microsoft Copilot (M365)

Für M365-Business-Kunden ist ein DPA über die Microsoft-Produktbedingungen verfügbar. EU-Datenspeicherung möglich, wenn der Tenant in der EU liegt. Microsoft ist unter dem EU-US DPF zertifiziert. Training mit Kundendaten standardmäßig deaktiviert. Urteil: Derzeit die stärkste DSGVO-Position unter den US-Anbietern für Unternehmenskunden.

Google Gemini (Workspace)

Für Google Workspace-Kunden gelten die Google Cloud-Auftragsverarbeitungsbedingungen als DPA. EU-Datenspeicherung für Workspace verfügbar. Training mit Workspace-Daten deaktivierbar. Urteil: Für Workspace-Nutzer mit korrekter Konfiguration gut handhabbar.

GitHub Copilot

DPA über GitHub Enterprise verfügbar. Datenspeicherung in den USA. Training mit Code-Inputs deaktivierbar in Business- und Enterprise-Tarifen. Wichtig: Wenn Code personenbezogene Daten enthält (z.B. Kundendaten in Testdateien), gelten die normalen DSGVO-Regeln. Urteil: Für Unternehmen mit Enterprise-Tarif und sauber getrenntem Code nutzbar.

Jasper AI

DPA verfügbar. US-Datenspeicherung. EU-US DPF-Zertifizierung vorhanden. Training mit Nutzerdaten opt-out möglich. Urteil: Mit DPA für Marketing-Texte ohne sensible Kundendaten einsetzbar.

Notion AI

Notion bietet einen DPA für Business- und Enterprise-Tarife. Datenspeicherung in den USA via AWS. EU-US DPF-Zertifizierung vorhanden. Urteil: Mit DPA verwendbar; Vorsicht bei Notizen mit Kundendaten oder Mitarbeiterinformationen.

Midjourney

Kein DPA verfügbar (Stand Juni 2026). Keine EU-US DPF-Zertifizierung. Prompts können in Modelltraining einfließen. Urteil: Für Unternehmen, die personenbezogene Daten in Prompts eingeben, nicht DSGVO-konform nutzbar. Für rein kreative Prompts ohne Personenbezug tolerierbar, aber ohne rechtliche Absicherung.

Aleph Alpha Luminous

Deutsches Unternehmen, EU-Rechenzentren, DSGVO-konformer DPA. Kein US-Datentransfer. Urteil: Die stärkste DSGVO-Position im Markt. Für hochsensible Daten (Gesundheit, Finanzen, Behörden) die einzige wirklich sichere Option.

Perplexity AI

Kein DPA verfügbar für kostengünstige Tarife. US-Datenspeicherung. Urteil: Für reine Recherche-Queries ohne Personenbezug tolerierbar. Für Unternehmenseinsatz mit Kundendaten nicht empfehlenswert.

Praxistipps für den DSGVO-konformen KI-Einsatz

Datenminimierung: Gib nie mehr Daten ein als nötig. Anonymisiere oder pseudonymisiere Kundendaten vor der KI-Eingabe, wenn möglich.

DPA-Checkliste vor dem Go-live: Ist ein DPA unterschrieben? Ist Training deaktiviert? Ist der Datenspeicherort dokumentiert? Gibt es eine interne Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO?

Mitarbeiterschulung: Mitarbeiter müssen wissen, welche Daten in welche Tools dürfen. Eine interne "KI-Nutzungsrichtlinie" reduziert das Risiko erheblich.

Regelmäßige Überprüfung: KI-Anbieter ändern ihre Datenschutzbedingungen. Plane quartalsweise Checks ein, besonders nach großen Produktupdates.