Darf ich ChatGPT oder Claude DSGVO-konform für Geschäftsdaten nutzen?

Mit Consumer-Versionen (chat.openai.com, claude.ai) nein — keine personenbezogenen oder vertraulichen Daten. Mit Business-/API-Variante und passendem Vertragsstack ja, aber nur mit AVV, EU-Region, DSFA und sauberer Datenklassifizierung.

ChatGPT & Claude DSGVO-konform nutzen — was 2026 wirklich erlaubt ist

Die ehrliche Kurzantwort

Mit der Consumer-Variante von ChatGPT (chat.openai.com) oder Claude.ai darfst du keine personenbezogenen Daten und keine vertraulichen Geschäftsinformationen verarbeiten. Die Nutzungsbedingungen erlauben Trainings auf deinen Eingaben, es gibt keinen Auftragsverarbeitungsvertrag, und die Verarbeitung läuft über US-Server ohne die für deinen Anwendungsfall erforderlichen Garantien nach Art. 44 ff. DSGVO.

Mit den Business-Tiers oder der API ist es möglich. ChatGPT Enterprise/Team, Claude for Work, die OpenAI-API und die Anthropic-API bieten alle drei Bausteine, die du brauchst:

Standard-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (musst du aktiv abschließen)
Vertraglich zugesicherter Trainings-Opt-Out (Logs nur 30 Tage zur Missbrauchserkennung)
EU-Hosting verfügbar: Anthropic in Frankfurt/Dublin seit 2025, OpenAI via Azure OpenAI in “Sweden Central” oder “Germany West Central”

Was du konkret klären musst

Rechtsgrundlage nach Art. 6 DSGVO. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) trägt bei LLM-Verarbeitung selten — der Eingriff ist zu weit gefasst. Realistisch ist Einwilligung (lit. a) bei Kunden oder eine Betriebsvereinbarung (Art. 88 + § 26 BDSG) bei Mitarbeitenden.

AVV abschließen. Bei OpenAI über das Compliance-Portal, bei Anthropic über den Account-Manager. Ohne aktiv abgeschlossenen AVV ist jede Übermittlung personenbezogener Daten Art. 28-widrig, auch wenn die Inhalte selbst harmlos wirken.

Datenklassifizierung in drei Stufen. Grün (öffentlich): Marketingtexte, allgemeine Recherche, anonymisierte Auswertungen. Geht über jeden Kanal. Gelb (intern): Konzeptpapiere, interne Mails ohne Personenbezug, Code-Snippets. Nur über Business-Tier mit AVV. Rot (sensibel): Kunden-, Personal-, Gesundheits-, Finanz- und Steuerdaten, Geschäftsgeheimnisse. Nur über EU-gehostete Instanz mit AVV plus DSFA oder on-prem-LLM.

Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Sobald du systematisch personenbezogene Daten in LLMs verarbeitest, ist eine DSFA Pflicht. Das ist kein optionales Dokument — die Aufsichtsbehörden (BfDI, LfDI Baden-Württemberg, BayLDA) verlangen sie bei Audits ausdrücklich. Das BayLDA hat in seinem Tätigkeitsbericht 2024 explizit klargestellt, dass LLM-Integrationen ohne DSFA als formaler Verstoß gewertet werden.

Transparenz nach Art. 13/14 DSGVO. Deine Datenschutzerklärung muss benennen: welcher Dienst, welcher Anbieter, welche Rechtsgrundlage, welche Drittland-Garantie (EU-US Data Privacy Framework oder Standardvertragsklauseln).

Wo es trotz Business-Tier eng wird

Art. 9 DSGVO bleibt der Stolperstein. Gesundheitsdaten, religiöse, gewerkschaftliche oder ethnische Informationen brauchen zusätzlich eine Erlaubnis nach Art. 9 Abs. 2. Ein Krankenhaus darf nicht einfach Patientenakten in Azure OpenAI füttern, auch wenn alle anderen Anforderungen erfüllt sind.

Schrems II und das DPF-Risiko. Das EU-US Data Privacy Framework ist seit Juli 2023 gültig. NOYB und andere Datenschutzorganisationen haben es seither mehrfach angefochten. Ein erneutes Kippen vor dem EuGH ist nicht ausgeschlossen. Wer strategisch sicher sein will, plant heute schon einen Migrationspfad auf EU-Provider oder on-prem-fähige Open-Source-LLMs ein.

Unser pragmatischer Stack für Mittelständler

Für Recherche, Texterstellung und Code-Generierung ohne Personenbezug reicht ChatGPT Team oder Claude Pro mit AVV. Kostet 25–30 € pro Nutzer und Monat und deckt 80 % der Alltags-Use-Cases ab.

Für strukturierte Geschäftsdaten wie Tickets, Mails und Rechnungen empfehlen wir Azure OpenAI in einer EU-Region mit AVV und durchgeführter DSFA. Setup-Aufwand ein bis zwei Wochen, Betrieb stabil und auditierbar.

Für sensible Daten — Patientenakten, Personalakten, Steuerakten, Geschäftsgeheimnisse — bauen wir on-prem mit Llama 4 Scout oder Mistral Medium 3.5 auf eigener Hardware. Das ist nicht der billigste Weg, aber der einzige, bei dem du bei einer Anfrage der Aufsichtsbehörde am nächsten Tag noch ruhig schlafen kannst.

Was du heute nicht tun solltest

Keine Kundendaten in chat.openai.com kopieren. Keine “kostenlose ChatGPT-Lösung” einer Social-Media-Agentur einkaufen ohne Einsicht in den AVV-Stack. Keine Patientenakten in ein Cloud-LLM, egal welche Region. Und keine Datenschutzerklärung blind aus einem Generator übernehmen, in der OpenAI gar nicht auftaucht, obwohl du es nutzt.

Wenn du nicht sicher bist, ob euer aktueller Setup hält, ist eine Compliance-Audit-Stunde mit uns oder einem Datenschutzbeauftragten der schnellste Weg, das zu klären.