# KI und Datenschutz: Was Mitarbeiter bei ChatGPT & Co. beachten müssen

*Quelle: https://www.provimedia.de/blog/ki-datenschutz-chatgpt-mitarbeiter · Stand: 2026-07-11*

> Ein Prompt mit Kundendaten ist datenschutzrechtlich eine ganz normale Verarbeitung. Die wichtigsten DSGVO-Regeln für ChatGPT, Copilot & Co. am Arbeitsplatz – und wo der EU AI Act zusätzlich greift.

Sobald Sie personenbezogene Daten in ChatGPT, Copilot oder Gemini eingeben, ist das eine ganz normale **Verarbeitung** im Sinne der DSGVO (Art. 4 Nr. 2) – es gelten dieselben Regeln wie sonst auch: eine Rechtsgrundlage nach Art. 6 und die Grundsätze aus Art. 5. Die wichtigste Alltagsregel: keine echten Personendaten in nicht freigegebene, kostenlose KI-Tools ohne Auftragsverarbeitungsvertrag. Der sichere Weg ist, Namen und Kennungen vor der Eingabe zu anonymisieren.

*Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.*

## Ist ein ChatGPT-Prompt eine "Verarbeitung" im Sinne der DSGVO?

Ja. Art. 4 Nr. 2 DSGVO definiert Verarbeitung sehr weit: jeder Umgang mit personenbezogenen Daten, mit oder ohne automatisierte Verfahren. Ein Prompt, der einen Kundennamen oder eine Kundennummer enthält, fällt darunter – unabhängig davon, wie kurz oder informell er wirkt. Es braucht also, wie bei jeder anderen Verarbeitung, eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO und die Einhaltung der Grundsätze aus Art. 5 Abs. 1. Zusätzlich gilt bei vielen KI-Diensten: Eingaben werden an Server des Anbieters übertragen, oft außerhalb der EU, und können bei manchen Diensten zum Training des Modells weiterverwendet werden.

## Die wichtigste Regel: keine Personendaten in nicht freigegebene KI-Tools

Namen, Kontaktdaten, Bewerbungsunterlagen, Personalakten oder Kundenlisten gehören nicht in kostenlose, nicht von Ihrem Unternehmen freigegebene KI-Tools. Der Grund: Ohne Freigabe fehlt in aller Regel ein **Auftragsverarbeitungsvertrag** nach Art. 28 DSGVO mit dem Anbieter, und ohne AVV dürfen einem Dienstleister keine echten Personendaten anvertraut werden – das gilt für KI-Dienste genauso wie für jeden anderen Cloud-Anbieter (mehr dazu in unserem Beitrag [AVV / Auftragsverarbeitungsvertrag](/blog/auftragsverarbeitungsvertrag-avv)).

## Der sichere Weg: anonymisieren vor der Eingabe

Sie möchten ein KI-Tool trotzdem für eine Aufgabe mit echten Daten nutzen? Ersetzen Sie identifizierende Angaben vor der Eingabe durch neutrale Platzhalter: Aus "Beschwerde von Frau Meier, Kundennr. 4711" wird "Beschwerde von Kundin A", aus konkreten Orten und Firmennamen werden "Standort X" und "Firma B". Eine KI braucht keine echten Namen, um einen Text zu formulieren oder eine Zusammenfassung zu liefern – Datenminimierung (Art. 5 Abs. 1 DSGVO) und KI-Nutzung schließen sich nicht aus.

## Wenn KI über Menschen entscheidet: Art. 22 DSGVO

Besonders heikel wird es, wenn KI-Systeme Entscheidungen über Menschen vorbereiten oder treffen, etwa bei einer automatisierten Bewerbervorauswahl oder einer Bonitätsbewertung. Nach Art. 22 Abs. 1 DSGVO ist eine **ausschließlich automatisierte Entscheidung** mit rechtlicher oder erheblich beeinträchtigender Wirkung nur ausnahmsweise zulässig. Ein Mensch muss die Möglichkeit haben, das Ergebnis zu prüfen und einzugreifen. Praktisch heißt das: KI darf zuarbeiten, etwa Bewerbungen vorsortieren, die Verantwortung und die abschließende Entscheidung bleiben aber beim Menschen.

## Sicherheit und Folgenabschätzung bei KI-Systemen

Für KI-Systeme gelten dieselben Sicherheitsanforderungen wie für jede andere Verarbeitung: geeignete technische und organisatorische Maßnahmen, angemessen zum Risiko (Art. 32 Abs. 1 DSGVO). Bei voraussichtlich **hohem Risiko** für die Rechte und Freiheiten von Menschen – etwa bei umfangreicher Verarbeitung oder neuartiger Technologie – ist häufig eine Datenschutz-Folgenabschätzung (DSFA) nötig (Art. 35 Abs. 1 DSGVO). Als einzelner Mitarbeiter müssen Sie keine DSFA erstellen, sollten aber neue KI-Projekte frühzeitig an den Datenschutzbeauftragten melden.

## KI-Kompetenz ist zusätzlich Pflicht – nach einem anderen Gesetz

Neben der DSGVO gilt seit dem 2. Februar 2025 eine weitere, eigenständige Pflicht: Art. 4 des EU AI Act (Verordnung (EU) 2024/1689) verpflichtet Anbieter und Betreiber von KI-Systemen, für ausreichende **KI-Kompetenz** ihres Personals zu sorgen. Ein Zertifikat ist dafür laut EU-Kommission ausdrücklich nicht vorgeschrieben, eine interne Aufzeichnung der Schulungen genügt. Datenschutz und KI-Kompetenz sind zwei unterschiedliche Rechtsgrundlagen mit unterschiedlichem Fokus: Die DSGVO regelt, *welche Daten* Sie einer KI anvertrauen dürfen, der EU AI Act, *wie kompetent* Sie mit KI-Systemen allgemein umgehen.

## Häufige Fragen (FAQ)

### Darf ich Kundendaten in ChatGPT eingeben?

Nur, wenn das Tool von Ihrem Unternehmen freigegeben ist und ein Auftragsverarbeitungsvertrag mit dem Anbieter besteht. In allen anderen Fällen sollten Sie Namen und Kennungen vorher anonymisieren.

### Ist die kostenlose Version von ChatGPT DSGVO-konform nutzbar?

Für anonymisierte Texte ohne Personenbezug grundsätzlich unproblematisch. Für echte Kunden- oder Mitarbeiterdaten fehlt in der kostenlosen Privatnutzung in aller Regel der nötige Auftragsverarbeitungsvertrag.

### Brauche ich einen AVV mit dem KI-Anbieter?

Ja, sobald der KI-Dienst personenbezogene Daten in Ihrem Auftrag verarbeitet (Art. 28 DSGVO) – genau wie bei jedem anderen externen Dienstleister mit Datenzugriff.

### Was hat der EU AI Act mit Datenschutz zu tun?

Der EU AI Act (Art. 4) verlangt zusätzlich zur DSGVO ausreichende KI-Kompetenz der Mitarbeiter im Umgang mit KI-Systemen. Beide Regelwerke gelten parallel und ergänzen sich, ersetzen sich aber nicht gegenseitig.

Sie wollen den kompetenten und rechtssicheren Umgang mit KI im Team systematisch vermitteln? Unser [KI-Zertifikat](/ki-zertifikat) ist bereits online buchbar und deckt neben KI-Grundlagen auch die Anforderungen des EU AI Act ab; die vertiefende **DSGVO-Grundlagenschulung für Mitarbeiter folgt in Kürze**. Wie Sie die Rechenschaftspflicht insgesamt nachweisen, lesen Sie in unserem Beitrag [Rechenschaftspflicht nach DSGVO](/blog/rechenschaftspflicht-dsgvo).

## Quellen

- Verordnung (EU) 2016/679 (DSGVO), Art. 4 Nr. 2, Art. 5 Abs. 1, Art. 6 Abs. 1, Art. 22 Abs. 1, Art. 28, Art. 32 Abs. 1, Art. 35 Abs. 1 – [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679)
- Verordnung (EU) 2024/1689 (EU AI Act), Art. 4 – [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689)
- Europäische Kommission, AI Literacy – Questions & Answers – [digital-strategy.ec.europa.eu](https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers)

---

Kanonische Version: <https://www.provimedia.de/blog/ki-datenschutz-chatgpt-mitarbeiter>
