Ist ChatGPT 2026 noch datenschutzkonform?

Kaum ein KI-Tool wird derzeit so intensiv genutzt wie ChatGPT. Ob beim Schreiben von E-Mails, beim Programmieren oder bei der Recherche – für viele Unternehmen gehört die KI inzwischen fest zum Arbeitsalltag. Gleichzeitig bleibt besonders in Deutschland, Österreich und der Schweiz eine zentrale Frage offen: Ist ChatGPT überhaupt datenschutzkonform nutzbar?

Die Antwort darauf hat sich in den vergangenen Jahren deutlich verändert.

Während Datenschutzbehörden ChatGPT vor wenigenJahren noch massiv kritisierten und einzelne Länder das System zeitweise sperrten, existieren 2026 deutlich klarere regulatorische und technische Rahmenbedingungen. Trotzdem ist ChatGPT nicht automatisch Datenschutz-konform. Entscheidend sind vor allem die verwendete Version, der Umgang mit sensiblen Daten und die internen Richtlinien eines Unternehmens.

Warum ChatGPT lange als Datenschutzproblem galt

Die Skepsis gegenüber ChatGPT kam nicht von ungefähr. Gerade in Europa standen von Beginn an mehrere Datenschutzfragen im Raum:

• Welche Daten verarbeitet die KI eigentlich?
• Werden Prompts für das Training verwendet?
• Auf welcher Rechtsgrundlage erfolgt das KI-Training?
• Können personenbezogene Daten unbeabsichtigt gespeichert werden?
• Wohin werden Daten übertragen?
• Haben Unternehmen überhaupt Kontrolle über ihre Informationen?

Besonders kritisch ist der Umgang mit Nutzereingaben. OpenAI nutzt in ChatGPT eingegebene Inhalte standardmäßig zur Verbesserung zukünftiger KI-Modelle. Für Privatnutzer mag das akzeptabel sein – für Unternehmen mit vertraulichen Daten ist das jedoch hochproblematisch.

Hinzu kamen mehrere Sicherheits- und Datenschutzvorfälle, die das Vertrauen vieler Unternehmen zusätzlich erschütterten. Besonders bekannt wurde der Fall Samsung, bei dem Mitarbeitende internen Quellcode in ChatGPT eingefügt hatten. Damit wurde erstmals öffentlich sichtbar, wie schnell sensible Unternehmensdaten unbeabsichtigt in externe KI-Systeme gelangen können.

Auch europäische Datenschutzbehörden reagierten früh kritisch. Die italienische Datenschutzbehörde „Garante“ sperrte ChatGPT 2023 zeitweise und warf OpenAI unter anderem mangelnde Transparenz und fehlende Rechtsgrundlagen für das KI-Training vor.

Was sich bis 2026 verändert hat

Die Situation im Jahr 2026 unterscheidet sich jedoch deutlich von den Anfangsjahren.

OpenAI hat seine Unternehmenslösungen massiv ausgebaut und stärker an europäische Datenschutzanforderungen angepasst. Vor allem die Team-, Enterprise- und API-Versionen unterscheiden sich inzwischen klar von den kostenlosen Standardaccounts.

Der wichtigste Punkt dabei: Kundendaten aus Business-Tarifen werden laut OpenAI nicht mehr standardmäßig für das Training der KI-Modelle verwendet. Genau das ist ein zentraler Unterschied zur kostenlosen Nutzung und eine wichtige Voraussetzung für einen DSGVO-konformen Einsatz.

Zusätzlich können Unternehmen inzwischen Auftragsverarbeitungsverträge (AVV/DPA) abschließen. Ohne solche vertraglichen Regelungen wäre ein professioneller Einsatz in vielen Unternehmen kaum vertretbar.

Auch strukturell hat sich einiges verändert. Für Nutzer in der EU, dem Europäischen Wirtschaftsraum und der Schweiz erfolgt die Datenverarbeitung inzwischen über die irische Gesellschaft von OpenAI. Dadurch soll die regulatorische Einordnung innerhalb Europas vereinfacht werden.

Parallel dazu wurden die europäischen Regeln für KI deutlich verschärft. Mit dem EU AI Act entstehen schrittweise neue Transparenz- und Kennzeichnungspflichten für KI-Anbieter und Unternehmen.

Wo weiterhin Datenschutzrisiken bestehen

Trotz aller Verbesserungen ist ChatGPT auch 2026 nicht automatisch datenschutzkonform.

Das größte Problem bleibt der menschliche Faktor. Viele Mitarbeitende nutzen weiterhin private oder kostenlose KI-Accounts für berufliche Aufgaben. Genau dadurch entstehen sogenannte „Shadow AI“-Strukturen – also KI-Nutzung außerhalb offizieller Unternehmensprozesse.

Das kann schnell kritisch werden:

• vertrauliche Dokumente landen in externen Systemen,
• personenbezogene Daten werden unkontrolliert verarbeitet,
• Compliance-Vorgaben werden umgangen,
• und Unternehmen verlieren die Kontrolle über sensible Informationen.

Gerade kostenlose Accounts gelten deshalb in vielen Unternehmen inzwischen als klares Compliance-Risiko.

Hinzu kommt, dass generative KI-Systeme technisch weiterhin schwer vollständig kontrollierbar sind. Unternehmen müssen daher genau definieren, welche Daten überhaupt in KI-Systeme eingegeben werden dürfen und welche nicht.

Besonders problematisch bleiben:

• Gesundheitsdaten
• Kundendaten
• vertrauliche Verträge
• interne Geschäftsgeheimnisse
• personenbezogene Mitarbeiterdaten

Viele Datenschutzexperten empfehlen deshalb weiterhin, sensible Informationen grundsätzlich nicht in öffentliche KI-Systeme einzugeben.

Was passiert noch?

Durch den europäischen AI Act verändert sich die regulatorische Landschaft für KI derzeit grundlegend.

Seit 2025 gelten strengere Transparenzpflichten für Anbieter großer KI-Modelle wie OpenAI. Unternehmen müssen künftig besser nachvollziehen können, wie KI-Systeme trainiert wurden und welche Risiken bestehen.

Ab August 2026 greifen zusätzlich umfangreiche Kennzeichnungspflichten. Unternehmen müssen dann klar offenlegen, wenn Nutzer mit KI-Systemen statt mit Menschen interagieren oder Inhalte künstlich erzeugt wurden.

Der AI Act ersetzt die DSGVO zwar nicht, ergänzt sie aber um spezifische Regeln für den Umgang mit künstlicher Intelligenz.

Für Unternehmen bedeutet das vor allem:

• mehr Dokumentationspflichten,
• mehr Transparenzanforderungen,
• und strengere Governance-Prozesse beim KI-Einsatz.

Auch in der Schweiz soll bis Ende 2026 eine Gesetzesvorlage ausgearbeitet werden um der KI-Konvention ,die im Europarat beschlossen wurde, nachzukommen. Wir werden Sie dazu natürlich auf dem neuesten Stand halten.

Fazit: Ja, aber nicht mit der kostenlosen Version

ChatGPT kann 2026 datenschutzkonform eingesetzt werden – allerdings nicht automatisch.

Für Unternehmen in Deutschland, Österreich und der Schweiz gelten weiterhin strenge Anforderungen aus DSGVO, revDSG und dem EU AI Act. Problematisch bleiben vor allem kostenlose oder privat genutzte Accounts, bei denen sensible Unternehmensdaten unkontrolliert in externe KI-Systeme gelangen können.

Ein datenschutzkonformer Einsatz ist heute vor allem über Team-, Enterprise- oder API-Lösungen realistisch, da Unternehmen dort:

• AVVs abschließen können,
• mehr Kontrolle über Datenflüsse erhalten,
• die Trainingsnutzung eingeschränkt ist,
• und organisatorische Schutzmaßnahmen umgesetzt werden können.

ChatGPT ist damit 2026 deutlich näher an europäischer Compliance als noch vor wenigen Jahren – vollständig risikofrei ist der Einsatz jedoch weiterhin nicht. Wer noch mehr wissen möchte kann hier nachlesen wie man ChatGPT am besten zum Vorteil seines Unternehmens nutzt.