02.05.·KI-Gipfel·Noch 7 von 25 Plätzen
Grundlagen · 20. April 2026 · 6 min

ChatGPT im Unternehmen 2026: Was die Datenschutzkonferenz sagt — und wo's Probleme gibt

Die deutsche Datenschutzkonferenz hat einen Leitfaden für DSGVO-konforme KI-Nutzung. Aber in der Praxis kämpfen selbst Behörden mit der Umsetzung. Der Stand Q2 2026 — mit konkreten Schritten für den sächsischen Mittelstand.

Von PhoenixOne TeamSitz Leipzig · Sachsen

"Dürfen wir überhaupt ChatGPT nutzen?" — die Frage landet in jedem Erstgespräch auf dem Tisch. Die Antwort ist weder "Ja, klar" noch "Auf keinen Fall" — sondern: Es hängt an der Architektur. Wer den öffentlichen ChatGPT-Browser mit Kundendaten füttert, verletzt DSGVO. Wer eine Enterprise-Variante mit Auftragsverarbeitungsvertrag, deaktiviertem Training und EU-Hosting einsetzt, ist rechtssicher unterwegs. Dazwischen liegt Praxis.

Die DSK und ihr Leitfaden

Die Datenschutzkonferenz (DSK) ist das Gremium der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern. Sie gibt Orientierungshilfen heraus, die formal nicht bindend sind, aber in der Praxis die Auslegung der DSGVO prägen — und damit auch, wie bei einem Datenschutz-Audit argumentiert werden kann.

Der DSK-Leitfaden für DSGVO-konforme KI-Anwendungen adressiert sechs Kernbereiche:

  1. Rechtsgrundlage — auf Basis welcher DSGVO-Grundlage werden Daten verarbeitet? Art. 6 (Einwilligung, Vertrag, berechtigtes Interesse) oder Art. 9 (besondere Kategorien)?
  2. Zweckbindung — was genau macht das KI-System, und darf es mit den Daten nur das tun?
  3. Datenminimierung — werden nur die nötigen Daten verarbeitet, oder fließt alles ins Modell?
  4. Transparenz — werden Betroffene ausreichend informiert (Art. 13/14 DSGVO)?
  5. Betroffenenrechte — Auskunft, Löschung, Widerspruch — wie sind die Prozesse in der KI-Architektur eingebaut?
  6. Technisch-organisatorische Maßnahmen — Pseudonymisierung, Verschlüsselung, Zugriffskontrolle, Logging.

Warum es trotzdem kompliziert bleibt

Selbst die Behörden kämpfen mit der Umsetzung. Heise hat ausführlich analysiert, warum Datenschutzbehörden bei ChatGPT und Co tatsächlich schwertun: Die Architektur großer Sprachmodelle widerspricht einigen DSGVO-Kernprinzipien strukturell. "Löschung" bedeutet bei einem trainierten Modell etwas anderes als bei einer Datenbankzeile. "Auskunftsrecht" ist technisch nicht-trivial, wenn die "Daten" in neuronalen Gewichten stecken.

Die praktische Konsequenz: 2024 haben deutsche Datenschützer Verfahren gegen OpenAI eröffnet. Stand April 2026 sind diese Verfahren offen. Für Unternehmen, die Enterprise-Varianten mit Auftragsverarbeitungsvertrag (AVV) einsetzen, hat das aber keine direkte Auswirkung — der AVV regelt die Verarbeitung im unternehmerischen Kontext separat von den Training-Fragen, die gegen den öffentlichen Dienst laufen.

Zusätzlich zeigt die Zahl: Der Hessische Datenschutzbeauftragte hat 2025 über 6 000 KI-bezogene Beschwerden registriert — deutlich mehr als in den Vorjahren. Das ist kein Grund für Panik, aber ein Grund für saubere Architektur: Wer angemessen aufgestellt ist, kann eine Beschwerde problemlos abarbeiten.

Einordnung für den sächsischen Mittelstand

Für den sächsischen Mittelstand sind drei Fragestellungen besonders relevant:

  • Enterprise- oder Public-ChatGPT? Die kurze Antwort: Enterprise. Immer. Für einen Business-Account mit deaktiviertem Training und EU-Hosting zahlt man 25–60 Euro pro Monat pro Nutzer — und hat damit die DSGVO-Grundlage geschaffen. Der kostenlose ChatGPT gehört nicht in den Betrieb.
  • Welche Daten dürfen rein? Die Datenklassifizierung aus dem DSK-Leitfaden hilft: öffentliche Daten immer, interne Daten mit AVV meist, personenbezogene Daten nur mit klarer Rechtsgrundlage, besondere Kategorien (Gesundheit, Biometrie) nur in streng geprüften Fällen.
  • Wie sieht die interne Nutzungsrichtlinie aus? Das ist der praktische Hebel. Ein 2-Seiter, der klar macht: welche Tools, welche Daten, welche Prompts, welche Dokumentation. Ohne Richtlinie gibt's in der Praxis Chaos — mit Richtlinie ist der Nachweis gegenüber Aufsicht und Kunden einfach.

DSGVO und KI sind keine Gegensätze — aber sie sind nur lösbar, wenn man bei der Architektur anfängt, nicht beim Disclaimer im Kleingedruckten.

Die Handelsblatt-Übersicht zum ChatGPT-Datenschutz und der Handelsblatt-Live-Leitfaden zu KI und Datenschutz bringen die praktischen Empfehlungen auf einen Nenner: Enterprise-Varianten, AVV, Rollenkonzept, Schulung.

Der AI-Act-Layer obendrauf

Seit 2. Februar 2025 gilt die KI-Kompetenz-Pflicht aus Artikel 4 des EU AI Act. Das bedeutet: Mitarbeitende, die KI-Systeme nutzen oder deren Output verarbeiten, müssen nachweislich geschult sein. Der AI Act und die DSGVO laufen dabei nebeneinander — wer beides sauber macht, ist auf der sicheren Seite.

In der Praxis integrieren wir die AI-Act-Schulung in die DSGVO-Schulung. 90 Minuten einmal im Jahr, dokumentierte Teilnahme, fertig.

Handlungsempfehlungen: Fünf Schritte für Mittelständler

1. Enterprise-Variante mit AVV wählen

ChatGPT Enterprise, Microsoft Copilot for Business, Claude Teams, Google Workspace KI — alle bieten AVV, deaktiviertes Training und (bei EU-Varianten) europäisches Hosting. Der Public-ChatGPT-Browser gehört nicht in den produktiven Betrieb.

2. Interne Nutzungsrichtlinie schreiben

Zwei Seiten reichen. Inhalt: welche Tools erlaubt, welche Daten-Kategorien dürfen rein, welche Dokumentationspflicht, wer ist Ansprechpartner, was passiert bei Zweifeln. Unterschrift von allen Mitarbeitenden dokumentieren.

3. Schulung nach AI Act Artikel 4

Einmalig 60–90 Minuten, jährliche Auffrischung. Teilnehmerliste ablegen. Das erfüllt gleichzeitig die AI-Act-Schulungspflicht und die DSGVO-Awareness-Verantwortung aus Art. 32.

4. Technische Trennung personenbezogener Daten

Bei KI-Anwendungen, die mit Kundendaten arbeiten: Pseudonymisierung (Kunde statt Max Müller), Zugriffsrollen, Logging. Für interne Anwendungen (Wissens-Agent, Angebots-KI) reicht oft eine klare Nicht-Vermischung zwischen Kundendaten-Systemen und KI-Workflow.

5. Betroffenenrechte-Prozess definieren

Was passiert, wenn ein Kunde Auskunft über KI-gestützte Verarbeitung verlangt? Wer in Ihrem Betrieb ist Ansprechpartner? Wie wird die Antwort technisch hergeleitet? Ein einfaches Flowchart reicht für die meisten Mittelständler.

Unser Take

In unseren +15 Projekten halten wir uns an eine einfache Regel: DSGVO-Architektur wird vor dem ersten Prompt geklärt, nicht nachträglich. Wer die fünf Schritte zum Projekt-Kick-off hat, kann die KI produktiv einsetzen — ohne dass Datenschutz-Fragen zur Projekt-Bremse werden. Die EU-Kommission arbeitet parallel an einer Klarstellung, wie "berechtigtes Interesse" bei KI-Training ausgelegt werden kann — das wird bis Ende 2026 für weitere Rechtsklarheit sorgen.

Für den sächsischen Mittelstand ist der Weg klar: Enterprise-Architektur, saubere Dokumentation, klare Schulung. Alles andere ist unnötige Unsicherheit — und bremst Projekte, die sonst in 4–12 Wochen produktiv wären.

Häufige Fragen

Gemeinsames Gremium der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern. Veröffentlicht Orientierungshilfen, die die Anwendungspraxis der DSGVO prägen.

Stand: April 2026 — Datenschutzrecht und KI entwickeln sich weiter. Aktuelle Rechtslage immer im konkreten Projekt prüfen.

Über die Autoren

PhoenixOne Team

Wir bauen KI-Infrastruktur für den deutschen Mittelstand. Seit zwei Jahren, mit über fünfzehn produktiven Systemen im Einsatz — von Dokument-Agenten im Bauhandwerk bis zu vollständigen AI-OS-Setups in der Industrie. Alle Projekte mit Festpreis, Team-Übergabe und EFRE-Förderung beantragt.

Unsere Artikel schreiben wir aus der Projekt-Praxis — mit echten Zahlen, ohne Hype-Vokabeln. Keine einzelnen Autoren, sondern das gesamte Team als Quelle: Projektleiter, Entwickler, Förder-Spezialisten.

Sitz Leipzig · Projekte bundesweit·+15 Projekte live im Betrieb·Gegründet 2024
Mehr über uns ·Unsere Referenzen ·KI-Audit starten
Jetzt starten

Bereit, das auf Ihren Betrieb anzuwenden?

Ein KI-Audit zeigt in 5 Minuten, wo Ihr Betrieb steht und welche Automation den größten Hebel hat.

Kostenloses KI-Audit starten

Sächsischer Mittelstand — Sitz Leipzig — über 15 Projekte live im Betrieb

Weiterlesen

Grundlagen

ChatGPT im sächsischen Unternehmen: Ab wann brauchen Sie eine eigene KI?

7 min
Grundlagen

EU AI Act 2026: Was sächsische Mittelständler jetzt tun müssen

6 min
Grundlagen

KI-Kosten 2026 transparent gerechnet: Von Lizenz bis Betrieb

6 min