ChatGPT Enterprise in Deutschland: DSGVO, AI Act und Betriebsrat 2025

ChatGPT Enterprise ist mit geeigneter Vorbereitung DSGVO-konform in Deutschland einsetzbar. OpenAI stellt einen Auftragsverarbeitungsvertrag (AVV) bereit, bietet EU-Datenresidenz an und hat GPAI-Transparenzpflichten unter dem EU AI Act umgesetzt. Die Anforderungen an Betreiber—also Ihr Unternehmen—hängen aber stark davon ab, wie Sie das Tool konkret nutzen. Wer personenbezogene Daten von Mitarbeitern oder Kunden verarbeitet, für HR-Entscheidungen oder rechtliche Bewertungen einsetzt oder die Betriebsratsanforderungen unterschätzt, riskiert erhebliche Compliance-Lücken.

Diese Seite fasst zusammen, was deutsche Unternehmen 2025 für einen rechtssicheren ChatGPT-Enterprise-Rollout wissen müssen.

Was ChatGPT Enterprise mitbringt

OpenAI hat ChatGPT Enterprise mit enterprise-spezifischen Compliance-Funktionen ausgestattet:

• EU-Datenresidenz: Verarbeitung und Speicherung wahlweise in der EU (primär Irland) — muss in der Admin-Konsole aktiv konfiguriert werden.
• Kein Modelltraining mit Ihren Daten: Enterprise-Kunden sind standardmäßig aus dem Training ausgenommen.
• AVV / DPA: OpenAI stellt einen Standardauftragsverarbeitungsvertrag nach Art. 28 DSGVO bereit, der Unterauftragsverarbeiter, Standardvertragsklauseln (SCC) für Drittlandtransfers und Löschverfahren abdeckt.
• SSO, SCIM und Audit-Logs: Enterprise-Kontrollen für Zugang, Nutzer-Verwaltung und Compliance-Dokumentation.
• SOC 2 Type II-Zertifizierung: OpenAI hält eine aktuelle SOC-2-Zertifizierung für ChatGPT Enterprise.
• GPT-4o und erweiterte Analyse: Zugang zu aktuellen Modellen inklusive Dateianalyse, Web-Suche und Code-Interpreter.

Diese Funktionen erleichtern DSGVO-Compliance erheblich — sie ersetzen aber nicht die eigene Rollout-Prüfung.

DSGVO: Was vor dem Deployment zu klären ist

Auftragsverarbeitungsvertrag abschließen

Bevor Sie ChatGPT Enterprise unternehmensweit aktivieren, muss der AVV mit OpenAI abgeschlossen sein. Gehen Sie nicht davon aus, dass er automatisch gilt — viele Unternehmen übergehen diesen Schritt beim Enterprise-Kauf.

Der OpenAI-AVV enthält:

• Verarbeitungsumfang und erlaubte Verarbeitungszwecke
• Liste der genehmigten Unterauftragsverarbeiter (u.a. Microsoft Azure)
• EU-Standardvertragsklauseln für Transfers in die USA, falls EU-Datenresidenz nicht vollständig greift
• Lösch- und Aufbewahrungsfristen
• Sicherheitsmaßnahmen und Incident-Notification

Prüfen Sie den AVV gegen Ihre konkreten Nutzungsszenarien — nicht nur abstrakt.

EU-Datenresidenz aktivieren und dokumentieren

Mit aktiver EU-Datenresidenz bleiben Prompts, Konversationshistorien und Outputs in Europa. Das reduziert Schrems-II-Risiken erheblich und vereinfacht die Transferdokumentation. Überprüfen Sie die Einstellung in der Admin-Konsole und dokumentieren Sie sie als Nachweis für Ihre Datenschutzfolgenabschätzung (DSFA).

Rechtsgrundlage je Anwendungsfall festlegen

Für allgemeine Produktivitätszwecke — Entwürfe, Zusammenfassungen, Recherche, Code-Unterstützung — kann berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO tragen. Sobald personenbezogene Daten über Mitarbeiter oder Kunden gezielt verarbeitet werden, ist eine sorgfältigere Bewertung nötig:

• Mitarbeiterdaten in Prompts: Erhöhte Anforderungen, Interessenabwägung dokumentieren.
• Kundendaten: Prüfen, ob Datenschutzhinweis und AVV den tatsächlichen Workflow abdecken.
• Besondere Datenkategorien (Gesundheit, Religion, etc.): Ausdrückliche Einwilligung oder andere Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO erforderlich.

Datenschutzhinweis und interne Richtlinien aktualisieren

Wenn Mitarbeiter ChatGPT Enterprise für Aufgaben mit Personenbezug nutzen dürfen, sollten externe Datenschutzhinweise und interne Nutzungsrichtlinien den tatsächlichen Einsatz realistisch abbilden. Klären Sie, welche Daten nie in Prompts eingegeben werden dürfen (z.B. vollständige Patientenakten, Bankdaten, Passwörter).

Betriebsrat: Unterschätzter Compliance-Faktor

In Deutschland löst die Einführung von ChatGPT Enterprise regelmäßig Betriebsratsbeteiligung nach § 87 Abs. 1 Nr. 6 BetrVG aus. Das Mitbestimmungsrecht gilt für technische Einrichtungen, die das Verhalten oder die Leistung von Arbeitnehmern überwachen können — und ChatGPT Enterprise mit Audit-Logs, SSO-Nutzungsdaten und organisationsweitem Deployment erfüllt dieses Kriterium typischerweise.

Was das konkret bedeutet:

1. Betriebsrat frühzeitig informieren — vor dem Rollout, nicht danach.
2. Erklären, wie das Tool funktioniert, welche Nutzungsdaten erhoben werden und wie Audit-Logs ausgewertet werden.
3. Schriftliche Betriebsvereinbarung aushandeln, die erlaubte und verbotene Nutzungen, Datenzugriffe und Kontrollgrenzen regelt.
4. Keine unternehmensweite Aktivierung ohne abgeschlossene Betriebsvereinbarung — das Risiko einer einstweiligen Verfügung durch den Betriebsrat ist real.

AI Act: Pflichten für Betreiber

OpenAI erfüllt als GPAI-Anbieter eigene Pflichten unter dem EU AI Act — Transparenzdokumentation, Urheberrechts-Compliance, Watermarking-Fähigkeiten (Art. 50 AI Act). Für Sie als Betreiber (Deployer) gelten eigene Anforderungen:

Was jetzt gilt (seit Februar 2025)

Verbotene KI-Praktiken sind seit dem 2. Februar 2025 in Kraft. Prüfen Sie, ob Ihre ChatGPT-Enterprise-Nutzung verbotene Praktiken berühren könnte:

• Manipulation durch unterschwellige Techniken: Irrelevant für Standard-Enterprise-Nutzung.
• Biometrische Kategorisierung nach sensiblen Merkmalen: Nicht anwendbar für ChatGPT Enterprise.
• Social Scoring durch Behörden: Nicht anwendbar.

Außerdem gilt seit Februar 2025 die KI-Literacy-Pflicht (Art. 4 AI Act): Betreiber müssen sicherstellen, dass Mitarbeiter, die KI einsetzen, über ausreichende KI-Kompetenz verfügen. Das bedeutet keine formale Zertifizierung — aber strukturierte Schulungen für Nutzer sind empfohlen.

Hochrisiko-Anwendungsfälle erkennen und dokumentieren

ChatGPT Enterprise ist ein Allzweck-KI-System. Ob Ihr Einsatz Hochrisiko-Anforderungen auslöst, hängt vom konkreten Anwendungsfall ab:

Anwendungsfall	AI-Act-Risikoklasse	Hinweis
Entwürfe, Recherche, Zusammenfassungen	Minimal	Standardpraxis, keine zusätzlichen Anforderungen
Code-Unterstützung, Dokumentenanalyse	Minimal bis begrenzt	Transparenz empfohlen
HR-Screening oder Kandidatenbewertung	Hochrisiko (Annex III, Nr. 4)	Umfassende Compliance-Anforderungen
Kreditbewertung oder Bonitätsprüfung	Hochrisiko (Annex III, Nr. 5)	Vertiefte Prüfung erforderlich
Rechtliche Entscheidungsunterstützung (Justiz)	Hochrisiko (Annex III, Nr. 8)	Strengste Anforderungen
Kundendialog-Assistent (direkte Interaktion)	Begrenzt (Art. 50)	Transparenzpflicht ab August 2026

Für Hochrisiko-Einsätze brauchen Sie ein Risikomanagementsystem, Logging, Human Oversight und eine Konformitätsbewertung. Dokumentieren Sie diese Anwendungsfälle explizit.

Transparenzpflichten ab August 2026

Ab dem 2. August 2026 greift Art. 50 AI Act für alle Betreiber, die KI-Systeme nutzen, die direkt mit natürlichen Personen interagieren. Wenn ChatGPT Enterprise im Kundenkontakt eingesetzt wird — als Chatbot, für Support-Antworten, für automatisierte Kommunikation — muss diese KI-Interaktion für die betroffene Person erkennbar sein. Planen Sie das jetzt in Ihr System-Design ein.

Praktische Rollout-Checkliste für Deutschland

1. EU-Datenresidenz in der Admin-Konsole aktivieren und dokumentieren.
2. AVV mit OpenAI formell abschließen und gegen Ihre Nutzungsszenarien prüfen.
3. Betriebsrat informieren und Betriebsvereinbarung verhandeln.
4. Anwendungsfälle inventarisieren und AI-Act-Risikoklasse je Use Case bestimmen.
5. Mitarbeiter-Schulung zur KI-Literacy (Art. 4 AI Act) planen und durchführen.
6. Interne Nutzungsrichtlinie erstellen: Was darf eingegeben werden, was nicht.
7. Datenschutzhinweise und AVV-Dokumentation auf Vollständigkeit prüfen.
8. Hochrisiko-Anwendungsfälle (HR, Kredit, Justiz) separat bewerten und ggf. auf separate Systeme mit voller Compliance auslagern.

Wie Compound Law unterstützt

• AVV-Prüfung und Gap-Analyse für Ihre konkreten Nutzungsszenarien
• Betriebsrats-Verhandlungsunterstützung und Betriebsvereinbarungsentwurf
• Use-Case-Inventar und AI-Act-Risikoklassifizierung
• KI-Literacy-Schulungsformate für Mitarbeiter
• Datenschutzfolgenabschätzung (DSFA) für ChatGPT Enterprise
• Acceptable-Use-Policy und interne Nutzungsrichtlinien
• Laufende Compliance-Überwachung bei Produktupdates

Für ergänzende Fragen zu verwandten KI-Tools finden Sie auf unserer Website Guides zu Copilot für Microsoft 365, Gemini Enterprise und KI im Kundenservice.

Häufig gestellte Fragen

Ist ChatGPT Enterprise DSGVO-konform?

Mit EU-Datenresidenz, abgeschlossenem AVV und ordnungsgemäßem Rollout ist ChatGPT Enterprise in der Praxis DSGVO-konform einsetzbar. Entscheidend ist nicht das Tool selbst, sondern Ihre konkrete Nutzung, die gewählte Rechtsgrundlage und die Vollständigkeit der Compliance-Dokumentation.

Brauchen wir einen AVV mit OpenAI?

Ja, zwingend. Sobald personenbezogene Daten über ChatGPT Enterprise verarbeitet werden — auch Mitarbeiterprompts mit Personenbezug — ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. OpenAI stellt einen Standardvertrag bereit; lassen Sie diesen gegen Ihre Nutzungsszenarien prüfen.

Dürfen Mitarbeiter Kundendaten in Prompts eingeben?

Mit aktiver EU-Datenresidenz und AVV ist die Verarbeitung bestimmter Kundendaten möglich. Sensible Daten (Gesundheit, Finanzen, besondere Kategorien nach Art. 9 DSGVO) sollten grundsätzlich vermieden werden. Prüfen Sie jeden Anwendungsfall einzeln und legen Sie intern klare Regeln fest.

Was ist mit Mitarbeitern, die private ChatGPT-Konten nutzen (Schatten-IT)?

Direkt adressieren: interne Nutzungsrichtlinie klären, genehmigte Enterprise-Tools bereitstellen und Mitarbeiter auf Risiken der privaten KI-Nutzung bei der Arbeit hinweisen. Privat genutzte ChatGPT-Konten fallen nicht unter Ihren Enterprise-AVV und bieten keinen DSGVO-Schutz für Unternehmensdaten.

Welche Betriebsrats-Rechte gelten beim ChatGPT-Enterprise-Rollout?

§ 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat Mitbestimmungsrechte bei technischen Einrichtungen, die Arbeitnehmerverhalten überwachen können. ChatGPT Enterprise mit Audit-Logs und SSO-Nutzungsdaten fällt typischerweise darunter. Ohne Betriebsvereinbarung droht ein Unterlassungsanspruch. Binden Sie den Betriebsrat frühzeitig ein.

Ist ChatGPT Enterprise unter dem EU AI Act ein Hochrisiko-System?

ChatGPT Enterprise selbst ist ein GPAI-System mit eigenem Compliance-Rahmen. Ob Ihr konkreter Einsatz als Hochrisiko gilt, hängt vom Anwendungsfall ab. HR-Screening, Kreditbewertung oder Justiz-Unterstützung sind Hochrisiko-Kategorien. Allgemeine Produktivitätsnutzung ist typischerweise minimal oder begrenzt risikobehaftet. Inventarisieren Sie Ihre Use Cases.