Unternehmensdaten schützen. ChatGPT DSGVO-konform nutzen.

ChatGPT Business schafft eine andere Grundlage als private Einzelaccounts: kein Training mit Workspace-Daten, AVV/DPA-Möglichkeit, Business Terms, Verschlüsselung und Sicherheitsnachweise.

Warum ChatGPT Business anders ist als private Nutzung

Für die Unternehmensnutzung gilt eine andere Plattform- und Vertragsgrundlage als bei privaten Free-, Plus- oder Einzelaccounts.

Kein Training mit Workspace-Daten

Bei ChatGPT Business werden Workspace-Daten nach OpenAI-Angaben standardmäßig nicht zum Training der Modelle verwendet.

  • AVV / Data Processing Addendum

    Für ChatGPT Business kann nach OpenAI-Angaben ein Data Processing Addendum abgeschlossen werden. Im deutschen Kontext ist das der relevante AVV-/Auftragsverarbeitungs-Baustein.

  • Business Terms & Privacy Commitments

    ChatGPT Business unterliegt den OpenAI Business Terms und Enterprise Privacy Commitments.

  • Verschlüsselung & Sicherheitsnachweise

    OpenAI nennt Verschlüsselung bei Übertragung und Speicherung sowie Sicherheits- und Compliance-Nachweise wie SOC 2.

Das ersetzt keine eigene Datenschutzprüfung, schafft aber eine belastbare Grundlage für die kontrollierte Unternehmensnutzung.

Was DSGVO-konform in der Praxis bedeutet

DSGVO-Konformität entsteht durch eine konkrete Arbeitsweise, nicht allein durch ein Tool.

Datenminimierung

Nur Daten nutzen, die für den konkreten Zweck erforderlich sind.

Zweckbindung

Arbeitsbereiche werden für klare Aufgaben eingerichtet, nicht als allgemeine Datensammelstelle.

Zugriffskontrolle

Rollen, Projekte und Quellen werden so getrennt, dass nicht jeder alles sieht.

Nachvollziehbarkeit

Wichtige Quellen, Kontextentscheidungen und Freigaben bleiben nachvollziehbar.

Wir ersetzen keine Rechtsberatung und keinen Datenschutzbeauftragten. Wir schaffen die technische und organisatorische Grundlage, damit die Nutzung kontrolliert, nachvollziehbar und datenschutzrechtlich prüfbar wird.

Wie Unternehmensdaten kontrolliert bleiben

Die Einführung klärt, wem der Arbeitsbereich gehört, wer Zugriff erhält, welche Quellen genutzt werden und was geprüft werden muss.

  1. Workspace

    Der Arbeitsbereich gehört dem Unternehmen.

    KontrollfrageWo liegen Daten und Arbeitsverläufe?

  2. Zugriff

    Nicht jeder sieht alles.

    KontrollfrageWer darf was sehen und bearbeiten?

  3. Quellen

    Daten bleiben in den richtigen Systemen.

    KontrollfrageWelche Systeme bleiben führend?

  4. Kontext

    Kein Rohdatenlager im Memory.

    KontrollfrageWas wird dauerhaft gespeichert – und was nicht?

  5. Prüfung

    Sensible Fälle werden abgegrenzt.

    KontrollfrageWo braucht es Freigabe oder zusätzliche Prüfung?

Was wir verhindern wollen

Die größten Risiken entstehen durch unstrukturierte Nutzung: freie Einzelchats, private Accounts, unklare Datenablage und fehlende Prüfregeln.

Sensible Daten in freien Chats

Vertrauliche Informationen landen unkontrolliert in einzelnen Chats.

GegenmaßnahmeGeeignete Arbeitsbereiche, klare Datenregeln und bewusste Quellennutzung.

Unternehmenswissen in Einzelaccounts

Wissen verteilt sich in privaten Accounts oder persönlichen Chatverläufen.

GegenmaßnahmeKundeneigener Workspace, Rollenstruktur und gemeinsame Arbeitsbereiche.

Rohdaten im Langzeitkontext

Operative Vorgänge, Kundendaten oder Einzelfälle werden dauerhaft abgelegt.

GegenmaßnahmeNur stabile, validierte und abstrahierte Strukturinformationen in den Langzeitkontext.

Ungeprüfte Ergebnisse oder unkontrollierte Automatisierung

KI-Ausgaben oder Automatisierungen werden ohne klare Grenzen übernommen.

GegenmaßnahmePrüfregeln, Quellenbezug, Freigaben, Grenzen und definierte Abbruchpunkte.

Wo zusätzliche Prüfung nötig wird

Einige Anwendungsfälle sind nicht grundsätzlich ausgeschlossen, gehören aber nicht in das einfache Standard-Setup. Sie brauchen zusätzliche rechtliche, technische oder organisatorische Prüfung.

Sensible Daten und Entscheidungen

  • HR-Entscheidungen
  • Gesundheitsdaten
  • Bonitätsinformationen
  • strafrechtsbezogene Daten
  • automatisierte Entscheidungen mit rechtlicher Wirkung

Technische und operative Hochrisiko-Fälle

  • produktive Agenten mit Schreibrechten
  • ERP-/CRM-/API-Anbindungen mit sensiblen Daten
  • komplexe Kunden- oder Mandantendatenräume
  • Datenübertragung außerhalb der bestehenden Unternehmensumgebung

Solche Fälle sind nicht ausgeschlossen, gehören aber nicht in ein Standard-Setup ohne zusätzliche Prüfung.