GlossarTech-NewsKI
techjack.de

KI-Chatbots und Datenschutz: Das gilt 2026 in Deutschland

tech-news5 Min. Lesezeit15. April 2026KI-generiert & geprüft
KI-Chatbots Datenschutz Deutschland 2026
Symbolbild © Peggy_Marco / Pixabay

KI-Chatbots und Datenschutz: Das gilt 2026 in Deutschland

KI-Chatbots wie ChatGPT, Claude oder Google Gemini sind aus dem Arbeitsalltag nicht mehr wegzudenken — doch beim Datenschutz herrscht Unsicherheit. Welche rechtlichen Grenzen gelten in Deutschland für diese Tools? Und wie schützen Sie sich vor Datenmissbrauch? Die Antwort: Die DSGVO setzt klare Grenzen, die viele Anbieter erst seit 2025 konsequent umsetzen. In diesem Ratgeber erfahren Sie, welche Regeln gelten, was Nutzer beachten müssen und wie Sie KI-Chatbots DSGVO-konform nutzen. Besonders wichtig: Personenbezogene Daten gehören grundsätzlich nicht in KI-Chatbots — es sei denn, der Anbieter garantiert rechtskonformes Training-Opt-out und EU-Serverstandorte.

Das Wichtigste auf einen Blick

  • DSGVO gilt vollumfänglich: Alle KI-Chatbots müssen EU-Datenschutzregeln einhalten, wenn sie deutsche Nutzer bedienen
  • Training-Opt-out ist Pflicht: Seit 2025 müssen Anbieter explizit erlauben, Eingaben vom Modelltraining auszuschließen
  • Keine personenbezogenen Daten: Namen, Adressen, Kundendaten dürfen nicht in Standard-Chatbots eingegeben werden
  • Business-Versionen bieten mehr Schutz: ChatGPT Enterprise, Claude Pro und Gemini Business haben bessere Datenschutzgarantien
  • Datenschutzbehörden prüfen aktiv: Seit 2026 laufen mehrere Verfahren gegen KI-Anbieter wegen DSGVO-Verstößen

Welche rechtlichen Rahmenbedingungen gelten für KI-Chatbots in Deutschland?

KI-Chatbots unterliegen in Deutschland einem dreifachen rechtlichen Rahmen: der Datenschutz-Grundverordnung (DSGVO), dem deutschen Bundesdatenschutzgesetz (BDSG) und seit 2025 der EU-KI-Verordnung (AI Act).

Die DSGVO ist dabei die wichtigste Säule. Sie gilt für alle Dienste, die personenbezogene Daten von EU-Bürgern verarbeiten — unabhängig davon, wo der Anbieter sitzt. Das betrifft OpenAI (USA), Anthropic (USA) und Google gleichermaßen. Konkret bedeutet das:

  • Zweckbindung: Daten dürfen nur für den angegebenen Zweck genutzt werden
  • Datenminimierung: Nur notwendige Daten dürfen erhoben werden
  • Transparenzpflicht: Nutzer müssen wissen, was mit ihren Daten passiert
  • Löschrecht: Nutzer können Löschung ihrer Daten verlangen
  • Auskunftsrecht: Nutzer dürfen erfahren, welche Daten gespeichert sind

Die EU-KI-Verordnung klassifiziert KI-Chatbots als Systeme mit begrenztem Risiko. Das bedeutet: Transparenzpflichten gelten, aber keine Hochrisiko-Auflagen. Anbieter müssen klar kennzeichnen, dass Nutzer mit einer KI kommunizieren.

Hier der Trick: Viele US-Anbieter hatten bis 2024 keine EU-Niederlassung und ignorierten DSGVO-Anfragen. Seit 2025 haben OpenAI, Anthropic und Microsoft EU-Vertretungen — damit sind sie direkt haftbar und müssen DSGVO-Anfragen binnen 30 Tagen beantworten.

Wie KI-Chatbots Ihre Daten verwenden — und was das rechtlich bedeutet
Symbolbild © Pexels / Pixabay

Wie KI-Chatbots Ihre Daten verwenden — und was das rechtlich bedeutet

Wenn Sie eine Frage in ChatGPT eingeben, passiert technisch Folgendes: Ihr Text wird an Server des Anbieters übertragen, vom KI-Modell verarbeitet, die Antwort generiert — und je nach Einstellung für zukünftiges Modelltraining gespeichert.

Genau hier liegt das Problem: Wenn Ihre Eingabe personenbezogene Daten enthält (Namen, E-Mail-Adressen, Gesundheitsdaten, Vertragsinhalte), werden diese unter Umständen dauerhaft gespeichert und ins Modell eintrainiert. Das verstößt gegen die DSGVO, wenn keine explizite Einwilligung vorliegt.

Konkret bedeutet das:

Anbieter Standard-Verhalten Opt-out möglich? EU-Server verfügbar?
ChatGPT (Free) Training mit Eingaben Ja (seit 2024) Nein
ChatGPT Enterprise Kein Training Optional (2026)
Claude (Free/Pro) Kein Training per Default Nein
Google Gemini Training mit Eingaben Ja (Einstellungen) Ja (EU-Region wählbar)
Microsoft Copilot (365) Kein Training Ja (EU-Cloud)

Laut Bundesbeauftragtem für Datenschutz (BfDI) gilt seit 2025: Arbeitgeber haften für DSGVO-Verstöße ihrer Mitarbeiter, wenn diese geschützte Daten in öffentliche KI-Chatbots eingeben. Mehrere Unternehmen wurden bereits zu Bußgeldern verurteilt.

Was bedeutet "Training-Opt-out" konkret?

Bei ChatGPT finden Sie die Option unter "Settings" > "Data Controls" > "Improve the model for everyone". Deaktivieren Sie diese Option, werden Ihre Konversationen nicht mehr fürs Modelltraining verwendet.

Aber Vorsicht: Die Chats werden weiterhin 30 Tage gespeichert — zur Missbrauchserkennung und Qualitätskontrolle. Erst danach erfolgt die Löschung. Für wirklich sensible Daten ist das nicht ausreichend.

DSGVO-konforme Nutzung: Diese Regeln müssen Sie beachten

Wenn Sie KI-Chatbots im beruflichen Kontext nutzen wollen, gelten strenge Vorgaben. Das hat die Datenschutzkonferenz (DSK) — das Gremium der deutschen Datenschutzbehörden — in ihrer Orientierungshilfe vom Januar 2026 klargestellt.

Die 5 goldenen Regeln für DSGVO-konforme Nutzung:

1. Keine personenbezogenen Daten eingeben

Geben Sie niemals Namen, Adressen, Kundennummern, Vertragsdaten oder andere personenbezogene Informationen ein. Auch vermeintlich anonymisierte Daten ("Kunde X aus München, 45 Jahre") können unter Umständen rückverfolgbar sein.

Erlaubt: "Schreibe einen Marketing-Text für ein nachhaltiges Produkt"
Verboten: "Schreibe einen Marketing-Text für Max Mustermann, Kunde seit 2020, wohnhaft in Berlin"

2. Geschäftsgeheimnisse schützen

Firmeninterna, Produktentwicklungen, Strategiepapiere oder Code gehören nicht in öffentliche Chatbots. Samsung verbot seinen Mitarbeitern 2023 die ChatGPT-Nutzung, nachdem Entwickler Quellcode eingegeben hatten — dieser tauchte später in Antworten an andere Nutzer auf.

3. Business-Versionen mit Datenschutzgarantien nutzen

Für professionelle Nutzung empfehlen Datenschutzbehörden Versionen mit AVV (Auftragsverarbeitungsvertrag):

  • ChatGPT Enterprise: AVV verfügbar, kein Training, dedizierte Instanzen
  • Microsoft 365 Copilot: AVV, EU-Datenverarbeitung, DSGVO-konform zertifiziert
  • Google Workspace + Gemini: AVV, EU-Serverstandort wählbar

Diese Versionen kosten zwischen 20€ und 60€ pro Nutzer/Monat — sind aber rechtlich absicherbar.

4. Mitarbeiter schulen

Eine interne Richtlinie reicht nicht. Unternehmen müssen nachweislich schulen, welche Daten in KI-Chatbots eingegeben werden dürfen. Die DSK empfiehlt mindestens eine jährliche Pflichtschulung.

5. Datenschutz-Folgenabschätzung durchführen

Bei systematischer Nutzung von KI-Chatbots mit potenziell sensiblen Daten ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO Pflicht. Ihr Datenschutzbeauftragter oder externer Berater kann diese erstellen.

Wie Datenschutzbehörden gegen KI-Anbieter vorgehen
Symbolbild © Matheus Bertelli / Pexels

Wie Datenschutzbehörden gegen KI-Anbieter vorgehen

Die deutschen und europäischen Datenschutzbehörden haben 2025/26 mehrere Verfahren gegen KI-Anbieter eingeleitet. Das zeigt: Die Durchsetzung der DSGVO wird ernstgenommen.

Wichtige Fälle:

  • Italien vs. OpenAI (2023): ChatGPT wurde zeitweise blockiert, weil OpenAI keine Rechtsgrundlage für Datenverarbeitung nachweisen konnte. Nach Anpassungen wurde der Dienst wieder zugelassen.
  • Hamburg vs. Google (2025): Die Hamburger Datenschutzbehörde prüft, ob Gemini unerlaubt Trainingsdaten aus Gmail-Konten nutzt.
  • BfDI vs. Microsoft (2026): Laufendes Verfahren zu Copilot in Windows 11 — Vorwurf: unzureichende Einwilligungsmechanismen.

Die drohenden Bußgelder sind erheblich: Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes — je nachdem, was höher ist. Bei OpenAI (Umsatz 2025: ca. 3 Milliarden USD) wären das theoretisch bis zu 120 Millionen Dollar.

Das ist der Grund: Behörden wollen Präzedenzfälle schaffen. Die Botschaft lautet: Auch Tech-Giganten müssen EU-Recht einhalten.

Praktische Schutzmaßnahmen für Nutzer

Neben der Einhaltung rechtlicher Vorgaben können Sie als Nutzer aktiv Ihre Daten schützen. Hier konkrete Maßnahmen:

Anonyme Nutzung per VPN und Wegwerf-E-Mail

Erstellen Sie Accounts nicht mit Ihrer Haupt-E-Mail. Nutzen Sie Wegwerf-Dienste wie Guerrilla Mail oder SimpleLogin. Kombinieren Sie das mit einem VPN (z.B. Mullvad, ProtonVPN), um Ihre IP-Adresse zu verschleiern. So minimieren Sie personenbezogene Metadaten.

Regelmäßige Löschung von Chat-Verläufen

Alle großen Anbieter erlauben das Löschen von Konversationen. Bei ChatGPT: Einstellungen > "Data Controls" > "Delete account" oder einzelne Chats über das Mülleimer-Symbol.

Wichtig: Gelöschte Chats sind nicht sofort aus Backups entfernt. OpenAI gibt an, Daten binnen 30 Tagen vollständig zu löschen — rechtlich bindend ist das aber nicht immer durchsetzbar.

Alternativen mit besserem Datenschutz

Es gibt KI-Chatbots mit Fokus auf Datenschutz:

  • HuggingChat (Hugging Face): Open Source, EU-Server, kein kommerzielles Training
  • Aleph Alpha (Deutschland): Deutsches Unternehmen, DSGVO-zertifiziert, Server in Frankfurt
  • Open-Source-Modelle lokal: Mit Tools wie Ollama können Sie Modelle wie Llama 2 oder Mistral komplett offline auf Ihrem Rechner laufen lassen — null Datenübertragung

Für Unternehmen mit hohen Datenschutzanforderungen (Anwälte, Ärzte, Behörden) sind lokale oder EU-basierte Lösungen oft die einzige rechtssichere Option.

Datenauskunft nutzen (Art. 15 DSGVO)

Sie haben das Recht zu erfahren, welche Daten über Sie gespeichert sind. Fordern Sie bei OpenAI, Google oder Anthropic eine DSGVO-Auskunft an:

  • OpenAI: privacy@openai.com
  • Google: über Google Takeout (takeout.google.com)
  • Anthropic: privacy@anthropic.com

Die Antwort muss binnen 30 Tagen erfolgen. Sie erhalten eine strukturierte Übersicht aller gespeicherten personenbezogenen Daten.

Was bedeutet die EU-KI-Verordnung für Chatbots?

Seit Februar 2025 gilt die EU-KI-Verordnung (AI Act) — das weltweit erste umfassende KI-Gesetz. Es klassifiziert KI-Systeme nach Risikostufen:

  • Unzulässiges Risiko: Verboten (z.B. Social Scoring wie in China)
  • Hohes Risiko: Strenge Auflagen (z.B. KI in Bewerbungsverfahren, Kreditvergabe)
  • Begrenztes Risiko: Transparenzpflichten (hierunter fallen Chatbots)
  • Minimales Risiko: Keine besonderen Pflichten (z.B. KI-Filter in Foto-Apps)

Für Chatbots wie ChatGPT gelten ab 2026 folgende neue Pflichten:

  1. Kennzeichnungspflicht: Nutzer müssen klar erkennen, dass sie mit KI interagieren
  2. Transparenz über Trainingsdaten: Anbieter müssen offenlegen, welche Datenquellen genutzt wurden (inkl. urheberrechtlich geschützter Werke)
  3. Risikomanagement: Dokumentation möglicher Risiken (Fehlinformationen, Manipulation)

Die EU-Kommission kann bei Verstößen Bußgelder bis zu 35 Millionen Euro oder 7% des Jahresumsatzes verhängen — höher als bei der DSGVO.

Aber Vorsicht: Der AI Act ist neu, viele Details sind noch ungeklärt. Leitlinien und Durchführungsverordnungen werden 2026/27 nachgereicht. Bis dahin herrscht Rechtsunsicherheit.

Besondere Risiken: Was passiert bei Datenpannen?

2023 gab es bei OpenAI eine Datenpanne: Durch einen Bug konnten Nutzer fremde Chat-Verläufe sehen. Betroffen waren auch Zahlungsinformationen. OpenAI meldete den Vorfall — verspätet — an die italienische Datenschutzbehörde.

Laut DSGVO müssen Datenpannen binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden. Bei besonders sensiblen Daten (Gesundheit, Finanzen) müssen auch betroffene Nutzer informiert werden.

Was bedeutet das für Sie?

  • Wenn Sie sensible Daten eingegeben haben und von einer Panne betroffen sind, haben Sie Schadensersatzansprüche nach Art. 82 DSGVO
  • Sie können sich an Verbraucherzentralen oder spezialisierte Anwälte wenden
  • Sammelklagen gegen KI-Anbieter sind in der EU seit 2023 einfacher möglich (Verbandsklagerecht)

Die deutsche Verbraucherzentrale Bundesverband (vzbv) prüft bereits Sammelklagen gegen mehrere KI-Anbieter wegen mangelhafter Datenschutzerklärungen.

Datenschutz im Unternehmenskontext: Haftung und Compliance

Für Unternehmen ist die Lage besonders heikel. Hier gilt das Prinzip der Accountability (Rechenschaftspflicht): Sie müssen nachweisen können, dass Sie DSGVO-konform arbeiten.

Konkret bedeutet das:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT): KI-Chatbot-Nutzung muss dokumentiert sein
  • Auftragsverarbeitungsvertrag (AVV): Pflicht bei Business-Accounts
  • Risikoanalyse: Welche Daten könnten versehentlich eingegeben werden?
  • Technische Maßnahmen: Firewalls, Content-Filter, die sensible Daten erkennen
  • Organisatorische Maßnahmen: Richtlinien, Schulungen, Kontrollen

Größere Unternehmen setzen mittlerweile auf KI-Gateways: Software, die zwischen Mitarbeitern und KI-Chatbots sitzt und automatisch personenbezogene Daten herausfiltert oder pseudonymisiert. Anbieter sind z.B. Microsoft Purview, IBM watsonx.governance oder deutsche Startups wie Brighter AI.

Wer haftet bei Verstößen?

Bei DSGVO-Verstößen durch KI-Nutzung haften:

  1. Das Unternehmen als Verantwortlicher (Art. 4 Nr. 7 DSGVO)
  2. Der KI-Anbieter als Auftragsverarbeiter — aber nur, wenn ein AVV besteht und er gegen dessen Bedingungen verstößt
  3. Geschäftsführung persönlich — in extremen Fällen auch strafrechtlich (§ 42 BDSG)

Datenschutzbehörden verhängen Bußgelder primär gegen Unternehmen. Aber: Bei grober Fahrlässigkeit (z.B. bewusstes Ignorieren von Datenschutzregeln) können auch Geschäftsführer persönlich belangt werden.

Fazit: Datenschutz bei KI-Chatbots ist kein Hexenwerk — aber ohne Bewusstsein riskant. Die DSGVO und der AI Act setzen klare Grenzen: Personenbezogene Daten gehören nicht in öffentliche Chatbots. Für private Nutzung gilt: Training-Opt-out aktivieren, sensible Daten weglassen, regelmäßig Verläufe löschen. Unternehmen brauchen Business-Versionen mit AVV, klare Richtlinien und technische Schutzmaßnahmen. Die gute Nachricht: Die Anbieter haben 2025/26 deutlich nachgebessert — EU-Server, transparentere Einstellungen und bessere Kontrolle über Daten sind heute Standard. Wer die Regeln kennt und umsetzt, kann KI-Chatbots rechtssicher und produktiv nutzen. Ignoranz dagegen kann teuer werden: Bußgelder im sechsstelligen Bereich sind keine Seltenheit mehr.

Häufig gestellte Fragen (FAQ)

Ist die Nutzung von ChatGPT in Deutschland legal?

Ja, die private Nutzung von ChatGPT ist in Deutschland legal. Sie müssen aber darauf achten, keine personenbezogenen Daten von Dritten einzugeben — das würde gegen die DSGVO verstoßen. Für berufliche Nutzung empfehlen Datenschutzbehörden Business-Versionen mit Auftragsverarbeitungsvertrag. Die kostenlose Version von ChatGPT nutzt Eingaben standardmäßig fürs Modelltraining, was bei sensiblen Daten problematisch ist. Sie können das Training in den Einstellungen deaktivieren, müssen aber wissen: OpenAI speichert Chats trotzdem 30 Tage zur Missbrauchsprävention.

Welche Daten darf ich in KI-Chatbots eingeben?

Sie dürfen grundsätzlich alle Informationen eingeben, die keine personenbezogenen Daten enthalten. Erlaubt sind: allgemeine Fachfragen, anonymisierte Szenarien, Lernaufgaben, Textvorlagen ohne Namen. Verboten sind: Namen, E-Mail-Adressen, Telefonnummern, Kundendaten, Gesundheitsinformationen, Vertragsinhalte, Firmengeheimnisse. Auch vermeintlich harmlose Details wie "mein Nachbar, 52 Jahre, Lehrer in Hamburg" können personenbezogen sein, wenn die Person identifizierbar wird. Als Faustregel gilt: Würden Sie diese Information öffentlich auf Twitter posten? Falls nein, gehört sie nicht in einen KI-Chatbot.

Wie kann ich meine Daten bei ChatGPT löschen lassen?

Sie können bei ChatGPT einzelne Chats löschen (über das Mülleimer-Symbol) oder Ihr gesamtes Konto unter Einstellungen > "Data Controls" > "Delete account" löschen. Nach der Löschung speichert OpenAI Daten laut eigener Aussage noch 30 Tage in Backups, danach erfolgt die vollständige Entfernung. Sie haben außerdem ein DSGVO-Auskunftsrecht: Schreiben Sie an privacy@openai.com und fordern Sie Auskunft über gespeicherte Daten sowie deren Löschung. OpenAI muss binnen 30 Tagen antworten. Falls keine Antwort kommt, können Sie sich an die zuständige Datenschutzbehörde (z.B. BfDI oder Ihre Landes-Datenschutzbehörde) wenden.

Gibt es DSGVO-konforme Alternativen zu ChatGPT?

Ja, es gibt mehrere Alternativen mit besserem Datenschutz. Für Unternehmen: Microsoft 365 Copilot (EU-Server, AVV), Google Workspace Gemini (EU-Option, AVV) oder Aleph Alpha aus Deutschland (vollständig DSGVO-konform, Server in Frankfurt). Für Privatnutzer: HuggingChat von Hugging Face (Open Source, keine kommerzielle Nutzung der Daten) oder lokal betriebene Mod

TJ

Techjack Redaktion

KI-generiert · redaktionell geprüft · 0 Wörter

War dieser Artikel hilfreich?

Teilen:XFacebookLinkedIn