ChatGPT, Copilot, Gemini im Unternehmen – was DSGVO wirklich bedeutet
Viele Unternehmen starten mit KI. ChatGPT, Microsoft Copilot, Google Gemini, Claude – der Einstieg ist einfach, die Ergebnisse überzeugend. Bis die erste ernsthafte Frage aus der Rechtsabteilung kommt: Wo landen unsere Daten eigentlich?
Dieser Artikel gibt einen praxisorientierten Überblick und ersetzt keine Rechtsberatung. DSGVO- und KI-Fragen sollten mit einem Datenschutzbeauftragten oder Fachanwalt geklärt werden.
Das grundlegende Problem mit US-KI-Diensten
ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google) – alle verarbeiten Eingaben primär auf US-Servern. Das Schrems-II-Urteil des EuGH (2020) hat klargestellt: US-Recht ermöglicht US-Behörden potenziellen Zugriff auf Daten, den vertragliche Vereinbarungen allein nicht vollständig absichern können. Standard-Contractual Clauses helfen, lösen dieses strukturelle Spannungsfeld aber nicht vollständig auf.
Für Unternehmen entsteht daraus ein Risiko: Sobald Mitarbeiter Kundendaten, Konstruktionsunterlagen oder interne Prozessdaten in diese Dienste eingeben, ohne dass ein geprüfter AVV und eine Datenschutz-Folgenabschätzung vorliegen, bewegen sie sich in einer rechtlichen Grauzone. Ob das im Einzelfall eine DSGVO-Verletzung darstellt, hängt von der konkreten Nutzung und dem Unternehmenskontext ab.
Sonderfall Microsoft Copilot – drei Varianten, drei Datenschutzniveaus
Microsoft benennt seit Januar 2025 drei klar getrennte Produkte, die datenschutzrechtlich nicht gleichzusetzen sind:
- Microsoft 365 Copilot (lizenzpflichtig, in M365-Apps integriert): Greift über Microsoft Graph auf Organisationsdaten zu. Prompts, Antworten und Graph-Daten bleiben innerhalb der M365-Dienstgrenze; kein Training mit diesen Daten. Microsoft agiert als Auftragsverarbeiter (DPA). Zwei strukturelle Ausnahmen: (1) Die Bing/Web-Suche sendet Abfragen außerhalb dieser Grenze – dort agiert Microsoft als eigener Verantwortlicher, nicht mehr als Auftragsverarbeiter, und das DPA gilt für diese Queries nicht. (2) Anthropic-Modelle innerhalb von Copilot sind von der EU-Datengrenze ausgenommen und in der EU/EFTA/UK standardmäßig deaktiviert – sie müssen vom Admin aktiv freigeschaltet werden. Fazit: Mit korrekter Konfiguration (Bing deaktivieren, Berechtigungs-Hygiene, AVV, Datenschutz-Folgenabschätzung) bedingt DSGVO-tauglich. Kein Plug-and-Play.
- Microsoft 365 Copilot Chat (für viele M365-Pläne ohne Aufpreis, Entra-ID-Anmeldung): Enterprise Data Protection (EDP) gilt – Prompts und Antworten innerhalb der M365-Dienstgrenze, kein Foundation-Model-Training. Dasselbe Bing-Problem wie oben: Web-Suche kann ohne Admin-Policy standardmäßig aktiv sein und kippt dann in Microsofts Controller-Rolle. Für viele Pläne standardmäßig aktiviert und gepinnt – viele Unternehmen nutzen es, ohne eine bewusste Entscheidung getroffen zu haben. Admin-Steuerung ist möglich (Integrated Apps, Edge-Gruppenrichtlinien, Tenant Restrictions), aber nicht trivial.
- Microsoft Copilot (Consumer/persönliches Microsoft-Konto): Kein EDP, kein Auftragsverarbeitungsvertrag. Für berufliche Nutzung mit Unternehmensdaten nicht geeignet.
Shadow-IT: das unterschätzte Alltagsrisiko
Unabhängig von der Plattform entsteht das größte Risiko oft nicht durch bewusste Entscheidungen, sondern durch unkontrollierte Nutzung: Mitarbeiter verwenden private ChatGPT-Accounts oder Consumer-Copilot für Arbeitsaufgaben – ohne Wissen der IT, ohne AVV, ohne Datenschutzkonzept. Gerade in der Automobilindustrie mit IATF 16949 oder ISO 26262 kann das bei einem Audit zum Problem werden.
EU AI Act: Was bereits jetzt gilt
Der EU AI Act ist gestaffelt in Kraft getreten. Zwei Punkte gelten bereits heute:
- KI-Kompetenz (Artikel 4), seit Februar 2025: Unternehmen, die KI einsetzen, müssen sicherstellen, dass Mitarbeitende ein angemessenes KI-Kompetenzniveau haben – bezogen auf den konkreten Einsatzkontext und das jeweilige Risiko.
- GPAI-Rahmen, seit August 2025: Pflichten für Anbieter von KI-Basismodellen sind aktiv. Für Unternehmen, die KI-Dienste einkaufen, ist das primär ein Due-Diligence-Thema: Welche Compliance-Garantien liefert der Anbieter?
Ab August 2026 kommen Transparenzpflichten und – abhängig vom Einsatzbereich – Hochrisiko-Anforderungen hinzu. Copilot kann in Hochrisiko-Kategorie fallen, wenn es für Entscheidungsunterstützung in sensiblen Bereichen eingesetzt wird (Personal, Zugangsentscheidungen u. ä.). Das ist kein Automatismus, aber ein Punkt, den Unternehmen bei der Einführung prüfen sollten.
Die Alternative: KI auf EU-Infrastruktur
Es gibt DSGVO-konforme KI-Plattformen mit Hosting ausschließlich in Deutschland oder der EU, ohne Datenweitergabe an Dritte und mit vollständigem AVV – ohne den Konfigurationsaufwand, den Enterprise-M365 erfordert.
Eine davon ist meinGPT – entwickelt von Select Code GmbH in Deutschland. Datenhaltung in Deutschland, kein Training mit Eingaben, DSGVO-konformer AVV inklusive. Für Unternehmen, die KI produktiv und mit klarer Rechtsbasis einsetzen wollen, ist das ein direkter Einstieg – ohne Compliance-Projekt im Vorfeld.
Für wen ist das besonders relevant?
- Automotive Tier 1 und Tier 2 Zulieferer mit IATF 16949 / ISO 26262
- Engineering-KMUs mit sensiblen Konstruktions- oder Kundendaten
- Unternehmen, die KI-Nutzung intern regeln und absichern wollen
- Teams, die bereits ChatGPT, Copilot oder Gemini nutzen – und wissen, dass die rechtliche Basis fehlt
meinGPT lässt sich ohne IT-Infrastruktur innerhalb eines Tages einführen. Für Teams, die darüber hinaus KI-Assistenten für spezifische Engineering-Aufgaben brauchen – FMEA, Risikoanalyse, Anforderungsmanagement – lässt sich die Plattform direkt damit verbinden.
Thomas Luft ist FMEA-Experte mit 30 Jahren Automotive-Erfahrung und berät Unternehmen beim Aufbau KI-gestützter Engineering-Prozesse. Dieser Artikel gibt einen praxisorientierten Überblick und ersetzt keine Rechtsberatung.