# ChatGPT DSGVO-konform nutzen: Leitfaden 2026

> ChatGPT DSGVO-konform im Unternehmen einsetzen: Rechtsgrundlagen, erlaubte Eingaben, Team vs. Enterprise vs. API, EU-Alternativen & fertige KI-Richtlinie.

Veröffentlicht: 2026-07-10
Autor: Simon (alloq.digital)
HTML-Version: https://alloq.digital/de/blog/chatgpt-dsgvo-unternehmen/

---

**TL;DR:** Du kannst ChatGPT DSGVO-konform einsetzen - aber nicht mit der kostenlosen Standardversion. Der Weg führt über eine kostenpflichtige Business-Lizenz (Team, Enterprise oder API) mit Auftragsverarbeitungsvertrag, deaktiviertem Training auf deinen Eingaben, klaren Regeln für erlaubte Inhalte und einer Absicherung des US-Transfers. Verbindlich machst du das Ganze mit einer KI-Richtlinie, die dieser Leitfaden als Checkliste mitliefert.

## Ist ChatGPT DSGVO-konform? Die kurze Antwort für Unternehmen

![Illustration der drei Bausteine für DSGVO-konforme ChatGPT-Nutzung: Lizenz, Konfiguration und Nutzungsregeln](/blog/chatgpt-dsgvo-unternehmen-illustration-1.webp)

Die ehrliche Antwort: ChatGPT ist nicht out of the box DSGVO-konform. Die Konformität hängt davon ab, welche Lizenz gewählt wird, wie du sie konfigurierst und was deine Mitarbeiter eingeben. Die Frage "Dürfen wir ChatGPT nutzen?" stellt sich für die meisten KMU falsch. Die richtige Frage lautet: "Wie setzen wir es so auf, dass es rechtssicher läuft?"

Kostenlose Version, einfacher Plus-Account für Privatnutzer - beide scheitern im Unternehmenskontext an drei Punkten. OpenAI kann Eingaben standardmäßig für das Modell-Training verwenden. Du hast keinen Auftragsverarbeitungsvertrag. Und die Datenverarbeitung läuft ohne vertragliche Absicherung über US-Server. Sobald ein Mitarbeiter personenbezogene Daten in das System eingibt, greift die DSGVO - das gilt für jedes KI-Tool, nicht nur für ChatGPT.

Konformität ist kein Produktmerkmal. Sie ist das Resultat aus 3 Bausteinen: Lizenz, Konfiguration und Nutzungsregeln. Für ein KMU mit 10-50 Mitarbeitern heißt das konkret: Du brauchst keine monatelange Rechtsprüfung, sondern einen strukturierten Umsetzungsplan. Genau den bekommst du in den folgenden Abschnitten.

## Rechtsgrundlagen verständlich: Was die DSGVO bei ChatGPT verlangt

![Illustration einer Waage, die berechtigtes Interesse gegen die Rechte betroffener Personen bei der ChatGPT-Nutzung abwägt](/blog/chatgpt-dsgvo-unternehmen-illustration-2.webp)

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Für den typischen KI-Einsatz im Unternehmen kommen zwei Grundlagen in Frage: das berechtigte Interesse (Art. 6 Abs. 1 lit. f) - etwa für Effizienzsteigerung bei internen Prozessen - oder die Einwilligung der Betroffenen (Art. 6 Abs. 1 lit. a), wenn du Daten von Kunden oder Bewerbern verarbeitest. Beim berechtigten Interesse musst du dokumentiert abwägen: Dein Interesse an der KI-Nutzung gegen die Rechte der betroffenen Personen.

Wichtig für die Einordnung: Der EU AI Act ersetzt diese Prüfung nicht. Die KI-Verordnung regelt personenbezogene Daten nicht direkt - dafür gilt weiterhin die DSGVO, sodass du beide Regelwerke parallel beachten musst. Wer glaubt, mit AI-Act-Compliance sei die Datenschutzfrage erledigt, übersieht die Hälfte der Pflichten.

Zwei weitere Kernpflichten prägen den KI-Einsatz: Zweckbindung - du verarbeitest Daten nur für den definierten Zweck, nicht "für alles, was die KI kann" - und Transparenz. Betroffene müssen erfahren können, dass und wie du KI einsetzt. Verarbeitest du mit KI Daten, die voraussichtlich ein hohes Risiko für die Rechte Betroffener darstellen, verlangt die DSGVO zusätzlich eine Datenschutz-Folgenabschätzung - relevant etwa bei HR-Analysen oder Profiling.

### AVV mit OpenAI abschließen: Auftragsverarbeitung Schritt für Schritt

Sobald OpenAI in deinem Auftrag personenbezogene Daten verarbeitet, verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV). Ein solcher Vertrag wird üblicherweise als Data Processing Addendum (DPA) bezeichnet und in der Regel für Business-Produkte wie Team, Enterprise und die API angeboten. So gehst du vor:

1. **Lizenz wählen:** Team, Enterprise oder API-Zugang einrichten - für kostenlose Versionen fehlt eine solche vertragliche Grundlage in der Regel.
2. **DPA abschließen:** Das Data Processing Addendum findest du im Privacy-Bereich von OpenAI; du akzeptierst es online für deine Organisation.
3. **Training prüfen:** Bei Business-Lizenzen lässt sich das Training auf deinen Eingaben in der Regel deaktivieren. Verlasse dich nicht auf den Standard - prüfe die Einstellung in der Admin-Konsole und dokumentiere den Status.
4. **Rollenverteilung klären:** Beim klassischen Prompt-Workflow agiert OpenAI als Auftragsverarbeiter (Art. 28). Für das Training seiner Basismodelle handelt OpenAI dagegen eigenverantwortlich - dieser Teil liegt außerhalb deines AVV. Eine gemeinsame Verantwortlichkeit nach Art. 26 entsteht im Normalfall nicht, solange du OpenAI nur als Werkzeug im Auftrag nutzt.

Der AVV ist kein Papierkram für die Schublade. Er definiert, was OpenAI mit deinen Daten tun darf, welche Subunternehmer beteiligt sind und wie Löschung funktioniert. Ohne ihn fehlt deiner Nutzung die vertragliche Basis - unabhängig davon, wie vorsichtig deine Mitarbeiter prompten.

Zwei neuere Funktionen brauchen beim Setup besondere Aufmerksamkeit. Die Memory-Funktion merkt sich Inhalte über einzelne Chats hinweg und legt so zusätzliche personenbezogene Daten an - prüfe, ob sie in deiner Lizenz aktiv ist, und deaktiviere sie, wenn du sie nicht kontrolliert brauchst. Connectors und Plugins wiederum verbinden ChatGPT mit externen Diensten wie E-Mail, Kalender oder Dateiablagen; jede solche Anbindung öffnet einen neuen Datenkanal, den du einzeln freigeben und im Verarbeitungsverzeichnis dokumentieren solltest. Neuere Modellgenerationen ändern an dieser Logik nichts. Entscheidend bleibt, welche Daten das Modell konsumiert  und wo sie abgespeichert werden.

### Datenübermittlung in die USA: SCC, Data Privacy Framework & EU-Datenresidenz

OpenAI ist ein US-Unternehmen. Damit ist der Drittlandtransfer nach Art. 44 ff. DSGVO dein zweiter zentraler Prüfpunkt. Die DSGVO erlaubt Übermittlungen in die USA nur mit geeigneten Garantien. Zwei Mechanismen kommen dafür in der Regel in Frage: das EU-US Data Privacy Framework (für zertifizierte US-Unternehmen) und die Standardvertragsklauseln (SCC), die häufig in das jeweilige DPA integriert werden. Prüfe beim Abschluss, welcher Mechanismus für deinen Vertrag greift, und halte das im Verarbeitungsverzeichnis fest.

Noch besser als ein abgesicherter Transfer ist ein vermiedener Transfer. Manche Anbieter bieten für ihre Business-Produkte eine Data-Residency-Option mit Datenspeicherung in der EU-Region an. Damit bleiben gespeicherte Inhalte in Europa - ein Punkt, den viele ältere Ratgeber noch verneinen. Prüfe beim Setup aktiv, ob deine Lizenz die EU-Region unterstützt, und aktiviere sie, wo verfügbar.

Bleibt das Restrisiko US-Behördenzugriff. Ordne es pragmatisch ein: Für Marketing-Texte, Recherche und anonymisierte Inhalte ist dieses Risiko vertretbar und dokumentierbar. Für besonders sensible Daten - Gesundheitsdaten, Mandanteninformationen, kritischer Quellcode - lautet die sauberste Antwort nicht "besserer Vertrag", sondern "diese Daten gehören gar nicht in das Tool". Genau dafür gibt es die Ampel-Liste weiter unten.

## EU AI Act Basics 2026: Was Unternehmen bei ChatGPT-Nutzung beachten müssen

![Kennzahlen-Karte zum Zeitplan des EU AI Act für die ChatGPT-Nutzung im Unternehmen](/blog/chatgpt-dsgvo-unternehmen-chart-3.svg)

*Zentrale Meilensteine der EU-KI-Verordnung laut ki-anker.de.*

Die EU-KI-Verordnung gilt seit dem 1. August 2024 und tritt stufenweise in Kraft. Sie verfolgt einen risikobasierten Ansatz: Je riskanter der KI-Einsatz, desto strenger die Pflichten. ChatGPT als generative KI fällt für die meisten Unternehmensanwendungen in den Bereich mit Transparenzpflichten - kein Hochrisiko-System, aber auch kein regelungsfreier Raum.

Der Zeitplan, den du kennen musst:

- **Seit 2. Februar 2025:** Besonders problematische KI-Praktiken wie Social Scoring sind verboten. Daneben sieht die KI-Verordnung eine KI-Kompetenzpflicht aus Art. 4 vor: Du musst sicherstellen, dass Mitarbeiter, die KI-Systeme bedienen, dafür ausreichend geschult sind.
- **General-Purpose-AI-Modelle:** Für Anbieter von GPAI-Modellen gelten gesonderte Governance-Regeln - das betrifft primär OpenAI selbst, nicht dich als Nutzer.
- **Stufenweise Umsetzung:** Die Verordnung wird schrittweise wirksam - weitere Pflichten, unter anderem für bestimmte Hochrisiko-Systeme, greifen erst zu späteren Zeitpunkten.

Operativ bedeutet das für ChatGPT-Nutzer zwei Punkte. Erstens: Schule deine Mitarbeiter im sicheren Umgang mit KI und dokumentiere diese Schulungen - eine kurze, wiederholte interne Session mit Teilnehmerliste reicht als Startpunkt. Zweitens: Kennzeichne KI-generierte Inhalte dort, wo Transparenzpflichten greifen, etwa bei KI-generierten Texten oder Bildern, die den Eindruck echter Personen oder Ereignisse erwecken könnten. Beides gehört als Pflichtbaustein in deine KI-Richtlinie.

## Was Mitarbeiter eingeben dürfen - und was nicht (Ampel-Liste)

![Ampel-Illustration als Sinnbild für erlaubte und verbotene Eingaben bei ChatGPT im DSGVO-Kontext](/blog/chatgpt-dsgvo-unternehmen-illustration-4.webp)

Die meisten Datenschutzverstöße bei ChatGPT passieren nicht durch die Technik, sondern durch Eingaben. In Community-Diskussionen von Gründern und Entwicklern zeigt sich immer wieder dasselbe Muster: Unsicherheit darüber, wo genau die Grenze verläuft. Abstrakte Regeln wie "keine personenbezogenen Daten" helfen im Alltag nicht weiter. Diese Ampel-Liste schon.

**🟢 Grün - erlaubt ohne Einschränkung:**

- Öffentlich verfügbare Informationen (Website-Texte, veröffentlichte Berichte)
- Vollständig anonymisierte Texte ohne Rückschlussmöglichkeit auf Personen. Achtung: Echte Anonymisierung (kein Re-Identifikationsrisiko) hat höhere Anforderungen als bloßes Namen-Entfernen - bleibt eine Rückführung über Kontext oder Kombination mit anderen Daten möglich, handelt es sich nur um Pseudonymisierung, und es gilt Gelb
- Allgemeine Recherche- und Wissensfragen
- Generischer Code ohne Zugangsdaten, Secrets oder proprietäre Logik
- Textentwürfe, Übersetzungen und Zusammenfassungen ohne Personenbezug

**🟡 Gelb - nur pseudonymisiert oder mit Platzhaltern:**

- E-Mail- und Angebotsentwürfe: Namen durch Platzhalter wie "[Kunde]" ersetzen
- Interne Prozessbeschreibungen ohne Mitarbeiternamen
- Meeting-Notizen, nachdem du alle Personenbezüge entfernt hast
- Vertragsklauseln ohne Vertragsparteien und ohne konkrete Konditionen

**🔴 Rot - verboten, auch in Business-Lizenzen:**

- Kundendaten (Namen, Kontaktdaten, Kaufhistorie, Support-Verläufe)
- HR- und Bewerberdaten (Lebensläufe, Gehaltsdaten, Beurteilungen)
- Gesundheitsdaten und andere besondere Kategorien nach Art. 9 DSGVO
- Geschäftsgeheimnisse, Kalkulationen, M&A-Informationen
- Zugangsdaten, API-Keys, Passwörter
- Sensibler oder sicherheitskritischer Quellcode

Das Praxis-Prinzip dahinter heißt Datenminimierung: Im Zweifel lässt du die Information weg oder anonymisierst sie, bevor du den Prompt abschickst. Ein guter Test: Würdest du den Prompt-Inhalt auch einem externen Dienstleister ohne Vertrag per E-Mail schicken? Wenn nein, gehört er nicht in das Tool.

## ChatGPT Team vs. Enterprise vs. API vs. EU-Alternative: Entscheidungsmatrix

Statt einer pauschalen Empfehlung ordnest du die Lizenz am besten deinem Schutzbedarf zu. Die Kriterien, die zählen: Datenstandort, AVV-Verfügbarkeit, Training auf Prompts, Admin-Funktionen und Abrechnungsmodell. Die folgenden Angaben sind grobe Orientierungswerte und können sich je nach Anbieter und Tarif ändern - prüfe die aktuellen Konditionen vor deiner Entscheidung beim jeweiligen Anbieter.

| Kriterium | ChatGPT Team | ChatGPT Enterprise | API / Azure OpenAI (EU) | EU-Alternative / Self-Hosting |
|---|---|---|---|---|
| AVV/DPA verfügbar | Ja | Ja | Ja | Ja (anbieterabhängig) |
| Training auf Prompts | Standardmäßig deaktiviert | Standardmäßig deaktiviert | Standardmäßig deaktiviert | Nein bzw. selbst kontrolliert |
| EU-Datenresidenz | Eingeschränkt - Stand prüfen | Ja, als Option | Ja, EU-Region wählbar | Ja, vollständig |
| SSO / Audit-Logs | Basis-Verwaltung | Ja, umfassend | Selbst zu implementieren | Selbst zu implementieren |
| Abrechnung | Pro Nutzer/Monat | Pro Nutzer, Vertragsbasis | Nutzungsbasiert | Lizenz- oder Infrastrukturkosten |
| Passt zu Schutzbedarf | Normal | Erhöht | Erhöht bis hoch | Hoch bis sehr hoch |

Die Zuordnung in der Praxis:

- **ChatGPT Team** ist der schnellste konforme Einstieg für kleine Teams: AVV abschließbar, kein Training auf deinen Daten, zentrale Verwaltung. Für Marketing, Texterstellung und Recherche mit normaler Sensibilität reicht das.
- **Enterprise** lohnt sich bei erhöhtem Schutzbedarf: EU-Datenresidenz als Option, SSO, Audit-Logs und granulare Kontrollen. Sinnvoll ab dem Punkt, an dem mehrere Abteilungen mit teils sensiblen Inhalten arbeiten.
- **API oder Azure OpenAI in der EU-Region** gibt dir maximale Kontrolle: Du bestimmst, welche Daten das Modell überhaupt erreichen, und integrierst KI direkt in eigene Workflows und Systeme - der richtige Weg, sobald KI nicht nur Chat-Werkzeug, sondern Teil deiner Prozesse sein soll.
- **EU-Alternativen und Self-Hosting** sind die Wahl für sensible Branchen wie Gesundheit, Recht oder Finanzen, in denen schon der abgesicherte US-Transfer ein Diskussionspunkt bleibt.

## DSGVO-konforme ChatGPT-Alternativen & Self-Hosting-Optionen

Wenn dein Schutzbedarf über das hinausgeht, was OpenAI-Lizenzen abdecken, hast du drei realistische Wege.

**EU-native Anbieter:** Anbieter wie Mistral mit Le Chat oder Aleph Alpha positionieren sich als europäische Alternativen, die sich an Unternehmen mit Datenschutzanforderungen richten. Die Modellqualität hat in den letzten Jahren stark aufgeholt - für einfache Text- und Zusammenfassungsaufgaben reicht sie im Alltag oft aus. Bei komplexem Reasoning, langen Analysen oder anspruchsvollen Coding-Aufgaben bleibt teils noch ein Abstand zu den führenden GPT- oder Claude-Modellen, den du für deinen Anwendungsfall konkret testen solltest. Welche Tools sich im Detail wie schlagen, zeigt unser Vergleich [15 KI-Tools im DSGVO-Test](/de/blog/ki-marketing-tools-vergleich/).

**Azure OpenAI in der EU-Region:** Der Hybrid-Weg - du nutzt die GPT-Modelle von OpenAI, während Microsoft sie je nach Konfiguration in europäischen Rechenzentren unter eigenen Vertragsbedingungen betreiben kann. Für Unternehmen, die bereits im Microsoft-Ökosystem arbeiten, oft der pragmatischste Kompromiss aus Modellqualität und Datenkontrolle.

**Self-Hosting mit Open-Source-LLMs:** Modelle wie Llama- oder Mistral-Varianten auf eigener Infrastruktur geben dir volle Datensouveränität - keine Daten verlassen dein System. Der Preis dafür: Du trägst Betriebsaufwand, Hardware-Kosten und Modell-Updates selbst, und kleinere selbst gehostete Modelle erreichen nicht immer die Qualität der großen Cloud-Modelle. Für ein KMU lohnt sich dieser Weg meist nur bei wirklich sensiblen Daten oder hohem Volumen.

Wäge die Trade-offs ehrlich ab: Kontrolle kostet entweder Geld (Enterprise, Azure) oder Aufwand (Self-Hosting). Die schlechteste Option ist, aus Angst vor der falschen Wahl bei der ungeregelten Gratis-Version zu bleiben. Dann hast du das höchste Risiko bei null Kontrolle.

## KI-Richtlinie fürs Unternehmen: Checkliste zum Adaptieren

Lizenz und Konfiguration regeln die Technik. Die Richtlinie regelt das Verhalten. Diese Struktur kannst du direkt übernehmen und an dein Unternehmen anpassen:

**1. Zweck und Geltungsbereich**
- Für wen gilt die Richtlinie (alle Mitarbeiter, Freelancer, Werkstudenten)?
- Für welche Tools gilt sie (namentliche Liste der freigegebenen KI-Tools)?

**2. Freigegebene Tools und Konten**
- Nur Unternehmens-Accounts mit AVV - keine privaten Accounts für Firmenzwecke
- Training auf Eingaben ist deaktiviert; der Admin prüft das quartalsweise

**3. Erlaubte und verbotene Eingaben**
- Die Ampel-Liste aus diesem Artikel als verbindliche Anlage
- Grundregel: Im Zweifel anonymisieren oder weglassen

**4. Umgang mit KI-Output**
- Ergebnisse fachlich prüfen, bevor sie das Unternehmen verlassen
- KI-generierte Inhalte kennzeichnen, wo Transparenzpflichten greifen
- Keine ungeprüften KI-Aussagen in Verträgen, Angeboten oder Rechtsthemen

**5. Rollen und Verantwortlichkeiten**
- Wer gibt neue Tools frei (z. B. Geschäftsführung plus Datenschutzverantwortlicher)?
- Wer schult die Mitarbeiter und dokumentiert die Schulungen (Art. 4 KI-Verordnung)?
- Wer prüft die Konfiguration regelmäßig?

**6. Meldeweg bei Vorfällen**
- Versehentlich sensible Daten eingegeben? Sofort an den Datenschutzverantwortlichen melden - ohne Schuldzuweisung, damit Mitarbeiter Vorfälle wirklich melden
- Prüfung, ob eine meldepflichtige Datenpanne nach Art. 33 DSGVO vorliegt

**7. Inkraftsetzung**
- Richtlinie von der Geschäftsführung verabschieden, von allen Mitarbeitern bestätigen lassen, jährlich überprüfen

Der wichtigste Erfolgsfaktor ist nicht das Dokument, sondern die Schulung. Eine Richtlinie, die niemand kennt, schützt niemanden. Plane eine kurze Einführungssession und wiederhole sie für neue Mitarbeiter - damit erfüllst du gleichzeitig die KI-Kompetenzpflicht.

## Datenschutz by Design in produktiven KI-Workflows umsetzen

Richtlinie und Lizenz sind die Compliance-Basis. Wer KI aber produktiv in Prozesse einbaut, sollte Datenschutz in die Architektur verlagern statt in Verhaltensregeln. Der Grund ist simpel: Regeln können von Mitarbeitenden vergessen werden - die Architektur allerdings nicht.

Drei Hebel machen das konkret:

**Anonymisierung vor dem Prompt automatisieren:** Statt darauf zu hoffen, dass jeder Mitarbeiter Namen durch Platzhalter ersetzt, baust du einen Zwischenschritt in den Workflow ein, der personenbezogene Daten automatisch erkennt und maskiert, bevor sie das KI-Modell erreichen. Nach der Antwort setzt der Workflow die Originaldaten wieder ein. Diese automatische Maskierung reduziert das Risiko deutlich, arbeitet aber nie fehlerfrei - Named-Entity-Erkennung übersieht Randfälle und erzeugt False Negatives. Sie ersetzt deshalb keine sorgfältige Datenauswahl; für Rot-Kategorien bleibt es beim Grundsatz, sie gar nicht erst einzugeben.

**Gateway statt Direktzugriff:** Wenn deine Systeme über ein zentrales Gateway mit KI-Modellen sprechen, kontrollierst du an einer Stelle, welche Daten fließen, protokollierst Zugriffe und tauschst das Modell bei Bedarf aus - etwa von einem US-Anbieter auf eine EU-Alternative. Werkzeuge wie n8n eignen sich genau dafür; wenn dir das Konzept neu ist, findest du in [n8n einfach erklärt](/de/blog/n8n-einfach-erklaert/) den Einstieg.

**EU-Hosting der Automatisierungsschicht:** Die Workflows selbst - inklusive aller Zwischendaten - laufen auf europäischer Infrastruktur. Wie das praktisch aussieht, zeigt unser Guide zur [DSGVO-konformen n8n-Automatisierung mit Self-Hosting](/de/blog/n8n-automatisierung-guide/).

Genau nach diesem Prinzip arbeiten wir bei alloq: Als Teil unserer [KI-Automatisierung für KMU](https://alloq.digital/de/leistungen/ki-automatisierung/) bauen wir die technische Grundlage für DSGVO-konforme Nutzung auf europäischer Infrastruktur - von der Datenverarbeitung bis zum automatisierten Kundenservice. Wenn du KI nicht nur als Chat-Tool nutzen, sondern rechtssicher in deine Kernprozesse integrieren willst, ist das der Punkt, an dem sich ein Gespräch lohnt.

## FAQ: ChatGPT und DSGVO

### Ist die kostenlose Version von ChatGPT DSGVO-konform?

Nein. Der Gratis-Version fehlt der Auftragsverarbeitungsvertrag, OpenAI kann Eingaben für das Training verwenden, und der US-Transfer läuft ohne die vertragliche Absicherung, die Business-Lizenzen bieten. Im Unternehmenskontext führen Team, Enterprise oder die API mit abgeschlossenem DPA zur Konformität.

### Brauche ich für ChatGPT einen Auftragsverarbeitungsvertrag?

Ja - sobald du personenbezogene Daten über das Tool verarbeitest, verlangt Art. 28 DSGVO einen AVV. Ein solches Data Processing Addendum wird in der Regel für Business-Produkte wie Team, Enterprise und die API angeboten und online abgeschlossen.

### Welche Daten dürfen Mitarbeiter auf keinen Fall eingeben?

Kundendaten, HR- und Bewerberdaten, Gesundheitsdaten, Geschäftsgeheimnisse, Zugangsdaten und API-Keys sowie sensibler Quellcode - es sei denn, du hast sie vorher vollständig anonymisiert. Die Ampel-Liste in diesem Artikel gibt dir die vollständigen Kategorien für deine Richtlinie.

### Speichert OpenAI Daten in der EU?

Manche Business-Produkte bieten eine Data-Residency-Option mit Speicherung in der EU-Region an. Automatisch gilt das nicht für jede Lizenz - prüfe beim Setup, ob dein Konto die EU-Region unterstützt, und aktiviere sie aktiv.

### Was verlangt der EU AI Act bei ChatGPT-Nutzung?

Vor allem zwei Dinge: Transparenzpflichten für KI-generierte Inhalte und die KI-Kompetenzpflicht nach Art. 4 - deine Mitarbeiter müssen im sicheren Umgang mit KI geschult sein, und du musst das dokumentieren. Die Verordnung gilt seit August 2024 und wird stufenweise wirksam; weitere Pflichten treten erst zu späteren Zeitpunkten in Kraft.

### Welche DSGVO-konforme Alternative zu ChatGPT gibt es?

EU-native Anbieter wie Mistral (Le Chat) und Aleph Alpha, Azure OpenAI in der EU-Region oder Self-Hosting mit Open-Source-LLMs. Welche Option passt, hängt von deinem Schutzbedarf ab: EU-Anbieter für den schnellen Umstieg, Azure als Hybrid-Weg, Self-Hosting für maximale Datensouveränität bei höherem Betriebsaufwand.