ChatGPT & Datenschutz 2026: Werden deine Daten gespeichert?
ChatGPT verarbeitet Nutzereingaben und kann Daten zum Training verwenden. Deutsche Datenschutzbehörden sehen die Nutzung kritisch. Hier erfährst du, welche Daten betroffen sind, wie du dich schützt und was für Unternehmen gilt.
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar und ersetzt keine individuelle Prüfung durch einen Datenschutzexperten oder Rechtsanwalt.
Das Wichtigste in Kürze
- →Eingaben werden gespeichert – und können zur Modellverbesserung verwendet werden, sofern das Training nicht deaktiviert wurde.
- →DSGVO-Status unklar – Italien hat OpenAI 15 Mio. € Bußgeld auferlegt, deutsche Behörden sind skeptisch.
- →Free/Plus vs. Business/Enterprise – Business- und Enterprise-Tarife bieten AV-Vertrag und EU-Datenspeicherung.
- →Training abschalten – über Profil → Einstellungen → Datenkontrollen.
- →Grundregel – behandle ChatGPT wie ein öffentliches Forum. Keine Namen, Passwörter oder Kundendaten.
Was passiert mit deinen Daten bei ChatGPT?
ChatGPT verarbeitet und speichert Nutzereingaben. Bei der kostenlosen Version und ChatGPT Plus können Inhalte standardmäßig zur Verbesserung der Modelle verwendet werden, sofern das Training nicht deaktiviert wurde. Eingaben können zur allgemeinen Modellverbesserung beitragen, nicht jedoch als konkrete, wiederabrufbare Inhalte.
Konkret: Wenn du den Namen eines Kunden, eine interne Strategie oder persönliche Gesundheitsdaten eingibst, können diese Informationen in den Trainingspool einfließen. Mehrere Datenschutzbeschwerden in Europa zeigen zudem: ChatGPT kann falsche Aussagen über reale Personen erzeugen. Das gilt als datenschutzrechtliches Risiko, auch ohne direkten Datenabfluss.
So verarbeitet OpenAI deine Daten
- →Reguläre Chats (Free/Plus): Gespeichert, standardmäßig fürs Training genutzt (Opt-Out möglich). Gilt nicht für Business/Enterprise.
- →Temporäre Chats: Nach 30 Tagen gelöscht, nicht fürs Training genutzt
- →Memory-Funktion: ChatGPT merkt sich Infos sitzungsübergreifend – abschaltbar
- →API-Daten: Werden nicht fürs Training verwendet
- →Verschlüsselung: TLS 1.2+ beim Transfer, AES-256 bei Speicherung
Ist ChatGPT DSGVO-konform?
Die kurze Antwort: Es kommt auf den Tarif an. Die lange Antwort ist komplizierter.
Im Dezember 2024 hat die italienische Datenschutzbehörde OpenAI ein Bußgeld von 15 Millionen Euro auferlegt. Die Vorwürfe: Training mit personenbezogenen Daten ohne Rechtsgrundlage, mangelnde Transparenz und fehlende Altersverifikation. OpenAI hat Berufung eingelegt, das Verfahren läuft. Stand: Januar 2026.
In Deutschland hat die Datenschutzkonferenz (DSK) eine Taskforce eingerichtet, die einen 79-Fragen-Katalog an OpenAI gesendet hat. Die deutschen Aufsichtsbehörden betonen, dass eine vollständig datenschutzkonforme Nutzung derzeit nicht ohne Weiteres gewährleistet ist, und empfehlen Unternehmen unter anderem eine Datenschutz-Folgenabschätzung (DSFA).
Seit August 2025 gelten außerdem die GPAI-Pflichten des KI-Gesetzes der EU. OpenAI muss Trainingsdaten dokumentieren und mit dem EU AI Office kooperieren. Bei Verstößen drohen bis zu 35 Millionen Euro Strafe oder 7 % des weltweiten Umsatzes.
OpenAI hat seinen europäischen Sitz 2024 nach Irland verlegt. Die irische Datenschutzkommission (DPC) ist damit die zuständige Aufsichtsbehörde in der EU. Seit Februar 2025 bietet OpenAI EU Data Residency an – Daten werden dann in Europa gespeichert. Das gilt allerdings nur für Enterprise- und API-Kunden, nicht für die kostenlose Version.
Free/Plus vs. Business/Enterprise
Der Datenschutz-Unterschied zwischen den ChatGPT-Tarifen ist erheblich. Das frühere "Team"-Abo heißt inzwischen "ChatGPT Business".
| Free / Plus | Business / Enterprise | |
|---|---|---|
| Training mit Daten | Ja (Opt-Out möglich) | Nein |
| AV-Vertrag (DPA) | Nein | Ja |
| EU Data Residency | Nein | Ja (seit Feb 2025) |
| Eigene Encryption Keys | Nein | Ja (Enterprise) |
| Daten-Aufbewahrung | Je nach Einstellung | Konfigurierbar, bis 30 Tage |
Für Unternehmen bedeutet das: Wer personenbezogene Daten verarbeitet, benötigt in der Regel mindestens den Business-Tarif mit AV-Vertrag. Aber auch dann bleibt ein Restrisiko, da Datentransfers in die USA über Standardvertragsklauseln (SCCs) erfolgen und weiterhin rechtlich umstritten sind.
So schützt du deine Daten
Unabhängig vom Tarif kannst du einige Einstellungen ändern, die den Datenschutz verbessern. Die wichtigste: das Training mit deinen Daten abschalten.
- 1.Training deaktivieren: Klicke auf dein Profil → Einstellungen → Datenkontrollen → „Modell für alle verbessern" ausschalten. Ab dann werden deine Chats nicht mehr fürs Training verwendet.
- 2.Temporären Chat nutzen: Für sensible Anfragen den Temporary Chat aktivieren. Diese Chats werden nach 30 Tagen gelöscht und nie fürs Training genutzt.
- 3.Memory prüfen: ChatGPT merkt sich Informationen über dich. Unter Settings → Personalization → Memory kannst du gespeicherte Daten löschen oder die Funktion deaktivieren.
- 4.Parental Controls: Eltern können über die Kontoeinstellungen Nutzungsbeschränkungen und Inhaltsfilter einrichten.
Datenschutz-Vergleich: ChatGPT vs. Claude vs. Gemini
Was du nie in ChatGPT eingeben solltest
Die Grundregel: Behandle ChatGPT wie ein öffentliches Forum. Alles, was du nicht in einem öffentlichen Forum posten würdest, hat auch in ChatGPT nichts verloren.
Diese Daten gehören nicht in ChatGPT
- Personenbezogene Daten: Namen, Adressen, Geburtsdaten von Kunden oder Mitarbeitern
- Zugangsdaten: Passwörter, API-Keys, Zugangscodes
- Geschäftsgeheimnisse: Interne Strategien, unveröffentlichte Finanzdaten, Verträge
- Gesundheitsdaten: Diagnosen, Medikamente, Patientenakten
- Rechtstexte mit Personenbezug: Arbeitsverträge, Abmahnungen, Kündigungen
Für Unternehmen gilt zusätzlich: Wer ChatGPT Free oder Plus nutzt, sollte nach Einschätzung der deutschen Datenschutzbehörden eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Das Ergebnis wird in den meisten Fällen sein, dass für personenbezogene Daten mindestens der Business-Tarif mit AV-Vertrag nötig ist. Manche Arbeitgeber lösen das Problem, indem sie KI-Tools am Arbeitsplatz einschränken oder komplett verbieten.
Fazit
ChatGPT ist ein starkes Werkzeug, aber datenschutzrechtlich nicht unkompliziert. Für Privatnutzer reicht es, das Training zu deaktivieren und keine sensiblen Daten einzugeben. Für einen DSGVO-konformen Einsatz mit personenbezogenen Daten ist in der Regel mindestens der Business-Tarif mit AV-Vertrag erforderlich.
Die Lage entwickelt sich: EU Data Residency seit Februar 2025, neue aktualisierte DPA-Verträge, der EU AI Act mit Transparenzpflichten seit August 2025. OpenAI bewegt sich in die richtige Richtung, aber die deutschen Behörden bleiben skeptisch. Einen vollständigen Überblick zu DSGVO und KI-Verordnung für Unternehmen gibt unser KI & DSGVO Überblick. Wer auf Nummer sicher gehen will, sollte die Datenschutzrichtlinien aller Anbieter regelmäßig prüfen. Auch Claude setzt inzwischen auf Opt-Out statt Opt-In fürs Training.
Zusammengefasst
- →Privatnutzer: Training deaktivieren, keine sensiblen Daten eingeben, Memory prüfen
- →Unternehmen: In der Regel mindestens Business-Tarif, DSFA durchführen, EU Data Residency aktivieren
- →Consumer-Tarife: ChatGPT, Claude und Gemini setzen überwiegend auf Opt-Out fürs Training – Details unterscheiden sich je nach Tarif und Region
Häufige Fragen
Ist ChatGPT in Deutschland erlaubt?
Ja, ChatGPT ist in Deutschland erlaubt. Die deutschen Datenschutzbehörden sehen eine vollständig datenschutzkonforme Nutzung allerdings als problematisch an. Für Privatnutzer gibt es keine Einschränkungen, Unternehmen sollten eine Datenschutz-Folgenabschätzung durchführen.
Ist ChatGPT für Unternehmen DSGVO-konform?
Für einen DSGVO-konformen Einsatz mit personenbezogenen Daten ist in der Regel mindestens der Business-Tarif erforderlich, da nur dieser einen Auftragsverarbeitungsvertrag (AV-Vertrag), EU Data Residency und den Ausschluss von Trainingsdaten bietet.
Welche KI ist am datenschutzfreundlichsten?
Bei Consumer-Tarifen setzen ChatGPT, Claude und Gemini überwiegend auf Opt-Out-Modelle fürs Training. Die konkreten Voreinstellungen unterscheiden sich je nach Tarif und Region. Für maximalen Datenschutz in Unternehmen bieten alle drei Business-Tarife mit AV-Vertrag.
Was ändert der EU AI Act für ChatGPT?
Seit August 2025 gelten GPAI-Pflichten: OpenAI muss Trainingsdaten dokumentieren, technische Dokumentation führen und mit dem EU AI Office kooperieren. Bei Verstoß drohen Strafen bis 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Quellen
- Garante-Bußgeld gegen OpenAI: GDPRhub – Garante per la protezione dei dati personali, Dezember 2024
- DSK-Taskforce und Fragenkatalog: LfDI Rheinland-Pfalz – Datenschutzrechtliche Prüfung von ChatGPT
- EU AI Act – GPAI-Pflichten und Zeitplan: EU Artificial Intelligence Act – Implementation Timeline
- OpenAI Sitz in Irland: OpenAI Blog – Introducing OpenAI Dublin
- EU Data Residency: OpenAI Blog – Introducing Data Residency in Europe, Februar 2025
- Enterprise Privacy, DPA und Verschlüsselung: OpenAI – Enterprise Privacy
- Claude Opt-Out und Datenaufbewahrung: Anthropic – Updates to Our Consumer Terms, August 2025
- ChatGPT Memory-Funktion: OpenAI Blog – Memory and New Controls for ChatGPT
- ChatGPT Parental Controls: OpenAI Blog – Introducing Parental Controls
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar und ersetzt keine individuelle Prüfung durch einen Datenschutzexperten oder Rechtsanwalt. Die konkrete Umsetzung sollte im Einzelfall juristisch begleitet werden. Trotz sorgfältiger Recherche kann keine Gewähr für Vollständigkeit und Aktualität übernommen werden.
Über den Autor
Testet und erklärt KI-Tools, damit du sie sofort einsetzen kannst. Begeistert sich für Web Development und KI-Automatisierungen.
Mehr über das Team →Teil des Guides: Regulierung & Recht
KI & DSGVO: Der Überblick für Unternehmen (2026)
