Magazin
KI-Tools vergleichen: ChatGPT, Copilot & Gemini auf dem DSGVO-Prüfstand

KI-Tools vergleichen: ChatGPT, Copilot & Gemini auf dem DSGVO-Prüfstand

Letztes Update:
05
.
08
.
2025
Lesezeit:
0
Min
Der Einsatz von KI-Tools ist ein gigantischer Trend in der Arbeitswelt – doch mit Innovation kommt Verantwortung: Datenschutz und DSGVO-Konformität müssen bei der Nutzung von künstlicher Intelligenz für Unternehmen an oberster Stelle stehen. Wer KI-Lösungen wie ChatGPT, Copilot oder Google Gemini einsetzt, muss wissen, wie diese Systeme mit personenbezogenen und sensiblen Daten umgehen. Die zentrale Frage ist: Welches dieser KI-Tools erfüllt die europäischen Datenschutz-Anforderungen – und wo lauern Risiken? Im folgenden Überblick erfahren Sie, wie ChatGPT, Microsoft Copilot und Google Gemini in puncto DSGVO abschneiden. Dazu beleuchten wir Schlüsselthemen wie Datenminimierung, Transparenz, Kontrollierbarkeit, Risikoabschätzung und Rechenschaftspflicht – und stellen mit DeepSeek ein Negativbeispiel für DSGVO-Verstöße vor.
KI-Tools vergleichen: ChatGPT, Copilot & Gemini auf dem DSGVO-Prüfstand
Die wichtigsten Erkenntnisse
  • DSGVO-Konformität hängt von richtiger Konfiguration der KI-Tools ab.
  • Datenminimierung und Transparenz sind zentrale Datenschutzpflichten.
  • Admins können bei allen Tools Zugriffe und Speicherungen steuern.
  • Datenschutzfolgenabschätzung (DSFA) ist für KI-Tools meist Pflicht.
  • Nicht-europäische Tools wie DeepSeek bergen hohe Datenschutzrisiken.

Datenminimierung als Grundprinzip  

Datenminimierung zählt zu den wichtigsten Grundsätzen der DSGVO (Art. 5). Erlaubt ist nur die Verarbeitung jener personenbezogenen Daten, die für den Verarbeitungszweck unbedingt nötig sind. KI-Tools benötigen für ihre Funktion oft große Datenmengen. Unternehmen stehen vor der Herausforderung, die Verarbeitung personenbezogener Daten beim Einsatz von KI auf ein sinnvolles Maß zu begrenzen.

  • ChatGPT (insbesondere in der Enterprise- oder API-Variante) ermöglicht es Geschäftskunden, den Webzugriff gezielt einzuschränken. Die Nutzung von Nutzereingaben zu Trainingszwecken kann vertraglich ausgeschlossen werden. Eine vollständige Deaktivierung des „Abuse Monitoring“ ist in der Regel jedoch nicht möglich, da OpenAI – wie alle Anbieter – gesetzlich zur Missbrauchserkennung verpflichtet bleibt.
  • Microsoft Copilot greift auf Microsoft 365-Daten zu, doch Admins können den Datenzugriff granular über das Admincenter steuern. Microsoft dokumentiert dies ausführlich im Compliance Center und Auftragsverarbeitungsvertrag. Die Trennung von Geschäfts- und Trainingsdaten ist Standard und Traingsdaten werden nicht aus Kundendaten abgeleitet.
  • Google Gemini in Google Workspace ist direkt mit mehreren Google-Diensten verknüpft – von Gmail bis Docs. Laut Data Protection Terms und Admin Guide erfolgt die Zugangskontrolle über Admin-Richtlinien. Sie muss jedoch aktiv angepasst werden, um datenschutzfreundliche Einstellungen zu gewährleisten - andernfalls ist die Standardkonfiguration meist sehr weitreichend.

Praxisbeispiel: Bei der Nutzung von KI für die Vertragserstellung sollten Unternehmen den Zugriff auf sensible HR-Daten oder Mails sperren. Nur so lässt sich die Datenminimierung tatsächlich leben.

KI-Tools datenschutzkonform nutzen:
Bleiben Sie up to date.

Informieren Sie sich jetzt über die KI-Verordnung und die wichtigsten Anforderungen an Unternehmen, um zukünftige Compliance-Herausforderungen souverän zu meistern.

Zur KI-Schulung

Transparenz in der KI-Datenverarbeitung  

Transparenz verpflichtet Anbieter und Anwender, offenzulegen, wie personenbezogene Daten verarbeitet werden.

  • ChatGPT stellt im Trust Portal Informationen zu Datenverarbeitungsprozessen bereit. In der Enterprise-Variante können Unternehmen die Speicherdauer und Löschroutinen konfigurieren. Standardmäßig werden Konversationen für einen begrenzten Zeitraum gespeichert. Die genaue Dauer und Löschoptionen sind abhängig von der gewählten Produktvariante und den vertraglichen Vereinbarungen.
  • Microsoft Copilot punktet mit klarer Dokumentation und einem Data Processing Addendum (DPA), welches die Bedingungen der Datenverarbeitung detailliert regelt.
  • Google Gemini bietet Datenschutzinformationen, die je nach Variante unterschiedlich transparent sind. In der Workspace-Version gelten die Google Controller-Data Protection Terms.  

Achtung Black Box: Trotz verbesserter Dokumentation bleiben automatisierte Entscheidungslogiken vieler KI-Tools für Anwender schwer nachvollziehbar – hier gilt es, die Datenflüsse regelmäßig zu überprüfen.

Aktueller Rechtsstreit um Datenspeicherung bei OpenAI:

Im laufenden Rechtsstreit zwischen OpenAI und der New York Times verlangt die NYT, dass OpenAI sämtliche Nutzerdaten, API-Logs und Ausgaben, die sich auf Inhalte der NYT beziehen könnten, auf unbestimmte Zeit speichert. OpenAI wehrt sich gegen diese gerichtliche Anordnung mit dem Argument, dass eine solche umfassende und unbefristete Speicherung technisch unverhältnismäßig ist, massive Datenschutzrisiken für alle Nutzer birgt und gegen die eigene Privacy-by-Design-Philosophie verstößt. Es wird betont, dass Chatverläufe grundsätzlich nicht gespeichert werden, sofern Nutzer nicht aktiv zustimmen, und dass für Unternehmenskunden mit Zero Data Retention (ZDR) ohnehin keine Daten gespeichert werden. Der Fall zeigt, dass auch externe rechtliche Anforderungen die Datenschutzpraxis beeinflussen können und Anbieter wie OpenAI sich aktiv für den Schutz der Nutzerdaten einsetzen.

Kontrollierbarkeit von KI-Tools  

DSGVO und Best Practices fordern, dass KI-gestützte Entscheidungen stets durch Menschen kontrollierbar bleiben.

  • ChatGPT Enterprise bietet Admin-Funktionen, um Konversationen zu verwalten und Sicherheitsstufen festzulegen. Ein vollständiger Einblick in alle Nutzerdaten ist jedoch aus Datenschutzgründen nicht vorgesehen; vielmehr stehen Funktionen zur Verfügung, um Löschungen und Zugriffsbeschränkungen umzusetzen.
  • Microsoft Copilot integriert sich in das Microsoft 365-Rechtemanagement und bietet umfangreiche Kontroll- und Nachverfolgungsmöglichkeiten.
  • Google Gemini ermöglicht Admins, App-Zugriffe und Rechte granular zu steuern – wobei die Komplexität mit wachsendem Funktionsumfang zunimmt.  

Tipp: Unternehmensrichtlinien sollten vorgeben, dass kritische KI-Entscheidungen einer menschlichen Überprüfung bedürfen (sog. Human-in-the-loop).  

Risikoabschätzung nach DSGVO  

Gemäß Art. 35 DSGVO ist eine Datenschutzfolgenabschätzung (DSFA) Pflicht, sobald ein hohes Risiko für die Rechte Betroffener besteht – was bei modernen KI-Tools praktisch immer zutrifft. Typische Risiken sind Diskriminierungseffekte durch algorithmic bias, Datenlecks bei fehlerhafter Konfiguration, Zweckentfremdung von Daten und intransparente Entscheidungsfindung.

  • Microsoft Copilot: Dank EU-US Data Privacy Framework sowie altbewährten Microsoft-Sicherheitsarchitekturen bestehen gute Voraussetzungen – sofern Datenzugriffe restriktiv konfiguriert sind.  
  • Google Gemini: Die umfassende Integration und lange Speicherzeiten für Prompts (bis zu 18 Monate) erhöhen die Risiken, insbesondere für Unternehmen mit sensiblen Daten.  

Empfehlung: Führen Sie für jedes Tool eine eigene DSFA durch und dokumentieren Sie sämtliche identifizierten Risiken und getroffenen Schutzmaßnahmen.  

Rechenschaftspflicht als zentrale DSGVO-Verpflichtung (Rechenschaftspflicht DSGVO, gute KI-Tools)

Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt, Datenschutz nachzuweisen – von der Konfiguration bis zur täglichen Nutzung.

  • ChatGPT: In der Enterprise-Variante ist eine Trennung von Nutzungsdaten und Trainingsdaten möglich, sofern dies vertraglich vereinbart wurde. Die Serverstandorte liegen auch in der EU, wodurch eine ausschließliche Verarbeitung in der EU ausgewählt werden kann. Admins können Konversationen löschen und bestimmte Einstellungen vornehmen, jedoch ist die Kontrolle über alle Datenflüsse technisch und organisatorisch zu prüfen.  
  • Microsoft Copilot stellt Tools wie Microsoft Purview zur Verfügung, um Audit- und Compliance-Nachweise zu sichern.  
  • Google Gemini bietet auditierbare Protokolle – diese unterscheiden sich je nach gewählter Produktversion.  

Praxistipp: Kontrollmechanismen sollten fortlaufend durch Audits überprüft und dokumentiert werden.  

Tools im DSGVO-Vergleich im Detail

| Tool | ChatGPT | Copilot | Gemini | | :--- | :--- | :--- | :--- | | **Datenschutz** | Strikte Trennung von Nutzungs- und Trainingsdaten möglich (Enterprise) | Gemäß DPA* Daten im Europäischen Wirtschaftsraum; Trennung von Geschäfts- und Benutzerdaten; keine Trainingsdaten aus Kundendaten | Datenschutzrisiken durch Integration in mehrere Workspace-Dienste | | **Serverstandorte** | USA, teilweise EU (Enterprise) | EWR/Schweiz, EU | Datenverarbeitung in auswählbaren Regionen, inkl. EU (z. B. Belgien, Deutschland, Finnland, Niederlande, Polen, Spanien, Zürich) | | **Kontrolle** | Eingeschränkter Zugriff und Löschoptionen für Unterhaltungen | Umfangreiche Admin- und Compliance-Tools | Zahlreiche Admin-Einstellungen, aber Standardzugriffe umfangreich | | **Zusätzliche Maßnahmen** | DSFA empfohlen bei personenbezogenen Daten; AVV verfügbar; Zero Data Retention für Unternehmenskunden | DSFA empfohlen bei personenbezogenen Daten; AVV verpflichtend; EU Data Boundary optional; Compliance-Reports verfügbar | DSFA empfohlen bei personenbezogenen Daten; AVV verpflichtend |

DeepSeek: Ein Negativbeispiel für KI-Tools unter der DSGVO  

DeepSeek ist ein KI-Sprachmodell aus China, das als Paradebeispiel für datenschutzrechtlich problematische Tools gilt:  

  • Das Tool speichert zahlreiche Nutzerdaten, darunter IP-Adressen, sämtliche Tastatureingaben und hochgeladene Dokumente – ohne Transparenz über Speicherorte und Datenflüsse.  
  • Chinesische Behörden können laut Anbieter auf gespeicherte Nutzerdaten zugreifen; es gibt keinen Angemessenheitsbeschluss zwischen EU und China.  
  • DeepSeek stellt keine Auftragsverarbeitungsverträge (AVV) zur Verfügung und ist nicht bereit, solche zu unterzeichnen – ein gravierender Verstoß gegen Art. 28 und 32 DSGVO.  
  • Informationspflichten, Zweckbindung und Datensicherheit werden nicht erfüllt, zudem wurden massive Datenlecks dokumentiert.  
  • Für Unternehmen drohen bei Nutzung drastische Risiken – von Bußgeldern über Daten- und Reputationsverluste bis hin zum Kontrollverlust über sensible Informationen.  

Fazit: Die Nutzung von DeepSeek ist aus DSGVO-Sicht derzeit nicht empfehlenswert.

Unternehmen sollten ausschließlich auf transparente, zertifizierte KI-Lösungen setzen, die klaren Datenschutz-Vorgaben entsprechen.

Was sind die Best Practices für die DSGVO-konforme Nutzung von KI-Tools?  

  • Entwickeln Sie klare Datenschutzrichtlinien und Nutzungsregeln für KI-Tools.
  • Schulen Sie Ihre Mitarbeitenden zu Datenschutz und KI.
  • Führen Sie regelmäßige Audits und Risikoüberprüfungen durch.
  • Vereinbaren Sie immer Auftragsverarbeitungsverträge mit Anbietern und prüfen Sie deren Einhaltung.

Fazit: KI-Tools für Compliance richtig konfigurieren

Der Vergleich zeigt: Auch leistungsstarke KI-Tools wie ChatGPT, Copilot und Gemini sind nur dann DSGVO-konform, wenn sie richtig konfiguriert und kontrolliert werden. Besondere Vorsicht ist bei nicht-europäischen Tools (wie DeepSeek) geboten, da hier zentrale DSGVO-Prinzipien verletzt werden können.

Empfehlung an Unternehmen: Prüfen Sie Tools sorgfältig, achten Sie konsequent auf Datenminimierung, Transparenz, Kontrollmöglichkeiten und regelmäßige Risikoanalysen. Nur so nutzen Sie KI innovativ – und trotzdem datenschutzkonform.

Quellen: OpenAI Trust Portal, Harwardreview, OpenAI Response, OpenAI Enterprise Privacy, Google Support, Microsoft Copilot Privacy, Empfehlung des LfD Niedersachsen zum Einsatz von DeepSeek

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
KI
Künstliche Intelligenz
DSGVO
Datenschutz im Alltag
Datenschutz im Unternehmen
Datenschutz im Internet
Redaktion
Ivona Simic
Content & Social Media Manager
Ivona Simic ist Content & Social Media Managerin bei datenschutzexperte.de. Sie verantwortet die redaktionellen Inhalte im CMS und unterstützt SEO & Content Marketing und steigert die Sichtbarkeit. Ihre operativen Stärken liegen in der Organisation und Umsetzung von Online- und Offline-Events, der Steuerung von Kooperationen sowie der Entwicklung und Optimierung von Content für verschiedene digitale Kanäle. Mit einem hands-on Ansatz sorgt sie für effiziente Prozesse und erfolgreiche Kampagnen.
Zum Autorenprofil
Zum Expertenprofil
Hischam El-Danasouri
Privacy Manager
Hischam El-Danasouri ist Privacy Manager bei Proliance und zertifizierter AI Governance Professional. Als Datenschutz- und KI-Experte unterstützt er Unternehmen bei der Umsetzung datenschutzkonformer KI-Strategien und der sicheren Nutzung moderner Technologien im Einklang mit der DSGVO.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

EU-Standardvertragsklauseln: So gelingt der internationale Datentransfer
31
.
07
.
2025
EU-Standardvertragsklauseln: So gelingt der internationale Datentransfer
Für die Übermittlung personenbezogener Daten in Drittländer - etwa in die USA – gelten seit Kurzem neue Standardvertragsklauseln, die von der EU in einer überarbeiteten Version verabschiedet wurden. Wir zeigen Ihnen, wie Sie die aktuellen SCC in der Praxis korrekt umsetzen.
WeTransfer & Datenschutz: Wie sicher ist Ihre Datenübertragung wirklich?
30
.
07
.
2025
WeTransfer & Datenschutz: Wie sicher ist Ihre Datenübertragung wirklich?
Dateiübertragungen sind mehr als nur Cloud–Upload – sie sind ein Datenschutzrisiko. WeTransfer ist ein beliebter Online-Dienst für das Versenden großer Dateianhänge. Mit der kostenlosen Version können Dateien mit einer Größe von bis zu 2 Gigabyte versendet werden. Das ist für AnwenderInnen besonders komfortabel, wenn beispielsweise Fotos oder Videos zu groß für den Versand per E-Mail sind, aber gebündelt und mit hoher Qualität versandt werden sollen. Doch kürzlich hat WeTransfer seine AGBs geändert, was die Frage aufwirft, wie sicher ist diese praktische Möglichkeit der Datenübertragung in Hinblick auf den Datenschutz noch ist. Der folgende Artikel liefert einen Überblick, welche Aspekte aus Sicht der DSGVO als kritisch zu betrachten sind und wie gut SwissTransfer als Alternative abschneidet.
NIS2-Umsetzung in Deutschland: Wie ist der aktuelle Stand beim NIS2UmsuCG?
29
.
07
.
2025
NIS2-Umsetzung in Deutschland: Wie ist der aktuelle Stand beim NIS2UmsuCG?
Während Länder wie Italien und Belgien die NIS2-Richtlinie bereits in nationales Recht umgesetzt haben, hinkt Deutschland bei der NIS2-Umsetzung hinterher. Wann tritt das „NIS2UmsuCG“ für Deutschland in Kraft und was müssen die über 30.000 betroffenen Unternehmen jetzt schon wissen?
NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen
25
.
07
.
2025
NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen
Schon heute sind Geschäftsführer verpflichtet, für IT-Sicherheit zu sorgen. Doch mit der neuen NIS2-Richtlinie wird klar: Die Verantwortung liegt unmissverständlich beim Management. Wer Pflichten ignoriert, Maßnahmen nicht überwacht oder auf Schulungen verzichtet, haftet unter Umständen persönlich. Erfahren Sie in diesem Artikel alles über die NIS2-Haftung und warum IT-Sicherheit Chefsache ist.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Bewerber
Erfüllen Sie die DSGVO-Datenschutzpflicht für Bewerber mit unserer Vorlage einfach & sicher.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Datenschutzerklärung für Kunden
Erfüllen Sie mit unserer Vorlage die DSGVO-Datenschutzinformationspflicht für Ihre Kunden.
Datenschutzerklärung Vorlage & Muster
Nutzen Sie unsere kostenlose Datenschutzerklärung Vorlage und setzen Sie die DSGVO sicher um.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!