ChatGPT im Unternehmen: Praxisleitfaden 2026 (DSGVO, BfDI, souveräne Alternativen)

Q: Unser Unternehmen zahlt bereits ChatGPT Plus für die Mitarbeitenden — ist das in Ordnung?

Nein. ChatGPT Plus bleibt ein privates Konto unter den Verbraucher-AGB von OpenAI. Es gibt keinen Auftragsverarbeitungsvertrag (Art. 28 DSGVO), keine universelle Trainings-Opt-out-Garantie, keine zentrale Audit-Logging-Funktion, keine Unternehmens-Authentifizierung. Für geschäftliche Nutzung auf nicht öffentlichen Unternehmensdaten ist der Wechsel auf ChatGPT Team oder Enterprise das absolute Minimum. Auf Plus zu bleiben bedeutet, das Unternehmen direkt einem Verstoß gegen Art. 5, 28 und 32 DSGVO auszusetzen — was die Datenschutzkonferenz (DSK) in ihrem Beschluss von 2023 explizit als unzulässig eingestuft hat.

Q: Ist ChatGPT Enterprise für das Gesundheitswesen in Deutschland zugelassen?

Nein. ChatGPT Enterprise verfügt im April 2026 weder über eine Zertifizierung nach KRITIS-Verordnung noch nach den TI-Vorgaben der gematik für die Verarbeitung personenbezogener Gesundheitsdaten. Für identifizierende Patientendaten sind die realistischen Optionen ein On-Premise-Deployment (Mistral self-hosted, Llama 3, Aleph Alpha Pharia) oder ein in Deutschland gehosteter LLM-Anbieter mit C5-Testat (IONOS, T-Systems, STACKIT). Siehe unseren Leitfaden zu KI im Gesundheitswesen.

Q: Kann man die Speicherung auf ChatGPT Enterprise vollständig deaktivieren?

Auf Enterprise lässt sich für ausgewählte Workspaces eine Zero Data Retention (ZDR) verhandeln — Konversationen werden über die Sitzung hinaus nicht aufbewahrt. OpenAI gewährt dies typischerweise für regulierte Sektoren (Bankenaufsicht BaFin, Versicherungen, kritische Infrastruktur) und große Volumen. Auf Team gilt die 30-Tage-Sicherheitsspeicherung verbindlich. Die Speicherung muss im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert sein und zur Aufbewahrungsdauer der Hauptverarbeitung passen — die DSK hat dies 2024 ausdrücklich als Prüfschwerpunkt benannt.

Q: Microsoft Copilot — ist das ChatGPT?

Nicht ganz. Microsoft 365 Copilot nutzt OpenAI-Modelle (GPT-4o, o3), gehostet auf Azure OpenAI Service — aber der Vertragspartner ist Microsoft Ireland, nicht OpenAI. Microsoft bietet einen eigenen AVV, das EU Data Boundary-Versprechen für die meisten Daten und native Integration mit Microsoft 365. Für deutsche Unternehmen, die bereits stark auf Microsoft 365 standardisiert sind (DAX-Konzerne, Mittelstand), ist Copilot oft die besser verteidigbare Route als direktes ChatGPT — wobei das Restrisiko des US-Transfers bestehen bleibt, da Microsoft als US-Mutterkonzern unter den CLOUD Act fällt.

Q: Sind benutzerdefinierte GPTs sicher für Geschäftsdaten?

Auf ChatGPT Team und Enterprise sind benutzerdefinierte GPTs auf den Workspace beschränkt, und ihre System-Prompts gelangen nicht zu den Endnutzern. Zwei Hinweise. Erstens: Jede Anfrage an einen Custom GPT erreicht die OpenAI-Modelle, AVV-, Speicher- und Transferregeln gelten weiterhin. Zweitens: Ein Custom GPT ist keine Zugriffskontrolle — wer ihn an eine Wissensdatenbank anbindet, muss die Berechtigung an der Datenquelle erzwingen, sonst kann jeder Workspace-Nutzer alles abrufen, was indexiert ist.

Q: Ist ChatGPT in Deutschland verboten?

Nein. ChatGPT ist in Deutschland nutzbar. Die Datenschutzkonferenz (DSK) der deutschen Aufsichtsbehörden hat 2023 in ihrem Beschluss zu generativer KI deutliche Mängel an OpenAI festgestellt, ohne ein Verbot auszusprechen. Die italienische Garante hat ChatGPT vorübergehend gesperrt und OpenAI im Dezember 2024 mit 15 Millionen Euro sanktioniert — aber kein deutsches Bundes- oder Landesdatenschutzgesetz verbietet die Nutzung. Sie ist legal unter Einhaltung der DSGVO: AVV, Rechtsgrundlage, Verzeichnis, DSFA falls anwendbar, Nutzungsrichtlinie.

Q: Was ist die solideste Alternative zu ChatGPT für ein deutsches Unternehmen?

Es gibt zwei klare Pfade. Erstens Aleph Alpha Pharia: deutscher LLM-Anbieter aus Heidelberg, on-premise oder im souveränen Cloud (STACKIT, T-Systems), explizit für DSGVO und kritische Infrastruktur ausgelegt — die richtige Wahl für Behörden, Verteidigung und kritische Sektoren. Zweitens Mistral Le Chat Enterprise: europäischer Anbieter, gehostet bei Scaleway in Paris, breiteres Funktionsspektrum (Pixtral Vision, lange Kontexte), oft günstiger als ChatGPT Team (15-25 € pro Nutzer pro Monat statt 25 USD). Für rein leistungsbezogene Anwendungsfälle hat GPT-4o noch einen leichten Vorteil, der jedes Quartal schrumpft.

Q: Was kostet eine ChatGPT-Bereitstellung für 100 Nutzer in Deutschland?

ChatGPT Team bei rund 25 USD pro Nutzer pro Monat: rund 28.000 € pro Jahr für 100 Nutzer, ohne Steuern und ohne Implementierung. ChatGPT Enterprise verhandelt typischerweise zwischen 50 und 70 € pro Nutzer pro Monat je nach Verpflichtung: 60.000 bis 84.000 € pro Jahr. Implementierung im ersten Jahr (KI-Nutzungsrichtlinie, dokumentierte Schulung gemäß Art. 4 KI-VO, SSO-Konfiguration und Audit-Logs, DSFA falls erforderlich): 15.000 bis 40.000 €. Jährliche Betriebskosten: 10.000 bis 20.000 €. Vergleich mit Mistral Le Chat Enterprise auf gleichem Umfang: rund 18.000 bis 30.000 € pro Jahr für 100 Nutzer. Aleph Alpha on-premise: höhere Anfangskosten (Hardware), aber souveräne Architektur.

Schnellantwort: Darf ein deutsches Unternehmen ChatGPT 2026 nutzen?

Ja, aber unter strikten Bedingungen. Drei nicht verhandelbare Regeln.

Niemals Verbraucher-ChatGPT (kostenlos oder Plus) auf nicht öffentlichen Unternehmensdaten. Die OpenAI-Bedingungen reservieren konforme gewerbliche Nutzung für Team und Enterprise. Ein privater Account auf Kundendaten verstößt gleichzeitig gegen die OpenAI-AGB und die DSGVO — und steht im direkten Widerspruch zum DSK-Beschluss von 2023.
ChatGPT Team oder Enterprise mit unterzeichnetem Auftragsverarbeitungsvertrag (AVV) für gewöhnliche Geschäftsnutzung: AVV verfügbar, Trainings-Deaktivierung standardmäßig, Audit-Logs auf Admin-Seite, SSO bei Enterprise.
On-Premise (Mistral self-hosted, Llama 3, Aleph Alpha Pharia) oder souveräne Cloud sobald Daten sensibel sind (Gesundheit, Berufsgeheimnis, Geschäftsgeheimnis, kritische Infrastruktur) — siehe unseren Leitfaden zu lokalen LLM im Unternehmen.

Das strukturelle Risiko, das selbst auf ChatGPT Enterprise bestehen bleibt, ist der EU-US-Transfer, der über das Data Privacy Framework (DPF) abgesichert ist — ein Abkommen, das die EU-Kommission im Juli 2023 erlassen hat und das vom Europäischen Gerichtshof bereits in seinen beiden Vorgängern (Safe Harbor 2015, Privacy Shield 2020) gekippt wurde. Die BfDI hat in mehreren Stellungnahmen 2023-2024 explizit auf zusätzliche Schutzmaßnahmen jenseits des DPF hingewiesen. Für deutsche Organisationen, die dieses Risiko eliminieren wollen, ist die europäische Alternative (Aleph Alpha, Mistral) in der Regel besser geeignet.

Warum dieses Thema, jetzt

Drei Dinge haben sich zwischen 2024 und 2026 auf dem deutschen ChatGPT-Markt verändert.

Erstens, die Enterprise-Angebote sind wirklich gereift. ChatGPT Team und Enterprise haben Admin-Tooling gewonnen (vollständiges SSO, Audit-Logs, Speicherkontrolle), und der OpenAI-AVV ist bei großen Volumen verhandelbar geworden. Die Linie “ChatGPT ist nicht für das Unternehmen” ist gefallen — unter Bedingungen.

Zweitens, die Position der deutschen Aufsichtsbehörden hat sich präzisiert. Die DSK-Beschlüsse 2023-2024 haben den Rahmen verschärft: dokumentierte Rechtsgrundlage, DSFA für Hochrisiko-Anwendungen, Transparenz gegenüber Betroffenen, KI-Kompetenz nach Art. 4 KI-VO. Die deutsche Adoption ist daher vorsichtiger als in Großbritannien oder Frankreich — DAX-Konzerne testen, aber stabilisieren oft auf hybriden Architekturen mit europäischem Anteil.

Drittens, die europäische Konkurrenz hat sich etabliert. Aleph Alpha aus Heidelberg ist 2026 die Referenz für souveräne KI in deutschen Behörden und kritischer Infrastruktur. Mistral Le Chat Enterprise deckt die meisten gewerblichen Anwendungsfälle auf einem europäischen Stack ab. Die Wahl “ChatGPT vs. souveräne Alternative” ist zu einer echten Abwägung geworden — kein Scheinwahl mehr.

Die Rechnung hat sich geändert: ChatGPT im deutschen Unternehmen einzusetzen ist machbar und konform — aber nicht mehr die Standardwahl. Es ist eine Wahl, die sich vergleichen und rechtfertigen lässt.

Drei sehr unterschiedliche Dinge, die alle “ChatGPT” heißen

Vor jeder Entscheidung muss die Mehrdeutigkeit ausgeräumt werden. Vier Angebote koexistieren 2026 unter der ChatGPT-Marke, auf denselben Modellen aber mit radikal unterschiedlichen Vertragsrahmen.

Angebot	Preis	AVV	Speicherung	Hosting	Geeignet für
ChatGPT (kostenlos)	0	Nein	Variabel, Training standardmäßig aktiv	US	Nur private Nutzung
ChatGPT Plus	22 €/Monat	Nein	Wie kostenlos	US	Nur private Nutzung
ChatGPT Team	~25 USD/Nutzer/Monat	Standard	30 Tage, kein Training	US (begrenzt regional)	KMU, Teams 5-150 Nutzer
ChatGPT Enterprise	50-70 €/Nutzer/Monat (verhandelbar)	Verstärkt	Konfigurierbar, ZDR möglich	US (regional konfigurierbar)	Großkunden, regulierte Sektoren

Technisch laufen alle vier auf denselben Modellen (GPT-4o, o3-mini usw.). Der Unterschied ist vollständig vertraglich und organisatorisch. Es ist der Rahmen, nicht die Technik, die ChatGPT im deutschen Unternehmen nutzbar macht.

Die 4 ChatGPT-spezifischen DSGVO-Risiken

Risiko 1 — Leck über privates Konto

Das häufigste und am meisten unterschätzte Risiko. Eine Mitarbeiterin öffnet ChatGPT Plus mit privatem Konto und fügt eine Kunden-E-Mail, ein HR-Briefing oder eine strategische Notiz ein. Die Daten:

Verlassen den Organisationsperimeter
Werden von OpenAI ohne AVV verarbeitet
Können das Modell speisen (Training standardmäßig aktiv bei privatem Konto)
Sind unternehmensseitig nicht mehr nachverfolgbar

DSGVO-Konsequenz: Unkontrollierter Transfer personenbezogener Daten ohne Rechtsgrundlage und ohne Vertragsrahmen. Bei einer Prüfung durch die zuständige Landesdatenschutzbehörde (LfDI Baden-Württemberg, BayLDA, BlnBDI usw.) ist dies ein direkter Verstoß gegen Art. 5, 28 und 32 DSGVO — die DSK hat genau diese Konstellation 2023 als unzulässig eingestuft.

Minderung: formelles Verbot über eine KI-Nutzungsrichtlinie, Bereitstellung einer offiziellen Alternative (ChatGPT Team / Enterprise oder Mistral Le Chat Enterprise / Aleph Alpha) und dokumentierte Schulung, die den Unterschied erklärt.

Risiko 2 — Transfer in die USA und DPF-Fragilität

Selbst auf ChatGPT Enterprise befinden sich die Hauptserver von OpenAI in den USA. Das Data Privacy Framework (DPF) legalisiert diesen Transfer technisch seit Juli 2023, bleibt aber rechtlich umstritten. Die BfDI und mehrere LfDI haben 2023-2024 explizit empfohlen, trotz der DPF-Annahme zusätzliche Schutzmaßnahmen zu prüfen (Verschlüsselung, Pseudonymisierung, Datenminimierung).

Praktische Konsequenz: Wenn das DPF kippt (Schrems III ist beim EuGH anhängig), wird jede laufende Verarbeitung auf ChatGPT rechtlich prekär. Organisationen, die nicht antizipiert haben, müssen unter Druck migrieren — versteckte Kosten erheblich. Siehe unseren Leitfaden zu DSGVO-konformer KI und unseren Leitfaden zu souveräner KI.

Risiko 3 — Speicherung der Konversationen

Standardmäßig speichert OpenAI Konversationen 30 Tage im Klartext zu Sicherheitszwecken (Missbrauchserkennung). Auf ChatGPT Enterprise ist diese Speicherung verhandelbar und kann für ausgewählte Workspaces auf 0 Tage sinken. Auf Team gilt die 30-Tage-Untergrenze.

DSGVO-Konsequenz: Diese Speicherung muss im Verzeichnis von Verarbeitungstätigkeiten dokumentiert sein, mit den geplanten Aufbewahrungsdauern der Hauptverarbeitung übereinstimmen und auditfähig sein. Viele Organisationen vergessen diesen Eintrag und schaffen einen Verstoß gegen Art. 5 Abs. 1 lit. e DSGVO.

Risiko 4 — Algorithmische Ungenauigkeit bei identifizierbaren Personen

ChatGPT halluziniert. Wenn diese Halluzinationen eine identifizierbare Person betreffen (ein Bewerber, der zu Unrecht als ungeeignet beschrieben wird, ein Mandant, dem erfundene Aussagen zugeschrieben werden, ein Anwalt mit fabrizierter Rechtsprechung), ist dies ein direkter Verstoß gegen Art. 5 Abs. 1 lit. d DSGVO (Richtigkeit). Die italienische Garante hat OpenAI 2024 auf dieser Grundlage sanktioniert.

Minderung: formelles Verbot, identifizierende Inhalte über Personen ohne menschliche Überprüfung zu generieren, eine Klausel in der KI-Nutzungsrichtlinie, ein protokolliertes Vorfallregister.

ChatGPT Team vs. Enterprise vs. souveräne Alternative: Entscheidungsmatrix

Für die meisten deutschen Organisationen läuft die Wahl auf eine einfache Abwägung zwischen drei Optionen hinaus.

Kriterium	ChatGPT Team (~25 USD/N/Monat)	ChatGPT Enterprise (50-70 €/N/Monat)	Mistral Le Chat Enterprise (~15-25 €/N/Monat)	Aleph Alpha Pharia (on-premise)
AVV	Standard	Verstärkt	Nativ	Nativ
Training auf Daten	Deaktiviert	Deaktiviert	Niemals	Niemals
Hosting	US (begrenzt regional)	US (konfigurierbar)	Frankreich (Scaleway)	Deutschland (STACKIT, on-prem)
DPF-Abhängigkeit	Ja	Ja	Keine	Keine
SSO / Unternehmenskontrollen	Begrenzt	Vollständig	Verfügbar	Vollständig
Audit-Logs	Basis	Erweitert	Verfügbar	Vollständig
Vision und Multimodal	Ja	Erweitert	Pixtral	In Aufbau
Reine Leistung	GPT-4o, o3-mini	GPT-4o, o3-mini	Mistral Large	Pharia-1
Souveränität	Nein	Nein	Ja (EU)	Ja (DE)

Entscheidungsbaum

Welche Datenklasse ist betroffen?
│
├── Nur nicht sensible Geschäftsdaten
│   └── Nutzeranzahl?
│       ├── < 50 → ChatGPT Team ODER Mistral Le Chat Enterprise
│       └── 150+ → ChatGPT Enterprise ODER Mistral Le Chat Enterprise
│
├── Personenbezogene Daten in EU/DE in großem Umfang
│   └── Mistral Le Chat Enterprise (eliminiert DPF-Risiko)
│
├── Kritische Infrastruktur (KRITIS), Energie, Wasser, Verkehr
│   └── Aleph Alpha Pharia (souveräner deutscher Stack)
│
└── Behörden, Verteidigung, Berufsgeheimnis
    └── Aleph Alpha on-premise oder Mistral self-hosted / Llama 3

7 Best Practices für eine ChatGPT-Bereitstellung in Deutschland

1. Tier an Volumen und Sektor anpassen. Team ≤ 150 Nutzer, Enterprise darüber. Enterprise-Preis verhandelbar bei jährlicher Verpflichtung. Für BaFin-regulierte Häuser nur Enterprise mit ZDR realistisch.

2. AVV unterzeichnen und archivieren. Nicht nur den OpenAI-AVV — Sub-Auftragsverarbeiter (Microsoft Azure für Hosting usw.) müssen erfasst sein. Datierte Versionen aufbewahren. Die Aufsichtsbehörde wird dies prüfen.

3. Training explizit deaktiviert bestätigen. Auf Team / Enterprise standardmäßig deaktiviert. In der Admin-Konsole prüfen und Screenshot als Nachweis aufbewahren.

4. SSO und zentrale Protokollierung konfigurieren. Auf Enterprise SSO einbinden (Microsoft Entra ID, Okta) und Audit-Logs aktivieren. Ohne dies bricht die Nachverfolgbarkeit pro Nutzer zusammen.

5. Verarbeitung ins Verzeichnis eintragen. Zweck (“Generative-KI-Produktivitätsassistenz”), Rechtsgrundlage (in der Regel berechtigtes Interesse mit dokumentierter Interessenabwägung), Datenkategorien, Aufbewahrung, Auftragsverarbeiter, Drittlandtransfers. Ohne Eintragung Verstoß gegen Art. 30 DSGVO.

6. KI-Nutzungsrichtlinie verbreiten. Kurzes, durchsetzbares Dokument, das angibt, welche Daten erlaubt, welche verboten sind, und welche Verfahren bei Vorfällen gelten. Siehe unseren Leitfaden zur KI-Charta im Unternehmen.

7. Teams schulen und Teilnahme dokumentieren. Art. 4 KI-VO verpflichtet zu dokumentierter KI-Kompetenz. Ohne Schulung ist die Organisation sowohl nach DSGVO als auch nach KI-VO exponiert. Siehe unseren Leitfaden zur KI-Schulung im Unternehmen.

Anwendungsfälle, in denen ChatGPT wirklich glänzt

Nicht alle Anwendungsfälle sind gleich. Wo ChatGPT (Team oder Enterprise) 2026 echten Wert liefert:

Marketing-Texte und externe Kommunikation — Ton, Flüssigkeit, Formatvorgaben
Ideenfindung und Brainstorming — Variation, Strukturierung, Gegenargumente
Zusammenfassung langer Transkripte (Vorstandssitzungen, Konferenzen) mit o3-mini auf langem Kontext
Code-Generierung strukturiert (insbesondere über Custom GPTs mit Code Interpreter)
Bildanalyse (GPT-4o Vision) für Produkt-, Design- und Barrierefreiheits-Anwendungsfälle
Übersetzungshilfe in weniger geläufigen Sprachen — Mistral ist sehr gut auf Deutsch und Französisch, GPT-4o deckt asiatische Sprachen besser ab

Anwendungsfälle, die zu vermeiden oder zu überdenken sind

Automatisierte Entscheidungen über Personen (HR, Scoring, Zugang): Art. 22 DSGVO verbietet sie außer bei strengen Ausnahmen. Immer eine dokumentierte menschliche Überprüfung vorsehen.
Identifizierende medizinische Daten: außerhalb eines KRITIS-/gematik-konformen Rahmens vermeiden.
Berufsgeheimnis (Anwälte gemäß BORA, Ärzte, Steuerberater, Bankgeheimnis): direktes deontologisches Risiko, zu untersagen außer in explizit zugelassenen Fällen.
Pressemitteilungen ohne Überprüfung: Halluzinations- und fabrizierte-Zitat-Risiko — vor Veröffentlichung immer prüfen.
Erstellung rechtsverbindlicher Inhalte: Vertrag, Klausel, Rechtsgutachten von KI generiert und ohne menschliche Überprüfung verwendet — direkte Haftung der Organisation.

Was wir nicht versprechen

Drei wiederkehrende Anti-Patterns, die wir bei DPLIANCE bei der Konzeption eines KI-Einsatzes systematisch entkräften.

“Wir unterzeichnen ChatGPT Enterprise und sind konform.” Nein. Der Vertrag genügt nicht. Es braucht zusätzlich: durchsetzbare KI-Nutzungsrichtlinie, dokumentierte Schulung der Nutzer (Art. 4 KI-VO), Eintragung im Verzeichnis, DSFA falls anwendbar, Vorfallverfahren. Ohne diese Bausteine bleibt der Vertrag ein Papier, das bei einer Prüfung nicht standhält — die DSK hat genau diese mehrschichtige Compliance 2024 angemahnt.

“Wir gehen komplett auf ChatGPT, das ist das bekannteste Tool.” Bekanntheit ist nicht Eignung. Für die Mehrzahl der deutsch-/europäischen Anwendungsfälle ist Mistral Le Chat Enterprise mittlerweile funktional gleichwertig, mit klarem Vorteil auf der Souveränität und oft niedrigeren Kosten. Aleph Alpha ist die richtige Wahl für KRITIS und Behörden. Der gute Reflex 2026: beides auf Ihrem realen Anwendungsfall vergleichen, bevor die Wahl festgeschrieben wird.

“Wir können alle Geschäftsdaten senden, OpenAI nutzt sie nicht zum Training.” Auf Team/Enterprise wahr, aber unvollständig. Das eigentliche Thema ist nicht das Training — es ist der Transfer aus der EU. Solange die Server in den USA stehen, bleibt das DPF-Risiko. Für personenbezogene Daten in großem Umfang wird ein dokumentiertes Transfer Impact Assessment erwartet, und die Migration zu einer souveränen Alternative bleibt empfohlen.

FAQ

Unser Unternehmen zahlt bereits ChatGPT Plus für die Mitarbeitenden — ist das in Ordnung?

Nein. ChatGPT Plus bleibt ein privates Konto unter Verbraucher-AGB. Kein AVV, keine Trainings-Opt-out-Garantie, keine zentrale Audit-Logging-Funktion, keine Unternehmens-Authentifizierung. Für geschäftliche Nutzung auf nicht öffentlichen Daten ist Team oder Enterprise das Minimum. Auf Plus zu bleiben ist ein direkter Verstoß gegen Art. 5, 28 und 32 DSGVO — was die DSK 2023 explizit als unzulässig eingestuft hat.

Ist ChatGPT Enterprise für das Gesundheitswesen in Deutschland zugelassen?

Nein. Im April 2026 verfügt ChatGPT Enterprise weder über eine KRITIS-Zertifizierung noch über eine gematik-Konformitätsbestätigung. Für Patientendaten sind die Optionen On-Premise-Deployment (Mistral self-hosted, Llama 3, Aleph Alpha Pharia) oder ein in Deutschland gehosteter Anbieter mit C5-Testat. Siehe unseren KI-Gesundheitsleitfaden.

Kann man die Speicherung auf ChatGPT Enterprise vollständig deaktivieren?

Auf Enterprise kann eine Zero Data Retention für ausgewählte Workspaces verhandelt werden. Auf Team gilt die 30-Tage-Sicherheitsspeicherung verbindlich. Die Speicherung muss im Verzeichnis dokumentiert sein.

Microsoft Copilot — ist das ChatGPT?

Nicht ganz. Microsoft 365 Copilot nutzt OpenAI-Modelle auf Azure OpenAI Service, aber der Vertragspartner ist Microsoft. Eigener AVV, EU Data Boundary für die meisten Daten, native Microsoft-365-Integration. Für deutsche Unternehmen, die bereits stark auf Microsoft standardisiert sind, oft die besser verteidigbare Route — wobei das US-Transfer-Risiko bestehen bleibt.

Sind benutzerdefinierte GPTs sicher für Geschäftsdaten?

Auf Team und Enterprise sind Custom GPTs auf den Workspace beschränkt. Zwei Hinweise: Anfragen erreichen die OpenAI-Modelle, AVV-/Speicher-/Transferregeln gelten weiterhin. Ein Custom GPT ist keine Zugriffskontrolle.

Ist ChatGPT in Deutschland verboten?

Nein. Die DSK hat 2023 Mängel an OpenAI festgestellt, ohne ein Verbot. Die italienische Garante hat ChatGPT vorübergehend gesperrt und im Dezember 2024 mit 15 Millionen Euro sanktioniert — aber kein deutsches Datenschutzgesetz verbietet die Nutzung.

Was ist die solideste Alternative zu ChatGPT für ein deutsches Unternehmen?

Aleph Alpha Pharia für KRITIS und Behörden, Mistral Le Chat Enterprise für die Mehrzahl der gewerblichen Anwendungsfälle. Beide eliminieren das DPF-Risiko. Siehe unseren Mistral vs. ChatGPT-Vergleich.

Was kostet eine ChatGPT-Bereitstellung für 100 Nutzer in Deutschland?

ChatGPT Team: rund 28.000 € pro Jahr für 100 Nutzer. Enterprise: 60.000 bis 84.000 €. Implementierung erstes Jahr: 15-40 k€. Run pro Jahr: 10-20 k€. Mistral Le Chat Enterprise auf gleichem Umfang: 18-30 k€ pro Jahr für 100 Nutzer.

Quellen: OpenAI, Bedingungen Team und Enterprise (openai.com/enterprise-privacy); Verordnung (EU) 2016/679 (DSGVO); Verordnung (EU) 2024/1689 (KI-VO), insbesondere Art. 4; Datenschutzkonferenz (DSK), Beschlüsse 2023-2024 zu generativer KI; BfDI, Stellungnahmen 2023-2024; Garante per la protezione dei dati personali — OpenAI-Entscheidungen 2023 und 2024; EDSA, Stellungnahme 28/2024 zu KI-Modellen und DSGVO; Europäische Kommission, Data Privacy Framework, Juli 2023; Aleph Alpha, Pharia-Dokumentation.

Um eine ChatGPT-Bereitstellung in Ihrer Organisation zu konzipieren — Tier-Wahl, Richtlinie, Verzeichnis, Schulung oder Vergleich mit Mistral Le Chat Enterprise oder Aleph Alpha — siehe unseren Leitfaden zu DSGVO-konformer KI, unseren Mistral vs. ChatGPT-Vergleich, unseren Leitfaden zur KI-Charta, oder kontaktieren Sie uns über unsere maßgeschneiderten KI-Lösungen.