Schoonnect Consulting

Stand: 10. Juni 2026 — Daten-Omnibus im Entwurfsstand, nicht beschlossen

ChatGPT & DSGVO 2026: Was im Unternehmen gilt — und was der Digital Omnibus (noch) nicht ändert

Wer personenbezogene Daten in ChatGPT eingibt, bewegt sich im Anwendungsbereich der DSGVO — daran ändert auch der Digital Omnibus nichts. Die geplante Lockerung für KI-Training (Art. 88c DSGVO-E) ist genau das: geplant, umstritten, nicht beschlossen. Dieser Artikel trennt sauber, was heute gilt, was kommen könnte — und warum die beiden Ebenen ständig verwechselt werden.

Sergiy Esposito10. Juni 20268 Min. Lesezeit
ChatGPTDSGVODigital OmnibusCompliance

Dürfen Mitarbeiter ChatGPT mit Kundendaten nutzen?

Nur mit Rechtsgrundlage — und die hat in der Praxis kaum jemand geprüft. Wer personenbezogene Daten in ein öffentliches KI-Tool eingibt, verarbeitet sie im Sinne der DSGVO: Es braucht eine Einzelfallprüfung, eine strenge Interessenabwägung, einen Auftragsverarbeitungsvertrag mit dem Anbieter und eine Antwort auf die Drittlandtransfer-Frage. Bei US-Anbietern ist Letzteres der heikelste Punkt.

Das gilt heute, unabhängig von allen Reformdebatten. Der Kundenname im Prompt, die Bewerbermappe zur Zusammenfassung, das Beschwerde-Mail zur Antwortformulierung — all das ist Datenverarbeitung, für die das Unternehmen verantwortlich bleibt. Auch dann, wenn die Eingabe über den privaten Account eines Mitarbeiters läuft; dann fehlt zusätzlich jede vertragliche Absicherung.

Genau hier verbindet sich das Thema mit Shadow AI: Rund die Hälfte der Beschäftigten nutzt KI-Tools auch trotz Verbot — die DSGVO-Risiken entstehen also nicht in der IT-Abteilung, sondern an ihr vorbei.

Was plant der Digital Omnibus bei der DSGVO?

Der Entwurf eines neuen Art. 88c DSGVO sieht vor, dass das Training von KI-Modellen auf die Rechtsgrundlage des berechtigten Interesses gestützt werden kann — mit Interessenabwägung sowie Transparenz- und Minimierungspflichten. Das Dreistufenmodell des Art. 6 Abs. 1 lit. f DSGVO bleibt dabei erhalten. Es geht also um eine Klarstellung für das Training, nicht um einen Freibrief für die Nutzung.

Diese Unterscheidung ist der Punkt, an dem die meisten Artikel zum Thema scheitern: Ebene eins ist der Mitarbeiter, der heute Kundendaten in ChatGPT eingibt — ein Gegenwartsproblem nach geltendem Recht. Ebene zwei ist das Training von KI-Modellen auf personenbezogenen Daten — das Omnibus-Thema. Wer beides vermischt, liest aus einem Reformentwurf für Ebene zwei eine Entwarnung für Ebene eins. Die gibt es nicht.

Der Daten-Omnibus ist Teil desselben Reformpakets wie der AI-Omnibus, der die Hochrisiko-Fristen des EU AI Act verschoben hat — läuft aber deutlich langsamer und ohne feste Fristen.

Ist die DSGVO-Lockerung beschlossen?

Nein. Die geplante DSGVO-Lockerung für KI-Training ist nicht beschlossen: EDPB und EDPS haben zentrale Vorschläge abgelehnt, und der Rat erwägt, das berechtigte Interesse für KI-Training ganz aus dem Entwurf zu streichen. Der Daten-Omnibus hat — anders als der AI-Omnibus — keine festen Fristen. Stand heute gilt: die DSGVO, wie sie ist.

Für die Planung heißt das: auf der sicheren Seite bleiben. Wer seine KI-Strategie auf einen Reformentwurf baut, der von den eigenen Aufsichtsgremien der EU abgelehnt wird, baut auf Sand. Realistisch sind drei Szenarien — Entwurf kommt wie geplant, kommt entschärft, oder das berechtigte Interesse für KI-Training fällt ganz raus. Nur eine Architektur, die in allen drei Szenarien funktioniert, ist eine Strategie.

Was sollten Unternehmen jetzt tun?

Nach geltendem Recht arbeiten, nicht nach erhofftem: Interessenabwägungen dokumentieren, KI-Nutzung in geordnete Bahnen bringen, Kennzeichnungspflichten vorbereiten. Seit Januar 2026 gibt es dafür ein konkretes Werkzeug: den Fragenkatalog des Hamburgischen Datenschutzbeauftragten (HmbBfDI) zur Interessenabwägung (LIA).

Die Reihenfolge, die sich bewährt:

  1. Ist-Aufnahme der KI-Nutzung. Welche Tools, welche Daten, welche Accounts? Ohne ehrliches Bild keine Rechtsgrundlagen-Prüfung.
  2. Interessenabwägung dokumentieren — nach dem Hamburger Katalog. Der LIA-Fragenkatalog konkretisiert, was Aufsichtsbehörden sehen wollen. Wer ihn durcharbeitet, hat die Dokumentationspflicht strukturiert erledigt.
  3. AVV und Drittlandtransfer klären. Für jedes freigegebene Cloud-KI-Tool: Vertrag, Transfermechanismus, Datenkategorien. Was sich nicht sauber regeln lässt, wird nicht freigegeben.
  4. Kennzeichnung vorbereiten. Die nachgeschärfte Kennzeichnungspflicht aus Art. 50 EU AI Act kommt mit Watermarking-Stichtag zum 2. Dezember 2026 — wer KI-generierte Inhalte publiziert, braucht bis dahin einen Prozess.
  5. Klare Nutzungsregeln plus freigegebene Alternative. Verbote ohne Alternative erzeugen Schatten-Nutzung — und damit genau die undokumentierte Datenverarbeitung, die im Audit am teuersten ist.

Wie sieht eine DSGVO-konforme KI-Nutzung aus?

Strukturell am robustesten ist eine Architektur, bei der personenbezogene Daten das Haus gar nicht erst verlassen: lokale bzw. Sovereign-AI-Infrastruktur. Damit entfallen Drittlandtransfer und Anbieter-Risiko nicht vertraglich, sondern technisch. Alles andere ist Einhegung — machbar, aber dauerhaft pflegeintensiv.

Konkret heißt konform: freigegebene Tools mit AVV und geklärtem Datenfluss für unkritische Aufgaben; lokale Modelle für alles, was Kunden-, Mitarbeiter- oder Mandantendaten berührt; Human-in-the-Loop und Audit-Trail für kritische Prozesse; dokumentierte Schulungen. Der Nebeneffekt: Dieselbe Architektur erfüllt gleich mehrere Pflichten aus dem EU AI Act — Inventar, KI-Kompetenz, Transparenz.

Die Rechtslage beim KI-Training bleibt 2026 in Bewegung. Die Unternehmen, die jetzt nach geltendem Recht sauber aufstellen, müssen später nichts zurückbauen — egal, wie der Daten-Omnibus ausgeht. Wer auf die Lockerung wartet, wartet womöglich auf etwas, das nie kommt.

Häufige Fragen

Ist ChatGPT im Unternehmen DSGVO-konform nutzbar?

Grundsätzlich ja — aber nur unter Bedingungen: keine personenbezogenen Daten ohne Rechtsgrundlage und Einzelfallprüfung, Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter, geklärter Drittlandtransfer (bei US-Anbietern) und dokumentierte Interessenabwägung. Ohne diese Basis ist jede Eingabe von Kunden- oder Mitarbeiterdaten ein Risiko.

Ändert der Digital Omnibus die DSGVO für die ChatGPT-Nutzung im Alltag?

Nein. Der geplante Art. 88c DSGVO-E betrifft das Training von KI-Modellen, nicht die alltägliche Nutzung von KI-Tools durch Mitarbeitende. Wer heute Kundendaten in ein öffentliches KI-Tool eingibt, braucht dafür heute eine Rechtsgrundlage — unabhängig davon, was beim Omnibus passiert.

Ist die DSGVO-Lockerung für KI-Training schon beschlossen?

Nein. EDPB und EDPS haben zentrale Vorschläge abgelehnt, der Rat erwägt sogar die Streichung des berechtigten Interesses für KI-Training. Der Daten-Omnibus läuft deutlich langsamer als der AI-Omnibus und hat keine festen Fristen. Planungssicherheit gibt es derzeit nur auf Basis der geltenden DSGVO.

Was ist der Hamburger Fragenkatalog zur Interessenabwägung?

Der Hamburgische Beauftragte für Datenschutz (HmbBfDI) hat im Januar 2026 einen Fragenkatalog zur Interessenabwägung (Legitimate Interest Assessment, LIA) veröffentlicht. Er konkretisiert, wie Unternehmen die Abwägung nach Art. 6 Abs. 1 lit. f DSGVO dokumentieren sollten — ein Praxis-Werkzeug, das Prüfungen standhalten soll.

Was ist die strukturell sicherste Lösung?

Lokale bzw. Sovereign-AI-Infrastruktur: Wenn die Daten das Haus nicht verlassen, entfallen Drittlandtransfer und Anbieter-Abhängigkeit als Risikofaktoren strukturell — statt sie vertraglich einhegen zu müssen. Kombiniert mit Governance und dokumentierten Schulungen ist das die robusteste Antwort auf die aktuelle Rechtsunsicherheit.

SE

Sergiy Esposito

IT-Berater & KI-Stratege, Berlin. Schwerpunkt: DSGVO-konforme KI-Implementierung, EU AI Act Compliance und Sovereign AI für Mittelstand und regulierte Branchen.

Über mich

Die strukturelle DSGVO-Antwort: Daten bleiben im Haus

Lokale KI-Infrastruktur statt Vertragsakrobatik — DSGVO-konform by design, ohne Cloud-Lock-in. Kostenfreier Discovery-Call (60 Min).

Sovereign AI anschauenKontakt aufnehmen
Sergiy-Lotse: Orientierung statt Verkauf