Incognify
AnmeldenKostenlos testen
Alle Beiträge
KI & Datenschutz 24. Juni 2026 8 Min. Lesezeit

Darf ich ChatGPT im Job mit Kundendaten nutzen? Die Rechtslage 2026

Hände tippen an einem Laptop auf einem Holzschreibtisch, daneben ein handschriftlich beschriebenes Papierformular — Symbolbild für die Übertragung von Kundendaten in ein KI-Chatfenster.

Die Frage, ob ChatGPT Kundendaten erlaubt verarbeiten darf, stellt sich heute in fast jedem Unternehmen — vom Vertrieb über den Support bis zur Buchhaltung. Die kurze Antwort für 2026 lautet: Kundennamen, Adressen oder Verträge unverändert in ChatGPT, Claude oder Gemini einzugeben, ist in der Schweiz, in Deutschland und in Österreich grundsätzlich unzulässig. Die gute Nachricht: Mit vorgelagerter Anonymisierung wird genau dieselbe Cloud-KI rechtskonform nutzbar. Dieser Artikel erklärt die Rechtslage präzise und zeigt den sauberen Weg.

ChatGPT mit Kundendaten: Wann ist es erlaubt, wann verboten?

Sobald Sie einen Kundennamen, eine Telefonnummer, eine Lieferadresse oder einen Vertragstext mit Namen in ein Cloud-KI-Tool kopieren, verarbeiten Sie Personendaten. Damit greifen sofort die Datenschutzgesetze aller drei Länder. Entscheidend ist nicht, ob Sie die Daten «nur kurz» zusammenfassen lassen oder ob der Chat «privat» wirkt — entscheidend ist, dass die Daten Ihr Unternehmen verlassen und auf fremden Servern landen.

Die Frage «ChatGPT Kundendaten erlaubt oder nicht» lässt sich daher klar beantworten: Unverändert und ohne saubere Rechtsgrundlage ist es nicht erlaubt. Erlaubt wird es erst, wenn die persönlichen Daten vor dem Absenden entfernt oder unkenntlich gemacht werden — oder wenn ein vollständiger vertraglicher und technischer Rahmen besteht, den die wenigsten Standard-Abos bieten.

Rechtliche Grundlage: CH — Datenschutzgesetz (nDSG/revDSG), Art. 6 für die Bearbeitungsgrundsätze, Art. 9 für die Auftragsbearbeitung. DE — DSGVO, Art. 6 (Rechtsgrundlage) und Art. 9 (besondere Kategorien). AT — DSGVO plus DSG AT als nationale Ergänzung, beaufsichtigt durch die Datenschutzbehörde (DSB).

Warum die unanonymisierte Eingabe unzulässig ist

Jede Bearbeitung von Personendaten braucht eine Rechtsgrundlage. Wer Kundendaten in eine Cloud-KI gibt, muss sich auf eine davon stützen können — und genau hier scheitern die meisten Standard-Nutzungen. Die folgenden vier Punkte erklären, warum.

1

Keine tragfähige Rechtsgrundlage

Weder ein berechtigtes Interesse noch ein Vertrag mit dem Kunden deckt es ab, seine Daten ungefragt an einen US-Anbieter zu übermitteln. Art. 6 DSGVO und Art. 6 DSG verlangen eine Grundlage, die hier in der Regel fehlt.

2

Besondere Kategorien

Gesundheit, Religion, Gewerkschaft, biometrische Daten oder Bonität gelten als besonders schützenswert. Art. 9 DSGVO und Art. 5 lit. c DSG verbieten ihre Bearbeitung fast vollständig — ausser bei ausdrücklicher Einwilligung.

3

Verlust der Kontrolle

Eingaben können gespeichert, ausgewertet und je nach Tarif zum Training verwendet werden. Sie können nicht mehr garantieren, dass die Daten gelöscht werden — ein Verstoss gegen die Grundsätze von Zweckbindung und Datenminimierung.

4

Fehlende Transparenz

Ihre Kunden wissen nicht, dass ihre Daten an einen Dritten in den USA fliessen. Die Informationspflicht aus Art. 13/14 DSGVO und Art. 19 DSG wird damit verletzt.

Schon ein einziger dieser Punkte genügt, damit die Eingabe rechtswidrig wird. In der Praxis treffen meist mehrere gleichzeitig zu — etwa wenn ein Mitarbeiter einen Vertrag mit Name, Adresse und Bankverbindung zur «schnellen Zusammenfassung» einfügt.

Auftragsbearbeitung, AVV und das US-Transfer-Problem

Wenn ein externer Dienst Personendaten in Ihrem Auftrag verarbeitet, wird er zum Auftragsbearbeiter. Dann braucht es zwingend einen Auftragsverarbeitungsvertrag (AVV) — in der Schweiz die Auftragsbearbeitung nach Art. 9 DSG, in Deutschland und Österreich den Vertrag nach Art. 28 DSGVO. Ohne diesen Vertrag ist die Weitergabe für sich allein schon ein Rechtsverstoss.

Doch selbst mit AVV bleibt ein zweites, schwerwiegendes Problem: der Datentransfer in die USA. Die grossen Anbieter betreiben ihre Server überwiegend ausserhalb der Schweiz und der EU. Eine Übermittlung in ein Drittland verlangt zusätzliche Garantien — Standardvertragsklauseln, eine Angemessenheitsprüfung oder die Teilnahme am Datenschutzrahmen. Für viele Standard-Abos sind diese Voraussetzungen schlicht nicht nachweisbar erfüllt.

  • Ein kostenloses oder privates Konto bietet in aller Regel keinen AVV — die geschäftliche Nutzung ist damit von vornherein angreifbar.
  • Selbst Business-Tarife mit Vertrag lösen das Drittland-Problem nicht automatisch; der konkrete Serverstandort und die Garantien sind entscheidend.
  • Die Einwilligung des Kunden ist als Ausweg selten tragfähig: Sie muss freiwillig, informiert, spezifisch und jederzeit widerrufbar sein — bei spontanen Eingaben im Arbeitsalltag praktisch nie erfüllbar.
  • Eine pauschale «KI-Klausel» in den AGB ersetzt keine wirksame Einwilligung für besondere Datenkategorien.

Merksatz: Ein AVV regelt nur das Wie der Bearbeitung — er ersetzt weder die fehlende Rechtsgrundlage noch die Garantien für den US-Transfer. Beides muss zusätzlich erfüllt sein, sonst bleibt die Eingabe unzulässig.

Die Rechtslage 2026 im Drei-Länder-Vergleich

Die Grundlogik ist in allen drei Ländern identisch: keine Bearbeitung ohne Grundlage, kein Drittland-Transfer ohne Garantien, kein Umgang mit besonders schützenswerten Daten ohne strenge Voraussetzungen. Die Sanktionen unterscheiden sich jedoch deutlich.

LandGesetz & AufsichtSanktion
SchweizDSG (nDSG/revDSG), EDÖBBussen bis CHF 250'000 — gegen die verantwortliche Einzelperson
DeutschlandDSGVO, LandesdatenschutzbehördenBussgelder bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes
ÖsterreichDSGVO + DSG AT, Datenschutzbehörde (DSB)Bussgelder bis 20 Mio. EUR oder 4 % Jahresumsatz

Beachten Sie den Unterschied: In der Schweiz kann das DSG die verantwortliche Personpersönlich treffen — nicht nur das Unternehmen. Wer im Arbeitsalltag Kundendaten unbedacht in ChatGPT eingibt, trägt also ein ganz konkretes persönliches Risiko. Mehr Zahlen und Hintergründe finden Sie in unserem Überblick zu den 5 wichtigsten DSGVO-Fakten zu Cloud-KI.

Praxisbeispiele: Was im Alltag schiefgeht

Die Theorie wird greifbar, sobald man typische Situationen betrachtet. In allen folgenden Fällen gilt: unverändert eingegeben unzulässig, anonymisiert eingegeben unproblematisch.

So nicht

  • Vertrag mit Name, Adresse und IBAN zur Zusammenfassung einfügen
  • Beschwerde-E-Mail eines Kunden komplett einkopieren und «freundlicher» umschreiben lassen
  • Excel-Liste mit Kundennamen für eine Auswertung hochladen
  • Bewerbungsunterlagen mit Geburtsdatum und Foto analysieren lassen

So gehts

  • Vertrag zuerst anonymisieren, dann zusammenfassen lassen
  • Beschwerde ohne Name, Adresse und Vertragsnummer umformulieren
  • Auswertung mit anonymisierten Platzhaltern statt echten Namen
  • Bewerbung ohne Identifikationsmerkmale durch die KI prüfen

Der entscheidende Punkt: In keinem dieser Fälle braucht die KI die echten Personendaten, um nützlich zu sein. Eine Zusammenfassung, eine freundlichere Formulierung oder eine inhaltliche Prüfung gelingt genauso gut mit Platzhaltern wie «Kunde A» oder «[ADRESSE]». Die persönlichen Daten sind für das Ergebnis überflüssig — und genau deshalb ist Anonymisierung der naheliegende Weg.

Die Lösung: erst anonymisieren, dann Cloud-KI nutzen

Incognify verbindet Datenschutzrecht und Cloud-KI zu einer praktikablen Symbiose. Statt die Frage «ChatGPT Kundendaten erlaubt?» mit einem pauschalen Verbot zu beantworten, dreht Incognify den Spiess um: Persönliche Daten werden mit kontextbasierter, KI-gestützter Anonymisierung erkannt und durch Platzhalter ersetzt, bevor auch nur ein Zeichen an ChatGPT, Claude oder Gemini geht.

Da die echten Personendaten Ihre Infrastruktur nie verlassen, entfällt das US-Transfer-Problem für die sensiblen Inhalte vollständig — und Sie nutzen trotzdem die volle Leistung der grossen Cloud-Modelle. Nach der Antwort werden die Platzhalter wieder zurückübersetzt, sodass Sie ein nahtlos lesbares Ergebnis erhalten.

Was Incognify erkennt

  • Namen, Adressen, Telefonnummern
  • AHV-/Sozialversicherungsnummern
  • IBAN, Kreditkartennummern, Vertragsnummern
  • E-Mail-Adressen, Geburtsdaten
  • Gesundheits- und Bonitätsangaben
  • Branchenspezifische Identifier

Warum das DSG-/DSGVO-konform ist

  • Keine echten Personendaten verlassen Ihr Unternehmen
  • Jeder Anonymisierungsschritt ist dokumentiert
  • Nachweisbare Compliance für EDÖB, DSB und Landesbehörden
  • Erfüllt Privacy by Design (Art. 7 DSG / Art. 25 DSGVO)

So lässt sich Cloud-KI im Kundenkontakt produktiv einsetzen, ohne die Datenschutzgesetze der Schweiz, Deutschlands und Österreichs zu verletzen. Wie der Ablauf technisch funktioniert, zeigt unsere Seite So funktioniert Incognify Schritt für Schritt; die passenden Tarife für Team und Unternehmen finden Sie in der Preisübersicht.

Mit Incognify rechtssicher

Hören Sie auf, die Frage «ChatGPT Kundendaten erlaubt?» jedes Mal neu zu bewerten — automatisieren Sie die Antwort. Incognify anonymisiert Kundennamen, Adressen und Verträge zuverlässig, bevor sie in die Cloud-KI gehen. So bleibt Ihr Team produktiv und Sie compliant. Starten Sie mit So funktioniert Incognify oder vergleichen Sie die Tarife.

Quellen: fedlex.admin.ch — Datenschutzgesetz (DSG), gesetze-im-internet.de — BDSG, eur-lex.europa.eu — DSGVO (Art. 6, 9, 28), ris.bka.gv.at — DSG (Österreich).

Häufige Fragen

Darf ich ChatGPT im Job mit Kundennamen und Adressen nutzen?
Unverändert eingegeben ist das in der Schweiz (DSG), Deutschland und Österreich (DSGVO) grundsätzlich unzulässig, da meist keine Rechtsgrundlage, kein Auftragsbearbeitungsvertrag und keine Garantien für den US-Datentransfer vorliegen. Erlaubt wird es erst, wenn Sie persönliche Daten vorher anonymisieren.
Reicht ein Business-Tarif von ChatGPT oder Claude für Kundendaten aus?
Ein Business-Tarif kann einen Auftragsverarbeitungsvertrag bieten, löst aber das Drittland-Problem nicht automatisch. Entscheidend bleiben Serverstandort und Garantien. In der Schweiz, Deutschland und Österreich braucht es zusätzlich eine Rechtsgrundlage nach DSG bzw. Art. 6 DSGVO — sonst bleibt die Eingabe angreifbar.
Genügt die Einwilligung des Kunden als Rechtsgrundlage?
Selten. Eine Einwilligung muss freiwillig, informiert, spezifisch und jederzeit widerrufbar sein. Im spontanen Arbeitsalltag ist das praktisch nie erfüllbar, und für besondere Datenkategorien nach Art. 9 DSGVO und Art. 5 DSG gelten zusätzliche strenge Anforderungen. Eine pauschale AGB-Klausel ersetzt sie nicht.
Welche Strafen drohen bei Verstössen in CH, DE und AT?
In der Schweiz drohen nach dem DSG Bussen bis CHF 250'000, die die verantwortliche Einzelperson persönlich treffen können. In Deutschland und Österreich sieht die DSGVO Bussgelder bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes vor, durchgesetzt von den Landesbehörden bzw. der DSB.
Wie kann ich ChatGPT trotzdem rechtssicher mit Kundendaten einsetzen?
Indem Sie persönliche Daten vor dem Absenden anonymisieren. Incognify erkennt Namen, Adressen, IBAN und weitere Personendaten automatisch und ersetzt sie durch Platzhalter, bevor der Text an ChatGPT, Claude oder Gemini geht. So bleiben Sie nach DSG und DSGVO konform und nutzen die volle KI-Leistung.

Das könnte dich auch interessieren

Teilen

Sprechen Sie mit uns

Fragen zur Einführung, zum Datenschutz oder zu Enterprise-Optionen? Schreiben Sie uns — wir beraten Sie zu Pilotprojekt, Sicherheitsprüfung und Rollout.

E-Mail: mail@incognify.appWeb: incognify.appMobil:

Newsletter

Bleiben Sie informiert über Datenschutz-Updates, neue Funktionen und praxisnahe Tipps zur sicheren Datenverarbeitung in der Schweiz, Deutschland und Österreich.