Die Frage, ob ChatGPT Kundendaten erlaubt verarbeiten darf, stellt sich heute in fast jedem Unternehmen — vom Vertrieb über den Support bis zur Buchhaltung. Die kurze Antwort für 2026 lautet: Kundennamen, Adressen oder Verträge unverändert in ChatGPT, Claude oder Gemini einzugeben, ist in der Schweiz, in Deutschland und in Österreich grundsätzlich unzulässig. Die gute Nachricht: Mit vorgelagerter Anonymisierung wird genau dieselbe Cloud-KI rechtskonform nutzbar. Dieser Artikel erklärt die Rechtslage präzise und zeigt den sauberen Weg.
ChatGPT mit Kundendaten: Wann ist es erlaubt, wann verboten?
Sobald Sie einen Kundennamen, eine Telefonnummer, eine Lieferadresse oder einen Vertragstext mit Namen in ein Cloud-KI-Tool kopieren, verarbeiten Sie Personendaten. Damit greifen sofort die Datenschutzgesetze aller drei Länder. Entscheidend ist nicht, ob Sie die Daten «nur kurz» zusammenfassen lassen oder ob der Chat «privat» wirkt — entscheidend ist, dass die Daten Ihr Unternehmen verlassen und auf fremden Servern landen.
Die Frage «ChatGPT Kundendaten erlaubt oder nicht» lässt sich daher klar beantworten: Unverändert und ohne saubere Rechtsgrundlage ist es nicht erlaubt. Erlaubt wird es erst, wenn die persönlichen Daten vor dem Absenden entfernt oder unkenntlich gemacht werden — oder wenn ein vollständiger vertraglicher und technischer Rahmen besteht, den die wenigsten Standard-Abos bieten.
Rechtliche Grundlage: CH — Datenschutzgesetz (nDSG/revDSG), Art. 6 für die Bearbeitungsgrundsätze, Art. 9 für die Auftragsbearbeitung. DE — DSGVO, Art. 6 (Rechtsgrundlage) und Art. 9 (besondere Kategorien). AT — DSGVO plus DSG AT als nationale Ergänzung, beaufsichtigt durch die Datenschutzbehörde (DSB).
Warum die unanonymisierte Eingabe unzulässig ist
Jede Bearbeitung von Personendaten braucht eine Rechtsgrundlage. Wer Kundendaten in eine Cloud-KI gibt, muss sich auf eine davon stützen können — und genau hier scheitern die meisten Standard-Nutzungen. Die folgenden vier Punkte erklären, warum.
Keine tragfähige Rechtsgrundlage
Weder ein berechtigtes Interesse noch ein Vertrag mit dem Kunden deckt es ab, seine Daten ungefragt an einen US-Anbieter zu übermitteln. Art. 6 DSGVO und Art. 6 DSG verlangen eine Grundlage, die hier in der Regel fehlt.
Besondere Kategorien
Gesundheit, Religion, Gewerkschaft, biometrische Daten oder Bonität gelten als besonders schützenswert. Art. 9 DSGVO und Art. 5 lit. c DSG verbieten ihre Bearbeitung fast vollständig — ausser bei ausdrücklicher Einwilligung.
Verlust der Kontrolle
Eingaben können gespeichert, ausgewertet und je nach Tarif zum Training verwendet werden. Sie können nicht mehr garantieren, dass die Daten gelöscht werden — ein Verstoss gegen die Grundsätze von Zweckbindung und Datenminimierung.
Fehlende Transparenz
Ihre Kunden wissen nicht, dass ihre Daten an einen Dritten in den USA fliessen. Die Informationspflicht aus Art. 13/14 DSGVO und Art. 19 DSG wird damit verletzt.
Schon ein einziger dieser Punkte genügt, damit die Eingabe rechtswidrig wird. In der Praxis treffen meist mehrere gleichzeitig zu — etwa wenn ein Mitarbeiter einen Vertrag mit Name, Adresse und Bankverbindung zur «schnellen Zusammenfassung» einfügt.
Auftragsbearbeitung, AVV und das US-Transfer-Problem
Wenn ein externer Dienst Personendaten in Ihrem Auftrag verarbeitet, wird er zum Auftragsbearbeiter. Dann braucht es zwingend einen Auftragsverarbeitungsvertrag (AVV) — in der Schweiz die Auftragsbearbeitung nach Art. 9 DSG, in Deutschland und Österreich den Vertrag nach Art. 28 DSGVO. Ohne diesen Vertrag ist die Weitergabe für sich allein schon ein Rechtsverstoss.
Doch selbst mit AVV bleibt ein zweites, schwerwiegendes Problem: der Datentransfer in die USA. Die grossen Anbieter betreiben ihre Server überwiegend ausserhalb der Schweiz und der EU. Eine Übermittlung in ein Drittland verlangt zusätzliche Garantien — Standardvertragsklauseln, eine Angemessenheitsprüfung oder die Teilnahme am Datenschutzrahmen. Für viele Standard-Abos sind diese Voraussetzungen schlicht nicht nachweisbar erfüllt.
- Ein kostenloses oder privates Konto bietet in aller Regel keinen AVV — die geschäftliche Nutzung ist damit von vornherein angreifbar.
- Selbst Business-Tarife mit Vertrag lösen das Drittland-Problem nicht automatisch; der konkrete Serverstandort und die Garantien sind entscheidend.
- Die Einwilligung des Kunden ist als Ausweg selten tragfähig: Sie muss freiwillig, informiert, spezifisch und jederzeit widerrufbar sein — bei spontanen Eingaben im Arbeitsalltag praktisch nie erfüllbar.
- Eine pauschale «KI-Klausel» in den AGB ersetzt keine wirksame Einwilligung für besondere Datenkategorien.
Merksatz: Ein AVV regelt nur das Wie der Bearbeitung — er ersetzt weder die fehlende Rechtsgrundlage noch die Garantien für den US-Transfer. Beides muss zusätzlich erfüllt sein, sonst bleibt die Eingabe unzulässig.
Die Rechtslage 2026 im Drei-Länder-Vergleich
Die Grundlogik ist in allen drei Ländern identisch: keine Bearbeitung ohne Grundlage, kein Drittland-Transfer ohne Garantien, kein Umgang mit besonders schützenswerten Daten ohne strenge Voraussetzungen. Die Sanktionen unterscheiden sich jedoch deutlich.
| Land | Gesetz & Aufsicht | Sanktion |
|---|---|---|
| Schweiz | DSG (nDSG/revDSG), EDÖB | Bussen bis CHF 250'000 — gegen die verantwortliche Einzelperson |
| Deutschland | DSGVO, Landesdatenschutzbehörden | Bussgelder bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes |
| Österreich | DSGVO + DSG AT, Datenschutzbehörde (DSB) | Bussgelder bis 20 Mio. EUR oder 4 % Jahresumsatz |
Beachten Sie den Unterschied: In der Schweiz kann das DSG die verantwortliche Personpersönlich treffen — nicht nur das Unternehmen. Wer im Arbeitsalltag Kundendaten unbedacht in ChatGPT eingibt, trägt also ein ganz konkretes persönliches Risiko. Mehr Zahlen und Hintergründe finden Sie in unserem Überblick zu den 5 wichtigsten DSGVO-Fakten zu Cloud-KI.
Praxisbeispiele: Was im Alltag schiefgeht
Die Theorie wird greifbar, sobald man typische Situationen betrachtet. In allen folgenden Fällen gilt: unverändert eingegeben unzulässig, anonymisiert eingegeben unproblematisch.
So nicht
- Vertrag mit Name, Adresse und IBAN zur Zusammenfassung einfügen
- Beschwerde-E-Mail eines Kunden komplett einkopieren und «freundlicher» umschreiben lassen
- Excel-Liste mit Kundennamen für eine Auswertung hochladen
- Bewerbungsunterlagen mit Geburtsdatum und Foto analysieren lassen
So gehts
- Vertrag zuerst anonymisieren, dann zusammenfassen lassen
- Beschwerde ohne Name, Adresse und Vertragsnummer umformulieren
- Auswertung mit anonymisierten Platzhaltern statt echten Namen
- Bewerbung ohne Identifikationsmerkmale durch die KI prüfen
Der entscheidende Punkt: In keinem dieser Fälle braucht die KI die echten Personendaten, um nützlich zu sein. Eine Zusammenfassung, eine freundlichere Formulierung oder eine inhaltliche Prüfung gelingt genauso gut mit Platzhaltern wie «Kunde A» oder «[ADRESSE]». Die persönlichen Daten sind für das Ergebnis überflüssig — und genau deshalb ist Anonymisierung der naheliegende Weg.
Die Lösung: erst anonymisieren, dann Cloud-KI nutzen
Incognify verbindet Datenschutzrecht und Cloud-KI zu einer praktikablen Symbiose. Statt die Frage «ChatGPT Kundendaten erlaubt?» mit einem pauschalen Verbot zu beantworten, dreht Incognify den Spiess um: Persönliche Daten werden mit kontextbasierter, KI-gestützter Anonymisierung erkannt und durch Platzhalter ersetzt, bevor auch nur ein Zeichen an ChatGPT, Claude oder Gemini geht.
Da die echten Personendaten Ihre Infrastruktur nie verlassen, entfällt das US-Transfer-Problem für die sensiblen Inhalte vollständig — und Sie nutzen trotzdem die volle Leistung der grossen Cloud-Modelle. Nach der Antwort werden die Platzhalter wieder zurückübersetzt, sodass Sie ein nahtlos lesbares Ergebnis erhalten.
Was Incognify erkennt
- Namen, Adressen, Telefonnummern
- AHV-/Sozialversicherungsnummern
- IBAN, Kreditkartennummern, Vertragsnummern
- E-Mail-Adressen, Geburtsdaten
- Gesundheits- und Bonitätsangaben
- Branchenspezifische Identifier
Warum das DSG-/DSGVO-konform ist
- Keine echten Personendaten verlassen Ihr Unternehmen
- Jeder Anonymisierungsschritt ist dokumentiert
- Nachweisbare Compliance für EDÖB, DSB und Landesbehörden
- Erfüllt Privacy by Design (Art. 7 DSG / Art. 25 DSGVO)
So lässt sich Cloud-KI im Kundenkontakt produktiv einsetzen, ohne die Datenschutzgesetze der Schweiz, Deutschlands und Österreichs zu verletzen. Wie der Ablauf technisch funktioniert, zeigt unsere Seite So funktioniert Incognify Schritt für Schritt; die passenden Tarife für Team und Unternehmen finden Sie in der Preisübersicht.
Mit Incognify rechtssicher
Hören Sie auf, die Frage «ChatGPT Kundendaten erlaubt?» jedes Mal neu zu bewerten — automatisieren Sie die Antwort. Incognify anonymisiert Kundennamen, Adressen und Verträge zuverlässig, bevor sie in die Cloud-KI gehen. So bleibt Ihr Team produktiv und Sie compliant. Starten Sie mit So funktioniert Incognify oder vergleichen Sie die Tarife.
Quellen: fedlex.admin.ch — Datenschutzgesetz (DSG), gesetze-im-internet.de — BDSG, eur-lex.europa.eu — DSGVO (Art. 6, 9, 28), ris.bka.gv.at — DSG (Österreich).
