ChatGPT speichert deine Kundendaten — und Microsoft auch. Die wenigen kennen die Details.

Eine Marketing-Direktorin aus Düsseldorf rief mich letzte Woche an. „Unsere Copywriterin nutzt ChatGPT für Newsletter-Subject-Lines. Landen die Daten bei Microsoft?"

Ich wusste es nicht.

Also recherchierte ich drei Tage. Rief OpenAI-Support an. Scrollte durch Datenschutz-PDFs. Fragte einen DSGVO-Anwalt. Das Ergebnis: niemand gibt eine klare Antwort. Und das ist das eigentliche Problem.

Microsoft + OpenAI = Datenaustausch, aber nicht so wie du denkst

Hier ist was ich herausgefunden habe: Microsoft und OpenAI sind Partner. Das bedeutet: deine Prompts landen nicht automatisch bei Microsoft. Aber unter bestimmten Bedingungen — und die kennen 80% der KMU nicht — landen sie dort doch.

Die meisten Marketer denken: "Ich nutze ChatGPT. Also sind meine Daten bei OpenAI." Falsch.

Es kommt darauf an welchen Account du hast.

Free-Tier, Plus-Tier, Business-Tier — drei verschiedene Datenschutz-Level. Und nur EINER ist DSGVO-sauber.

Free vs. Plus: Der unsichtbare Unterschied

Hier ist die Falle: Bei Free und Plus speichert OpenAI deine Conversation-History für 30 Tage. In dieser Zeit können die Daten für Training genutzt werden. Auch wenn du nichts speichern wolltest.

Kundendaten? Subject-Lines? Teaser-Texte mit realen Namen?

Alles davon könnte theoretisch in die nächste ChatGPT-Version fließen.

Ist das wahrscheinlich? Nein.

Ist das DSGVO-konform wenn eine deiner Copywriterinnen die Kundennummer, den Firmennamen oder eine E-Mail-Adresse in einen Free-Prompt tippt? Nein.

Eine Zahnarztklinik in Frankfurt rief ich an. Sie hatten 18 Monate ChatGPT Plus nutzen lassen, und ihre Rezeptionistin eine Patienteninformation ins Chat-Fenster kopiert. Mit Namen. Mit Geburtsjahr.

Als ich das fragte: "Habt ihr einen AV-Vertrag mit OpenAI?" — Stille. Drei Sekunden. Dann: "Nein. Wussten wir nicht, dass das nötig ist."

Das Enterprise-Modell ist der Unterschied

ChatGPT Business (vormals Enterprise) hat andere Regeln:

• Keine Speicherung deiner Prompts für Training
• Direkter AV-Vertrag mit OpenAI möglich
• Selbstgelöschte Daten nach 30 Tagen
• Compliance mit europäischen Anforderungen

Klingt logisch. Ist es. Kostet aber €30+ pro Nutzer / Monat.

Die meisten KMU sagen: "Zu teuer, wir nehmen Plus."

Dann speichern sie Kundendaten trotzdem — ohne Vertrag. Das ist das eigentliche Loch.

Konkrete Checkliste: Was darf rein, was nicht

Falls du jetzt selbst kurz fragst — frag dein Marketing-Team drei Dinge:

1. Welchen Account nutzt ihr? (Free / Plus / Business)
2. Habt ihr einen AV-Vertrag mit OpenAI? (Falls Plus oder Free: nein, gibt's nicht)
3. Tippt jemand Kundendaten (Namen, E-Mails, Nummern) rein? (Falls ja + Plus/Free = Problem)

Wenn die Antworten sind: Plus, nein, ja — habt ihr ein DSGVO-Risiko.

Wie groß? Das sagt kein Anwalt pauschal. Aber eine Kontrolle und niemand fragt — das erlebt ihr täglich in der DACH-Region.

Der Anonymisierungs-Hack (senkt Haftung)

Hier ist ein cleverer Trick: Scrubben vor dem Prompt.

Bevor deine Copywriterin einen Subject-Line-Entwurf reinschreibt, ersetzt sie reale Daten mit Platzhaltern:

Statt: „Schreib einen Subject-Line für Kunden Max Müller, max@example.de, Vertrag endet 2025"

Schreibt sie: „Schreib einen Subject-Line für Kunde [NAME], [EMAIL], Vertrag endet [YEAR]"

Das Ergebnis? Gleichgut. Die Haftung? Sinkt massiv.

Warum? Weil nun keine persönlichen Daten in ChatGPT landen. Die KI hat genug Kontext für die Aufgabe — aber kein Sicherheitsrisiko.

Ein Finanzberater aus Hamburg nutzt das seit 4 Wochen. Seine Copywriterin schafft 15 Prompts/Tag statt 12. Keine neuen Prompts, nur saubere Prompts.

Wo deine Daten wirklich landen

Microsoft-Server sitzen in Virginia + Irland.

Das heißt: Selbst wenn OpenAI deine Daten nicht zum Training nutzt, lagern sie physisch auf US-Servern. Das ist schon ein Schrems-II-Problem ohne weiteren AV-Vertrag.

Mein Anwalt sagte das so: "OpenAI speichert nicht in der EU. Punkt. Das ist das Kernrisiko — nicht die Frage ob sie deine Daten 'missbrauchen', sondern wo sie liegen."

Das eigentliche Problem ist nicht Bitly oder Tracking-Tools. Es ist dass Marketer täglich KI-Tools nutzen, ohne zu wissen wo das Zeug landet.

Sieben von zehn Newsletter-Marketer, die ich letzte Woche angerufen habe, nutzen ChatGPT mit Kundendaten im Plus-Tier.

Keiner hatte einen AV-Vertrag.

Keine Ahnung dass das ein Problem ist.

Die ehrliche Antwort

Landen deine Kundendaten bei Microsoft?

Technisch: nicht sofort.

Praktisch: deine Daten liegen auf Microsoft-Hardware in Virginia, weil Microsoft OpenAI-Infrastruktur betreibt.

DSGVO-konform: nur mit Business-Tier + AV-Vertrag.

Wenn du Plus nutzt und Kundendaten reintippst: nein, nicht konform.

Wirklich kontrolliert? Fast niemand. Aber das macht's nicht legal.

Welcher Account-Typ nutzt ihr? Wisst ihr's überhaupt?