ChatGPT, entwickelt von dem Unternehmen OpenAI, ist im Prinzip ein Chatbot, der allerdings mit Künstlicher Intelligenz funktioniert und daher ausgesprochen leistungsfähig ist. In der Testphase ist ChatGPT Anfang 2023 noch kostenlos, eine kostenpflichtige Version ist aber wohl in der Planung. Sein Leistungsspektrum erstreckt sich vom Verfassen von Gedichten über Zusammenfassungen von Filmen und wissenschaftlicher wie belletristischer Literatur bis zum Erstellen von Programmiercodes. Das Programm ist grundsätzlich in englischer Sprache zu bedienen, kann aber auch Übersetzungen in andere Sprachen durchführen. Doch ergeben sich für ChatGPT mit diesen Funktionen und Fähigkeiten auch Anwendungsszenarien im Datenschutz? Für diejenigen, die ChatGPT noch nicht kennen, haben wir das Programm einfach einmal aufgefordert, sich selbst fiktiven Datenschützer:innen vorzustellen: ChatGPT ist also ein Programm, das Konversationen zwischen Menschen imitiert und dabei auf eine breite Datenbasis zurückgreift. Ein Teil dieser Daten scheint personenbezogen, da der Input für das Programm unter anderem aus Social Media, Chatverläufen und Kundenservice-Chats stammt. Die Künstliche Intelligenz von ChatGPT verwendet diese Informationen, um auf einer abstrakten Ebene Interaktionsmuster zu erkennen und selbst zu erlernen. Aktuell können Sie ChatGPT noch ausprobieren, während der Testphase steht das Programm kostenfrei zur Verfügung.

Lässt sich ChatGPT im Datenschutzmanagement anwenden?

ChatGPT ist ein hervorragendes Programm für die KI-basierte Texterstellung. Daher stellt sich die Frage, ob es im Datenschutzmanagement zukünftig regelmäßig Anwendung finden wird. Vorstellbar ist der Einsatz zumindest beim Aufsetzen einer Datenschutzerklärung oder bei der Beschreibung von Verarbeitungstätigkeiten. Ob es aber ein belastbares Ergebnis sowie einen Mehrwert bietet, werden wir im nächsten Abschnitt behandeln. Eine Eigenheit von interaktiven KI-Programmen wie ChatGPT liegt darin, dass sie nicht nur auf eine breite Datenlage, sondern auch auf möglichst präzise Anfragen angewiesen sind – die sogenannten Prompts. Dafür sind die Nutzer:innen verantwortlich, die sich folglich gut mit dem Programm, seinen Anforderungen und Eigenheiten auskennen müssen. Denn der Output ist nur so gut, wie es der Input zulässt.

Im Test: Kann ChatGPT eine Datenschutzerklärung erstellen?

Die Notwendigkeit eines präzisen Prompts zeigt sich bereits bei der Erstellung einer Datenschutzerklärung (DSE). Denn wer von ChatGPT als Unternehmen schlicht eine DSE fordert, erhält zwar einen übersichtlichen Text. Dieser enthält natürlich keine Informationen zu den einzelnen eingesetzten Tools. Nutzer:innen nähern sich einer rechtskonformen DSE dadurch, dass sie den Prompt immer weiter konkretisieren und beispielsweise die Tools mit ihrem Einsatzzweck auflisten. In unserem Beispiel mussten aber die Adressen einzeln ergänzen, da das Programm dies nicht selbst tut. In unserem Test hat sich gezeigt, dass je mehr Informationen einem Prompt hinzugefügt werden, desto präziser wird das Ergebnis. So helfen beispielsweise Angaben zum Wirtschaftssektor, in dem das Unternehmen angesiedelt ist, vorgenommene Datenschutzeinstellungen in dem Tool und getroffene geeignete Garantien nach Artikel 44 ff. der DSGVO dem Programm, das bestmögliche Ergebnis zu liefern. Ein weiterer wichtiger Faktor beim Erstellen einer DSE durch ChatGPT ist ein sprachlich genauer Prompt. Mit detaillierten Anfragen können Datenschützer:innen sich mit ChatGPT einem rechtskonformen Ergebnis zumindest annähern. Schon kleinere Ungenauigkeiten können jedoch dafür sorgen, dass die erstellte DSE des Programms Fehler enthält. Unser Fazit: ChatGPT stellt bei entsprechend präziser Nutzung sowie der Kontrolle und Überarbeitung des Outputs durch geschultes Personal eine (noch) kostenfreie Alternative zu den sogenannten DSE-Generatoren dar. So eignet sich die KI-Anwendung momentan beispielsweise eher dafür, Erklärungen für einzelne Tools zu verfassen, die auf einer Webseite eingesetzt werden.

Lässt sich mit ChatGPT ein Verzeichnis von Verarbeitungstätigkeiten aufsetzen?

Beim Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) ist ChatGPT nur eingeschränkt von Nutzen. Denn ChatGPT ist zwar in der Lage, die Verarbeitungstätigkeiten zu beschreiben. Eine Risikobeurteilung, ob für eine konkrete Verarbeitungstätigkeit eine ausführliche Datenschutz-Folgenabschätzung erforderlich ist oder welche Speicher- und Löschfristen dafür gelten, leistet ChatGPT hingegen nicht. Beim Erstellen eines VVT gilt im Übrigen wie schon bei der DSE: je präziser der Prompt, desto präziser der Output des Programms. Ein Basic-Prompt wie „Can you describe a data processing activity for email newsletter?” wird kein belastbares Ergebnis liefern – stattdessen sollten Nutzer:innen bestimmte Gesichtspunkte des Newsletters im Prompt herausstellen. Wenn dieser Prompt beispielsweise enthält, welches Tool für den E-Mail-Newsletter eingesetzt wird oder welche Personengruppe von der Verarbeitung betroffen ist, lässt sich ein besseres Ergebnis erzielen. Unser Fazit: ChatGPT kommt bei der Erstellung von VVTs (aktuell) definitiv an seine Grenzen. Um ein rechtlich angemessenes, nützliches Ergebnis zu erzielen, müssen die im Prompt enthaltenen Informationen derart umfangreich und präzise sein, dass das Formulieren des Prompts länger dauern kann als das eigenständige Aufsetzen eines VVT. Und selbst wenn der Prompt gelungen ist, besteht immer noch die Gefahr, dass ChatGPT ein fehlerhaftes Ergebnis liefert. Deshalb fällt bei jedem Output eine Kontrolle an, die mögliche Anpassungen und weiteren zeitlichen Aufwand nach sich zieht.

Worauf sollten Datenschützer:innen bei der Anwendung von ChatGPT achten?

Außerdem überprüfen die Entwickler:innen von ChatGPT die Konversationen, um sichere und verantwortungsvolle Inhalte zu gewährleisten und die Entwicklung des Programms voranzubringen. Es ist darüber hinaus nicht möglich, bestimmte Prompts zu löschen. Daher ist größte Sorgfalt bei der Eingabe von Informationen geboten. Weitere Auskünfte zur Speicherung und Verarbeitung der eingegebenen Daten stellt OpenAI in seiner Privacy Policy und seinen Terms of Use bereit. Wie wir bereits gesehen haben, sollten Datenschützer:innen sich zudem nicht blind auf die Ergebnisse von ChatGPT verlassen. Das sehen die Entwickler:innen von OpenAI selbst übrigens genauso und raten in ihren FAQs: „We’d recommend checking whether responses from the model are accurate or not.“

ChatGPT: Chancen und Limits der Anwendung beim Datenschutz

ChatGPT kann für Datenschutzbeauftragte ein leistungsstarkes Werkzeug sein. Es unterstützt beim Strukturieren, Formulieren und Vergleichen komplexer Inhalte. Doch die Qualität der Ergebnisse hängt maßgeblich von der richtigen Eingabe ab. Die gute Nachricht: Mit dem einfachen Prinzip: Rolle, Kontext und Auftrag lässt sich das volle Potenzial ausschöpfen.

In diesem Beitrag erfahren Sie, wie Sie ChatGPT im Datenschutzalltag sicher und effizient nutzen, mit klaren Anweisungen, konkreten Beispielen und einem strukturierten Vorgehen.

Kategorie:

Datenschutzmanagement

01. Oktober 2025

5 Minuten

Symbolbild für den Einsatz von ChatGPT im Datenschutz – Chancen und Grenzen

von Björn Möller, Co-Founder & CEO

Was ist ChatGPT?

ChatGPT, entwickelt von OpenAI, zählt auch 2025 zu den etabliertesten KI-Tools im Unternehmensumfeld. Mit der aktuellen Version GPT 5 (Stand August 2025) bietet es vielfältige Funktionen von Textgenerierung und Datenanalyse bis zur Unterstützung komplexer Workflows. Neben einer kostenlosen Version stehen mit ChatGPT Plus und Enterprise auch kostenpflichtige Varianten mit erweiterten Datenschutzfunktionen zur Verfügung.

Gerade im Datenschutz ergeben sich zahlreiche Anwendungsmöglichkeiten, etwa beim Entwurf von DSFA-Strukturen, der Formulierung von Informationspflichten oder der Erstellung von Schulungsunterlagen. Unsere Tests zeigen: ChatGPT kann dabei als wertvolle Assistenz fungieren, wenn der Einsatz strukturiert und verantwortungsbewusst erfolgt.

Die zentrale Frage lautet daher nicht mehr „Was kann ChatGPT?”, sondern: „Wie lässt es sich im Datenschutzalltag sinnvoll und sicher nutzen?”

Wo ChatGPT im Datenschutz heute wirklich hilft

Im Datenschutz zeigt ChatGPT seine Stärken überall dort, wo Struktur, Klarheit und erste Entwürfe gefragt sind. Besonders hilfreich ist das Modell in drei Bereichen:

beim Verzeichnis von Verarbeitungstätigkeiten,

in der Vorbereitung einer Datenschutz-Folgenabschätzung und

bei technischen und organisatorischen Maßnahmen.

Für VVTs liefert es die besten Ergebnisse auf Basis einer stabilen Vorlage. Es ergänzt fehlende Angaben, vereinheitlicht die Sprache und macht auf Unklarheiten aufmerksam. Ohne Vorlage entsteht zwar eine Rohstruktur, der Aufwand für die Nachbearbeitung ist jedoch deutlich höher.

Bei der Vorbereitung einer DSFA hilft ChatGPT, typische Risikofaktoren zu sammeln, Szenarien zu clustern und erste Maßnahmenvorschläge zu machen. Das schafft eine strukturierte Grundlage für die Entscheidung, ob und in welchem Umfang eine DSFA nötig ist. Die rechtliche Bewertung bleibt nach wie vor beim Menschen.

Auch bei TOM bringt ChatGPT Ordnung ins System: Es strukturiert bestehende Maßnahmen, erkennt Lücken, formuliert Bausteine und schlägt Prioritäten vor. So lassen sich Kataloge effizient überarbeiten und dokumentieren.

Allen drei Einsatzfeldern ist eines gemeinsam: ChatGPT beschleunigt den Einstieg, sorgt für Konsistenz und liefert bessere Ergebnisse, wenn Prompts klar formuliert und Vorlagen konsequent genutzt werden.

Damit ChatGPT allerdings wirklich weiterhilft, kommt es auf die richtige Anleitung an. Gute Prompts sind der Schlüssel. Besonders bewährt hat sich eine Vorgehensweise in drei Schritten:

Rolle,

Kontext und

Auftrag.

ChatGPT Prompts für Datenschutz

Damit ChatGPT im Datenschutzalltag verlässliche Ergebnisse liefert, braucht es klare Anweisungen. Besonders bewährt hat sich der Dreischritt: Rolle, Kontext, Auftrag.

Die Rolle definiert die Perspektive, zum Beispiel ein/e Datenschutzbeauftragte/r. Der Kontext liefert relevante Infos wie Branche, Rechtsraum oder vorhandene Vorlagen. Der Auftrag beschreibt Ziel, Umfang und Format, etwa als Liste oder Tabelle. Wichtig ist auch, ChatGPT zu bitten, offene Punkte und Annahmen separat auszugeben.

Beispiel für das Verzeichnis von Verarbeitungstätigkeiten

„Rolle: DPO. Kontext: EU DSGVO, keine personenbezogenen Daten, Nutzung unserer VVT-Vorlage. Auftrag: Ergänze die Felder für den Versand eines Newsletters. Ausgabe: Tabelle mit Zweck, Rechtsgrundlage, Datenkategorien etc. Nenne Annahmen separat.“

Für eine erste DSFA-Einschätzung

„Rolle: DPO. Kontext: mobiles App-Tracking. Auftrag: Liste DSFA-Indikatoren, bewerte Risiken, schlage Maßnahmen vor, gib Einschätzung zur DSFA-Pflicht. Ausgabe in kompakter Tabelle.“

Für TOM

„Rolle: DPO. Kontext: SaaS-CRM. Auftrag: Ordne Maßnahmen in organisatorisch und technisch, ergänze fehlende Punkte, mappe zu Art. 32 DSGVO, formuliere kurze Katalogtexte. Am Ende: Priorisierung.“

Diese zwei Grundregeln beim Prompten gelten immer:

Keine personenbezogenen oder vertraulichen Daten in den Prompt und

lieber mehrere präzise Prompts eingeben als einen überladenen.

Merke: Wer Rolle, Kontext und Auftrag sauber vorgibt, erhält strukturierte Entwürfe für VVT, DSFA oder TOM.

Praxisvergleich: VVT mit und ohne Vorlage

Unser Praxistest zeigt: Mit einer belastbaren Vorlage liefert ChatGPT konsistente Einträge für das Verzeichnis von Verarbeitungstätigkeiten. Fehlende Angaben werden markiert, Formulierungen passend ergänzt. Pflichtfelder wie Zweck, betroffene Personen, Datenkategorien, Empfänger, Rechtsgrundlage, Speicherdauer, Drittlandtransfer und TOM werden strukturiert ausgefüllt. Ein separater Abschnitt für Annahmen und offene Punkte macht Lücken sichtbar und erleichtert die Überprüfung. Auf diese Weise entsteht ein belastbarer Erstentwurf, der sich zügig prüfen und freigeben lässt.

Auch ohne Vorlage kann ChatGPT erste Strukturen entwerfen, allerdings sind Stil und Tiefe weniger einheitlich, und es bleibt mehr Nacharbeit. Dieser Ansatz eignet sich, wenn Prozesse neu erfasst werden. Für die Skalierung über viele Verarbeitungstätigkeiten hinweg empfiehlt sich jedoch ein einheitliches Template mit Glossar und Beispielzeilen. Wer zusätzlich einen einfachen Prüfpfad definiert, kann VVT, DSFA und TOM effizient miteinander abgleichen.

Den größten Effizienzgewinn erzielen Unternehmen, wenn die Vorlage einmal sauber aufgesetzt und anschließend systematisch genutzt wird. Damit Sie sofort starten können, stellen wir Ihnen ein praxiserprobtes VVT-Template von caralegal kostenlos zur Verfügung: Jetzt VVT-Excel-Vorlage herunterladen.

Um einen VVT-Eintrag mit ChatGPT zu erstellen, stellen wir Ihnen ein Promptbeispiel zur Verfügung, das Sie nach Ihren Bedürfnissen anpassen können:

Diesen Prompt können Sie verwenden:

Rolle: Datenschutzbeauftragte:r (DPO).

Kontext: EU/EWR, DSGVO (insb. Art. 30, 6, 9, 10, 28, 32). Branche: [BRANCHE]. Rechtsraum/Land: [LAND]. Vorlage: [NAME/IHRER-VVT-VORLAGE] – falls nicht vorhanden, Standard-Layout verwenden. WICHTIG: Keine personenbezogenen oder vertraulichen Daten; nur generische Platzhalter nutzen.

Auftrag: Erstelle einen vollständigen, konsistenten Eintrag für das Verzeichnis von Verarbeitungstätigkeiten zur Verarbeitung: “[VERARBEITUNGSTÄTIGKEIT]” (z. B. „Versand von Newslettern“). Nutze die genannte Vorlage; wenn nicht verfügbar, mappe auf ein Standard-Layout.

Ausgabe:

1) Markdown-Tabelle „VVT‑Eintrag“ mit Spalten:
- Verarbeitungstätigkeit (Name/ID)
- Zweck(e) - Betroffene Personengruppen
- Kategorien personenbezogener Daten
- Rechtsgrundlagen (Art.-Nr., bei berecht. Interesse kurze Abwägung)
- Empfänger/Kategorien & Auftragsverarbeiter
- Drittlandtransfer (Ja/Nein; Land; Garantien)
- Systeme/Applikationen
- Speicherdauer/Löschfristen
- TOMs (Kurzbezug zu Art. 32)
- Verantwortliche Stelle/Owner
- DSFA-Pflicht? (Ja/Nein, kurze Begründung)
- Version/Stand

2) Abschnitt „Annahmen & offene Punkte“: alle Lücken als „TBD“ kennzeichnen, präzise Nachfragen formulieren.

3) Abschnitt „Validierungscheck“: Häkchenliste, ob alle Pflichtfelder nach Art. 30 befüllt und Zweck ↔ Rechtsgrundlage ↔ Datenkategorien ↔ Empfänger ↔ Speicherdauer konsistent sind. Bei Abweichungen: Warnhinweise.

Hinweise:
- Knappe, wiederverwendbare Katalogtexte; keine Marketingfloskeln.
- Wenn Informationen fehlen, triff minimale, konservative Annahmen und liste sie separat.
- Lieber mehrere präzise Folgeprompts für Details als ein überladener Prompt.

Mögliche Antwort einblenden

Wie gut ist ChatGPT im Datenschutz wirklich

Für VVT, DSFA und TOM liefert ChatGPT solide Erstentwürfe und bringt Ordnung in komplexe Informationen. Die Qualität steigt spürbar, sobald mit Vorlagen gearbeitet wird. Beim VVT schließt das Modell Lücken, vereinheitlicht die Sprache und kennzeichnet Annahmen für das Review. Im DSFA-Kontext hilft es, Risiken zu clustern und erste Maßnahmenvorschläge zu entwickeln. Bei TOM strukturiert es vorhandene Maßnahmen und erleichtert die Dokumentation.

Der Nutzen ist klar: ChatGPT beschleunigt die Erstellung von Rohtexten, harmonisiert Terminologie und unterstützt bei der Vorbereitung von Entscheidungen. Die rechtliche Bewertung und finale Freigabe bleiben in der Verantwortung des Teams.

Wer Rolle, Kontext und Format sauber vorgibt, reduziert Streuverluste und vermeidet Fehlinterpretationen. Halluzinationen sind selten, können aber vorkommen. Deshalb sind ein sorgfältiger Review, ein Quellenabgleich und die Dokumentation aller Annahmen unerlässlich. Nur so wird aus KI-Tempo verlässliche Qualität.

Datenschutzkonforme Nutzung: So setzen Unternehmen ChatGPT sicher ein

Für Unternehmen unterscheiden sich die ChatGPT-Angebote vor allem bei Datenschutz und Compliance. In den Business-Produkten von Open AI werden Eingaben und Ausgaben nicht für das Training verwendet. Bei Free und Plus ist das möglich, lässt sich aber in den Einstellungen deaktivieren. So lässt sich die geschäftliche klar von der privaten Nutzung abgrenzen.

ChatGPT Enterprise bietet zusätzliche Steuerungsmöglichkeiten: Administratorinnen und Administratoren können Aufbewahrungsfristen festlegen, Datenresidenz in Europa wählen und den Zugriff zentral verwalten. Hinzu kommen Ende-zu-Ende-Verschlüsselung und ein Trust Portal.

Unabhängig vom Modell gilt: keine personenbezogenen Daten in die Eingabe, klare interne Richtlinien, menschliche Prüfung und regelmäßige Reviews. So eingerichtet, lässt sich ChatGPT als verlässliches und praxisnahes Tool für VVT, DSFA und TOM einsetzen.

Best Practices für den Umgang mit ChatGPT im Datenschutz

Ein sicherer und effizienter Einsatz beginnt mit klaren Zuständigkeiten, einer kurzen internen Richtlinie und definierten Anwendungsfällen. In einer geschützten Umgebung mit Admin-Kontrollen, Single-Sign-On und starker Authentifizierung lassen sich Chat-Verläufe und Zugriffsrechte gezielt steuern. Nur freigegebene Inhalte werden gespeichert.

Wichtig: personenbezogene Daten und Geschäftsgeheimnisse gehören nicht in Prompts.

Vorlagen sorgen für konsistente Ergebnisse: Ein VVT-Template, ein schlankes DSFA-Formular und eine klare TOM-Struktur sollten durch ein Glossar und Beispielzeilen ergänzt werden. Für die tägliche Nutzung hat sich der Dreischritt Rolle, Kontext, Auftrag bewährt: ChatGPT erstellt einen belastbaren Erstentwurf, das Team prüft, ergänzt Quellen und gibt frei.

Regelmäßige Erfolgskontrolle rundet den Einsatz ab. Metriken wie Durchlaufzeit, Nachbearbeitungsaufwand und Wiederverwendungsrate machen Fortschritte messbar. Eine kleine Prompt-Bibliothek fördert konsistente Ergebnisse im Arbeitsalltag.

Nicht vergessen: Wer KI-gestützte Tools wie ChatGPT einsetzt, muss laut KI-VO und je nach Einsatzbereich, auch nach DSGVO für eine angemessene Schulung der Mitarbeitenden sorgen. Nur so wird sichergestellt, dass KI verantwortungsvoll genutzt und Risiken richtig eingeschätzt werden.

Starten Sie direkt: das von unseren Legal & Compliance ExpertInnen entwickeltes, kostenlose KI-Schulungskonzept unterstützt Sie mit klaren Rollen, erprobten Inhalten und praktischen Tipps für die Umsetzung im Unternehmen.

Wie hilft ChatGPT im Datenschutz Zeit zu sparen?

Den größten Mehrwert bietet ChatGPT bei der Erstellung von Erstentwürfen und der Strukturierung komplexer Inhalte. Beim VVT sinkt der Aufwand spürbar, sobald mit einer belastbaren Vorlage gearbeitet wird: Das Modell füllt Pflichtfelder, vereinheitlicht Begriffe und kennzeichnet Lücken. In der Vorbereitung einer Datenschutz-Folgenabschätzung hilft es, typische Indikatoren, Risiken und Maßnahmen geordnet darzustellen. Bei TOM bringt es Struktur in heterogene Kataloge und macht fehlende Bausteine sichtbar.

Der Aufwand reduziert sich insbesondere dort, wo klare Templates, abgestimmte Prompts und eine gewisse Routine im Team vorhanden sind. Die größten Zeitgewinne entstehen in der Vorarbeit, also vor der rechtlichen Bewertung und finalen Freigabe. Genau hier schafft ChatGPT die Grundlage für fundierte Entscheidungen und konsistente Dokumentation.

Fazit: KI im Datenschutz - ja, aber mit klaren Rahmenbedingungen

ChatGPT hat das Potenzial, den Arbeitsalltag im Datenschutz deutlich zu erleichtern - vorausgesetzt, der Einsatz erfolgt methodisch, verantwortungsvoll und gut eingebettet in bestehende Prozesse. Die Technik allein bringt keinen Vorsprung. Erst in Verbindung mit Vorlagen, klaren Prompts, abgestimmten Rollen und einem strukturierten Review entfaltet sie ihren vollen Nutzen.

Was dabei zählt, ist nicht nur die Effizienz, sondern die Verlässlichkeit der Ergebnisse. Denn auch in einer zunehmend automatisierten Umgebung bleibt der Mensch in der Verantwortung für Qualität, Nachvollziehbarkeit und rechtliche Absicherung.

Wer den Einsatz von KI im Datenschutz strategisch angeht, schafft nicht nur mehr Tempo, sondern auch mehr Transparenz und Konsistenz in der täglichen Praxis. Damit das gelingt, braucht es nicht nur die richtigen Tools, sondern auch Wissen und Schulung. Unser KI-Schulungskonzept bietet Ihnen dafür einen praxisnahen Einstieg.

Auf dieser Seite

Primary Item (H2)

Über den Autor

Björn Möller

Co-Founder & CEO von caralegal

Björn Möller ist gelernter Wirtschaftsinformatiker und hat umfangreiche Erfahrung in der Entwicklung digitaler Produkte. Er hat an der Stanford University selbst an dem Einsatz Künstlicher Intelligenz gearbeitet. Er ist Geschäftsführer der caralegal GmbH, die Unternehmen neue Wege in der KI- und datenrechtlichen Compliance ermöglicht.

ChatGPT: Chancen und Limits der Anwendung beim Datenschutz

Was ist ChatGPT?

Wo ChatGPT im Datenschutz heute wirklich hilft

ChatGPT Prompts für Datenschutz