Ist die Nutzung von ChatGPT in Deutschland legal?

Ja, die private und berufliche Nutzung ist erlaubt. Eingeschränkt wird sie durch DSGVO (bei personenbezogenen Daten), Urheberrecht (bei geschützten Inhalten) und ab August 2026 durch Kennzeichnungspflichten aus dem EU AI Act. Ein generelles Verbot existiert nicht — Italien hatte ChatGPT 2023 kurz gesperrt, in Deutschland war das nie der Fall.

Darf ich KI-Bilder kommerziell verwenden?

Es kommt auf die Lizenz des Tools an. Midjourney, DALL·E und Flux erlauben kommerzielle Nutzung in den Bezahl-Tarifen mit unterschiedlichen Einschränkungen (etwa Umsatzgrenzen). Das deutsche Urheberrecht gewährt rein KI-generierten Bildern keinen eigenen Schutz — dritte können sie also frei nutzen, wenn sie sie selbst nachbauen. Für Verträge mit Auftraggebern lohnt sich eine eigene Klausel zu KI-Inhalten.

Muss ich kennzeichnen, dass ein Text mit ChatGPT geschrieben wurde?

Im privaten Bereich nein. Beruflich und im Marketing kommt es darauf an: Ab August 2026 verlangt der EU AI Act für Deepfakes und KI-generierte Bilder/Videos eine maschinenlesbare Kennzeichnung. Reine Texte sind weniger streng geregelt, aber Transparenz ist in vielen Branchen Standard (Verlage, Wissenschaft, Behörden). Bei beruflichen Pflichten unbedingt eine Anwältin fragen.

Kann ich Probleme bekommen, wenn ich Kundendaten in ChatGPT eingebe?

Ja. Sobald personenbezogene Daten von Dritten betroffen sind, brauchst du eine Rechtsgrundlage nach DSGVO und in den meisten Fällen einen Auftragsverarbeitungsvertrag mit OpenAI (oder Anbieter deiner Wahl). Wer ohne diese Grundlagen Kundendaten überträgt, riskiert Bußgelder. Anonymisierung vor der Eingabe ist die einfachste Lösung.

Was passiert bei Verstößen gegen den EU AI Act?

Die Bußgelder sind hoch: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Konzernumsatzes — je nachdem, was höher ist. Diese Summen treffen vor allem Anbieter und Unternehmen. Privatpersonen sind in den meisten Punkten nicht direkt adressiert, aber bei Kennzeichnungs- und Transparenzpflichten können Bußgelder auch Einzelne treffen.

KI & Recht in Deutschland: Was du 2026 beachten musst

Wichtiger Hinweis: Dieser Artikel gibt einen Überblick über die rechtliche Lage rund um KI in Deutschland Stand April 2026. Er ersetzt keine individuelle Rechtsberatung. Wer KI beruflich, in einer Behörde oder mit personenbezogenen Daten Dritter nutzt, sollte sich von einer Fachanwält:in für IT-Recht beraten lassen.

ChatGPT, Claude, Midjourney — die Tools sind da, die Gesetze haben aufgeholt. Wer 2026 in Deutschland KI nutzt, bewegt sich in einem Geflecht aus drei Regelwerken: EU AI Act, DSGVO und nationalem Urheberrecht. Die gute Nachricht: Für die meisten Alltagsanwendungen ist die Lage übersichtlicher, als die Schlagzeilen vermuten lassen. In diesem Artikel zeigen wir dir, was wirklich gilt — privat, beruflich und in den Grauzonen dazwischen.

Welche Gesetze überhaupt gelten#

Drei Ebenen greifen ineinander:

EU AI Act (Verordnung 2024/1689) — seit August 2024 in Kraft, mit gestuften Geltungsterminen bis 2027. Reguliert vor allem Anbieter und Unternehmen, einige Regeln treffen aber auch Endnutzer:innen.
DSGVO — gilt unverändert. Sobald personenbezogene Daten in eine KI fließen, ist sie der Maßstab.
Nationales Recht — Urheberrecht (UrhG), Persönlichkeitsrecht, Wettbewerbsrecht (UWG) und je nach Branche spezielle Gesetze (Berufsrecht für Anwält:innen, Ärzt:innen etc.).

Was bedeutet das konkret? Nichts an der KI-Nutzung steht im rechtsfreien Raum. Aber es gibt auch kein „KI-Sondergesetz” für Privatpersonen, das besondere Vorsicht verlangen würde. Wer Mails von ChatGPT formulieren lässt oder Rezepte sucht, muss keine Anwaltskanzlei einschalten.

Der EU AI Act in fünf Sätzen#

Der AI Act ist die zentrale neue Regulierung — komplex, aber im Kern verständlich:

Risikobasierter Ansatz. KI-Systeme werden in vier Klassen eingeteilt: verboten, hochrisiko, begrenztes Risiko, minimales Risiko. Je höher die Klasse, desto strenger die Pflichten.
Verbote seit Februar 2025. Manipulative KI, Social Scoring, biometrische Echtzeit-Identifikation im öffentlichen Raum (mit Ausnahmen) und einige andere Systeme sind komplett untersagt.
GPAI-Pflichten seit August 2025. Anbieter großer Sprachmodelle (OpenAI, Anthropic, Google, Meta) müssen Trainingsdaten dokumentieren, Sicherheitstests durchführen und Risiken offenlegen.
Hochrisiko-Pflichten ab August 2026. KI in Personalauswahl, Kreditvergabe, Strafverfolgung, Bildung etc. unterliegt Konformitätsbewertungen, Transparenzpflichten und menschlicher Aufsicht.
Transparenzpflichten ab August 2026. Deepfakes, KI-generierte Bilder, Videos und Audios müssen kenntlich gemacht werden — sowohl maschinenlesbar als auch für Menschen erkennbar.

Für Endnutzer:innen relevant ist vor allem Punkt 5. Wer KI-generierte Inhalte beruflich oder öffentlich einsetzt, sollte sich auf die Kennzeichnungspflicht einstellen.

DSGVO und KI: Die wichtigsten Regeln für Nutzer:innen#

Die DSGVO ist älter als ChatGPT, gilt aber unverändert — und sie ist im Alltag oft die größere Hürde als der AI Act. Drei Szenarien helfen, die Lage einzuordnen:

Privatnutzung mit eigenen Daten#

Wer ChatGPT für sich selbst nutzt — eigene Mails formulieren, eigenen Lebenslauf überarbeiten, eigene Texte korrigieren — bewegt sich in der sogenannten Haushaltsausnahme der DSGVO. Hier gibt es keine besonderen Pflichten. Selbst wenn du sensible Informationen über dich selbst eingibst, ist das deine Entscheidung.

Daten von anderen Personen eingeben#

Sobald personenbezogene Daten von Dritten betroffen sind — Kund:innen, Mitarbeitende, Bekannte — wird es ernst. Beispiele aus der Praxis:

Eine Bewerbung anonym überarbeiten lassen → unkritisch.
Eine konkrete Personalbeurteilung mit Klarnamen in ChatGPT verfeinern → DSGVO-relevant.
Kundendialog aus einer CRM-Mail kopieren und „professioneller umformulieren lassen” → DSGVO-relevant.

In allen DSGVO-relevanten Fällen brauchst du beruflich eine Rechtsgrundlage (meist berechtigtes Interesse oder Einwilligung) und idealerweise einen Auftragsverarbeitungsvertrag mit dem Anbieter. OpenAI bietet einen solchen Vertrag im Business-Tarif an.

Gesundheits- und Sozialdaten#

Ärzt:innen, Therapeut:innen, Pflegekräfte, Sozialarbeiter:innen unterliegen zusätzlich dem Berufsgeheimnis (§ 203 StGB). Sensible Daten in einen US-Anbieter zu schieben, ist hier nicht durch die normale DSGVO-Argumentation gedeckt. In dieser Berufsgruppe lohnt der Blick auf KI komplett offline mit Ollama — lokale Modelle umgehen das Problem komplett.

Eine praxisnahe Übersicht zu DSGVO-Routinen im KI-Alltag haben wir in KI sicher nutzen: 7 Regeln für den Datenschutz gesammelt.

Urheberrecht: Wem gehören KI-Inhalte?#

Das deutsche Urheberrecht ist beim Thema KI ambivalent — und in vielen Punkten noch ungeklärt.

Output: kein Schutz für rein KI-generierte Werke#

Nach derzeit herrschender Auffassung schützt das deutsche UrhG nur „persönliche geistige Schöpfungen” eines Menschen. Ein Bild, das du mit „Cute cat in space” bei Midjourney erzeugst, gehört dir nutzungsrechtlich (laut Lizenz des Tools), ist aber nicht urheberrechtlich geschützt. Das heißt: Ein Wettbewerber, der dasselbe Bild generiert, verletzt nichts.

Anders sieht es aus, wenn du KI-Output substanziell überarbeitest — Composing, Retusche, eigene Anordnung. Dann kann an deinem Endwerk Urheberrecht entstehen. Faustregel: Je mehr eigene Bearbeitung, desto mehr Schutz.

Für die kommerzielle Nutzung von KI-Bildern haben wir die Lizenz-Lage der wichtigsten Tools in KI-Bilder kostenlos erstellen zusammengefasst.

Input: Training und die TDM-Schranke#

Heißer ist die Frage: Durften Anbieter wie OpenAI urheberrechtlich geschützte Werke überhaupt zum Training nutzen? § 44b UrhG erlaubt Text- und Data-Mining, sofern Rechteinhaber:innen keinen maschinenlesbaren Vorbehalt erklärt haben. Die Auslegung ist umstritten und Gegenstand mehrerer Klagen, unter anderem GEMA gegen OpenAI vor dem LG München (Urteil aus November 2024 fiel zugunsten der GEMA, Berufung läuft).

Für Endnutzer:innen heißt das: Du haftest in der Regel nicht für die Trainingsentscheidungen des Anbieters. Aber wenn ein generiertes Bild zufällig sehr nah an einem geschützten Original liegt, kann der/die Rechteinhaber:in dich als Verwender:in in Anspruch nehmen.

Plagiate erkennen#

Drei Vorsichtsmaßnahmen helfen:

Bei Bildern: kurze Bildersuche, ob das Ergebnis verdächtig nah an einem realen Foto liegt.
Bei Texten: stilistische Eigenheiten prüfen (sehr originelle Formulierungen sind manchmal eins-zu-eins aus einem Trainingsdokument).
Marken und bekannte Figuren: nie zur Generierung anfordern, auch wenn das Tool es zulässt.

Kennzeichnungspflichten ab August 2026#

Mit Artikel 50 AI Act kommt eine konkrete Pflicht für viele Anwendungsfälle:

KI-Inhalt	Kennzeichnungspflicht
Chatbot mit Nutzer:innen	Hinweis, dass du mit KI sprichst
KI-generierte Bilder, Videos, Audios	Maschinenlesbar (Wasserzeichen) und sichtbar
Deepfakes (echte Personen täuschend nachgeahmt)	Klare Deklaration als „KI-generiert”
Texte zu Themen öffentlichen Interesses	Kennzeichnung, wenn ohne menschliche Prüfung publiziert

Was bedeutet das praktisch?

Im privaten Bereich ändert sich wenig. Wer Familienfotos mit KI bearbeitet, muss nichts kennzeichnen.
Im beruflichen Marketing wird Transparenz zur Pflicht. Werbeagenturen, die KI-Bilder einsetzen, müssen das künftig sichtbar machen.
In Medien und Verlagswesen verschärfen sich die ohnehin bereits gelebten Standards. Viele Häuser kennzeichnen KI-Inhalte schon heute freiwillig.

Verlässliche Wasserzeichen-Standards (etwa C2PA) etablieren sich gerade. Die meisten großen Tools (DALL·E, Midjourney, Adobe Firefly) bauen sie automatisch ein.

Beruf, Schule und Selbstständigkeit: drei Sondersituationen#

Im Beruf#

Pflichten ergeben sich aus dem Arbeitsverhältnis und gelegentlich aus Betriebsvereinbarungen. Drei Standardregeln:

Klärung mit dem Arbeitgeber, welche Tools erlaubt sind.
Niemals geheime Geschäftsdaten in eine öffentliche KI eingeben.
Bei Aufzeichnung von Meetings (zum Beispiel mit KI-Protokoll-Tools) immer Einwilligung der Teilnehmenden einholen — Details in Meetings automatisch zusammenfassen lassen.

In Schule und Hochschule#

Schulrecht ist Ländersache, Universitäten haben eigene Prüfungsordnungen. Stand April 2026 erlauben die meisten Hochschulen KI als Hilfsmittel, verlangen aber transparente Angabe in der Eigenständigkeitserklärung. Was in einer konkreten Veranstaltung gilt, regelt die jeweilige Prüfungsleitung.

In der Selbstständigkeit#

Wer als Freelancer:in für Kund:innen arbeitet, sollte vertraglich klären, ob KI eingesetzt werden darf. Viele Auftraggeber:innen erwarten heute eine kurze KI-Klausel, die Einsatz, Umfang und Haftung regelt.

Was bei Verstößen passiert#

Die Bußgeldhöhen unterscheiden sich deutlich nach Adressat:

EU AI Act: Anbieter und Betreiber bis 35 Millionen Euro oder 7 Prozent des Weltumsatzes. Privatpersonen praktisch nicht direkt adressiert, außer bei Kennzeichnungsverstößen.
DSGVO: Bis 20 Millionen Euro oder 4 Prozent des Weltumsatzes. Auch Privatpersonen können bei eindeutigen Verstößen mit personenbezogenen Daten Dritter belangt werden — in der Praxis selten, aber theoretisch möglich.
Urheberrecht: Schadensersatz nach Lizenzanalogie, plus Abmahnkosten — meist im niedrigen vierstelligen Bereich, im Einzelfall deutlich mehr.

Der Großteil der Bußgelder trifft Unternehmen und Anbieter, nicht Endnutzer:innen. Das heißt nicht, dass die Regeln Privatpersonen nicht gelten — aber das praktische Risiko ist im normalen Alltag gering.

Praxis-Checkliste für 2026#

Eine kompakte Liste, die für 90 % der Anwendungsfälle reicht:

Bei Eingaben mit personenbezogenen Daten Dritter: anonymisieren oder einwilligen lassen.
Im Beruf: Tool-Whitelist des Arbeitgebers prüfen.
Sensible Berufsdaten (Mandanten, Patienten, Klienten): lokale KI verwenden, nicht Online-Tools.
KI-generierte Bilder/Videos im Marketing: ab August 2026 sichtbar kennzeichnen.
In Schule/Studium: KI-Nutzung in der Eigenständigkeitserklärung angeben.
Bei freiberuflicher Arbeit: KI-Klausel im Vertrag mit Kund:innen.
Bei Unsicherheit zu konkretem Fall: Fachanwält:in für IT-Recht, nicht ChatGPT.

Fazit: Die Lage ist klarer, als sie wirkt#

Der EU AI Act, die DSGVO und das Urheberrecht ergeben kein „KI-Verbotsregime”, sondern einen Rahmen, der weitgehend auf Vernunft und Transparenz setzt. Für die meisten Alltagsanwendungen reichen drei Reflexe: keine fremden Daten ohne Grundlage, keine Inhalte fremder Marken oder Personen ohne Bedacht, keine kommerziellen Veröffentlichungen ohne Lizenzcheck.

Und: Was du heute für sicher hältst, kann sich nächstes Jahr ändern. Die Regulierung entwickelt sich noch — also lieber einmal mehr nachfragen, gerade in beruflichen oder öffentlichen Kontexten.