OpenAI API und DSGVO: Was europäische Entwickler wissen müssen

Die OpenAI API ist für viele Entwickler die erste Wahl für LLM-Integration. Doch für europäische Unternehmen stellen sich konkrete DSGVO-Fragen: Wo werden Daten verarbeitet? Welche Verträge sind notwendig? Welche Rechte haben betroffene Personen?

OpenAI bietet seit 2023 ein Data Processing Addendum (DPA) mit Nicht-Training-Garantie und Löschoptionen. Dennoch bleiben Herausforderungen: OpenAI ist ein US-Unternehmen unter US-Recht. Der CLOUD Act ermöglicht US-Behörden den Datenzugriff unabhängig vom Speicherort.

Praktische Empfehlung für Entwickler: Trennen Sie Anwendungslogik von PII-Verarbeitung durch einen Proxy-Layer. Statt direkt openai.chat.completions.create() aufzurufen, senden Sie Anfragen an einen lokalen Proxy der PII entfernt. Die Proxy-API ist OpenAI-kompatibel — Ihre bestehende Codebasis bleibt unverändert.

Dieser Ansatz löst das Drittland-Transfer-Problem technisch: Da keine personenbezogenen Daten mehr übermittelt werden, greift Art. 46 DSGVO nicht. Ein AVV mit dem Proxy-Betreiber (EU-gehostet) reicht aus.