Entscheidungen zum Datenschutzrecht  ·  19. Oktober 2025

OpenAI muss nicht mehr speichern -> eine Erleichterung für Unternehmen in der EU, die OpenAI (ChatGPT) verwenden | Dennoch: Vorsicht bei Nutzung von GenAI

 

US-Bundesgericht beendet seit Frühjahr 2025 bestehende Speicher- bzw. Log-Pflichten von OpenAI und ermöglicht es, dass die (Log-)Daten aus der EU (EWR, Schweiz, UK) die Daten gelöscht werden. 

 

Behörde: United States District Court, Southern District of New York (SDNY)

Datum der Entscheidung: 9. Oktober 2025

Geschäftszahl: 25-md-03143 (SHS) (OTW); Bezugssache: 23-cv-11195 (The New York Times Company v. Microsoft Corporation, et al.)

 

Rechtssatz (kurz): Die seit Frühjahr 2025 bestehende Pflicht von OpenAI zur fortgesetzten Segregation und Aufbewahrung von Output-Logdaten ("Speichern") wird per 26.09.2025 beendet; bereits segregierte Daten bleiben erhalten—mit einer ausdrücklichen Ausnahme für Anfragen aus EWR, Schweiz und UK; bestimmte Medien-Domains bleiben weiterhin erfasst.

1. Sachverhalt und bisheriger Verfahrensverlauf

Das Verfahren The New York Times Company v. Microsoft und OpenAI wurde im Dezember 2023 beim Southern District of New York (SDNY) eingebracht.

Die Kläger – große US-Medienhäuser – warfen OpenAI und Microsoft vor, durch das Training und den Betrieb von KI-Modellen (wie GPT-4) urheberrechtlich geschützte Artikel ohne Zustimmung und Lizenz verwendet zu haben.

Da es sich bei den von OpenAI verwendeten Trainings- und Systemdaten um hochkomplexe technische Strukturen handelt (Logs, Modelle, Prompts, Outputs, Fine-Tuning-Datasets etc.), beantragten die Kläger bereits frühzeitig im Jahr 2024 die Sicherung aller relevanten Log- und Trainingsdaten, um Beweismittelverlust („spoliation“) zu verhindern.

 

Frühjahrs-Entwicklung 2025: Der „Preservation Order“

Im Frühjahr 2025 (März/April) erließ der SDNY eine sogenannte „Preservation Order“ (ECF 33), die OpenAI verpflichtete,

  • sämtliche Nutzungs-Logs, Chat-Outputs und System-Responses,

  • die mit urheberrechtlich relevanten Prompts oder Medieninhalten in Verbindung stehen könnten,

  • laufend zu sichern und separat aufzubewahren („preserve and segregate“).

 

Das bedeutete:

OpenAI durfte diese Daten nicht löschen oder überschreiben, auch nicht, wenn sie – nach Unternehmenspraxis – eigentlich nur temporär gespeichert werden sollten.


Die Pflicht galt fortlaufend, also auch für neue Nutzeranfragen, solange das Verfahren anhängig blieb.

 

2. Warum das „Speichern“ problematisch ist – insbesondere aus EU-Sicht - Konflikt mit den Datenschutzgrundsätzen in der EU

a) Technische Dimension

OpenAI betreibt weltweit skalierte Systeme, bei denen jede Chat- oder API-Interaktion temporär geloggt wird – u. a. zur:

  • Fehlersuche (Debugging),

  • Missbrauchserkennung,

  • Performanceanalyse,

  • Sicherheit (z. B. Inhaltsfilterung).

Diese Logs enthalten regelmäßig:

  • Prompt-Inhalte,

  • generierte Antworten (Outputs),

  • User-IDs oder Session-IDs,

  • Zeitstempel, IP-Adressen, Browser-Metadaten,

  • und interne Systemverweise, die Rückschlüsse auf Trainingsmechanismen erlauben.

Wenn ein US-Gericht anordnet, diese Daten dauerhaft aufzubewahren, entsteht für OpenAI ein massiver Konflikt mit den Datenschutzgrundsätzen nach der DSGVO.

 

 

b) Datenschutzrechtliche Konfliktlinien

Problemfeld Beschreibung Relevante DSGVO-Bestimmung
Zweckbindung Logs werden plötzlich nicht mehr nur zu Sicherheitszwecken, sondern zur Beweissicherung (Litigation Hold) verarbeitet. Art. 5 Abs. 1 lit. b DSGVO
Speicherbegrenzung Pflicht zur dauerhaften Speicherung steht im Widerspruch zu Löschpflichten nach Erreichen des ursprünglichen Zwecks. Art. 5 Abs. 1 lit. e DSGVO
Rechtsgrundlage Kein unmittelbarer EU-Rechtsgrund für unbegrenzte Speicherung; das US-Gerichtsurteil gilt außerhalb der EU nicht automatisch. Art. 6 DSGVO
Übermittlung in Drittländer Logs können Daten von EU-Nutzern enthalten und werden in den USA gespeichert – ohne SCC-konforme Begrenzung. Art. 44 ff. DSGVO
Betroffenenrechte

Nutzer können keine effektive Löschung oder Auskunft mehr verlangen, solange „Litigation Hold“ besteht.

 

Art. 15–17 DSGVO

Damit entstand ein klassischer transatlantischer Rechtskonflikt:

  • US-Recht und die Entscheidung im Frühjahr verlangt Beweissicherung um jeden Preis,

  • EU-Recht verlangt Löschung und Datenminimierung.

Für Unternehmen in der EU, die OpenAI-Dienste einsetzen (z. B. ChatGPT Enterprise, API oder Microsoft Copilot), stellte sich daher die Frage:

Werden meine Nutzer- oder Mitarbeiterdaten in Logs gespeichert, die aufgrund eines US-Gerichtsverfahrens nicht gelöscht werden dürfen?

3. Juristische Problemstellung für EU-Unternehmen

Unternehmen in der EU, die OpenAI-Systeme verwenden, werden datenschutzrechtlich zu Verantwortlichen (Art. 4 Z 7 DSGVO), soweit sie die Nutzung dieser Systeme zweckgebunden steuern oder in ihre eigenen Workflows integrieren.

 

Kernrisiken:

  1. Unklare Datenflüsse:
    OpenAI konnte aufgrund der Preservation Order zeitweise nicht garantieren, dass Nutzungsdaten – auch aus der EU – gelöscht werden. Dies unterläuft z. B. interne Löschfristen oder AVV-Verpflichtungen.

  2. Konflikt mit AVV und Art. 28 DSGVO:
    Wenn OpenAI oder Microsoft als Auftragsverarbeiter fungieren, entsteht ein Problem: Der Auftraggeber muss sicherstellen, dass Löschpflichten umgesetzt werden. Eine gerichtliche Anordnung in den USA kann dies verhindern.

  3. Haftungsrisiko für Verantwortliche:
    Europäische Aufsichtsbehörden könnten Unternehmen, die OpenAI-Systeme einsetzen, vorwerfen, dass sie kein ausreichendes Drittland-Transfer-Assessment (Art. 44 ff.) durchgeführt haben – insbesondere, wenn US-Behörden oder Gerichte Zugriff auf personenbezogene Daten erhalten.

  4. Compliance-Unsicherheit:
    Der Preservation Order war faktisch ein „globaler Litigation Hold“ – und es war unklar, welche Logs betroffen sind, welche Personen identifizierbar bleiben und wie lange die Daten aufbewahrt werden.

4. Wendepunkt: Die Order vom 9. Oktober 2025

Die nunmehrige „Stipulation and Order“ (Oktober 2025) hebt diese fortlaufende Pflicht auf. Sie erlaubt OpenAI,

  • die laufende Segregation zu beenden,

  • bereits gespeicherte Logs zu behalten,

  • aber keine EWR/CH/UK-Nutzungslogs zu erfassen oder weiterzuführen.

Damit ist erstmals ein regionaler Datenschutzschutzmechanismus – ein faktisches „Geo-Hold-Off“ – in einer US-Gerichtsentscheidung ausdrücklich verankert.

 

5. Fazit

Das Verfahren zeigt exemplarisch, wie globale Cloud- und KI-Anbieter zwischen US-E-Discovery-Pflichten und EU-Datenschutzrecht geraten können.
Für OpenAI bedeutete der Preservation Order eine rechtliche Zwangsspeicherung personenbezogener Daten, die nach DSGVO-Maßstäben nicht mehr rechtmäßig gewesen wäre.
Die Aufhebung im Oktober 2025 ist daher nicht nur prozessual, sondern auch datenschutzrechtlich entlastend – insbesondere für EU-Nutzer und Unternehmen.

 

6. Schlussfolgerung für Verantwortliche in der EU

  1. Vertragsprüfung:
    Sicherstellen, dass AVV/Datenschutzbedingungen von OpenAI oder Microsoft klare Löschpflichten und regionale Ausnahmen enthalten.
    Art. 28 DSGVO

  2. Technische Kontrolle:
    Bei Integration von KI-APIs Logging-Optionen minimieren oder lokale Proxys einsetzen, um EU-Daten vor Übermittlung in US-Logsysteme zu schützen.
    Art. 32 DSGVO

  3. Transfer Impact Assessment (TIA):
    Prüfen, ob durch US-Gerichtsverfahren ein zugriffsrechtlicher Konflikt entstehen kann (vgl. Schrems II).
    Art. 44 ff. DSGVO

  4. Transparenz gegenüber Betroffenen:
    In Datenschutzerklärungen auf mögliche US-Verarbeitung und Sonderfälle (z. B. Beweissicherung) hinweisen.
    Art. 13 DSGVO

Kommentar schreiben

Kommentare: 0