In-Chat Apps in ChatGPT: Der neue DSGVO Albtraum? ° 99° Labor

OpenAI startet Januar 2026 mit „In-Chat Apps für ChatGPT“ – aber ist das überhaupt datenschutzkonform?

Die kurze Antwort: Kommt darauf an.

In-Chat-Apps können gemäß der DSGVO datenschutzkonform sein, müssen es aber durch transparente Prozesse, Privacy Policies und echte Einwilligungen auch tatsächlich entsprechend umgesetzt sein. Wir klären in diesem Beitrag kurz die wichtigsten Begriffe und erläuten, worauf man als Unternehmen bei der Entwicklung der neuen In-Chat Apps für den OpenAI App-Store auf ChatGPT achten muss.

Was ist überhaupt eine In-Chat-App für ChatGPT?

Seit Januar 2026 können Unternehmen kleine Tools und Werkzeuge bereit stellen, die ChatGPT-User direkt innerhalb des Chatverlaufs nutzen können, ohne die Webseite von ChatGPT verlassen zu müssen. In unserem Blog-Beitrag gibt es dazu einige Beispiele.
Direkt innerhalb von ChatGPT können so nahtlos z.B. Reisetipps auf einer Karte angezeigt werden, Playlists für Apple Music erstellt werden oder ein Bild in einer Art „Mini Photoshop“ bearbeitet werden.
Die Apps werden technisch ähnlich wie iframes eingebunden: ChatGPT zeigt im Chatverlauf ein Fenster mit dem Inhalt der externen Webseite.
Das Geniale daran: Der Prompt des Users wird beim Aufruf des Users in Abfrage-Parameter übersetzt – als ein Format, das von Maschinen lesbar ist (Machine Communication Protokoll – MCP). Die In-Chat App kann so die Ergebnisse für den User filtern und gezielt auf die Wünsche und Fragen des Users eingehen.

Was ist das Problem der neuen In-Chat Apps in Bezug auf Datenschutz?

Je nach App-Konfiguration erlaubt ChatGPT auch die Abfrage / Übergabe von personenbezogenen Daten:

Relevante Teile des aktuellen Chat-Verlaufs:
Texte, die der User im Prompt eingegeben hat
Aktuelle Nutzereingaben:
kompletter Text der letzten Anfrage, strukturierte Parameter (z. B. Ort, Zeitraum, Kategorien, IDs)
Vom User hochgeladene Dateien:
Dateimetadaten (Name, Typ, Größe), Datei-IDs oder temporäre Abruf-URLs, vollständig übertragene Dateiinhalte (z. B. PDF-Text, Bilder, Tabellen)
Aus Dateien oder Texten extrahierte Daten:
erkannter Text (OCR / Parsing), Tabellen, Schlüssel-Wert-Paare, Zusammenfassungen
Manuell oder kontextuell angegebene Ortsinformationen:
ausgeschriebene Orte („Berlin“, „in meiner Nähe“), Regionen, Länder, PLZ-Bereiche, vom Modell abgeleitete Ortsangaben aus dem Chat
Auth-Tokens oder API-Keys für den Drittanbieter-Dienst
Also z.B. User-Credentials, die den User eindeutig gegenüber dem Dienst identifizieren
Zeit- und Sitzungsbezogene Daten
Zeitstempel der Anfrage, kontextuelle Session-Informationen innerhalb des Chats etc.

Übertragen personenbezogener Daten an die ChatGPT In-Chat App – drei konkrete Beispiele

PDF-Beispiel

Ein Nutzer lädt ein PDF mit seiner Steuererklärung hoch und nutzt bewusst eine entsprechende MCP-In-Chat-App. Die App kann die aus dem Dokument extrahierten Inhalte (z. B. Beträge oder Tabellen) erhalten – also auch Name, Anschrift u.ä. des Users.

Bild-/GEO-Beispiel

Ein Nutzer lädt ein Urlaubs-Foto hoch, das Geo-Koordinaten enthält (EXIF-GEO-Daten). Diese Standortinformationen können eine MCP-In-Chat-App übergeben werden, wenn sie explizit ausgelesen, strukturiert übergeben und für die konkrete Funktion der App erforderlich sind.

Authentifizierungs-Daten

Ein Nutzer möchte Photoshop innerhalb von ChatGPT nutzen. Damit er auf alle Funktionen zugreifen kann, muss er sich bei Adobe authentifizieren. Danach ist er bei jeder Verwendung der In-Chat App von Adobe identifizierbar.

Werden die Daten ohne Einwilligung an die App übertragen?

Wichtig, um die Lage richtig einzuschätzen:
Eine unsichtbare oder versteckte Datenübertragung findet bei MCP-In-Chat-Apps nicht statt. Daten werden nicht automatisch „abgesaugt“, sondern nur dann weitergegeben, wenn Nutzer:innen eine App bewusst einsetzen und damit eine konkrete Aktion auslösen. Erst an dieser Stelle entscheidet ChatGPT, ob für die gewünschte Funktion externe Verarbeitung nötig ist, und übergibt gezielt die dafür erforderlichen Informationen. Ohne aktiven App-Aufruf bleiben Chat-Inhalte, Uploads und Kontext vollständig innerhalb der OpenAI-Umgebung.

Es gibt keinen Hintergrundzugriff und keine pauschale Einwilligung „für alles“
Drittanbieter-Apps erhalten weder vollständige Chatverläufe noch Dateien oder Metadaten ohne expliziten Funktionsbezug
Sensible Informationen wie Standort- oder Dokumentdaten werden nicht versteckt übertragen

Bedeutet: Jede Datenweitergabe ist zweckgebunden, situativ und an die aktive Nutzung der App gekoppelt – ein Mechanismus, der technisch verhindert, dass Daten heimlich oder unbeabsichtigt an externe Anbieter fließen.

Wie willigt der ChatGPT User in die Übertragung der Daten an die ChatGPT App ein?

Zur Nutzung einer ChatGPT App wird der User informiert, welche Daten übertragen werden und muss einwilligen, um die App nutzen zu können:

Falls der App-Anbieter die Daten zusätzlich weiter speichert, verarbeitet oder an Dritte weitergibt, dann muss der User vor Nutzung der App darauf hingewiesen werden.

Falls der App-Anbieter die von ChatGPT übergebenen Daten über die unmittelbare Funktionsausführung hinaus speichert, weiterverarbeitet oder an Dritte weitergibt, muss der Nutzer vor der Nutzung der App klar, transparent und verständlich darüber informiert werden und – sofern erforderlich – ausdrücklich einwilligen.

Diese Information muss in der Datenschutzerklärung und ggf. in zusätzlichen Nutzungshinweisen der jeweiligen In-Chat-App selbst erfolgen und dem Nutzer vor der ersten Nutzung bzw. Datenübertragung klar zugänglich gemacht werden; die Verantwortung dafür liegt vollständig beim App-Anbieter, da ChatGPT lediglich die technische Plattform bereitstellt und nicht für die weitergehende Datenverarbeitung durch Drittanbieter verantwortlich ist.

Was müssen Entwickler und Unternehmen in Bezug auf die DSGVO beachten?

Entwickler:innen von MCP-In-Chat-Apps müssen bei der Verarbeitung der von ChatGPT übergebenen Daten insbesondere Folgendes beachten:

Zweckbindung einhalten:
Die empfangenen Daten dürfen ausschließlich für den konkret ausgelösten Funktionszweck verarbeitet werden und nicht für andere, nachgelagerte oder allgemeine Zwecke genutzt werden.
Datensparsamkeit umsetzen:
Es dürfen nur die tatsächlich benötigten Daten verarbeitet, gespeichert oder weitergegeben werden; alles andere ist unverzüglich zu verwerfen.
Transparenz sicherstellen:
Nutzer:innen müssen klar und verständlich darüber informiert werden, welche Daten verarbeitet werden, zu welchem Zweck und wie lange diese gespeichert bleiben.
Angemessene Schutzmaßnahmen treffen:
Technische und organisatorische Maßnahmen (z. B. Zugriffsbeschränkungen, Verschlüsselung, Logging) sind erforderlich, um die Daten vor unbefugtem Zugriff zu schützen.
Lösch- und Betroffenenrechte ermöglichen:
Entwickler müssen Prozesse vorhalten, um Auskunfts-, Lösch- und Berichtigungsanfragen nach DSGVO zuverlässig erfüllen zu können.
Serverstandort:
Zusätzlich müssen Entwickler darauf achten, wo die Daten serverseitig verarbeitet werden, da bei Server-Standorten außerhalb der EU entsprechende Garantien (z. B. Angemessenheitsbeschlüsse oder Standardvertragsklauseln) erforderlich sind, um eine DSGVO-konforme Drittlandübermittlung sicherzustellen.

Impressumspflicht bei ChatGPT In-Chat Apps – muss das sein?

Ja, für In-Chat-Apps kann eine Impressumspflicht bestehen!

Wer sicher sein möchte, sollte auf jeden Fall ein Impressum in die App einfügen. Sobald die App geschäftsmäßig betrieben wird – also z. B. kommerziell, in einem Unternehmenskontext oder zur Bewerbung eigener Angebote und Dienstleistungen – greift die Impressumspflicht nach § 5 TMG bzw. § 18 MStV.

Wie bei Webseiten gilt: Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein, typischerweise über einen klar verlinkten Impressums- und Datenschutz-Link in der App-Beschreibung, den App-Metadaten oder einer vorgeschalteten Informationsseite.

Fehlt das Impressum oder ist es nur schwer auffindbar, liegt das Risiko (inkl. Abmahnungen) ausschließlich beim App-Anbieter – ChatGPT ist nicht verantwortlich für das Impressum

Reicht für Impressum und Datenschutz ein Link – oder muss der Text direkt in der App aufrufbar sein?

Für In-Chat-Apps muss das Impressum nicht vollständig innerhalb der App selbst angezeigt werden, solange ein klar gekennzeichneter, direkt erreichbarer Link auf ein externes Impressum vorhanden ist. Dieses Impressum muss den gesetzlichen Anforderungen entsprechen und darf keine Zugangshürden haben (kein Login, keine versteckten Menüs, keine Umwege).

Entscheidend ist, dass das Impressum für Nutzer:innen vor oder spätestens bei der Nutzung der App leicht auffindbar ist – z. B. über einen eindeutig benannten „Impressum“- oder „Anbieter“-Link in der App-Beschreibung oder den App-Metadaten. Auch hier gilt: Die Verantwortung liegt vollständig beim App-Anbieter, nicht ChatGPT!

Ist es also möglich eine datenschutzkonforme In-Chat App für ChatGPT zu entwickeln?

Ja – eine datenschutzkonforme In-Chat-App ist technisch und rechtlich möglich.

Die Architektur von ChatGPT und MCP ist bewusst so aufgebaut, dass Daten nur situativ, zweckgebunden und nutzergetriggert an Drittanbieter übergeben werden. Voraussetzung ist, dass Entwickler die Datensparsamkeit umsetzen, transparente Datenschutzhinweise bereitstellen, geeignete Sicherheitsmaßnahmen treffen und EU-konforme Server- und Vertragsmodelle nutzen, lässt sich eine In-Chat-App vollständig DSGVO-konform betreiben.

Weiterführende Links

Noch Fragen?

Falls Sie Fragen oder Anmerkung zu dem Beitrag haben – schreiben Sie uns gerne!

Über uns

99grad gehört zu den führenden Anbietern und Entwicklern von In-Chat-Apps in Deutschland. Wir entwickeln Anwendungen für ChatGPT und andere KI-Plattformen mit einem klaren Fokus auf saubere technische Architektur, transparente Datenflüsse und konsequente Datenschutz-Konformität.
Schaue Sie gerne mal bei uns vorbei

Die neuen „In-Chat Apps“ bei ChatGPT: Was sagt die DSGVO dazu?