OpenAI

Admin-Kontrollen, Sicherheit und Compliance in Apps (Enterprise, Edu und Business)

Erfahre, wie dein Unternehmen die App-Nutzung mit Admin-Einstellungen verwalten, einen sicheren Datenfluss gewährleisten und Compliance-Anforderungen erfüllen kann.

Aktualisiert: 3 days ago

Hinweis: Ab dem 29. August 2025 haben wir ChatGPT Team in ChatGPT Business umbenannt. Weitere Informationen und Antworten auf Fragen zur Namensänderung findest du in unserem Artikel: FAQ zur Umbenennung von ChatGPT Business

Ab dem 17. Dezember 2025 benennen wir Konnektoren in Apps um, um ein einheitlicheres Erlebnis zu schaffen. Der Begriff umfasst nun sowohl Apps mit interaktiver Benutzeroberfläche als auch Konnektoren, die dir bei der Suche und Nutzung deiner Informationen in ChatGPT helfen. Wir entfernen keine bestehenden Funktionen; zuvor aktivierte Konnektoren und Unternehmenswissen werden weiterhin wie gewohnt funktionieren.

Admin-Kontrollen

Standardverhalten nach Plan

ChatGPT Enterprise und Edu

Alle Apps sind standardmäßig deaktiviert. Workspace-Eigentümer:innen können unter Workspace-Einstellungen → Apps festlegen, welche Apps aktiviert werden, und über RBAC (siehe unten) bestimmte Rollen für Apps zuweisen.

ChatGPT Business

In ChatGPT Business können Workspace-Admins steuern, welche Apps für den Workspace aktiviert sind, und rollenbasierte App-Berechtigungen verwalten.

RBAC (Rollenbasierte Zugriffskontrolle)

In Enterprise- und Edu-Workspaces können Apps einer oder mehreren benutzerdefinierten Rollen zugewiesen werden. Standardmäßig kannst du auf Apps zugreifen, die für deine Rolle aktiviert und verfügbar sind. Du kannst aber auch festlegen, welche Rollen Zugriff haben. Wenn du eine App siehst, die mit Von Admin deaktiviert gekennzeichnet ist, ist sie wegen der Workspace- oder Rolleneinstellungen nicht verfügbar. Ein Workspace-Admin muss den Zugriff erst aktivieren, bevor du die App verbinden kannst.

App-Zugriff verwalten

Der App-Zugriff steuert, wer eine verbundene App im Workspace verwenden kann. App-Berechtigungen legen fest, wann ChatGPT vor der Verwendung einer App nachfragt.

Um zu verwalten, wer eine bestimmte App verwenden kann, gehe zu Workspace-Einstellungen > Apps, öffne das Menü der App und wähle Nutzerzugriff aus. Wähle dort aus, welche Rollen auf die App zugreifen können, und speichere anschließend deine Änderungen. Wenn du den Vorgang abbrichst oder ohne Speichern schließt, bleiben die aktuellen Zugriffseinstellungen der App unverändert.

So legst du fest, welche Apps eine Rolle nutzen kann:

  1. Gehe zu Workspace-Einstellungen > Berechtigungen und Rollen.

  2. Wähle Benutzerdefinierte Rollen aus.

  3. Wähle die Rolle aus, die du bearbeiten möchtest.

  4. Scrolle zum Abschnitt Verbundene Daten.

  5. Schalte Mitgliedern die Verwendung von Apps erlauben ein, um die App-Nutzung für diese Rolle zu erlauben.

  6. Verwende Auswählen, um bestimmte Apps für diese Rolle auszuwählen.

Neue Apps hinzufügen

Bei Aktivierung einer neuen App auf der Workspace-Ebene werden Admins mit einem Prompt aufgefordert, festzulegen, welche Rollen darauf zugreifen dürfen. Wenn die App Aktionssteuerungen unterstützt, können Admins auch die Aktionen der App überprüfen, bevor sie sie verfügbar machen.

App-Vorlagen folgen nach der Veröffentlichung demselben Admin-Governance-Modell. Workspace-Admins und -Inhaber:innen prüfen den aus der Vorlage generierten App-Entwurf, veröffentlichen ihn, sobald er fertig ist, und verwalten anschließend den Zugriff, rollenbezogene Berechtigungen, Aktionssteuerungen und App-Berechtigungen unter Workspace-Einstellungen > Apps.

Sofern verfügbar, ersetzen App-Berechtigungen das bisherige Steuerelement zur Aktionsbestätigung. Wenn im Workspace-weiten Menü App-Berechtigungen Nie fragen nicht angezeigt wird, wähle eine andere Standardeinstellung für den Workspace aus oder lege Nie fragen für eine bestimmte App in den Einstellungen App-Berechtigungen dieser App fest. Einzelheiten zur Einrichtung findest du unter ChatGPT-App-Vorlagen.

App-Aktionssteuerungen

RBAC steuert, wer eine App nutzen kann. Bei Apps, die Aktionssteuerung unterstützen, bestimmt die Aktionssteuerung, was die App tun kann. App-Berechtigungen legen fest, wann ChatGPT Mitglieder fragt, bevor es eine App verwendet.

Diese App-Berechtigungen gelten für ChatGPT-Unterhaltungen. Workspace-Agenten verwenden agentenspezifische Kontrollen, die von der Person festgelegt wurden, die den Agenten erstellt hat, um zu bestimmen, welche App-Aktionen verfügbar sind und wann Endnutzer:innen aufgefordert werden, diese zu genehmigen. Informationen zum Agentenverhalten findest du unter: ChatGPT-Workspace-Agenten für Enterprise und Business.

Im Bereich Aktionssteuerung können Admins festlegen, wie die aktuellen Aktionen der App behandelt werden sollen: alle Aktionen zulassen, nur Leseaktionen zulassen oder einen benutzerdefinierten Satz von Aktionen auswählen. Wenn Admins Benutzerdefiniert auswählen, können sie auch festlegen, wie später hinzugefügte Aktionen behandelt werden sollen: Alle neuen Aktionen aktivieren, Nur neue Leseaktionen aktivieren oder Neue Aktionen deaktivieren.

Einige Apps unterstützen die Aktionssteuerung nicht. Für diese Apps können Admins den App-Zugriff verwalten, aber sie können keine einzelnen Aktionen auswählen oder festlegen, wie neu hinzugefügte Aktionen behandelt werden.

Für Apps, die die Aktionssteuerung unterstützen, macht die Genehmigung des Anbieterumfangs neue Aktionen in ChatGPT nicht automatisch verfügbar.

So änderst du die standardmäßige App-Berechtigung für den Workspace:

  1. Öffne Workspace-Einstellungen.

  2. Gehe zu Berechtigungen und Rollen > Verbundene Daten.

  3. Suche nach App-Berechtigungen und wähle den Workspace-Standard aus.

So legst du eine andere Berechtigung für eine App fest:

  1. Öffne die Admin-Seite Apps des Workspaces.

  2. Öffne das Menü für eine veröffentlichte App und wähle App-Berechtigungen aus.

  3. Wähle Workspace-Standard verwenden oder wähle eine andere Berechtigung aus.

  4. Wähle Speichern.

Die Optionen können je nach Workspace, App und Rollout-Status Immer fragen, Beliebige Änderungen, Wichtige Aktionen und Nie fragen sein. Wichtige Aktionen fragt vor App-Aktionen nach Bestätigung, die außerhalb von ChatGPT bedeutende Auswirkungen haben, vertrauliche Informationen offenlegen oder schwer rückgängig zu machen sein könnten. Einige besonders riskante Aktionen werden möglicherweise blockiert, statt zur Genehmigung vorgelegt zu werden.

Benutzerdefinierte Apps mit MCP

Admins können Rollen auch den Zugriff auf den Entwicklermodus erlauben, um benutzerdefinierte Apps mit MCP erstellen und testen zu können. Der Rollenzugriff auf den Entwicklermodus macht neue MCP-Aktionen nicht automatisch verfügbar. Nachdem eine benutzerdefinierte MCP-App veröffentlicht wurde, muss die App im Workspace verbunden werden, bevor ihre Aktionen aktualisiert werden können. Ein Admin, der die App besitzt oder verwaltet, kann deren Aktionen im Bereich Aktionssteuerungen überprüfen und Aktualisieren auswählen, um hinzugefügte oder geänderte Aktionen vom MCP-Server zu überprüfen.

Detaillierte Einstellungen für Google Drive (synchronisiert)

Hinweis: Aktionen für Google Docs, Sheets und Slides sind jetzt als Google Drive-Aktionen verfügbar. Damit werden alle Aktionen in der Google Drive-App zusammengeführt, was die Nutzung von Google-Apps vereinfacht. Eigenständige Google Docs-, Sheets- und Slides-Apps sind im ChatGPT-App-Verzeichnis nicht mehr verfügbar. Benutzer:innen sollten eine Verbindung mit der Google Drive-App herstellen, um auf Docs, Sheets und Slides zuzugreifen.

Für ChatGPT Enterprise/Edu sind diese neuen einheitlichen Google Drive-Aktionen standardmäßig deaktiviert, bis ein Workspace-Admin sie aktiviert. Für ChatGPT Business sind sie standardmäßig aktiviert. Nach der Aktivierung müssen Google Workspace-Admins möglicherweise die aktualisierten Google Drive-Berechtigungsbereiche erneut autorisieren, bevor Benutzer:innen diese Aktionen verwenden können oder neue Benutzer:innen eine Verbindung herstellen können. Wenn du Beschwerden von deinen Benutzer:innen erhältst, dass sie keine Verbindung zu Google Drive herstellen können, überprüfe bitte deine Google Workspace-Bereichsautorisierungen für Google Drive, Docs, Sheets und Slides und bestätige, dass für alle Aktionen in der App Berechtigungsbereiche autorisiert wurden, oder deaktiviere Aktionen, die du nicht autorisieren möchtest.

Beachte, dass die Synchronisierungsfunktion von dieser Änderung nicht betroffen ist.

Dateibeschränkung und Einrichtung

In Enterprise-, Edu- und Business-Workspaces ist Folgendes möglich:

  • Die App auf die Synchronisierung mit bestimmten freigegebenen Laufwerken oder Ordnern zu beschränken

  • Bestimmte Dateitypen von der Indexierung auszuschließen

  • Die Option Schnelle Einrichtung (jeder Benutzer authentifiziert sein Konto) oder Admin-gesteuerter Zugriff (zentralisierte Einrichtung für detaillierte Einstellungen) auszuwählen

Weitere Informationen zum Aktivieren der Google Drive-App mit Synchronisierung findest du in unserem Hilfeartikel: Google Drive App mit Synchronisierung - Self-Service-Einrichtung

RBAC für Google Drive (synchronisiert) für Enterprise und Edu

Sobald du die Google Drive-App mit Synchronisierung aktivierst, können alle Benutzer, die Zugriff auf die nicht synchronisierte Version hatten, auch auf die synchronisierte Version zugreifen. Es ist derzeit nicht möglich, unterschiedliche Berechtigungen zwischen synchronisierten und nicht synchronisierten Versionen festzulegen.

Wenn du vor der Einführung von RBAC für Apps eine Zulassungsliste für die Google Drive-App mit Synchronisierung erstellt hast, wurde deine Zulassungsliste neuen RBAC-Gruppen und -Rollen zugeordnet, die Google Drive-Konnektor-Benutzer:innen und Google Drive-Konnektor-Rolle genannt werden.

  • Wenn in deinem Workspace die Google Drive-App auf Workspace-Ebene aktiviert war, haben jetzt nur noch Benutzer weiterhin Zugriff, die auf der Zulassungsliste der App mit Synchronisierung stehen.

  • Benutzer, die nicht auf der Zulassungsliste aufgeführt waren, haben keinen Zugriff mehr auf die nicht synchronisierte Google Drive-App und müssen erneut hinzugefügt werden.

  • Benutzer:innen, die die Google Drive-App mit Synchronisierung nutzen können, haben jetzt auch Zugriff auf die standardmäßige Google Drive-App.

Alle anderen Workspace-Rollen und -Berechtigungen bleiben unverändert bestehen.

Microsoft Outlook- (Kalender und E-Mail), Teams- und SharePoint-Berechtigungen erforderlich

Um ChatGPT mit Microsoft Outlook, Teams und Sharepoint zu verbinden, musst du für jeden Dienst die entsprechenden Berechtigungen in Microsoft Entra ID (früher Azure AD) erteilen. In unserem Hilfecenter erfährst du mehr über die erforderlichen Berechtigungen:

Auf jeder App-Seite ist angegeben, was für diese App erforderlich ist. Eine vollständige Liste der Anforderungen pro App findest du im App-Verzeichnis von ChatGPT.

Benutzerdefinierte Apps

In Business-, Enterprise- und Edu-Workspaces können nur Workspace-Inhaber:innen und Nutzer:innen, die die entsprechende Einstellung aktiviert haben (für Enterprise/Edu), den Entwicklermodus aktivieren, um benutzerdefinierte Apps zu veröffentlichen und zu testen. Nutzer:innen mit der Rolle Mitglied können selbst keine benutzerdefinierten Apps hinzufügen.

Wie bei anderen Apps auch müssen sich Nutzer:innen vor der ersten Nutzung selbst bei jeder App authentifizieren.

Einen allgemeinen Überblick über den Entwicklermodus, benutzerdefinierte Apps und MCP-Konnektoren in ChatGPT erhältst du in unserem Artikel: Entwicklermodus und benutzerdefinierte Apps in ChatGPT

Eine technische Schritt-für-Schritt-Anleitung zum Erstellen eines benutzerdefinierten MCP-Konnektors findest du in unserer Dokumentation: Benutzerdefinierte MCP-Apps erstellen

Hinweis: Bitte beachte, dass benutzerdefinierte Apps nicht von OpenAI überprüft werden und nur für Entwickler bestimmt sind. Du solltest benutzerdefinierte Apps nur zu deinem Workspace hinzufügen, wenn du die zugrunde liegende Anwendung kennst und ihr vertraust. Mehr erfahren.

Apps können es Endbenutzern ermöglichen, Daten, darunter auch geschützte Gesundheitsdaten (PHI), an Dritte weiterzugeben. Du solltest sicherstellen, dass deine Nutzung von Apps deinen Verpflichtungen gemäß HIPAA entspricht.

Sicherheit und Compliance

Sicherheit

Wir schützen deine Daten sowohl im Ruhezustand als auch bei der Übertragung mit branchenweit anerkannten Verschlüsselungsstandards . OAuth-Tokens werden unter Verwendung zuverlässiger, geprüfter Verfahren zur Schlüsselverwaltung gespeichert. Nachdem eine App aktiviert wurde, autorisiert jeder Benutzer sein eigenes Konto, und ChatGPT greift nur auf Inhalte zu, die den bestehenden Berechtigungen der Benutzer entsprechen, wie z. B. Lesezugriff.

OpenAI wendet kontinuierliche Tests, Überwachungen und mehrschichtige Minderungsmaßnahmen an, um das Risiko von Prompt Injections zu reduzieren. Um die Daten, die zwischen OpenAI und den von dir verbundenen Tools übertragen werden, zusätzlich zu schützen, verfügen Gespräche, bei denen Apps zum Einsatz kommen, über einen gesicherten Netzwerkzugriff. Strenge Zugriffskontrollen sorgen dafür, dass ChatGPT nur das sieht, worauf der jeweilige Benutzer zugreifen darf. Alle Daten bleiben während der Übertragung und im Ruhezustand verschlüsselt.

Verwendet OpenAI Informationen aus Apps, um seine Modelle zu trainieren?

Wir verwenden keine Informationen von Kund:innen von ChatGPT Business, Enterprise und Edu, die über Apps abgerufen wurden, um unsere Modelle zu trainieren. Informationen über unseren Umgang mit Business-Daten findest du auf unserer Enterprise-Datenschutz-Seite.

Chat- und Deep-Research-Daten werden vorübergehend verarbeitet und nicht indexiert. Die App mit synchronisierten Daten wird indiziert, um Antworten zu beschleunigen. Gleichzeitig werden deine Einstellungen zum Trainieren von Modellen respektiert.

Datenspeicherung und -residenz

Alle Apps mit Synchronisierung werden für Workspaces mit Datenresidenz in den Vereinigten Staaten, Europa (EWR und Schweiz) und Japan unterstützt. Google Drive- und GitHub-Apps mit Synchronisierung werden ebenfalls in allen derzeit unterstützten Datenresidenzregionen unterstützt.

Für Apps mit Synchronisierung, die für die Datenresidenz in deiner Region nicht unterstützt werden, wird der synchronisierte Suchindex in den US-amerikanischen Azure-Datenzentren von OpenAI gespeichert.


Nicht-synchronisierte Apps: Apps sind mit der Datenresidenz kompatibel. Es ist jedoch wichtig zu beachten, dass verbundene Anwendungen Dienste von Drittanbietern sind und dass Daten, die an eine verbundene Anwendung gesendet werden, den Richtlinien zur Datenresidenz dieser Anwendung unterliegen.

Mit anderen Worten: Bei Unternehmen mit Datenresidenz in Europa beschränkt OpenAI die Speicherung von Kundeninhalten auf Europa, bis Anfragen und Prompts an eine verbundene Anwendung gesendet werden. Vergewissere dich daher bitte, dass deine verbundenen Anwendungen auch alle Anforderungen an die Datenresidenz erfüllen, die du möglicherweise hast.

Compliance

Benutzergespräche, einschließlich solche, die über eine beliebige App geführt werden, sind bereits in der Compliance-API verfügbar.

Zusätzlich werden alle App-Aufrufe als Teil der OpenAI-Plattform für Compliance-Protokolle erfasst.

Mehr dazu: Compliance-API für Enterprise-Kund:innen.

Detaillierte Sicherheit für Google Drive (synchronisiert)

Zusätzlich zur OAuth-Authentifizierung können Eigentümer von Business-, Enterprise- und Edu-Workspaces die domainweite Delegierung (DWD) nutzen.

War dieser Artikel hilfreich?