OpenAI-API für Firmen einrichten: AVV, API-Key, Budget – in 30 Minuten

Grzegorz Olszowka•15. April 2026•7 Min. Lesezeit

OpenAIAPIDSGVOAVVKI-AgentenSetupTutorial

Schritt-für-Schritt-Setup der OpenAI-API für deutsche Unternehmen: Business-Account, Auftragsverarbeitungsvertrag, API-Key-Hygiene, Budget-Limits. Mit den zwei Einstellungen, die fast alle vergessen.

OpenAI-API für Firmen einrichten: AVV, API-Key, Budget – in 30 Minuten

Von Grzegorz Olszowka • 15. April 2026
#OpenAI #API #DSGVO #AVV #KI-Agenten #Setup

Wenn du den Pillar-Guide zu KI-Agenten gelesen hast, weißt du: OpenAI direkt ist der schnellste Weg, einen Piloten zum Laufen zu bringen. Dreißig Minuten. Eine Kreditkarte. Ein API-Key.

Was die meisten Anleitungen weglassen: zwei Einstellungen, ohne die du in der Datenschutz-Prüfung durchfällst. Und ein Budget-Limit, das verhindert, dass dein erster Test 800 Euro kostet.

Dieser Artikel führt dich durch das Setup, das wir bei kiba für Pilotprojekte benutzen. Reihenfolge zählt. Wer den AVV erst nach dem ersten Live-Call abschließt, hat schon einen Datenschutzvorfall.

Bevor du klickst

Drei Sachen sollten geklärt sein, bevor du auch nur die Webseite öffnest:

Wer ist der Vertragspartner? Eine Firma, keine Privatperson. OpenAI bietet einen Auftragsverarbeitungsvertrag (AVV) nur für Business- und API-Kunden an, und der AVV wird auf eine Rechtspersönlichkeit ausgestellt. Wenn der API-Account auf deinem privaten Gmail liegt, ist das in der Datenschutz-Prüfung tot.

Wer hat Zugriff auf das Postfach? Verifizierungs-Mails, Abrechnungs-Mails, Sicherheitswarnungen – das Postfach sollte einer Funktion zugeordnet sein (info@deinefirma.de) und nicht einem Mitarbeiter, der morgen kündigt.

Wo läuft die Buchhaltung? OpenAI rechnet in USD ab und stellt monatlich Rechnungen aus. Klär im Rechnungswesen, wie OpenAI-Rechnungen umgerechnet und gebucht werden – das ist nicht selbstverständlich. Bei vielen kleineren Firmen wandert das Posting "irgendwie auf 4980 Sonstige Kosten". Das geht, sollte aber bewusst sein.

Schritt 1: Account anlegen (5 Minuten)

Geh auf platform.openai.com. Wenn du noch keinen Account hast: registrieren mit der Funktions-Mailadresse aus dem vorigen Schritt. Wenn du schon einen privaten Account hast und ihn nicht versehentlich nutzen willst: zweiten Account anlegen, ist erlaubt.

Nach der Registrierung wirst du gefragt, ob du eine "Personal" oder "Business"-Organization anlegen willst. Business wählen. Das ist der entscheidende Klick. Nur Business-Organizations bekommen Zugriff auf den AVV.

Im Setup gibst du Firmennamen, Adresse, Land an. Bei "Use Case" wähl ehrlich – wenn du Customer Support automatisierst, sag das. OpenAI nutzt diese Info nicht für Marketing, sondern für Rate-Limit-Anpassungen.

Schritt 2: AVV abschließen (vor allem anderen)

Das ist der Schritt, den fast alle als Letztes machen. Wir machen ihn als Erstes. Begründung: Sobald der erste API-Call losgeht und personenbezogene Daten fließen, brauchst du eine Rechtsgrundlage. Die hast du ohne AVV nicht.

Dieses Thema vertiefen? 32 KI-Rezepte mit Kostenrahmen als kostenloses PDF.

PDF holen

Im Dashboard: Settings → Organization → Data Controls → Data Processing Addendum. Dort findest du den AVV als PDF zum Selbst-Generieren. Du gibst Firmenname, Geschäftsführer und Adresse ein, OpenAI generiert das Dokument. Du druckst es nicht aus, du klickst es per Häkchen an.

Was im AVV steht und worauf du achten solltest:

Subdienstleister: OpenAI nutzt Microsoft Azure als Infrastruktur-Anbieter. Das wird im AVV transparent gemacht. Wenn dein Datenschutzbeauftragter eine Liste der Subdienstleister braucht, ist die im DPA verlinkt.

Datenstandort: Default ist USA. Enterprise-Kunden bekommen eine Option für "EU Data Residency" – du nicht. Du arbeitest mit Standardvertragsklauseln (SCCs).

Modelltraining: Wichtigster Punkt. Standardmäßig werden API-Daten nicht für Modelltraining verwendet. Das ist seit März 2023 die Voreinstellung – bei der API anders als bei ChatGPT für Privatpersonen. Trotzdem solltest du das in Schritt 4 explizit prüfen.

Ohne abgeschlossenen AVV nicht weitermachen.

Schritt 3: Zahlung einrichten + Budget-Limit setzen

Settings → Billing → Payment methods → Kreditkarte hinterlegen. Das ist trivial.

Direkt danach – und das ist der Schritt, der dich vor unangenehmen Überraschungen schützt – setzt du Usage Limits. Das findest du unter Settings → Billing → Limits.

Es gibt zwei Limits:

Soft Limit löst eine E-Mail-Warnung aus, wenn der monatliche Verbrauch den Wert überschreitet. Stell das auf einen Betrag, bei dem du noch ruhig schlafen kannst – für Pilotprojekte typischerweise 50 bis 100 Euro.

Hard Limit blockiert die API-Calls, sobald der Wert erreicht ist. Das ist der wirkliche Schutz. Stell das auf einen Wert, bei dem du auch mit einer fehlerhaften Schleife in deinem Code überleben würdest. Für Pilotprojekte sind 200 bis 500 Euro im Monat ein sinnvoller Korridor.

Praxistipp aus eigener Erfahrung: Wir hatten einmal ein Skript, das in einer Schleife versehentlich dieselbe Anfrage 10.000-mal an GPT-4 geschickt hat. Ohne Hard Limit wären das mehrere hundert Euro Schaden gewesen. Mit Hard Limit war bei 50 Euro Schluss, der Rest wurde abgewiesen. Hard Limit ist nicht optional.

Schritt 4: Die zwei Datenschutz-Einstellungen, die alle vergessen

Hier kommen die zwei Klicks, die in der Datenschutzprüfung den Unterschied machen. Settings → Organization → Data Controls.

Einstellung A: "Allow our partners to use your data"

Standard ist off. Lass es off. Wenn das aus Versehen on ist – Häkchen weg.

Einstellung B: "Improve the model for everyone"

Standard ist seit März 2023 für die API off. Trotzdem: einmal nachschauen. Bei manchen Konten, die aus älteren ChatGPT-Anmeldungen migriert wurden, kann das anders sein. Häkchen weg.

Beide Einstellungen zusammen sind die "OpenAI nutzt unsere Daten nicht weiter"-Garantie. Im Datenschutzaudit fragt der Prüfer genau danach. Screenshot beider Settings machen, in die Datenschutz-Dokumentation legen.

Schritt 5: API-Key generieren (mit Hygiene)

Settings → API keys → Create new secret key.

Drei Regeln für API-Keys:

Ein Key pro Anwendung. Nicht "ein Key für alles". Wenn du den Vorqualifikations-Agenten und den Newsletter-Generator hast, sind das zwei Keys. Wenn einer kompromittiert wird, deaktivierst du nur den einen.

Sprechende Namen. Nicht "Key 1". Sondern "fortuna-vorquali-prod-2026-04". So weißt du in sechs Monaten noch, was wo läuft.

Niemals im Code. API-Keys gehören in eine Environment-Variable oder einen Secrets-Manager. Ein versehentlich auf GitHub gepushter Key wird in unter 60 Sekunden missbraucht – wir haben das mehrmals live gesehen.

Schritt 6: Erster Test (3 Minuten)

Bevor du den Key in dein Produktivsystem legst, ein Smoke-Test im Terminal:

curl https://api.openai.com/v1/chat/completions \
  -H "Authorization: Bearer DEIN_KEY_HIER" \
  -H "Content-Type: application/json" \
  -d '{
    "model": "gpt-4o-mini",
    "messages": [
      {"role": "user", "content": "Antworte mit OK"}
    ]
  }'

Wenn die Antwort eine JSON-Struktur mit "OK" enthält, ist alles richtig konfiguriert. Wenn ein 401 zurückkommt, stimmt der Key nicht. Wenn ein 429 zurückkommt, ist deine Organisation noch nicht freigeschaltet – kann bei Neuanmeldungen 1 bis 2 Stunden dauern.

Was du in deine Datenschutz-Doku schreibst

Damit du nicht in vier Wochen wieder von vorn anfangen musst, ein Mini-Template für die DSFA-Eintragung:

Auftragsverarbeiter: OpenAI, L.L.C., 1455 3rd Street, San Francisco, CA 94158, USA

Vertragsgrundlage: Data Processing Addendum (DPA) vom [Datum], abgeschlossen über platform.openai.com

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) ODER Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), je nach Use Case

Datenstandort: USA, abgesichert über Standardvertragsklauseln (SCCs)

Subdienstleister: Microsoft Azure (USA)

Aufbewahrung: API-Eingaben werden 30 Tage gespeichert (Missbrauchskontrolle), danach gelöscht. Ausnahme: Zero-Data-Retention-Endpoint, wenn aktiviert.

Modelltraining: Daten werden nicht für Modelltraining verwendet (API-Default seit März 2023, bestätigt in Settings → Data Controls)

Das ist dein minimales DSFA-Gerüst. Für Standardfälle reicht das. Sensible Daten brauchen die volle DSFA und je nach Risiko die Konsultation der Aufsichtsbehörde.

Wann OpenAI direkt nicht reicht

Du hast jetzt ein voll funktionsfähiges Setup. Trotzdem ist OpenAI direkt nicht für jeden Use Case der richtige Weg. Drei Situationen, in denen du auf Azure umziehen solltest:

Wenn du Gesundheitsdaten, anwaltliche Mandantendaten oder Daten verarbeitest, die unter besondere Kategorien nach Art. 9 DSGVO fallen, ist die USA-Datenverarbeitung für dich kritisch – auch mit SCCs. Der Azure-Setup-Guide zeigt, wie du dasselbe Modell in Schweden statt Texas laufen lässt.

Wenn dein Mandant explizit "keine US-Anbieter" verlangt – das passiert in Behörden- und Forschungskontexten häufig –, ist Azure auch nicht genug. Dann ist der lokale Weg mit Ollama der einzige.

Wenn dein Volumen so hoch wird, dass die Token-Kosten die Hardware-Investition übersteigen, lohnt sich ebenfalls der lokale Weg. Faustregel: Ab ~3 Mio. Token täglich kippt die Wirtschaftlichkeit.

Wenn du das nicht selbst machen willst

Das Setup ist mechanisch in 30 Minuten erledigt. Die DSFA, die Auswahl des richtigen Wegs und die Integration in deine Systeme sind die eigentliche Arbeit. Genau dafür ist die BAFA-förderfähige KI-Beratung da: Wir machen den Setup, klären die Datenschutz-Position und übergeben dir ein dokumentiertes System.

Kontakt: info@kiba.berlin.

Teil 2 der Serie. Zurück zum Pillar-Guide · Weiter zu Azure OpenAI in Deutschland einrichten