12 min Lesezeit · 22 Jun 2026

ChatGPT Enterprise vs. Microsoft 365 Copilot vs. eigenes RAG: Was sollte ein DACH-Unternehmen kaufen?

Die Kurzfassung für ein Unternehmen in Österreich, Deutschland oder der Schweiz: Kaufen Sie Microsoft 365 Copilot, wenn Sie ohnehin in Microsoft 365 arbeiten und der Wert in Ihren Daten aus Exchange, SharePoint und Teams liegt. Kaufen Sie ChatGPT Enterprise, wenn Sie den stärksten allgemeinen Assistenten wollen und Ihre Daten über viele Tools verteilt sind, nicht nur über Microsoft. Bauen Sie ein eigenes RAG-System nur dann, wenn Sie eine Kontrolle brauchen, die Ihnen keines der Produkte gibt: Datenhaltung zu Ihren Bedingungen, berechtigungsbewusster Abruf über einen proprietären Datenbestand oder Modellportabilität, und wenn Sie das Engineering haben, um es zu betreiben. Keines der drei ist für sich genommen "DSGVO-konform". Sie bleiben der Verantwortliche, und der Vertrag, nicht die Marketingseite, entscheidet, ob Sie abgesichert sind.

Das ist eine Sicht aus Beschaffung und Engineering, kein Verkaufsargument. Wir bauen und führen alle drei für Kunden ein, der folgende Vergleich dreht sich also um Passung und Trade-offs, nicht darum, welches Logo uns gefällt. Preise und Datenbedingungen entsprechen dem Stand Mitte 2026 und ändern sich oft. Prüfen Sie die verlinkten Anbieterseiten, bevor Sie unterschreiben.

Sie wollen eine neutrale Einschätzung, welches davon zu Ihrem Unternehmen passt?

Kostenloses Gespräch buchen

Der Vergleich auf einen Blick

Die Dimensionen, die das wirklich entscheiden, nebeneinander. Behandeln Sie jede Zahl als Stand Mitte 2026 und prüfen Sie sie erneut.

Dimension	ChatGPT Enterprise	Microsoft 365 Copilot	Eigenes RAG
Preis	Verhandelt, kein öffentlicher Listenpreis	30 USD pro Platz und Monat (Enterprise-Add-on, jährlich); Business-Tier günstiger mit Obergrenze von 300 Plätzen; Copilot Chat kostenlos mit berechtigtem M365	Keine Gebühr pro Platz; stattdessen Bau- und Betriebskosten
Voraussetzungen	Keine, es ist eigenständig	Eine qualifizierende Microsoft-365-Basislizenz, dazu Graph, Exchange und OneDrive	Ein Engineering-Team und Cloud-Infrastruktur
Trainiert standardmäßig auf Ihren Daten	Nein	Nein	Nein, Sie kontrollieren es
Worauf es gegroundet ist	Allgemeinwissen plus Opt-in-Konnektoren	Ihre Microsoft-365-Daten, berechtigungsgefiltert	Ihr eigener Datenbestand, beliebige Quelle
EU-Datenhaltung	Region Europa (ruhend seit Feb. 2025, Inferenz in der Region seit Jan. 2026); Granularität "Europa"	EU-Datengrenze (EU und EFTA, inklusive Schweiz); Verarbeitung im Land wird 2026 ausgerollt	Was immer Sie bauen (Azure EU Data Zone, AWS EU oder Self-Hosting)
Governance und Administration	SSO, SCIM, IP-Allowlists, Konnektor-Gating, Compliance-Logs	Purview, DLP, Vertraulichkeitsbezeichnungen, eingeschränkte SharePoint-Suche	Was immer Sie bauen
Lock-in	Mittel	Hoch (Microsoft-Ökosystem)	Niedrig (modellportabel)
Zeit bis zum Nutzen	Tage bis Wochen	Schnell, wenn Ihr M365 ausgereift ist	Wochen bis Monate

Ein Vorbehalt, der für ein DACH-Publikum zählt und leicht übersehen wird: Microsoft setzt inzwischen einige Anthropic-Modelle innerhalb von Copilot ein, und diese liegen außerhalb des Geltungsbereichs der EU-Datengrenze und der Zusagen zur Verarbeitung im Land. Wenn eine strenge Datenstandort-Story der Grund war, weshalb Sie sich für Copilot entschieden haben, prüfen Sie, welche Funktionen an welche Modelle weiterleiten.

ChatGPT Enterprise

Der stärkste universelle Assistent der drei und der flexibelste, was den Speicherort Ihrer Daten über verschiedene Tools hinweg angeht. OpenAI trainiert standardmäßig nicht auf Geschäftsdaten, Sie besitzen Ihre Ein- und Ausgaben, und die Aufbewahrung ist administrativ steuerbar. Es bringt SOC 2 Type 2, ISO 27001, einen Auftragsverarbeitungsvertrag für die DSGVO und einen BAA für Gesundheitsdaten mit. Die EU-Datenhaltung kam im Februar 2025 für ruhende Daten und wurde im Januar 2026 um Inferenz innerhalb der Region Europa erweitert, wobei die Granularität "Europa" ist und kein benanntes österreichisches oder Schweizer Rechenzentrum. Die ehrliche Lücke: OpenAI veröffentlicht keine Preise für ChatGPT Enterprise. Die Zahlen, die Sie rund um 60 Dollar pro Platz bei einem Minimum von 150 Plätzen zitiert sehen, sind Schätzungen Dritter, nicht offiziell, behandeln Sie sie also eher als Ausgangspunkt für ein Verkaufsgespräch denn als Tatsache.

Microsoft 365 Copilot

Wenn Ihre Arbeit ohnehin in Microsoft 365 stattfindet, ist das der Weg des geringsten Widerstands, denn der Wert liegt im Grounding der Antworten in Ihren eigenen Daten aus Exchange, SharePoint und Teams, zugeschnitten auf das, was jeder Benutzer ohnehin sehen darf. Das Enterprise-Add-on kostet 30 Dollar pro Benutzer und Monat, jährlich bezahlt, und erfordert eine qualifizierende Basislizenz wie E3 oder E5; das Business-Tier ist günstiger, aber auf 300 Benutzer begrenzt; und Copilot Chat ist bei berechtigten Abonnements ohne Aufpreis enthalten. Prompts, Antworten und die Daten, die Copilot über Microsoft Graph erreicht, werden nicht zum Training von Foundation-Modellen verwendet und bleiben innerhalb der Microsoft-365-Servicegrenze, die auf Azure OpenAI statt auf dem öffentlichen ChatGPT-Dienst läuft. Das eigentliche Risiko ist hier nicht das Modell, sondern Oversharing: Copilot bringt bereitwillig alles zum Vorschein, worauf ein Benutzer technisch Zugriff hat. Wenn Ihre SharePoint-Berechtigungen also ein Durcheinander sind, macht Copilot das schnell sichtbar. Räumen Sie Berechtigungen und Vertraulichkeitsbezeichnungen vor dem Rollout auf, nicht danach.

Eigenes RAG

Ein eigenes Retrieval-System zu bauen ist die richtige Entscheidung, wenn keines der Produkte Ihnen die nötige Kontrolle gibt: volle Datenhaltung zu Ihren Bedingungen, berechtigungsbewusster Abruf über einen Datenbestand, der nicht in Microsoft 365 liegt, oder die Freiheit, Modelle zu tauschen und Lock-in zu vermeiden. Es ist auch der größte Aufwand. Als grobe Orientierung aus echten Projekten landet ein Proof of Concept irgendwo bei 6.000 bis 25.000 Euro, ein produktives MVP bei etwa 17.000 bis 80.000 und ein selbst gehostetes Enterprise-Setup mit SSO und Compliance ab 80.000 aufwärts; behandeln Sie diese Werte als Richtwerte, nicht als Angebote. Der Kostentreiber ist fast nie das Modell. Es sind Datenbereinigung, Zugriffssteuerung und Integration, die regelmäßig 30 bis 50 Prozent des Budgets verschlingen. Der mit Abstand schwierigste Teil sind die Berechtigungen: Setzen Sie sie auf der Retrieval-Ebene mit Metadatenfiltern durch, bevor die Suche läuft, nicht nachträglich in der App aufgesetzt. Wir gehen darauf in unserer RAG-Produktionsreife-Checkliste für die EU in die Tiefe.

Es gibt auch einen Mittelweg, den man benennen sollte: Tools wie Microsoft Copilot Studio und Azure AI Foundry oder OpenAIs Agent-Tooling erlauben es, ein verwaltetes Produkt anzupassen und zu grounden, ohne das Retrieval von Grund auf zu bauen. Das ist oft die pragmatische Antwort, wenn "kaufen" zu starr und "bauen" zu viel ist.

So wählen Sie

Wählen Sie nach der Einschränkung, die Sie tatsächlich bindet, nicht nach der glänzendsten Demo.

Wählen Sie Microsoft 365 Copilot, wenn Sie bereits auf M365 E3 oder E5 sind, der Wert im Grounding in Exchange, SharePoint und Teams liegt und die EU-Datengrenze plus Purview-Governance Ihre Datenschutz-Latte abdeckt. Akzeptieren Sie die Ausnahmen bei Multi-Geo, Web-Abfragen und Anthropic-Modellen und räumen Sie zuerst Ihre Berechtigungen auf.
Wählen Sie ChatGPT Enterprise, wenn Sie den stärksten allgemeinen Assistenten und Frontier-Modelle wollen, Ihre Daten über viele SaaS-Tools verteilt liegen statt nur über Microsoft und die Datenhaltung in der "Region Europa" plus ein unterzeichneter AVV Ihre Anforderungen erfüllt.
Bauen Sie ein eigenes RAG, wenn Sie Datenhaltung oder Souveränität zu Ihren eigenen Bedingungen, berechtigungsbewussten Abruf über einen proprietären Datenbestand oder Modellportabilität brauchen und Sie das Engineering und MLOps für die Wartung haben oder einstellen werden.
Fangen Sie kleiner an, als Sie denken. Für die meisten Teams ist der richtige erste Schritt Copilot oder ChatGPT Enterprise plus eine fokussierte Enablement-Initiative, und ein eigener Bau erst dann, wenn ein bestimmter Workflow mit hohem Volumen ihn klar rechtfertigt. Wir beschreiben diese Reihenfolge in So führen Sie KI 2026 intern ein.

"Keines dieser Tools ist für sich genommen DSGVO-konform. Sie sind der Verantwortliche. Das Produkt liefert Ihnen die Bausteine, einen AVV, eine Datengrenze, Admin-Kontrollen, und Ihre Aufgabe ist es, daraus etwas Belastbares zusammenzusetzen. Die Kaufentscheidung ist die leichte Hälfte."

Der DACH-Datenschutzteil, den Sie nicht überspringen können

Was immer Sie wählen, Sie bleiben der Verantwortliche, und das bedeutet, dass einiges nicht optional ist. Sie brauchen eine Rechtsgrundlage nach Artikel 6, einen unterzeichneten Auftragsverarbeitungsvertrag nach Artikel 28 (einen AVV), bevor irgendwelche personenbezogenen Daten fließen, einen gültigen Übermittlungsmechanismus und eine Datenschutz-Folgenabschätzung für risikoreichere Anwendungen. Der EU-US Data Privacy Framework bietet seit 2023 Angemessenheit, aber eine Klage bahnt sich durch die EU-Gerichte, behandeln Sie ihn also als vorläufig und halten Sie Standardvertragsklauseln als Rückfalloption bereit. Die Schweiz benötigt einen Framework-zertifizierten Empfänger, SCCs, eine Einwilligung oder EU- und Schweizer Hosting. Und eine klare Linie für Mitarbeitende: Die kostenlosen und Plus-Verbrauchertarife von ChatGPT haben keinen AVV und sind für personenbezogene Unternehmensdaten nicht geeignet. Wenn Leute Kundendaten in einen privaten Account einfügen, ist das das Erste, was zu beheben ist, bevor irgendetwas aus diesem Vergleich zählt. Die Datenhaltung selbst ist ein tiefes Thema, das wir in EU-Datenhaltung für KI-Anwendungen 2026 behandeln.

Häufig gestellte Fragen

Trainiert ChatGPT Enterprise auf unseren Daten?

Nein. OpenAI trainiert standardmäßig nicht auf Geschäftsdaten, weder bei Team noch bei Enterprise noch über die API. Sie besitzen Ihre Ein- und Ausgaben und steuern die Aufbewahrung über die Admin-Konsole.

Trainiert Microsoft 365 Copilot auf unseren Daten?

Nein. Prompts, Antworten und die Daten, die Copilot über Microsoft Graph erreicht, werden nicht zum Training von Foundation-Modellen verwendet und bleiben innerhalb der Microsoft-365-Servicegrenze, die auf Azure OpenAI läuft.

Ist Microsoft 365 Copilot DSGVO-konform?

Microsoft liefert die Bausteine: einen Auftragsverarbeiter-AVV, die EU-Datengrenze, Purview-Governance und Zertifizierungen. Ob Sie konform sind, hängt weiterhin von Ihnen als Verantwortlichem ab, also von einer Rechtsgrundlage, einem AVV, einer DSFA wo nötig und sauberen Berechtigungen.

ChatGPT Enterprise in Österreich, ist das datenschutzrechtlich erlaubt?

Ja, mit einem OpenAI-AVV, Datenhaltung in Europa sowie Ihrer eigenen Rechtsgrundlage und DSFA. Die österreichische DSB behandelt Sie als Verantwortlichen, die eigentlichen Fragen sind also, ob personenbezogene Daten überhaupt übermittelt werden müssen und auf welchen Übermittlungsmechanismus Sie sich stützen.

Wo werden unsere Daten in der EU gespeichert und verarbeitet?

Copilot hält Daten innerhalb der EU-Datengrenze, die die EU und die EFTA inklusive Schweiz abdeckt, wobei die Verarbeitung im Land für einige Länder 2026 ausgerollt wird. ChatGPT Enterprise nutzt eine Region Europa, ruhend seit Februar 2025 und Inferenz in der Region seit Januar 2026, ohne dass ein länderspezifisches Rechenzentrum benannt ist.

Wie steht es um Schrems II und US-Datenübermittlungen?

Der EU-US Data Privacy Framework bietet derzeit Angemessenheit, aber eine Gerichtsklage ist anhängig, behandeln Sie ihn also als vorläufig und halten Sie Standardvertragsklauseln als Rückfalloption bereit. Die Schweiz benötigt einen Framework-zertifizierten Empfänger, SCCs, eine Einwilligung oder lokales Hosting.

Brauchen wir einen AVV oder DPA?

Ja, nach Artikel 28 DSGVO, bevor irgendwelche personenbezogenen Daten verarbeitet werden. Sowohl Microsoft als auch OpenAI bieten einen für ihre Business-Tarife an. Die Verbraucher-Tarife von ChatGPT enthalten keinen AVV und sind für personenbezogene Unternehmensdaten ungeeignet.

Wann sollten wir ein eigenes RAG bauen statt zu kaufen?

Wenn Sie volle Kontrolle über Datenhaltung oder Souveränität, berechtigungsbewussten Abruf über einen proprietären Datenbestand oder Modellportabilität zur Vermeidung von Lock-in brauchen und sich die Ökonomie pro Platz bei Ihrer Größenordnung nicht mehr rechnet und Sie den Engineering- und Wartungsaufwand tragen können.

Darf unser Team weiterhin das kostenlose oder Plus-ChatGPT für die Arbeit nutzen?

Nicht für personenbezogene oder vertrauliche Daten. Verbraucher-Tarife haben keinen AVV. Nutzen Sie ChatGPT Enterprise oder Team oder Copilot mit Enterprise-Datenschutz für alles, was Unternehmens- oder Kundendaten betrifft.

Was kostet Copilot und was brauchen wir zuerst?

30 USD pro Benutzer und Monat für das Enterprise-Add-on, jährlich bezahlt, oder ein günstigeres Business-Tier mit Obergrenze von 300 Benutzern, und beide erfordern eine qualifizierende Microsoft-365-Basislizenz. Copilot Chat ist bei berechtigten Abonnements kostenlos.

Fazit

Die Kaufentscheidung wird größtenteils dadurch bestimmt, wo Ihre Daten und Ihre Arbeit bereits liegen. Tief in Microsoft 365 ist Copilot der naheliegende Start. Über viele Tools verteilt passt ChatGPT Enterprise besser. Wenn Sie Kontrolle brauchen, die Ihnen keines davon gibt, bauen Sie.

Was sich mit dem Logo nicht ändert, ist Ihre Verantwortung. Keines davon ist von Haus aus konform, Sie bleiben der Verantwortliche, und der Vertrag und Ihre Berechtigungshygiene entscheiden, ob Sie abgesichert sind. Wählen Sie das Tool an einem Nachmittag. Stecken Sie den echten Aufwand in den AVV, die Datenhaltungs-Story, die Berechtigungen und einen kleinen, klar abgegrenzten ersten Anwendungsfall, der Nutzen beweist, bevor Sie es allen ausrollen.

Sie wollen Hilfe bei einem sauberen Pilotprojekt, bevor Sie Budget binden?