KI Daten löschen klingt einfach. Du hast etwas in ChatGPT eingegeben, das da nicht hingehört. Ein Passwort, eine interne Notiz, womöglich den Namen eines Klienten. Also löschst du den Chat.
Problem gelöst? Leider nein. Oder zumindest: nicht so einfach, wie man denkt. Denn »Löschen« bedeutet bei KI-Diensten nicht das, was man intuitiv darunter versteht. Es ist ein Stufenmodell, kein Schalter.
Inhaltsverzeichnis
Was heißt Löschen bei KI-Diensten wirklich?
Wenn du einen Chat löschst, passieren mehrere Dinge nacheinander. Der Chat verschwindet aus deiner Oberfläche. Sofort. Das ist die Stufe, die du siehst. Dann wird er auf den Servern des Anbieters zur Löschung vorgemerkt, meistens mit einer Frist von 30 Tagen. Innerhalb dieser Frist wird er aus den Produktivsystemen entfernt. Meistens.
Denn es gibt Ausnahmen. Und die sind der Grund, warum dieses Thema komplizierter ist, als ein Klick auf »Löschen« vermuten lässt.
Die häufigsten: Der Chat wurde bereits anonymisiert und von deinem Account entkoppelt. Oder es gibt eine rechtliche Pflicht zur Aufbewahrung. Oder der Inhalt wurde von einem Sicherheitssystem als problematisch markiert. In all diesen Fällen kann etwas übrig bleiben, auch wenn du es in deiner Ansicht nicht mehr siehst.
Und dann gibt es noch einen Punkt, den viele übersehen: »Gelöscht« heißt nicht automatisch »nicht fürs Training verwendet«. Wenn deine Eingaben vor dem Löschen bereits in einen Trainingslauf eingeflossen sind, bleiben sie im Modell. Nicht als abrufbarer Text, aber als statistische Spur. Rückgängig machen lässt sich das nicht. Mehr dazu im Datenschutz-Artikel.
ChatGPT speichert mehr, als man denkt
Bei ChatGPT ist der Chat nur einer von mehreren Orten, an denen deine Daten liegen können. Die anderen vergisst man gern.
Chats werden gespeichert, bis du sie löschst. Nach dem Löschen: 30 Tage, dann permanent weg. Außer die oben genannten Ausnahmen greifen.
Memory ist ein eigener Speicher. ChatGPT merkt sich Dinge aus Gesprächen und nutzt sie in künftigen Chats. Wenn du einen Chat löschst, bleibt die daraus gespeicherte Erinnerung bestehen. Um etwas wirklich vollständig zu entfernen, musst du die Memory-Einträge und die zugehörigen Chats löschen. OpenAI sagt das selbst, aber man muss es wissen.
Custom Instructions sind ein weiterer Speicher, der beim Aufräumen gern übersehen wird. Wenn du dort persönliche Informationen hinterlegt hast, bleiben die unabhängig von gelöschten Chats bestehen. Und ein Detail am Rande: Bei der Nutzung von Drittanbieter-Plugins können Teile deiner Custom Instructions an die Plugin-Entwickler weitergegeben werden.
Uploads hängen am Chat. Löschst du den Chat, wird die Datei mit zur Löschung eingeplant. Aber Inhalte, die aus einer Datei in den Kontext gezogen wurden, bleiben für die Lebensdauer des Threads verfügbar. Bei Custom GPTs und Projekten bleiben Dateien, bis du das GPT oder Projekt selbst löschst.
Temporary Chat ist die sauberste Option. Kein Verlauf, keine Memories, kein Training. Trotzdem kann OpenAI aus Sicherheitsgründen bis zu 30 Tage eine Kopie vorhalten. Und wenn du innerhalb eines Temporary Chats ein GPT mit Drittanbieter-Actions nutzt, gehen Daten an deren Server. Mit deren Aufbewahrungsfristen.
Claude löscht sauber, aber mit einem Haken
Bei Claude ist das Grundprinzip ähnlich: Chat löschen, sofort aus der Historie, innerhalb von 30 Tagen aus den Backend-Systemen entfernt.
Der Haken liegt bei der Modellverbesserung. Wenn du in den Einstellungen erlaubst, dass deine Chats zur Verbesserung genutzt werden, kann Anthropic diese Daten in anonymisierter Form bis zu fünf Jahre in Trainings-Pipelines behalten. Fünf Jahre. Das ist deutlich länger als bei anderen Anbietern.
Schaltest du die Einstellung wieder aus, fließen frühere und neue Chats nicht in zukünftiges Training ein. Was aber bereits in einem laufenden Trainingslauf oder einem fertigen Modell steckt, bleibt dort.
Incognito-Chats werden laut Anthropic nicht zur Modellverbesserung genutzt. Wer regelmäßig sensible Inhalte bespricht, sollte das als Standard verwenden.
Noch eine Besonderheit: Inhalte, die von Sicherheitssystemen als Richtlinienverstoß markiert werden, können bis zu zwei Jahre gespeichert werden. Die zugehörigen Klassifikationsdaten sogar bis zu sieben Jahre.
Gemini und der 72-Stunden-Speicher
Bei Googles Gemini läuft vieles über die »Gemini Apps Activity«, ein eigener Bereich in den Google-Einstellungen, getrennt von der normalen Web-Aktivität.
Standardmäßig wird Aktivität nach 18 Monaten automatisch gelöscht. Du kannst auf 3 oder 36 Monate umstellen oder jederzeit manuell löschen.
Aber auch hier gibt es Sonderfälle. Selbst wenn du »Keep Activity« ausschaltest, werden Konversationen noch bis zu 72 Stunden mit deinem Account gespeichert. Kurz, aber nicht null.
Der wichtigere Punkt ist ein anderer: Chats, die von menschlichen Reviewern geprüft wurden, werden nicht gelöscht, wenn du deine Aktivität löschst. Sie werden stattdessen bis zu drei Jahre aufbewahrt, zusammen mit Metadaten wie Sprache, Gerätetyp und Standortinformation. Das steht in Googles Privacy Hub, geht aber leicht unter.
Zwei Stolperfallen aus der Praxis: Das Löschen einer Konversation mit einem »Gem« löscht nicht automatisch den Gem selbst. Und das Löschen eines geteilten Chats entfernt nicht den öffentlichen Link. Die tatsächliche Leckage liegt manchmal im Link, nicht im Chatverlauf.
Copilot hat ein Dokumentenproblem
Bei Microsofts Copilot muss man unterscheiden: Consumer-Version (privater Microsoft-Account) und Microsoft 365 Copilot (Arbeit oder Schule). Die Löschprozesse sind komplett verschieden.
Consumer: Aktivitätsverlauf über das Privacy Dashboard löschen. Unkompliziert.
Microsoft 365: Eigener Löschprozess über My Account, Settings & Privacy, Data options. Microsoft weist darauf hin, dass es dauern kann. Geöffnete Apps zeigen die alte Historie eventuell noch an, bis man sie schließt.
Der eigentlich kritische Punkt: Das Löschen des Copilot-Verlaufs entfernt nicht den Inhalt, den Copilot in deinen Dokumenten erzeugt hat. Wenn du eine sensible Passage in Word generiert und gespeichert hast, musst du sie im Dokument selbst löschen, in der Versionshistorie, in SharePoint, in OneDrive. Der Copilot-Verlauf ist nur die Oberfläche.
In Unternehmensumgebungen kommt noch Compliance dazu. Microsoft Purview kann Löschungen aussetzen, wenn Litigation Hold, eDiscovery oder Retention Policies greifen. »Chat gelöscht« ist dort nicht gleichbedeutend mit »aus dem Unternehmen raus«.
Perplexity und der Memory-Speicher
Bei Perplexity werden persönliche Daten aufbewahrt, solange dein Account aktiv ist. Bei Löschung des Accounts: 30 Tage, dann permanent weg.
Uploads hängen am Thread. Dateien werden standardmäßig 30 Tage gehalten. Will man sie vorher loswerden, muss man den gesamten Thread löschen. Einzelne Dateien entfernen geht nicht.
Perplexity hat inzwischen auch eine Memory-Funktion. Einzelne oder alle Memories lassen sich löschen. Aber ein Log gelöschter Memories kann bis zu 30 Tage für Debugging vorgehalten werden. Und Memory-Inhalte können zur Modellverbesserung genutzt werden, sofern man das nicht über »AI Data Retention« abschaltet.
Warum Uploads am häufigsten schiefgehen
Hochgeladene Dateien sind heikler als reine Texteingaben. Der Grund: Eine Datei erzeugt oft mehrere Kopien im System. Die Originaldatei, extrahierter Text, indexierte Ausschnitte, Vorschaudaten. Was du in deiner Oberfläche siehst, ist nur der Einstiegspunkt.
Bei ChatGPT hängen Dateien am Chat oder am GPT-Projekt. Chat löschen bedeutet: Datei wird mitgelöscht (30 Tage). Bei GPTs und Projekten muss man das GPT oder Projekt selbst löschen.
Bei Perplexity bedeutet »Datei löschen« immer »Thread löschen«. Einzeln geht nicht.
Bei Copilot in Office sitzt das Problem nicht im Copilot-Verlauf, sondern im Dokument. Die Version History in Word, die SharePoint-Kopie, der OneDrive-Sync, das alles muss separat bereinigt werden.
Bei Gemini ist der Sonderfall der geteilte Link. Datei hochgeladen, Chat geteilt, Link im Umlauf, und das Löschen des Chats entfernt den Link nicht automatisch.
Wenn sensible Daten in der KI gelandet sind
Es ist passiert. Ein Passwort, ein API-Key, ein Kundenname, ein vertrauliches Dokument. Was jetzt?
Erst einordnen, was es war. Ein Passwort oder API-Key ist ein anderes Problem als ein Name oder eine interne Notiz. Credentials müssen als kompromittiert behandelt werden. Sofort widerrufen, neues Secret erzeugen, Logs prüfen. Das Löschen des Chats ist hier zweitrangig. Die eigentliche Gefahr ist, dass jemand den Schlüssel nutzt, nicht dass er irgendwo gespeichert ist.
Chat oder Thread löschen. Je schneller, desto besser. Aber wie wir gesehen haben: Das entfernt die Daten nicht sofort aus den Backend-Systemen.
Formal eine Löschung beantragen. Die meisten Anbieter haben Privacy-Portale, über die man eine gezielte Datenlöschung anstoßen kann. Bei OpenAI geht das über das Privacy Portal, allerdings mit Identitätsnachweis und Einzelfallprüfung. In der EU hast du grundsätzlich ein Recht auf Löschung, mit den üblichen Ausnahmen für rechtliche Aufbewahrungspflichten.
Dokumentieren, was passiert ist. Uhrzeit, welche Daten, welcher Anbieter, welche Schritte. Klingt bürokratisch, ist aber wichtig, besonders wenn es sich um personenbezogene Daten Dritter handelt oder wenn du in einem Unternehmenskontext arbeitest.
Wie man gar nicht erst in die Situation kommt
Löschen ist die letzte Verteidigungslinie. Besser ist es, gar nicht erst sensible Daten einzugeben.
Kurzlebige Modi nutzen. Temporary Chat bei ChatGPT, Incognito bei Claude, »Keep Activity off« bei Gemini. Alle haben ihre Einschränkungen (weniger Personalisierung, manchmal weniger Funktionen), aber sie reduzieren den Speicher-Fußabdruck spürbar.
Datenminimalismus. Namen durch Platzhalter ersetzen, Dateien vor dem Upload redigieren, Credentials nie in Prompts eingeben. Google formuliert es sinngemäß so: Gib nichts ein, was du nicht von einem menschlichen Reviewer sehen lassen würdest. Die Drei-Jahres-Aufbewahrung für reviewte Chats macht das sehr konkret.
Training abschalten. Bei ChatGPT und Claude ist die Option standardmäßig aktiviert. Wer sie nicht aktiv ausschaltet, gibt seine Eingaben für die Modellverbesserung frei. Die Einstellung findet sich bei beiden unter Data Controls beziehungsweise Privacy Settings.
Lokale Modelle als Alternative. Wer ein Modell lokal betreibt, etwa mit LM Studio oder GPT4All, umgeht das gesamte Cloud-Problem. Deine Eingaben verlassen das Gerät nicht. Allerdings: Lokal heißt nicht automatisch sicher. Anfang 2026 waren über 175.000 Ollama-Instanzen öffentlich erreichbar, nicht wegen eines Bugs, sondern wegen Fehlkonfiguration. Wer lokal fährt, muss wissen, was er tut.
Wer seine KI-Chats regelmäßig sichert, hat im Zweifelsfall wenigstens noch eine Kopie, bevor alles verschwindet.
Im Kern ist die wichtigste Maßnahme nicht das Löschen, sondern das Nicht-Eingeben. Klingt banal. Ist aber der einzige Weg, der zuverlässig funktioniert.
