Zum Hauptinhalt springen
Kostenlose Diagnose

Glossar

25 Schlüsseldefinitionen der Verordnung

Pflichten

24 detaillierte Artikel mit Fristen

Zeitplan

Wichtige Termine von 2025 bis 2027

Diagnose

Identifizieren Sie Ihre Pflichten in 3 Minuten

KMU-Konformität

Prüfen Sie Ihre AI-Act-Pflichten in 30 Sekunden

Europäische Souveränität

100% in Frankreich gehostet

KI-Assistent

Kontextuelle KI mit abschnittsübergreifendem Gedächtnis

Dokumentenerstellung

Anhang-IV-konformer Text per KI generiert

Diagnose

Automatische Klassifizierung Ihres Systems

Versionierung

Vollständige Rückverfolgbarkeit Ihrer Projekte

Multi-Client

Multi-Client-Verwaltung für Agenturen

PDF-Export

Professionelle PDFs für das Audit

PreiseBlogAnmelden
chatgpt ki-gesetzgenerative ki pflichtencopilot ki-gesetz

ChatGPT im Unternehmen: Gilt das KI-Gesetz für Sie?

26. März 20268 min3
ChatGPT im Unternehmen: Gilt das KI-Gesetz für Sie?

Auf einen Blick

  • Sie sind Betreiber: jedes Unternehmen, das ein generatives KI-Tool im beruflichen Kontext nutzt, ist "Betreiber" im Sinne des KI-Gesetzes, mit spezifischen Pflichten ab August 2026
  • Artikel 50 - die universelle Regel: wenn Sie einen KI-Chatbot gegenüber Kunden oder Mitarbeitenden einsetzen, müssen Sie diese informieren, dass sie mit einer KI interagieren. Keine Ausnahme für Unternehmensgröße.
  • Deepfakes betreffen Sie: jedes von KI generierte oder manipulierte Video, Bild oder Audio, das eine reale Person zeigt, muss klar als synthetischer Inhalt gekennzeichnet werden
  • ChatGPT selbst ist ein GPAI-Modell: OpenAI unterliegt seit August 2025 den Pflichten der Artikel 51-56. Ihre Verantwortung als professioneller Nutzer besteht unabhängig davon
  • Hochrisiko möglich: nutzen Sie ein generatives KI-Tool für HR-Entscheidungen, Scoring oder Zugang zu wesentlichen Diensten, können Sie in den Hochrisikobereich (Anhang III) fallen
  • Keine KMU-Ausnahme für Artikel 50: Transparenzpflichten gelten für Unternehmen jeder Größe, ab dem ersten eingesetzten Chatbot

ChatGPT, Copilot, Gemini, Claude, Mistral - diese Tools sind für Millionen europäischer Mitarbeitende zu beruflichen Reflexen geworden. E-Mails verfassen, Dokumente zusammenfassen, Marketinginhalte generieren, automatisierter Kundensupport... Generative KI hat sich schneller in Unternehmensabläufe eingeschlichen als die Regulierung folgen kann. Aber das KI-Gesetz (Verordnung EU 2024/1689) ist da - und es betrifft Sie wahrscheinlich direkter, als Sie denken.

Das häufigste Missverständnis: "Ich habe ChatGPT nicht entwickelt, bin also kein Anbieter, also betrifft mich das KI-Gesetz nicht wirklich." Das ist falsch. Das Regelwerk unterscheidet zwei Hauptrollen, und eine davon - der Betreiber - betrifft genau die Unternehmen, die diese Tools nutzen.

Anbieter vs. Betreiber: Wo stehen Sie?

Artikel 3 des KI-Gesetzes definiert zwei unterschiedliche Kategorien:

  • Der Anbieter: die Stelle, die das KI-System entwickelt und vermarktet. OpenAI für ChatGPT, Microsoft für Copilot, Google für Gemini. Sie tragen die schwersten Pflichten - technische Dokumentation, CE-Kennzeichnung, Registrierung in der EU-Datenbank.
  • Der Betreiber: die Stelle, die ein KI-System im Rahmen einer beruflichen Tätigkeit nutzt. Das sind Sie, sobald Sie ChatGPT in Ihre Prozesse integrieren, einen Copilot-Chatbot auf Ihrer Website einsetzen oder Aufgaben mit einem LLM automatisieren.

Als Betreiber müssen Sie keine 80-seitige technische Dokumentation erstellen. Aber Sie haben reale, konkrete und ab August 2026 durchsetzbare Pflichten.

Artikel 50: Die Regel, die für alle gilt

Das ist die am wenigsten bekannte und dennoch universellste Bestimmung des KI-Gesetzes. Artikel 50 schreibt Transparenzpflichten für alle KI-Systeme vor, die mit Menschen interagieren oder Inhalte generieren - unabhängig vom Risikoniveau, unabhängig von der Unternehmensgröße.

Pflicht 1 - Nutzer informieren, dass sie mit einer KI sprechen

Wenn Sie einen von ChatGPT, Copilot oder einem anderen LLM betriebenen Chatbot auf Ihrer Website, Ihrer Anwendung oder intern für Ihre Mitarbeitenden einsetzen, müssen Sie Personen klar darüber informieren, dass sie mit einem KI-System interagieren (Artikel 50§1).

Diese Pflicht gilt immer dann, wenn die Interaktion nicht von Natur aus offensichtlich ist. Ein Kundenservice-Chatbot muss sich als KI vorstellen. Ein automatisierter HR-Assistent muss als solcher gekennzeichnet sein. "Von unserem Team beantwortet" zu sagen, wenn es sich tatsächlich um GPT-4 handelt, ist ein direkter Verstoß.

Pflicht 2 - Deepfakes und manipulierte Inhalte kennzeichnen

Jedes von KI generierte oder manipulierte Video, Bild oder Audiomaterial, das einer existierenden realen Person ähneln soll, muss klar als synthetischer Inhalt gekennzeichnet werden (Artikel 50§4). Dies gilt für:

  • Marketingvideos mit KI-Avataren, die echten Personen ähneln
  • Synthetische Stimmen, die vorhandene Stimmen imitieren
  • KI-generierte Fotos, die identifizierbare Personen zeigen
  • Deepfake-Videos für Unternehmenskommunikation

Pflicht 3 - Maschinenlesbare Wasserzeichen (ab November 2026)

Artikel 50§2 schreibt vor, dass KI-generierte Inhalte in einem maschinenlesbaren Format gekennzeichnet werden. Diese Pflicht obliegt primär den Anbietern generativer Modelle - OpenAI, Mistral, Google. Als Betreiber müssen Sie jedoch sicherstellen, dass die von Ihnen verwendeten Tools diese Mechanismen tatsächlich implementieren. Das Datum, das das Europäische Parlament im Rahmen des Digital Omnibus festgelegt hat, ist der 2. November 2026 für bereits auf dem Markt befindliche Systeme.

Wann ChatGPT in Ihrer Organisation zum Hochrisiko wird

Die Nutzung von ChatGPT oder einem LLM kann in den Hochrisikobereich (Anhang III) wechseln, wenn Sie es nutzen für:

  • Bewerbungen sichten oder Mitarbeitende bewerten: jedes System, das Einstellungs-, Beförderungs- oder Entlassungsentscheidungen beeinflusst (Anhang III, Abschnitt 4)
  • Kreditwürdigkeit oder Kreditrisiko einschätzen: jedes automatische Finanz-Scoring (Anhang III, Abschnitt 5)
  • Entscheidungen über den Zugang zu öffentlichen Diensten steuern: wenn Ihre KI Entscheidungen über Sozialleistungen oder wesentliche Dienste beeinflusst
  • Risikoprofile zu Personen erstellen: in einem Versicherungs-, Sicherheits- oder Risikomanagementkontext, der natürliche Personen betrifft
Die praktische Regel: Nicht das Tool bestimmt das Risikoniveau - sondern was Sie damit machen. ChatGPT zum Schreiben eines Newsletters ist begrenztes Risiko. ChatGPT eingebettet in ein Tool zur Bewertung der Mitarbeiterleistung ist Hochrisiko.

ChatGPT und GPAI-Pflichten - Was Sie wissen müssen

  • Diese Anbieter müssen eine Zusammenfassung der Trainingsdaten veröffentlichen (Artikel 53) - Sie können verlangen, diese einzusehen
  • Sie müssen technische Dokumentation für Aufsichtsbehörden bereithalten
  • Sie müssen Richtlinien zur Einhaltung des Urheberrechts für Trainingsdaten implementieren
  • Bei systemischem Risiko (mehr als 10^25 Trainings-FLOPs) gelten verstärkte Pflichten - GPT-4 und Gemini Ultra fallen wahrscheinlich in diese Kategorie

Was Sie konkret vor August 2026 tun müssen

  1. Alle generativen KI-Nutzungen inventarisieren: ChatGPT, Copilot, Gemini, Claude, in CRM oder HR integrierte Tools... Alles auflisten, mit dem genauen Anwendungsfall für jedes Tool.
  2. Jeden Anwendungsfall nach Risikoniveau klassifizieren: Standard-Redaktionsnutzung = begrenztes Risiko (nur Artikel 50). Nutzung mit Einfluss auf Entscheidungen über Personen = Anhang III prüfen.
  3. Ihre kundenseitigen Schnittstellen prüfen: Haben Sie einen KI-Chatbot im Einsatz? Informiert er Nutzer klar darüber, dass sie mit einer KI sprechen? Falls nicht, ist das ein jetzt zu behebender Verstoß.
  4. Rechtliche Hinweise und AGB aktualisieren: Wenn Sie KI zur Verarbeitung von Kundendaten oder zur Erstellung von an sie gerichteten Inhalten nutzen, muss dies erwähnt werden.
  5. Ihre SaaS-Verträge prüfen: Ist das von Ihnen genutzte Tool selbst KI-Gesetz-konform? Fragen Sie Ihren Anbieter. Seine Antwort bedingt Ihre eigene Risikoexposition.

Die kostenlose AiActo-Diagnose führt Sie in weniger als 3 Minuten durch diese Klassifizierung - und zeigt Ihnen genau, ob Ihre generativen KI-Nutzungen Sie nur Artikel 50 oder zusätzlichen Hochrisikopflichten aussetzen.

Häufig gestellte Fragen

Mein Unternehmen nutzt ChatGPT nur intern - bin ich trotzdem betroffen?

Ja, wenn diese interne Nutzung Mitarbeitende betrifft. Artikel 50 verlangt, Personen zu informieren, die mit einer KI interagieren, einschließlich Ihrer eigenen Belegschaft. Und wenn ChatGPT zur Leistungsbewertung oder für HR-Entscheidungen genutzt wird, wechseln Sie zum Hochrisikobereich mit Artikel-26-Pflichten.

OpenAI ist amerikanisch - gilt das KI-Gesetz für sie?

Ja. Das KI-Gesetz gilt für jedes KI-System, dessen Outputs in der Europäischen Union genutzt werden, unabhängig vom Niederlassungsland des Anbieters. OpenAI muss die GPAI-Pflichten für die europäische Nutzung von ChatGPT einhalten. Deshalb gelten Dokumentations- und Transparenzpflichten für sie seit August 2025.

Was ist der Unterschied zwischen kostenlosem ChatGPT und ChatGPT Enterprise?

Aus KI-Gesetz-Sicht zählt Ihre Nutzung, nicht die Version. ChatGPT Enterprise bietet zusätzliche vertragliche Garantien zur Datenverschlüsselung - relevant für die DSGVO - aber Ihre KI-Gesetz-Pflichten als Betreiber sind unabhängig von der genutzten Version identisch.

Müssen KI-generierte Inhalte immer gekennzeichnet werden?

Nicht systematisch. Die Offenlegungspflicht betrifft vor allem Deepfakes und manipulierte Inhalte (Artikel 50§4) sowie direkte Interaktionen mit KI-Chatbots (Artikel 50§1). Marketingtext, der mit ChatGPT-Unterstützung verfasst und von einem Menschen überarbeitet wurde, unterliegt nicht automatisch einer Kennzeichnungspflicht.

Was riskiere ich, wenn ich meinen Chatbot vor August 2026 nicht regelkonform mache?

Verstöße gegen Artikel 50 können mit Bußgeldern von bis zu 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes geahndet werden. Diese Sanktionen gelten für Anbieter wie Betreiber. Nationale Behörden - in Deutschland die Bundesnetzagentur - werden ab August 2026 über Kontroll- und Sanktionsbefugnisse verfügen.

Generative KI ist durch die Hintertür in Unternehmen gelangt - ein ChatGPT-Abonnement hier, eine Copilot-Erweiterung dort. Das KI-Gesetz zwingt nun dazu, direkt zu betrachten, was diese Nutzungen regulatorisch bedeuten. Die gute Nachricht: Die Pflichten für Standardnutzung sind handhabbar. Ein klarer Hinweis auf Ihrem Chatbot, eine Aktualisierung Ihrer AGB, eine Inventarisierung Ihrer Tools. Das ist zu bewältigen - solange Sie vor der Frist handeln. Verfolgen Sie den KI-Gesetz-Zeitplan auf AiActo, um Ihre nächsten Schritte zu planen.

Diesen Artikel teilen