AI Act und ChatGPT – Was Unternehmen bei GPAI beachten müssen
Sie nutzen ChatGPT, Gemini oder Claude? General Purpose AI hat eigene Regeln im AI Act. Was für GPAI-Nutzer gilt – Klartext ohne Juristendeutsch.
ChatGPT, Gemini, Claude, Llama, Mistral – die großen Sprachmodelle sind in Millionen Unternehmen im Einsatz. Der AI Act hat dafür eine eigene Kategorie geschaffen: General Purpose AI (GPAI) – und eigene Regeln.
Aber hier kommt die gute Nachricht vorweg: Die meisten GPAI-Pflichten treffen den Anbieter (OpenAI, Google, etc.), nicht Sie als Unternehmen.
Was ist GPAI?
General Purpose AI-Modelle sind KI-Modelle, die:
- Für eine breite Palette von Aufgaben geeignet sind (nicht nur einen Zweck)
- Auf großen Datenmengen trainiert wurden
- In verschiedene Produkte und Dienste integriert werden können
Die bekanntesten Beispiele:
| Modell | Anbieter | Typ |
|---|---|---|
| GPT-4 / ChatGPT | OpenAI | Text, Bild, Code |
| Gemini | Multimodal | |
| Claude | Anthropic | Text, Code |
| Llama | Meta | Text (Open Weight) |
| Mistral | Mistral AI | Text |
| Copilot | Microsoft/OpenAI | Code, Office-Integration |
Zwei Stufen: GPAI und GPAI mit systemischem Risiko
Der AI Act unterscheidet bei GPAI zwei Stufen:
Stufe 1: Alle GPAI-Modelle (Art. 53)
Pflichten für Anbieter (nicht Betreiber):
- Technische Dokumentation erstellen und aktuell halten
- Informationen für nachgelagerte Anbieter bereitstellen (damit die ihre Pflichten erfüllen können)
- Urheberrechtspolitik veröffentlichen (Copyright-Compliance)
- EU-Urheberrecht einhalten (Opt-out-Mechanismus für Rechteinhaber)
- Zusammenfassung der Trainingsdaten veröffentlichen (Template der EU-Kommission)
Stufe 2: GPAI mit systemischem Risiko (Art. 55)
Zusätzliche Pflichten bei besonders mächtigen Modellen (Schwelle: 10^25 FLOPs Trainingsrechenleistung oder Einzelfallbewertung):
- Modellbewertung durchführen (Red Teaming, Adversarial Testing)
- Systemische Risiken identifizieren und mindern
- Schwerwiegende Vorfälle melden (an EU AI Office)
- Cybersicherheitsschutz sicherstellen
Aktuell betrifft Stufe 2 eine Handvoll Modelle: GPT-4, Gemini Ultra und vergleichbare. Das AI Office führt eine öffentliche Liste.
Was bedeutet das für Ihr Unternehmen?
Wenn Sie ChatGPT, Copilot, Claude oder ähnliche GPAI-Dienste nutzen (nicht entwickeln), sind Sie Betreiber – nicht Anbieter. Die GPAI-spezifischen Pflichten (Art. 51-55) treffen Sie nicht direkt.
Aber: Als Betreiber haben Sie trotzdem Pflichten, die sich aus dem Einsatzzweck ergeben:
Transparenzpflichten (Art. 50)
- KI-generierte Inhalte kennzeichnen
- Chatbots als KI erkennbar machen
- Deepfakes markieren
KI-Kompetenz (Art. 4) – Empfehlung
- Team sollte verstehen, was GPAI kann und was nicht
- Grenzen der Technologie kennen (Halluzinationen, Bias)
Hochrisiko durch Einsatzzweck
Wenn Sie GPAI in einem Hochrisiko-Bereich einsetzen (z.B. ChatGPT für Bewerber-Screening), werden Sie zum Betreiber eines Hochrisiko-Systems – mit allen Pflichten.
5 Praxis-Szenarien
Szenario 1: ChatGPT für Marketing-Texte
- Ihre Rolle: Betreiber (Minimal Risk / Limited Risk)
- Pflicht: KI-generierte Texte bei Veröffentlichung kennzeichnen
- GPAI-Pflichten: Treffen OpenAI, nicht Sie
- Aufwand: Gering – Transparenzhinweis ergänzen
Szenario 2: Copilot in Microsoft 365
- Ihre Rolle: Betreiber (Minimal Risk)
- Empfohlen: Team schulen (Art. 4 – Best Practice), intern dokumentieren
- Besonderheit: Microsoft ist Anbieter, GPAI-Pflichten liegen bei Microsoft/OpenAI
- Aufwand: Minimal – KI-Richtlinie erstellen
Szenario 3: Claude API für eigenes Produkt
- Ihre Rolle: Anbieter eines nachgelagerten Systems
- Pflicht: Hängt von Ihrem Einsatzzweck ab. Wenn Ihr Produkt Hochrisiko ist → volle Hochrisiko-Pflichten für Sie als Anbieter
- GPAI-Info: Anthropic muss Ihnen technische Dokumentation bereitstellen (Art. 53), damit Sie Ihre Pflichten erfüllen können
- Aufwand: Hoch – Sie werden zum regulierten Anbieter
Szenario 4: Open-Source-Modell (Llama) self-hosted
- Ihre Rolle: Kann zum Anbieter werden, wenn Sie das Modell wesentlich verändern oder unter eigener Marke anbieten
- GPAI-Pflichten: Open-Source-Modelle haben erleichterte Dokumentationspflichten (Art. 53 Abs. 2) – aber Hochrisiko/Verbote/Transparenz gelten voll
- Aufwand: Mittel bis hoch – abhängig von Einsatz und Änderungen
Szenario 5: ChatGPT für Bewerber-Vorauswahl
- Ihre Rolle: Betreiber eines Hochrisiko-Systems (Annex III: Beschäftigung)
- Pflicht: Menschliche Aufsicht, Dokumentation, Eingabedaten prüfen, Bias-Monitoring
- Achtung: Dass OpenAI GPAI-Pflichten erfüllt, entbindet Sie nicht von Ihren Betreiber-Pflichten
- Aufwand: Hoch – vollständiges Compliance-Programm nötig
Häufige Missverständnisse
”OpenAI kümmert sich um Compliance, ich muss nichts tun”
Falsch. OpenAI erfüllt die Anbieter-Pflichten. Ihre Betreiber-Pflichten (Transparenz, Hochrisiko, Schulung) bleiben bei Ihnen.
”ChatGPT ist doch kein Hochrisiko-System”
ChatGPT als Produkt hat keine feste Risikoklasse. Die Klasse ergibt sich aus Ihrem Einsatzzweck. Internes Brainstorming → Minimal Risk. Bewerberauswahl → Hochrisiko.
”Ich nutze die API, also bin ich kein Betreiber”
API-Nutzung ändert nichts an Ihrer Rolle. Wer ein KI-System unter eigener Verantwortung einsetzt, ist Betreiber – egal ob über Web-Interface, API oder SDK.
”GPAI-Regeln gelten erst ab August 2027”
Teilweise richtig: Für GPAI-Modelle, die vor August 2025 auf dem Markt waren, gibt es eine Übergangsfrist bis August 2027. Aber Art. 5 (Verbote) gelten jetzt schon, Art. 4 (KI-Kompetenz) ist eine Empfehlung (Digital Omnibus), und Art. 50 (Transparenz) ab August 2026.
Was Sie jetzt tun sollten
- KI-Inventar: Welche GPAI-Dienste nutzen Sie? (ChatGPT, Copilot, Claude, etc.)
- Einsatzzweck prüfen: Fallen Einsätze in Hochrisiko-Bereiche?
- Transparenz vorbereiten: Wo müssen KI-Inhalte gekennzeichnet werden?
- Team schulen: Art. 4 empfiehlt KI-Kompetenz (Best Practice, nicht bußgeldbewehrt)
- Verträge prüfen: Stellen Ihre GPAI-Anbieter die nötigen Informationen bereit?
Fazit
GPAI ist die dominante KI-Technologie in Unternehmen – und der AI Act hat das berücksichtigt. Die schwersten Pflichten treffen die Anbieter (OpenAI, Google & Co.), nicht die Nutzer. Aber als Betreiber müssen Sie Transparenz sicherstellen, Ihr Team schulen und bei Hochrisiko-Einsatz die vollen Betreiber-Pflichten erfüllen.
Die gute Nachricht: Für die meisten KMUs, die GPAI als Werkzeug nutzen (nicht als Produkt einbauen), bleibt der Aufwand überschaubar.
Zum kostenlosen Risiko-Check – in 5 Minuten wissen Sie, welche Pflichten für Ihre GPAI-Nutzung gelten.
Ist Ihr KI-Einsatz konform?
Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.
Jetzt prüfen