ChatGPT und EU AI Act: Was Unternehmen jetzt wissen müssen

ChatGPT (basierend auf GPT-4 und Folgeversionen) gilt als General Purpose AI (GPAI) Modell gemäß Art. 3 Nr. 63 EU AI Act. Als Anbieter eines GPAI-Modells mit systemischem Risiko – OpenAI überschreitet die Schwelle von 10^25 FLOPs beim Training – unterliegt OpenAI den verschärften Anforderungen der Art. 51–55 EU AI Act. Dazu gehören Adversarial-Testing (Red Teaming), Incident-Reporting an das AI Office und Maßnahmen zur Cybersicherheit. Für Unternehmen in der DACH-Region bedeutet dies: OpenAI muss diese Pflichten erfüllen, aber als Betreiber bleiben Sie für den konkreten Einsatz verantwortlich.

Wenn Ihr Unternehmen ChatGPT über die API oder ChatGPT Enterprise einsetzt, sind Sie Betreiber (Deployer) im Sinne des EU AI Act. Ihre Pflichten hängen davon ab, wie Sie ChatGPT einsetzen. Bei Standard-Nutzung (minimales Risiko) genügen interne Nutzungsrichtlinien und Mitarbeiterschulung. Bei Einsatz in sensiblen Bereichen – etwa HR-Screening, Kundenkommunikation, medizinische Beratung – müssen Sie prüfen, ob Hochrisiko-Anforderungen greifen. Wichtig: ChatGPT darf nicht für verbotene Zwecke (Art. 5 EU AI Act) genutzt werden, etwa zur manipulativen Beeinflussung von Personen oder zum Social Scoring.

Art. 50 EU AI Act schreibt vor, dass Nutzer informiert werden müssen, wenn sie mit einem KI-System interagieren – sofern dies nicht offensichtlich ist. Wenn Ihr Unternehmen ChatGPT-basierten Kundenservice, Chatbots oder automatisierte E-Mail-Beantwortung einsetzt, müssen Kunden darüber informiert werden. Diese Pflicht gilt ab Februar 2025. Formulierungen wie "Dieser Chat wird von KI unterstützt" oder "Diese Antwort wurde KI-gestützt erstellt" sind typische Disclosure-Formulierungen. Dokumentieren Sie Ihre Disclosure-Praxis.

Neben dem EU AI Act bleibt die DSGVO vollständig anwendbar. Kritische Punkte beim ChatGPT-Einsatz: Eingabe von personenbezogenen Daten in ChatGPT kann eine Datenübermittlung in Drittländer darstellen (OpenAI ist US-Unternehmen). ChatGPT Enterprise und API bieten Datenschutz-Zusatzvereinbarungen (DPA), die für DSGVO-Konformität erforderlich sind. Schulen Sie Mitarbeitende, keine Kundendaten, Mitarbeiterdaten oder Geschäftsgeheimnisse unverschlüsselt in ChatGPT einzugeben. Erstellen Sie eine interne ChatGPT-Nutzungsrichtlinie mit konkreten Verboten und Erlaubnissen.

ChatGPT Enterprise bietet gegenüber der Consumer-Version deutlich bessere Compliance-Voraussetzungen: keine Nutzung von Unternehmens-Inputs für das Modell-Training, SOC 2 Zertifizierung, Datenschutz-Verarbeitungsvertrag (DPA), Single Sign-On und Nutzerverwaltung, Admin-Konsole für Nutzungsrichtlinien. Für die API-Nutzung gelten ähnliche Schutzmaßnahmen. Die Consumer-Version (ChatGPT.com) ist für unternehmenskritische oder personenbezogene Daten nicht geeignet. Dokumentieren Sie, welche ChatGPT-Version in welchem Kontext eingesetzt wird.

Konkrete Schritte für einen rechtskonformen ChatGPT-Einsatz: (1) KI-Nutzungsrichtlinie erstellen und kommunizieren, (2) ChatGPT Enterprise oder API mit DPA einsetzen, (3) Mitarbeiterschulung zu erlaubten und verbotenen Nutzungen, (4) Disclosure-Texte für Kundenkommunikation einrichten, (5) Risikoklassifikation des konkreten Einsatzfalls dokumentieren, (6) Regelmäßige Überprüfung bei neuen ChatGPT-Versionen und gesetzlichen Änderungen. Nutzen Sie den EU AI Act Compliance-Check auf ai-risk-check.com zur systematischen Bewertung Ihres ChatGPT-Einsatzes.