EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →

ChatGPT und EU AI Act: Was Unternehmen wissen müssen

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

ChatGPT ist eine Anwendung auf dem GPAI-Modell GPT-4. Im Unternehmen genutzt, sind Sie Deployer mit Art. 50-Transparenz- und Art. 4-KI-Literacy-Pflichten. Bei Hochrisiko-Use-Cases (CV-Screening, Kreditscoring) gelten zusätzlich Art. 26-Pflichten und ggf. eine FRIA.

ChatGPT ist 2026 das meistgenutzte KI-Tool in DACH-Unternehmen. Das schafft Compliance-Druck: OpenAI ist GPAI-Provider und unterliegt Art. 51-55. Wer ChatGPT in eigene Prozesse einbettet, ist Deployer und potentiell selbst Provider, wenn der Use-Case in Annex III fällt. Dieser Leitfaden trennt klar nach Use-Case und Risikoklasse.

Wer ist Provider, wer Deployer?

OpenAI ist Provider für das GPAI-Modell GPT-4. Pflichten nach Art. 53: - Tech-Doku des Modells - Trainingsdaten-Zusammenfassung - Urheberrechts-Konzept - Code-of-Practice-Compliance

Ihr Unternehmen ist Deployer, wenn Sie ChatGPT einsetzen. Pflichten richten sich nach Use-Case: - General Q&A für Mitarbeiter: Art. 4 (KI-Literacy), Art. 50 falls Kunden interagieren - Customer-Service-Bot: Art. 50 zwingend - HR-CV-Screening: Annex III Nr. 4 Hochrisiko, Sie werden zum Provider durch Modifikation (Art. 25) - Marketing-Texte: minimal, nur Art. 4

Use-Cases nach Risikoklasse

Minimal-Risk: - Recherche-Assistant für Mitarbeiter - Code-Generierung für Software-Teams - Übersetzung interner Dokumente - Brainstorming/Konzeption

Limited-Risk (Art. 50): - Customer-Service-Chatbot auf der Website - E-Mail-Auto-Reply - Voice-Assistant in App

Hochrisiko (Annex III + Art. 26): - Recruiting-Tool mit CV-Bewertung - Bildungs-Bewertung Tool - Kredit-Scoring auf Kunden-Anfragen - Patient-Triage-Empfehlung

Verbot (Art. 5): - Subliminal manipulierende Werbung - Emotion-Erkennung am Arbeitsplatz - Social-Scoring von Bürgern

ChatGPT Enterprise vs. Free vs. API

ChatGPT Free / Plus: OpenAI verwendet Inputs grundsätzlich für Training. Nicht für Unternehmens-Daten geeignet.

ChatGPT Team / Enterprise: Daten werden NICHT zum Training verwendet. SOC-2-Zertifizierung. Geeignet für DSGVO-konformen Einsatz mit Datenverarbeitungsvertrag.

OpenAI API: Daten werden 30 Tage gespeichert für Abuse-Monitoring, dann gelöscht. Trainings-Opt-out standardmässig aktiv. Beste Wahl für eigene Anwendungen mit hohen Sicherheits-Anforderungen.

Konkrete Compliance-Schritte für ChatGPT-Nutzer

  1. **Use-Case-Inventar:** Wo wird ChatGPT eingesetzt, von wem, wofür?
  2. **Risiko-Klassifizierung:** Pro Use-Case Annex-III-Check
  3. **Datenverarbeitungsvertrag** mit OpenAI bei Enterprise/API
  4. **Transparenz-Hinweise** auf Customer-facing-Anwendungen
  5. **KI-Literacy-Schulung** für alle Mitarbeiter (Art. 4)
  6. **Bei Hochrisiko:** FRIA, Provider-Pflichten, CE-Bewertung
  7. **Logging** der KI-Nutzung gemäss Art. 26 Abs. 6
  8. **Beschwerde-Prozess** für Betroffene (Art. 26 Abs. 11)

Häufige Fragen

Darf ich ChatGPT für CV-Screening nutzen?
Technisch ja — aber dann sind Sie Hochrisiko-Provider durch Zweck-Anpassung (Art. 25). Sie müssen volle Art. 16-Pflichten erfüllen: Tech-Doku, FRIA, CE-Bewertung. Praktischer: Spezialisierte Recruiting-Tools mit AI-Act-Compliance kaufen.
Brauche ich für ChatGPT-Nutzung eine FRIA?
Nur bei Hochrisiko-Use-Cases UND wenn Sie öffentliche Stelle, Bank, Versicherer oder Sozialleistungsanbieter sind (Art. 27). Für privates Recruiting-Use-Case keine FRIA-Pflicht — aber Best-Practice-Empfehlung.
Was kostet ChatGPT-Compliance?
Minimal-Use: 0-2k EUR (Schulung, AGB-Update). Limited-Risk: 5-20k EUR (Transparenz-Implementierung, Logs). Hochrisiko: 50-300k EUR pro Use-Case (FRIA, Konformitätsbewertung, Tech-Doku).
Was wenn OpenAI seine Modelle ändert?
Bei wesentlichen Modell-Änderungen muss OpenAI Sie als Deployer informieren (Art. 53). Sie müssen dann Ihre Konformität neu bewerten — bei Hochrisiko-Use-Cases inkl. Re-Konformitätsbewertung.
Gilt der EU AI Act für meinen ChatGPT-Einsatz in der Schweiz?
Wenn Ihre KI-Outputs EU-Personen erreichen (Kunden, Bewerber, Newsletter-Abonnenten in der EU), gilt Art. 2(1)(c) extraterritorial. Für rein schweizerische Use-Cases mit ausschliesslich CH-Bezug nicht direkt — aber FINMA und EDÖB haben eigene KI-Erwartungen.

Relevante Rechtsgrundlagen

Art. 50 EU AI ActArt. 53 EU AI ActArt. 4 EU AI ActArt. 25 EU AI ActArt. 26 EU AI Act

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle AnbieterQuick-Check