EU AI Act Annex-III-Deadline — 2. Dezember 2027 (Omnibus) Jetzt prüfen →
Alle Ratgeber
GPAI

ChatGPT, Copilot & Gemini im Unternehmen: Was der EU AI Act verlangt

Zuletzt aktualisiert: Juni 2026·9 Min. Lesezeit
TL;DR

Wer ChatGPT, Copilot oder Gemini im Unternehmen nutzt, ist meist Deployer eines GPAI-basierten Systems — nicht Modellanbieter. Die Pflichten sind dadurch überschaubar: KI-Kompetenz der Mitarbeitenden (Art. 4, seit Feb 2025), Transparenz bei kundenseitigem Einsatz (Art. 50) und die Risikoklasse des konkreten Anwendungsfalls. Hochriskant wird es nur, wenn das Tool in einen Annex-III-Kontext integriert wird (z. B. Bewerber-Bewertung). Datenschutz (DSGVO) und Geschäftsgeheimnisse sind parallel zu beachten.

Die Ausgangslage: Millionen Nutzer, wenig Klarheit

Generative KI-Assistenten wie ChatGPT, Microsoft Copilot und Google Gemini sind in den Arbeitsalltag eingezogen — oft schneller, als die Compliance hinterherkam. Der EU AI Act schafft hier erstmals klare Regeln. Die gute Nachricht für die meisten Unternehmen: Die Pflichten beim Einsatz dieser Tools sind deutlich schlanker, als viele befürchten. Die wichtigere Nachricht: Es gibt sie, und einige sind bereits in Kraft.

Ihre Rolle: fast immer Deployer, nicht Modellanbieter

Der entscheidende erste Schritt ist die Rollenbestimmung. Wenn Sie ChatGPT über die Oberfläche oder die API nutzen, Copilot in Microsoft 365 einsetzen oder Gemini in Google Workspace verwenden, sind Sie Deployer — Sie nutzen ein fremdes GPAI-Modell. Die GPAI-Modellanbieter-Pflichten der Art. 53–55 treffen OpenAI, Microsoft/OpenAI, Google — nicht Sie.

Zum Modellanbieter würden Sie nur, wenn Sie ein Allzweck-Modell selbst trainieren, substanziell fine-tunen oder unter eigenem Namen anbieten. Reines Prompt-Engineering, das Einbinden einer API oder RAG über eigene Dokumente macht Sie nicht zum Anbieter.

Pflicht 1: KI-Kompetenz nach Art. 4 (gilt bereits)

Die am häufigsten übersehene Pflicht: Art. 4 verlangt, dass Anbieter und Betreiber für ein ausreichendes Maß an KI-Kompetenz ihres Personals sorgen. Das gilt seit dem 2. Februar 2025 — also jetzt. Mitarbeitende, die ChatGPT & Co. beruflich nutzen, müssen die Funktionsweise, Grenzen und Risiken verstehen: Halluzinationen, Bias, Datenschutz, Vertraulichkeit.

Konkret heißt das: Schulungen, Nutzungsrichtlinien und ein dokumentierter Kompetenznachweis. Ein auditfähiges KI-Literacy-Zertifikat ist hier der pragmatische Weg, die Pflicht belegbar zu erfüllen.

Pflicht 2: Transparenz nach Art. 50 (bei Außenwirkung)

Setzen Sie generative KI kundenseitig ein — etwa einen Chatbot auf der Website oder KI-generierte Texte und Bilder — greift Art. 50:

  • Nutzer müssen erfahren, dass sie mit einer KI interagieren (Art. 50(1)).
  • KI-generierte oder -manipulierte Inhalte (Bild, Audio, Video, Text) sind als künstlich erzeugt zu kennzeichnen (Art. 50(2)). Diese Watermarking-Pflicht hat nach dem Digital Omnibus ein eigenes Datum: 2. Dezember 2026.

Für rein internen Einsatz (z. B. ein Mitarbeiter lässt sich eine E-Mail entwerfen) greift Art. 50 in der Regel nicht.

Pflicht 3: die Risikoklasse des Anwendungsfalls

Hier liegt der eigentliche Hebel. Nicht das Tool, sondern der Anwendungsfall bestimmt die Risikoklasse. Drei Beispiele:

  • ChatGPT zum Brainstorming und Texten → minimales/begrenztes Risiko.
  • Copilot, das Code-Vorschläge macht → meist begrenztes Risiko.
  • Ein GPAI-Modell, das in ein Bewerber-Screening eingebaut wird → hochriskant (Annex III Nr. 4), mit dem vollen Pflichtenprogramm für die Gesamtanwendung.

Wenn Sie ein Allzweck-Modell in einen hochriskanten Kontext integrieren und die Zweckbestimmung prägen, können Sie nach Art. 25 sogar selbst zum Provider werden.

Pflicht 4: Datenschutz und Geschäftsgeheimnisse (parallel)

Der AI Act ersetzt nicht die DSGVO. Wer personenbezogene Daten in ein KI-Tool eingibt, braucht eine Rechtsgrundlage, muss Auftragsverarbeitung und Drittlandtransfer klären und betroffene Personen informieren. Ebenso kritisch: Geschäftsgeheimnisse und Mandantendaten gehören nicht ungeschützt in ein öffentliches Modell. Enterprise-Tarife mit vertraglich zugesicherter Nicht-Nutzung der Eingaben zum Training sind hier der Standard.

Das unterschätzte Risiko: Schatten-KI

Die größte praktische Gefahr ist nicht die Regulierung selbst, sondern Schatten-KI — Mitarbeitende, die ungenehmigt KI-Tools mit Unternehmens- oder Kundendaten füttern. Ohne Inventar und Richtlinie weiß die Compliance nicht, was im Einsatz ist. Der erste konkrete Schritt ist daher fast immer: eine KI-Nutzungsrichtlinie plus eine ehrliche Bestandsaufnahme.

Ihr 5-Punkte-Plan

1. Inventarisieren: Welche KI-Tools sind im Einsatz — offiziell und inoffiziell? 2. Rolle klären: Deployer (Regelfall) oder doch Provider durch Integration/Anpassung? 3. KI-Kompetenz nachweisen: Schulung + dokumentierter Nachweis (Art. 4, gilt jetzt). 4. Transparenz umsetzen: Kennzeichnung bei kundenseitigem Einsatz (Art. 50; Watermarking ab 2. Dez 2026). 5. Anwendungsfälle klassifizieren: Jeder Einsatz in einem Annex-III-Kontext braucht die Hochrisiko-Prüfung.

Fazit

Der betriebliche Einsatz von ChatGPT, Copilot und Gemini ist unter dem EU AI Act gut beherrschbar — wenn man die vier Pflichtlinien kennt und Schatten-KI in den Griff bekommt. Die nächste konkrete Live-Pflicht für viele ist die KI-Kompetenz nach Art. 4 (bereits in Kraft) und die Kennzeichnung synthetischer Inhalte zum 2. Dezember 2026.

Häufig gestellte Fragen

Habe ich GPAI-Pflichten, wenn ich ChatGPT im Büro nutze?+

Nein, nicht die Modellanbieter-Pflichten der Art. 53–55 — die treffen OpenAI. Als Nutzer sind Sie Deployer. Für Sie gelten KI-Kompetenz (Art. 4), Transparenz bei kundenseitigem Einsatz (Art. 50) und die Risikoklasse Ihres konkreten Anwendungsfalls.

Muss ich ChatGPT-generierte Texte kennzeichnen?+

Bei kundenseitig veröffentlichten, KI-generierten Inhalten ja — nach Art. 50(2), mit der Watermarking-Frist 2. Dezember 2026 (Digital Omnibus). Für rein interne Entwürfe greift die Kennzeichnungspflicht in der Regel nicht.

Wird der Einsatz von Copilot hochriskant?+

Nur durch den Anwendungsfall. Copilot für Code oder Texte ist meist begrenztes Risiko. Wird ein GPAI-Modell aber in einen Annex-III-Kontext eingebaut — etwa Bewerber-Bewertung oder Kreditscoring — wird die Gesamtanwendung hochriskant.

Was ist die wichtigste Sofortmaßnahme?+

Eine KI-Nutzungsrichtlinie plus Bestandsaufnahme gegen Schatten-KI, und der Nachweis der KI-Kompetenz nach Art. 4 — diese Pflicht gilt bereits seit Februar 2025. Parallel die Datenschutz- und Vertraulichkeitsfragen klären.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Leutrim Miftaraj

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Juni 2026

Alle RatgeberWissenshub
ChatGPT im Unternehmen: EU AI Act Pflichten | ai-risk-check.com