ChatGPT & Co. im Unternehmen: Der vollständige Compliance-Leitfaden

Millionen von Unternehmen nutzen täglich ChatGPT, Microsoft Copilot, Google Gemini oder ähnliche KI-Tools. Der EU AI Act schafft erstmals klare Regeln — nicht nur für Anbieter wie OpenAI, sondern auch für Unternehmen die diese Tools einsetzen.

Was sind GPAI-Modelle?

General Purpose AI (GPAI) Modelle sind KI-Systeme, die für eine breite Palette von Aufgaben trainiert wurden. Der EU AI Act regelt sie in Art. 51-55. Die Primärpflichten (Transparenz, technische Dokumentation, Copyright-Policy, Energieverbrauch) treffen die Anbieter. Als Deployer hast du weniger direkte Pflichten — aber keine null.

Deine Pflichten als Deployer

Transparenzpflicht (Art. 50): Wenn du einen Chatbot oder einen KI-gestützten Kundendienst betreibst, müssen Nutzer wissen, dass sie mit KI interagieren. Das gilt auch für interne Systeme.

Nutzungsrichtlinien: Erstelle verbindliche interne Richtlinien die regeln, für welche Zwecke GPAI-Tools eingesetzt werden dürfen und was verboten ist.

Datenschutz prüfen: Welche Daten gibst du an OpenAI/Microsoft weiter? Überprüfe die Datenschutzeinstellungen (Enterprise-Versionen bieten meist besseren Schutz) und die Datenverarbeitungsverträge.

AI Literacy sicherstellen: Mitarbeitende, die GPAI-Tools verwenden, müssen die Grenzen und Risiken kennen: Halluzinationen, Bias, fehlende Aktualität, Datenschutzrisiken.

Besondere Vorsicht bei diesen Anwendungsfällen

Wenn du GPAI-Tools für Hochrisiko-Bereiche einsetzt — HR-Entscheidungen, Kreditvergabe, medizinische Ratschläge — greift der Hochrisiko-Rahmen des EU AI Acts. Dann gelten deutlich strengere Anforderungen.

Enterprise vs. Consumer-Versionen

Für den Unternehmenseinsatz solltest du immer Enterprise-Versionen verwenden: Diese bieten in der Regel besseren Datenschutz (keine Nutzung für Training, EU-Datenresidenz, DPA-Verträge) und sind EU AI Act-bewusster gestaltet.