Die Geschäftsführung erlaubt ChatGPT – fallen wir jetzt unter den AI Act?

VonJulian Bednara

ChatGPT im Unternehmen – greift jetzt der AI Act?

„Wir dürfen ChatGPT jetzt offiziell nutzen.“ Mit diesem Satz eröffnet die Geschäftsführung das Meeting – und im Raum geht ein Raunen durch die Runde. Für das Marketing klingt es nach neuen Chancen, für die IT-Leitung nach zusätzlicher Arbeit. Die Compliance-Verantwortlichen stellen sofort die entscheidende Frage: „Fallen wir damit schon unter den EU AI Act – konkret im Zusammenhang mit ChatGPT?“

Genau an diesem Punkt stecken viele KMU: Die Entscheidung, KI-Tools freizugeben, wird oft schnell getroffen – die Einordnung in rechtliche Rahmenbedingungen bleibt jedoch unklar. Ist es nur eine smarte Unterstützung im Alltag oder schon ein Einsatz, der regulatorische Folgen hat? Die Unsicherheit ist groß. Und sie zeigt: Das Thema ist längst nicht mehr theoretisch, sondern Alltagspraxis.

Was hier schiefläuft: Missverständnisse beim AI Act und ChatGPT-Nutzung

Ein weitverbreitetes Missverständnis lautet: Sobald ein Unternehmen ChatGPT oder andere KI-Tools nutzt, sei automatisch der EU AI Act relevant. Gerade für KMU stellt sich dann oft die Frage: Wie sieht die rechtliche Nutzung von ChatGPT im Unternehmen konkret aus? In der Praxis führt genau dieser Irrtum zu unnötiger Panik. Tatsächlich gilt: Der AI Act unterscheidet zwischen verschiedenen Risikoklassen. Während Hochrisiko-Anwendungen strenge Pflichten auslösen, bestehen auch für scheinbar „einfache“ KI-Einsätze gewisse Mindestanforderungen – etwa Transparenzpflichten bei Chatbots. Manche Führungskräfte reagieren übervorsichtig („Wir dürfen ChatGPT gar nicht nutzen, sonst verstoßen wir gegen Gesetze“), andere ignorieren das Thema komplett („Das betrifft nur Konzerne mit eigenen KI-Produkten“).

Ich beobachte häufig, dass alle KI-Anwendungen vorschnell in die Schublade „Hochrisiko“ gesteckt werden. Dadurch entstehen zwei Probleme: Zum einen wird wertvolle Zeit für echte Risiken nicht genutzt, weil Energie in übertriebene Szenarien fließt. Zum anderen fehlt die Klarheit, welche Nutzung tatsächlich reguliert ist – und welche eher unter Governance und interne Regeln fällt.

Wichtig ist die Abgrenzung:

  • Büro-Tools wie ChatGPT für Textentwürfe oder Recherche → in den meisten Fällen keine Hochrisiko-Einstufung nach AI Act, aber trotzdem gelten bestimmte Mindestpflichten. Zum Beispiel: Keine Eingabe personenbezogener oder vertraulicher Daten (DSGVO-Schutz) und – wenn Ergebnisse direkt für einen Dritten sichtbar werden – Transparenz, dass KI genutzt wird. Governance-Regeln sind hier Pflicht.
  • KI-Systeme, die Bestandteil von Produkten oder Dienstleistungen sind (z. B. Bewerbermanagement, medizinische Analyse, Kundenportale) → hier greift der AI Act mit konkreten Anforderungen.

Genau diese Differenzierung fehlt in vielen Diskussionen. Das Ergebnis: Unsicherheit lähmt Entscheidungen – und verhindert, dass Unternehmen einen pragmatischen Umgang mit KI finden, der Chancen nutzt und Pflichten ernst nimmt.

Mein Umgang mit dem AI Act: Klarheit statt Panik bei ChatGPT im Unternehmen

Wenn ich mit Unternehmen über den Einsatz von ChatGPT spreche, begegnet mir fast immer dieselbe Unsicherheit: „Sind wir jetzt schon AI-Act-pflichtig?“ Meine Erfahrung zeigt: Wer hier mit Angst oder Schnellschüssen reagiert, verliert Zeit und Energie. Besser ist ein klarer Blick – Schritt für Schritt.

1. Interne Nutzung – meist unkritisch, aber nicht ohne Regeln
Wenn ChatGPT intern genutzt wird – etwa für Textentwürfe, Ideenfindung oder Übersetzungen – liegt in den allermeisten Fällen kein Hochrisiko-Szenario vor. Dennoch gilt: Auch interne Nutzung braucht Regeln, gerade mit Blick auf Compliance-Anforderungen. Wer die Nutzung von ChatGPT in Compliance-Strukturen verankert, vermeidet spätere Diskussionen und erhöht die Rechtssicherheit. Es braucht Governance: Wer darf ChatGPT nutzen? Für welche Zwecke? Und wie wird verhindert, dass personenbezogene oder vertrauliche Daten verarbeitet werden (DSGVO)? Dazu gehören schlanke Policies, kurze Schulungen, eine einfache Dokumentation – und klare Transparenz, falls Mitarbeitende KI-Ergebnisse extern weitergeben.

2. Externe Nutzung – potenziell AI Act-relevant
Ganz anders sieht es aus, wenn KI-Systeme Bestandteil von Produkten oder Dienstleistungen werden.  Ein klassisches Beispiel: Ein Unternehmen integriert ChatGPT in ein Kundenportal – hier stellt sich sofort die Frage, wie die Vorgaben der EU-KI-Verordnung zu ChatGPT einzuhalten sind. Spätestens hier ist eine Einordnung nötig, weil die Nutzung direkt Kunden betrifft und regulatorisch relevant werden kann. Gleiches gilt für KI-gestützte Bewerbertools oder medizinische Analysen. Hier greift der AI Act mit Pflichten zu Risikobewertung, Dokumentation und Transparenz.

3. Parallele zum ISMS und BCM
Diese Unterscheidung erinnert mich stark an das Thema „Shadow IT“ im ISMS: Mitarbeitende nutzen Tools ohne Freigabe, und plötzlich entstehen Sicherheitsrisiken. Genau wie dort gilt: Nicht die Technik ist das Hauptproblem, sondern fehlende Regeln und Verantwortlichkeiten. Darum sollte KI-Einsatz nicht dem Zufall überlassen werden, sondern in bestehende Strukturen wie ISMS- oder BCM-Prozesse eingebettet sein. So wird vermieden, dass parallele Risiken übersehen werden – etwa Abhängigkeiten von externen Diensten oder Ausfallrisiken im Business Continuity.

Beispiel aus der Praxis
Ein KMU nutzt ChatGPT im Marketing für Social-Media-Posts. Hier reicht eine Policy: Keine sensiblen Daten eingeben, keine automatisierte Veröffentlichung ohne Freigabe. Ein anderes KMU führt hingegen ein KI-gestütztes Bewerbermanagementsystem ein. Dort geht es nicht mehr nur um Textentwürfe, sondern um Entscheidungen mit Auswirkungen auf Menschen. Dieses Unternehmen muss sich zwingend mit dem AI Act auseinandersetzen – inklusive Risikoanalyse und Nachweisen.

Deswegen: Die Frage lautet nicht, ob ChatGPT „erlaubt“ ist, sondern wie man die Nutzung sauber einordnet und steuert. Mit einer klaren Differenzierung zwischen interner und externer Nutzung lässt sich Panik vermeiden – und zugleich sicherstellen, dass Unternehmen rechtlich wie organisatorisch auf der sicheren Seite sind. Wichtig ist dabei: Auch die Geschäftsführung trägt Verantwortung. Zusätzlich wird mit der NIS2-Richtlinie die persönliche Haftung des Managements bei fehlender Governance verschärft – ein weiterer Grund, frühzeitig für klare Regeln zu sorgen.

AI Act & ChatGPT in der Praxis: Orientierung für KMU

Wenn es darum geht, ob ein KI-Einsatz im Unternehmen AI-Act-relevant ist, suchen viele KMU nach einfachen Regeln. Meine Erfahrung zeigt: Es braucht keine komplizierten Rechtsgutachten, sondern ein paar klare Kriterien, die Verantwortlichen helfen, die Lage einzuschätzen.

1. Wo entsteht Wertschöpfung durch KI?
Wird ChatGPT nur intern für Textentwürfe oder Ideen genutzt, ist die Wertschöpfung gering und meist nicht reguliert. Fließt das KI-Ergebnis jedoch direkt in ein Produkt oder eine Dienstleistung ein, ändert sich die Risikoklasse.

2. Wer hat die Kontrolle über die KI-Ergebnisse?
Wenn Mitarbeitende die Ergebnisse prüfen und freigeben, bleibt die Verantwortung klar beim Menschen. Kritisch wird es dort, wo das System eigenständig handelt – etwa in automatisierten Bewerbungsprozessen.

3. Werden Kunden oder Mitarbeitende direkt betroffen?
Sobald KI-Ausgaben unmittelbare Auswirkungen auf Menschen haben – sei es durch Ablehnung einer Bewerbung oder durch Beratungsergebnisse – sind regulatorische Anforderungen wahrscheinlicher.

Aus diesen Kriterien leite ich drei Empfehlungen für KMU ab:

  • Policy einführen: Legt schriftlich fest, wofür ChatGPT genutzt werden darf und wofür nicht. Das schafft Transparenz und verhindert Wildwuchs.
  • Verantwortlichkeiten klären: Bestimmt eine Person oder ein Gremium, das über AI-Act-Relevanz entscheidet. Das verhindert, dass Entscheidungen im luftleeren Raum hängen bleiben.
  • Dokumentation leichtgewichtig starten: Eine einfache Liste reicht am Anfang. Notiert kurz, welche Anwendungen es gibt, welchen Zweck sie erfüllen und ob eine Prüfung stattgefunden hat.

Mein Mini-Leitfaden aus Projekten lautet daher:

  1. Wofür nutzen wir KI aktuell?
  2. Wer prüft die Ergebnisse?
  3. Könnte jemand direkt betroffen sein?

Mit diesen Fragen lässt sich jede Anwendung in wenigen Minuten grob einordnen. So entsteht Orientierung – nicht perfekt, aber ausreichend, um die ersten Schritte in Richtung AI-Governance zu gehen und Panik zu vermeiden.

Zum Mitnehmen & Weiterdenken: ChatGPT und der AI Act pragmatisch einordnen

Learnings aus der Praxis:

  • Nicht jede KI-Nutzung ist AI-Act-relevant. Entscheidend ist, ob Ergebnisse direkt in Produkte oder Dienstleistungen einfließen.
  • Governance ist Pflicht, auch ohne Hochrisiko-Szenarien. Policies und Verantwortlichkeiten schaffen Klarheit.
  • Frühzeitige Dokumentation erleichtert spätere Nachweise. Schon eine einfache Liste der Anwendungsfälle ist ein guter Start.
  • Der AI Act ist kein Schreckgespenst. Wer heute strukturiert beginnt, spart morgen Aufwand und Unsicherheit.

Impulsfragen für Dich und Dein Unternehmen:

  • Habt Ihr schon klar festgelegt, wofür ChatGPT genutzt werden darf – und wo nicht?
  • Gibt es jemanden, der die Aufgabe hat, AI-Act-Relevanz zu prüfen?
  • Dokumentiert Ihr bereits, welche KI-Anwendungen im Einsatz sind – selbst wenn sie nur klein wirken?

Der EU AI Act zwingt Unternehmen nicht sofort in komplexe Strukturen, sondern bietet die Chance, früh Ordnung zu schaffen. Wer jetzt beginnt, die richtigen Fragen zu stellen, legt die Grundlage für Sicherheit, Transparenz und handhabbare Regeln.

Was Du jetzt tun kannst: ChatGPT-Einsatz im Unternehmen prüfen

Bevor Ihr Euch in komplexe Diskussionen über den AI Act verliert, hilft ein kurzer Realitätscheck. Mit drei einfachen Fragen kannst Du herausfinden, wo Ihr steht:

Quick-Check:

  • Wisst Ihr genau, wofür ChatGPT in Eurem Unternehmen genutzt wird?
  • Gibt es bereits eine Freigabe-Policy, die klarstellt, was erlaubt ist und was nicht?
  • Wurde zumindest grob geprüft, ob ein Anwendungsfall AI Act-relevant sein könnte?

Mini-CTA: Starte mit einer kurzen Übersicht aller ChatGPT-Nutzungen in Deinem Unternehmen. Schon diese Transparenz ist ein wichtiger erster Schritt hin zu strukturierter AI-Governance.

Regelwerksbezug: Dieses Thema ist im Kontext des EU AI Act und der ISO/IEC 42001 zu verorten.

Hinweis zur Einordnung

Dieser Erfahrungsartikel basiert auf realen Beobachtungen und typischen Praxismustern. Die beschriebenen Maßnahmen können Orientierung bieten – sie ersetzen jedoch keine vollständige Umsetzung regulatorischer Anforderungen (z. B. gemäß NIS2, EU AI Act, ISO 27001, ISO 42001 oder branchenspezifischer Standards).

Wenn Dein Unternehmen unter die NIS2-Richtlinie oder den EU AI Act fällt, sind zusätzliche strukturierte Analysen, dokumentierte Verfahren und ein systematischer Aufbau der Sicherheits- bzw. KI-Governance-Organisation erforderlich.

Desweiteren möchte ich explizit darauf hinweisen, dass ich kein Jurist bin und die Inhalte dieser Website keine Rechtsberatung darstellen. Bei rechtlichen Fragen oder Unsicherheiten, wende Dich bitte an einen Anwalt.

Ähnliche Beiträge