Ja. Wer ChatGPT, Microsoft Copilot, Perplexity oder ähnliche KI-Tools im beruflichen Kontext nutzt, gilt als „Betreiber“ im Sinne des EU AI Act. Die wichtigste Sofortpflicht ist die KI-Kompetenz nach Artikel 4 (seit 2. Februar 2025). Hinzu kommen je nach Einsatz Transparenz-, Datenschutz- und Sorgfaltspflichten.
Der EU AI Act unterscheidet zwischen Anbietern (die KI entwickeln oder unter eigenem Namen anbieten) und Betreibern (die KI in eigener Verantwortung beruflich nutzen). Sobald Ihr Unternehmen ChatGPT, Copilot, Perplexity, Gemini oder ein anderes KI-Tool im Arbeitskontext einsetzt, sind Sie Betreiber – und damit Adressat der Betreiberpflichten.
Die Tool-Anbieter selbst (z. B. OpenAI, Microsoft, Perplexity AI, Google) sind Anbieter und erfüllen ihre eigenen Pflichten. Das entbindet Ihr Unternehmen aber nicht: Für den konkreten Einsatz im Betrieb bleiben Sie verantwortlich.
Die KI-Kompetenzpflicht nach Artikel 4 gilt seit dem 2. Februar 2025 und ist unabhängig von der Risikoklasse. Mitarbeitende, die KI-Tools nutzen, müssen deren Funktionsweise, Grenzen und Risiken verstehen – etwa Halluzinationen, Datenschutz und den Umgang mit vertraulichen Informationen. Diese Pflicht ist durch den Digital Omnibus nicht verschoben.
Grundsätzlich ja – allgemeine Assistenzsysteme wie ChatGPT oder Copilot sind in der Regel nicht „Hochrisiko“. Entscheidend ist der Einsatzkontext: Wird ein Tool für maßgebliche Entscheidungen in einem sensiblen Bereich nach Anhang III genutzt (z. B. Bewerberauswahl), können strengere Hochrisiko-Pflichten greifen. Vor dem breiten Rollout sollten Sie Einsatzzwecke, Datenflüsse und Verantwortlichkeiten klären.
Artikel 50 regelt Transparenzpflichten. Interagieren Personen direkt mit einer KI (z. B. einem Chatbot), müssen sie darüber informiert werden, sofern es nicht ohnehin offensichtlich ist. Künstlich erzeugte oder bearbeitete Inhalte – Text, Bild, Audio, Video, insbesondere „Deepfakes“ – sind als KI-generiert zu kennzeichnen. Für rein interne Entwürfe greift das meist nicht, wohl aber für veröffentlichte Inhalte.
Beide gelten parallel: Der EU AI Act regelt die KI als solche, die DSGVO den Umgang mit personenbezogenen Daten. Wer personenbezogene Daten in ein KI-Tool eingibt, braucht eine Rechtsgrundlage, muss Betroffene informieren und gegebenenfalls einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter schließen. Vertrauliche oder personenbezogene Daten gehören nur in Tools, die dafür freigegeben sind.
Ja. Sobald Sie ChatGPT im beruflichen Kontext einsetzen, sind Sie Betreiber nach dem EU AI Act. Die wichtigste Pflicht ist die KI-Kompetenz nach Artikel 4; je nach Einsatz kommen Transparenz- und Datenschutzpflichten hinzu.
Ja. Microsoft Copilot fällt wie andere KI-Tools unter den AI Act, sobald es beruflich genutzt wird. Microsoft ist Anbieter, Ihr Unternehmen Betreiber – verantwortlich für den konkreten Einsatz und die Schulung der Nutzer.
Ja. Auch die Nutzung von Perplexity als KI-Recherchetool macht Ihr Unternehmen zum Betreiber. Es gelten dieselben Grundpflichten: KI-Kompetenz, sorgfältiger Umgang mit Daten und – bei veröffentlichten Inhalten – Transparenz nach Artikel 50.
Meist ja, aber nicht ungeregelt. Allgemeine Tools sind selten Hochrisiko, doch Sie sollten Einsatzzwecke, Datenschutz und Verantwortlichkeiten klären und Mitarbeitende schulen. In sensiblen Anhang-III-Bereichen können strengere Pflichten gelten.
Nach Artikel 50, wenn Personen direkt mit einer KI interagieren (z. B. einem Chatbot) oder wenn KI-generierte Inhalte veröffentlicht werden. Deepfakes und künstlich erzeugte Medien sind klar als solche zu kennzeichnen.
Sinnvoll sind klare Vorgaben, welche KI-Tools erlaubt sind, wie mit vertraulichen und personenbezogenen Daten umzugehen ist, dass KI-Ergebnisse geprüft werden und veröffentlichte KI-Inhalte gekennzeichnet werden – ergänzt um eine dokumentierte KI-Schulung nach Artikel 4.
Geben Sie keine vertraulichen oder personenbezogenen Daten in ungeprüfte Tools ein, prüfen Sie Ergebnisse kritisch (Halluzinationsgefahr), kennzeichnen Sie veröffentlichte KI-Inhalte und halten Sie sich an die interne KI-Richtlinie. Die Verantwortung für das Ergebnis bleibt beim Menschen.
Beide gelten parallel: Der AI Act regelt die KI selbst, die DSGVO den Umgang mit personenbezogenen Daten. Wer personenbezogene Daten in ein KI-Tool eingibt, braucht eine Rechtsgrundlage, muss Betroffene informieren und gegebenenfalls einen Auftragsverarbeitungsvertrag mit dem Anbieter schließen.
Eine KI-Nutzungsrichtlinie (erlaubte Tools), Regeln zum Daten- und Datenschutz, Vorgaben zur Prüfung von KI-Ergebnissen, die Kennzeichnung veröffentlichter KI-Inhalte nach Artikel 50 sowie eine nachweisbare KI-Schulung nach Artikel 4.