AIkonform Kostenloser Schnellcheck
← Wissen · EU AI Act

ChatGPT im Unternehmen: Welche Pflichten gelten seit 2025?

Stand: 15. Juni 2026 · Rechtsstand nach dem Digital Omnibus (07.05.2026) · Lesezeit ca. 7 Min.

Wer ChatGPT, Copilot oder Gemini im Betrieb einsetzt, ist Betreiber eines KI-Systems im Sinne des EU AI Act — und das löst seit dem 2. Februar 2025 konkrete Pflichten aus. Die wichtigste: Mitarbeitende, die solche Tools nutzen, brauchen nachgewiesene KI-Kompetenz (Art. 4), und ab dem 2. August 2026 ist das behördlich durchsetzbar. Die gute Nachricht für KMU: Als Betreiber treffen Sie die schlanken Pflichten, nicht die schweren Anbieter-Pflichten von OpenAI.

Die vier Pflichtenkreise auf einen Blick

„ChatGPT im Unternehmen nutzen" berührt vier Regelwerke gleichzeitig. Drei davon kommen aus dem EU AI Act, eines aus dem Datenschutz. Keines davon verbietet die Nutzung — alle vier verlangen Nachweise und Spielregeln.

PflichtWas sie verlangtGilt / durchsetzbar
KI-Kompetenz (Art. 4)Geschulte Mitarbeitende + dokumentierte Nutzungsregelngilt seit 02.02.2025, durchsetzbar ab 02.08.2026
Transparenz (Art. 50)KI-generierte Inhalte und Chatbots gegenüber Kunden kennzeichnenab 02.08.2026
Verbotene Praktiken (Art. 5)Bestimmte Einsatzzwecke (z. B. manipulatives Scoring) sind untersagtgilt seit 02.02.2025, sanktioniert
Datenschutz (DSGVO)Keine ungeschützten Personen-/Geschäftsdaten in offene Toolsgilt durchgehend

Anbieter oder Betreiber? Das entscheidet über fast alles

Der EU AI Act unterscheidet streng zwischen Anbieter (wer ein KI-System entwickelt oder unter eigenem Namen auf den Markt bringt) und Betreiber (wer ein KI-System in eigener Verantwortung nutzt). Für ChatGPT ist OpenAI der Anbieter — und trägt die schweren Pflichten: technische Dokumentation, Risikomanagement, GPAI-Transparenz. Ein Handwerksbetrieb, eine Kanzlei oder eine Agentur, die ChatGPT für die eigene Arbeit einsetzt, ist dagegen Betreiber.

Das ist eine erhebliche Entlastung: Als Betreiber müssen Sie kein KI-System zertifizieren und keine Modell-Dokumentation führen. Ihre Pflichten beschränken sich im Normalfall auf KI-Kompetenz, Transparenz und das Einhalten der Verbote. Wichtig: Die Rolle kann kippen. Wer ein Tool wie ChatGPT unter eigenem Namen wesentlich verändert oder als eigenes Produkt weiterverkauft, kann selbst zum Anbieter werden.

Pflicht 1: KI-Kompetenz nach Art. 4 — der Kern für jeden Nutzer

Art. 4 verlangt von Betreibern, „nach besten Kräften" sicherzustellen, dass alle Personen, die mit dem KI-System arbeiten, über ein ausreichendes Maß an KI-Kompetenz verfügen. Im Klartext: Wer ChatGPT für Kundenanschreiben, Angebote oder Recherche nutzt, muss verstehen, was das Tool kann, wo es halluziniert und welche Daten nicht hineingehören.

Als Nachweis zählen in der Praxis zwei Bausteine: eine durchgeführte und datierte Schulung (abgestuft nach Rolle) und eine schriftliche KI-Nutzungsrichtlinie, die festlegt, welche Tools für welche Zwecke freigegeben sind. Beides muss vor dem 2. August 2026 dokumentiert vorliegen — denn ab dann ist die Pflicht durchsetzbar. Details dazu im Beitrag zur KI-Kompetenzpflicht nach Art. 4.

Pflicht 2: Transparenz nach Art. 50 — wenn Kunden ins Spiel kommen

Sobald KI nach außen wirkt, greift Art. 50. Zwei Fälle sind für KMU relevant: Ein Chatbot auf der Website muss den Nutzer erkennbar darauf hinweisen, dass er mit einer KI spricht. Und KI-generierte oder -bearbeitete Inhalte wie Bilder oder Texte, die Kunden als authentisch wahrnehmen könnten, müssen als solche gekennzeichnet werden. Rein interne Nutzung von ChatGPT (z. B. ein Entwurf, den ein Mensch redigiert und verantwortet) löst diese Pflicht nicht aus.

Wichtig zu trennen
Art. 50 ist die Pflicht zur Kennzeichnung gegenüber Menschen und gilt ab 02.08.2026. Davon zu unterscheiden ist die maschinenlesbare Markierung (Wasserzeichen) KI-generierter Inhalte nach Art. 50 Abs. 2 — die ist durch den Digital Omnibus auf den 02.12.2026 verschoben. Für die Praxis heißt das: sichtbarer Hinweis ab August, technisches Wasserzeichen ab Dezember.

Pflicht 3 und 4: Verbote und Datenschutz — die Leitplanken

Verbotene Praktiken (Art. 5) gelten bereits und werden sanktioniert. Sie treffen die wenigsten KMU direkt, sind aber absolut: untersagt sind etwa manipulative Systeme, die das Verhalten von Menschen unterschwellig steuern, oder Social Scoring. Wer ChatGPT für normale Büroarbeit nutzt, bewegt sich klar außerhalb dieser Verbote — relevant wird es erst bei kreativen Einsatzideen im Marketing oder Personalwesen.

Datenschutz (DSGVO) ist der Dauerbrenner und unabhängig vom AI Act. Die zentrale Regel: Keine personenbezogenen oder vertraulichen Geschäftsdaten in die kostenlose, offene ChatGPT-Version eingeben, deren Eingaben zum Training genutzt werden können. Geschäftlich gehören solche Daten in eine vertragliche Lösung (ChatGPT Enterprise/Team, Copilot mit Datenschutz-Zusage oder eine API mit Auftragsverarbeitungsvertrag).

Ein KMU-Beispiel: die Werbeagentur mit 12 Beschäftigten

Eine Görlitzer Agentur nutzt ChatGPT für Textentwürfe, Midjourney für Bildideen und testet einen Website-Chatbot. Sie ist Betreiber, nicht Anbieter — die schweren Pflichten entfallen. Konkret zu tun ist:

Realistischer Aufwand: ein bis zwei Tage verteilt über zwei Wochen. Kein Hochrisiko-System, keine Zertifizierung — aber prüffeste Nachweise, die vor dem 2. August 2026 datiert sein müssen.

Ihre To-do-Liste, wenn ChatGPT im Betrieb läuft

  1. Inventur: Alle KI-Tools auflisten, die im Betrieb genutzt werden — auch versteckte (Copilot in Microsoft 365, KI-Funktionen in CRM oder Buchhaltung).
  2. Rolle bestätigen: In der Regel Betreiber. Nur prüfen, ob Sie ein Tool weiterverkaufen oder umbauen — dann ggf. Anbieter.
  3. Schulen und datieren: KI-Kompetenz-Schulung mit Nachweis, abgestuft nach Rolle (Art. 4).
  4. Richtlinie schreiben: Eine kurze, schriftliche KI-Nutzungsrichtlinie freigeben und kommunizieren.
  5. Kennzeichnen: Chatbots und kundenwirksame KI-Inhalte transparent machen (Art. 50).
  6. Datenschutz absichern: Auf eine vertragliche Tool-Variante umstellen, bevor sensible Daten verarbeitet werden.

Häufige Fragen

Ist ChatGPT im Unternehmen erlaubt?

Ja. Die berufliche Nutzung ist erlaubt und nicht genehmigungspflichtig. Es entstehen aber Pflichten: KI-Kompetenz der Mitarbeitenden (Art. 4), Transparenz gegenüber Kunden (Art. 50), Einhaltung der Verbote (Art. 5) und Datenschutz nach DSGVO. Verboten ist nicht die Nutzung, sondern der Einsatz ohne diese Spielregeln.

Bin ich Anbieter oder Betreiber?

In aller Regel Betreiber. Anbieter ist, wer ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt — das ist OpenAI. Wer ChatGPT für eigene Zwecke einsetzt, ist Betreiber und unterliegt deutlich schlankeren Pflichten.

Ab wann sind die Pflichten durchsetzbar?

Die KI-Kompetenzpflicht (Art. 4) gilt seit dem 2. Februar 2025 und ist ab dem 2. August 2026 durchsetzbar. Die Transparenzpflichten (Art. 50) gelten ab dem 2. August 2026. Die verbotenen Praktiken (Art. 5) werden bereits seit 2025 sanktioniert, die DSGVO gilt durchgehend. Der Digital Omnibus hat an diesen Fristen nichts geändert — verschoben wurde nur Hochrisiko-KI.

Nutzt Ihr Betrieb ChatGPT? Prüfen Sie in 10 Minuten, ob Sie konform sind.

Der kostenlose 10-Punkte-Schnellcheck zeigt mit Ampel-Auswertung, welche AI-Act-Pflichten Sie bei der KI-Nutzung schon erfüllen — und was bis August 2026 noch fehlt. Für Geschäftsführungen ohne Rechtsabteilung gemacht.

AIkonform ist ein Dienstleister für KI-Governance und Konformitäts-Dokumentation und erbringt keine Rechtsberatung im Sinne des RDG. Dieser Artikel ist eine allgemeine Information, keine rechtliche Beratung. Angaben nach Rechtsstand Juni 2026 (Digital Omnibus, Trilog-Einigung vom 07.05.2026); regulatorische Termine und Auslegungen können sich ändern. Im Zweifel ziehen Sie für die rechtliche Bewertung Ihres konkreten Einzelfalls eine Rechtsanwältin oder einen Rechtsanwalt hinzu.