Digital Business & Future 26.05.2026

GPAI wird zur Doku-Falle im Mittelstand

8 Min. Lesezeit

Am 2. August 2026 wird der EU AI Act für allgemeine KI-Modelle scharf gestellt. 70 Tage bleiben, bevor die Dokumentationspflichten für General-Purpose-AI-Nutzung in Unternehmen gelten – inklusive der ChatGPT-, Copilot- und Claude-Lizenzen, die viele DACH-Mittelständler längst im täglichen Einsatz haben. Wer jetzt anfängt, kommt entspannt durch. Wer auf den Sommer wartet, baut sich seine eigene Audit-Findungs-Liste.

Das Wichtigste in Kürze

Stichtag 2. August 2026: Die GPAI-Pflichten aus dem EU AI Act treten in Kraft – betroffen sind nicht nur Anbieter, sondern auch Unternehmen, die GPAI-Modelle in eigene Workflows einbinden.
Pflicht-Dokumentation umfasst vier Blöcke: Risiko-Klassifizierung pro Use-Case, Daten-Kategorie-Inventar, Human-Oversight-Mechanismen, Conformity-Assessment-Records.
Bußgeld-Rahmen: bis zu 15 Millionen Euro oder drei Prozent des weltweiten Konzernumsatzes (Art. 99(4) AI Act). Für SMEs gilt jeweils der niedrigere der beiden Werte (Art. 99(6)).
Mittelstands-Falle: ChatGPT Enterprise, Microsoft Copilot und Claude Pro sind GPAI – wer sie für Kundenkommunikation, Personalentscheidungen oder Vertragsdrafts nutzt, fällt unter den Anwendungsbereich.
Was jetzt zählt: ein dokumentierter Use-Case-Katalog mit Risiko-Bewertung, eine Eskalations-Hierarchie für Hochrisiko-Anwendungen und ein internes Auditing-Protokoll, das im Findungsfall vorgelegt werden kann.

Verwandt:Google Gemini im Unternehmen: was der AI Act erzwingt / Tech-Mandate im Aufsichtsrat: NIS2, EU AI Act und der Skill-Gap

Was ist eine GPAI-Pflicht? General-Purpose-AI-Modelle (GPAI) sind KI-Systeme wie ChatGPT, Microsoft Copilot oder Claude, die für breite Aufgaben einsetzbar sind. Mit dem EU AI Act ab dem 2. August 2026 müssen Unternehmen, die solche Modelle in produktive Workflows einbinden, ihre Use-Cases klassifizieren, dokumentieren und überwachen, unabhängig davon ob sie Anbieter oder Anwender sind.

Warum die GPAI-Pflichten viele Mittelständler überraschen werden

In der öffentlichen Diskussion zum EU AI Act dominiert seit Monaten die Frage, was mit Hochrisiko-Systemen wie biometrischer Identifikation oder Bonitäts-Scoring passiert. Die GPAI-Pflichten – also die Regeln für allgemeine KI-Modelle – sind dabei oft als „Anbieter-Thema“ abgestempelt worden. Das stimmt nur teilweise. Anbieter wie OpenAI, Anthropic oder Mistral müssen die Modell-Karten, Trainingsdaten-Zusammenfassungen und systemischen Risikobewertungen liefern. Aber das eigentliche operative Problem entsteht auf der Anwender-Seite.

Sobald ein Unternehmen ein GPAI-Modell in einen produktiven Workflow einbettet – sei es ein ChatGPT-Plug-in im CRM, ein Copilot im Vertragsmanagement oder ein eigenes RAG-System auf Claude-Basis -, wird die Anwendung zu einem AI System im Sinne der Verordnung. Damit greifen Pflichten zu Risikoklassifizierung, Transparenz, Aufsicht und Dokumentation. Die meisten DACH-Mittelständler, die wir in den letzten Wochen befragt haben, gehen davon aus, dass sie unter die „Nutzer“-Kategorie fallen und damit weitgehend frei sind. Das ist ein Missverständnis, das im August teuer werden kann.

Die vier Dokumentations-Blöcke, die jetzt aufgebaut werden müssen

Block 1 – Use-Case-Inventar mit Risiko-Klassifikation. Jede KI-gestützte Anwendung im Unternehmen muss erfasst werden: Welche Aufgabe wird unterstützt, welches Modell wird genutzt, welche Daten fließen ein, welcher Geschäftsbereich nutzt sie, wie verbindlich ist das Output? Daraus folgt eine Einordnung in eine der vier Risikoklassen – „minimal“, „begrenzt“, „hoch“ oder „verboten“. Die Klassifikation steuert alles, was danach kommt.

Block 2 – Daten-Kategorie-Dokumentation. Welche personenbezogenen, geschäftskritischen oder vertraulichen Datenarten werden in das KI-System eingespeist? Dieses Inventar greift in DSGVO-Themen rein, geht aber darüber hinaus: auch nicht-personenbezogene Datenkategorien wie Vertragsentwürfe, Quellcode oder strategische Pläne gehören dokumentiert – inklusive der Frage, ob das Modell sie zum Training nutzen darf oder nicht.

Block 3 – Human-Oversight-Mechanismen. Für jeden Use-Case muss klar sein, wer das KI-Output prüft, wer eskalieren darf und wer am Ende verantwortet. Bei begrenztem Risiko reicht oft eine Stichproben-Prüfung. Bei Hochrisiko-Anwendungen – etwa in der Personalentscheidung oder bei Kreditprüfungen – braucht es eine dokumentierte Vier-Augen-Regel mit nachvollziehbarem Eskalationspfad.

Block 4 – Conformity-Assessment-Records. Das ist die Sammelmappe für den Audit-Fall: Modell-Karten der Anbieter, eigene Risikobewertungen, getroffene Maßnahmen, Schulungs-Nachweise. Ein verteiltes Excel-Sheet reicht nicht – die Aufsichtsbehörden erwarten eine geordnete Struktur, die nachweist, dass das Unternehmen die Pflichten ernst genommen hat.

15 Mio. €

Bußgeldrahmen oder 3 % vom Konzernumsatz

Bei großen Unternehmen greift der höhere der beiden Werte. Für kleine und mittlere Unternehmen (SMEs) sieht Art. 99(6) explizit den niedrigeren Wert vor – damit ist die absolute Summe von 15 Millionen Euro für viele DACH-Mittelständler nicht der reale Schaden, sondern die Drei-Prozent-Schwelle. Was beides nicht entkräftet: ein einzelner Audit kann mehrere Verstöße aufdecken.

Drei Use-Case-Beispiele aus dem DACH-Mittelstand

Beispiel A – CRM mit ChatGPT-Plug-in für Mail-Drafts: ein Maschinenbauer aus Baden-Württemberg lässt seine Vertriebsmitarbeiter Antwort-Drafts auf Kundenanfragen über ein ChatGPT-Enterprise-Plug-in generieren. Risiko: minimal bis begrenzt. Pflichten: Use-Case dokumentiert, Stichproben-Prüfung, Hinweis an Kunden falls KI-generierte Texte ohne Review verschickt werden.

Beispiel B – Bewerbungs-Vorselektion mit Microsoft Copilot: ein mittelständischer IT-Dienstleister nutzt Copilot, um Bewerbungseingänge nach Eignungs-Kriterien zu sortieren. Risiko: hoch – Personalentscheidung. Pflichten: Bias-Testing dokumentiert, Vier-Augen-Pflicht bei Ablehnungen, Transparenz gegenüber Bewerbern, Conformity-Assessment auditfähig.

Beispiel C – Vertrags-Drafting mit Claude Pro: eine Handelsfirma generiert Vertragsklauseln über Claude-Pro-Interaktionen. Risiko: begrenzt – aber die Klauseln werden ohne juristische Final-Prüfung verschickt. Pflichten: Eskalations-Hierarchie definieren, Output-Sample-Audits, klare Kennzeichnung KI-unterstützter Vertragsteile in der internen Doku.

„Der EU AI Act ist nicht das nächste DSGVO-Disaster – aber er wird genau die Unternehmen unter Druck setzen, die geglaubt haben, dass KI-Lizenzen automatisch Compliance-konform sind. Die Stichprobe der Aufsicht wird kommen und sie wird nach Dokumentation fragen.“

Was bis zum 2. August konkret stehen muss

Sechs operative Schritte, die im Sommer 70 Tage füllen können – oder zehn Wochen im Hintergrund laufen:

Use-Case-Inventur in der gesamten Organisation – alle KI-gestützten Workflows aufnehmen, auch Schatten-Nutzungen.
Risiko-Klassifikation pro Use-Case – intern oder mit externer Unterstützung.
Daten-Kategorie-Schema definieren – welche Datenarten dürfen in welche Modelle, mit welcher Schutzstufe?
Human-Oversight-Pflichten festlegen – wer prüft was, mit welcher Latenz?
Mitarbeiter-Schulung dokumentieren – die Aufsicht prüft, ob die Belegschaft weiß, was sie nutzt.
Conformity-Assessment-Mappe aufsetzen – eine zentrale Ablage, in der alle Nachweise zusammenkommen.

Erfahrungsgemäß braucht ein Mittelständler mit 200 bis 500 Mitarbeitern und drei bis fünf produktiven KI-Use-Cases zwischen acht und zwölf Wochen, um diese sechs Schritte sauber abzuarbeiten – vorausgesetzt, das Projekt hat eine klare Eigentümerschaft. Ohne benannten Verantwortlichen wird daraus ein Sommer-Versickerungs-Projekt.

Häufige Fragen

Gilt der EU AI Act auch für nicht-EU-Unternehmen?

Ja – sobald ein KI-System auf dem EU-Markt angeboten oder eingesetzt wird, gilt der AI Act, unabhängig vom Sitz des Anbieters oder Anwenders. DACH-Unternehmen mit Tochterstandorten in der Schweiz oder Großbritannien müssen für ihre EU-Operationen die Pflichten erfüllen.

Was passiert, wenn der Stichtag 2. August verpasst wird?

Die Pflichten greifen automatisch. Bei Verstößen drohen Bußgelder bis 15 Millionen Euro oder drei Prozent des weltweiten Konzernumsatzes – der jeweils höhere Wert wird angesetzt. Die Aufsichtsbehörden in den EU-Mitgliedsstaaten setzen ihre Stichproben-Programme bereits jetzt auf.

Reicht eine Compliance-Erklärung des KI-Anbieters?

Nein. Die Pflichten teilen sich: Anbieter müssen Modell-Karten, Trainingsdaten-Zusammenfassungen und systemische Risikobewertungen liefern. Anwender müssen ihre eigenen Use-Cases dokumentieren, klassifizieren und überwachen. Eine OpenAI- oder Microsoft-Compliance-Aussage deckt nur die Anbieter-Seite ab.

Hilft das BSI mit konkreten Templates?

Das BSI bereitet zur GPAI-Anwendung weiteres Hilfsmaterial vor, einen öffentlich kommunizierten Veröffentlichungstermin gibt es zum aktuellen Stand nicht. Erwartet werden Templates für die vier Dokumentationsblöcke. Wer nicht warten will, kann auf bestehende ENISA-Materialien und auf die Empfehlungen der nationalen Datenschutz-Aufsichten zurückgreifen.

Mehr aus dem MBF Media Netzwerk

Weiterführende Lektüre aus den MBF Media Magazinen

cloudmagazin: Google Gemini im Unternehmen: was der AI Act erzwingt
SecurityToday: Adaptive MFA: die Werkseinstellung reicht nicht
Digital Chiefs: Tech-Mandate im Aufsichtsrat: NIS2, EU AI Act und der Skill-Gap

Quelle Titelbild: Pexels / RDNE Stock project (px:7414013)

Auch verfügbar in

Français Español English

MyBusinessFuture / Evernine Media GmbH

Benedikt Langer befasst sich als Redakteur für MyBusinessFuture vor allem mit zukunftsweisenden Business- und Tech-Themen – von Künstlicher Intelligenz über Cybersecurity bis hin zu Mobilität, Energie- und Verkehrsinfrastruktur sowie resilienten Industrie-Ökosystemen.

Davos: Nachhaltigkeit durch Digitalisierung

Das 50. Jubiläum des Weltwirtschaftsforum in Davos Ende Januar 2020 soll ganz im Zeichen von Nachhaltigkeit ... »

Engineering & Industry 23.09.2020

PwC: E-Auto-Kosten für Hersteller vs. Verbrenner-Vergleich

E-Autos sind neu, voller Technik und zukunftsweisend, jedoch immer noch sehr teuer. Das liegt unter ... »

Unsere Experten & Partner