ChatGPT im Büro: Was der EU AI Act für Hamburger Unternehmen bedeutet

„Ich brauche eine KI-Richtlinie, aber ich weiß nicht, wo ich anfangen soll.” — den Satz höre ich aktuell in mindestens jedem dritten Erstgespräch mit Hamburger Geschäftsführern. Die Realität: Mitarbeiter nutzen längst ChatGPT, Microsoft Copilot, Gemini oder Claude — meist im Browser, oft mit dem privaten Account, regelmäßig auch mit Kundendaten oder internen Dokumenten.

Was sagt der EU AI Act konkret?

Der EU AI Act ist seit August 2024 in Kraft. Die Pflichten greifen gestaffelt:

• Februar 2025: Verbot von KI-Praktiken (Social Scoring, manipulatives KI-System, ungerichtete biometrische Datenbanken aus dem Internet)
• August 2025: Pflichten für General-Purpose-AI-Modelle (Anbieter wie OpenAI, Anthropic, Google)
• August 2026: Vollständige Geltung mit allen Pflichten für „Hochrisiko”-Systeme

Für Hamburger Unternehmen, die KI nutzen (nicht entwickeln), sind drei Klassifikationen wichtig:

1. Verbotene KI-Praktiken (Art. 5 AI Act)

• KI-gestütztes Social Scoring
• Emotion Recognition am Arbeitsplatz oder in Schulen (Ausnahmen: Sicherheit, Medizin)
• KI-System zur Vorhersage der Wahrscheinlichkeit, dass eine Person Straftaten begeht

2. Hochrisiko-Systeme (Anhang III)

• KI im HR-Bereich (Bewerbungsauswahl, Beurteilung, Beförderungsentscheidungen)
• KI für Kreditwürdigkeitsprüfung
• KI in kritischer Infrastruktur
• KI in Bildung (automatische Prüfungsbewertung)

3. Begrenzte / minimale Risiken

• Standard-Anwendungen wie Chatbots, Übersetzungstools, Code-Generierung
• Hier reichen Transparenzpflichten und eine interne Richtlinie

Drei Fragen, die Sie aktuell beantworten müssen

Frage 1: Was nutzen Ihre Mitarbeiter überhaupt?

In den letzten 18 Monaten haben wir bei jedem neuen Mandanten gefragt. Typische Ergebnisse:

• ChatGPT (Free oder Plus, persönlicher Account) — fast überall
• Microsoft Copilot in Office 365 — wenn M365 lizenziert
• Gemini in Workspace — bei Google-Workspace-Kunden
• DeepL, GitHub Copilot, Perplexity — bei spezifischen Rollen
• Claude (Anthropic) — bei IT-affinen Mitarbeitern

Erschreckend: Die meisten Geschäftsführer wissen nicht, dass ihre Buchhaltung Mandantendaten in ChatGPT-Free-Sessions eintippt — wo OpenAI laut AGB die Daten zum Training nutzen darf.

Frage 2: Dürfen Sie das überhaupt?

DSGVO-rechtlich entscheidend ist die Drittlandübermittlung:

• ChatGPT Free / Plus: Daten werden in die USA übertragen. Rechtsgrundlage muss vorhanden sein, ggf. Datenschutzfolgenabschätzung.
• ChatGPT Enterprise: Daten verlassen Ihre Mandanten-Tenant nicht, kein Training auf Ihren Daten — DSGVO-tauglich
• Microsoft Copilot for M365: bei Wahl der EU-Datenresidenz technisch DSGVO-tauglich
• Gemini in Workspace: ähnlich Copilot, EU-Region wählbar
• Selbst gehostete Open-Source-Modelle (Llama, Mistral): keine Drittlandübermittlung — bestes Datenschutz-Profil, aber höchster IT-Aufwand

Wenn Sie keinen Enterprise-Vertrag haben und Mitarbeiter über persönliche Accounts arbeiten, übertragen Sie unkontrolliert personenbezogene Daten in die USA. Das ist ohne formale Grundlage rechtswidrig.

Frage 3: Was passiert, wenn KI-Ergebnisse fehlerhaft sind?

Ein typischer Fall aus unserer Mandantschaft: Ein Sachbearbeiter lässt sich von ChatGPT eine Kündigungsformulierung vorschlagen. Das Modell halluziniert einen Paragraphen, der nicht existiert. Der Sachbearbeiter erkennt es nicht, schickt die Kündigung raus. Der Empfänger gewinnt vor dem Arbeitsgericht.

Wer haftet? Sie als Arbeitgeber. KI ist kein „dummes Werkzeug” wie ein Hammer — sie macht inhaltliche Aussagen. Wer KI-Output ungeprüft nutzt, ist verantwortlich für die Fehler.

Was muss in eine KI-Richtlinie?

Aus unserer Mustervorlage für KMU (die wir Mandanten an die Hand geben):

1. Geltungsbereich

• Welche Mitarbeiter
• Welche Aufgaben (Texterstellung, Recherche, Code-Generierung, Datenanalyse, Bilder)

2. Erlaubte und nicht erlaubte Tools

• Liste der freigegebenen Tools (z. B. ChatGPT Enterprise via Firmen-Account, Copilot M365)
• Verbotene Tools (z. B. ChatGPT Free, andere Tools ohne EU-Hosting)

3. Datenkategorien

• Was darf rein? (öffentliche Texte, anonymisierte Daten, Code ohne Geschäftsgeheimnisse)
• Was darf NICHT rein? (Personenbezogene Daten, Mandantendaten, Geschäftsgeheimnisse, vertrauliche Verträge)

4. Prüfpflichten

• KI-Output muss vor Verwendung geprüft werden
• Bei rechtsrelevanten Aussagen: Vier-Augen-Prinzip
• Bei kreativen Inhalten: Kennzeichnungspflicht (intern)

5. Schulung und Awareness

• Jährliche Schulung aller Mitarbeiter
• Onboarding-Modul für neue Mitarbeiter

6. Verstöße und Sanktionen

• Was passiert, wenn Mitarbeiter sich nicht an die Richtlinie halten
• Ablauf bei festgestellten Verstößen

Der Schmerzpunkt: Mitarbeiter wollen KI nutzen

Hier liegt die eigentliche Herausforderung: KI ist massiv produktivitätssteigernd. Wenn Sie als Geschäftsführer alle KI-Tools verbieten, schaffen Sie Schatten-IT (Mitarbeiter nutzen ihren privaten Account heimlich) und Frustration. Wenn Sie alles freigeben, haben Sie weder DSGVO-Compliance noch Qualitätskontrolle.

Der pragmatische Mittelweg, den wir mit Mandanten umsetzen:

1. Lizensieren: Firmen-Account für ChatGPT Enterprise oder Microsoft Copilot M365 — auch für kleine Teams ab 49 €/Mo möglich
2. Schulen: Eine 90-Min-Schulung „KI sicher nutzen” für alle Mitarbeiter
3. Erlauben mit Regeln: KI-Richtlinie mit klaren Do’s and Don’ts
4. Überprüfen: Halbjährliche Stichproben — was wird tatsächlich genutzt?

Was passiert, wenn der HmbBfDI fragt?

Im aktuellen Prüfschwerpunkt 2026 ist KI im Personalwesen ein zentrales Thema. Erwartbare Fragen:

• Welche KI-Tools nutzen Sie für Bewerbungs-Vorauswahl?
• Welche KI-Tools werten Mitarbeiterleistung aus?
• Haben Sie eine schriftliche KI-Richtlinie?
• Wurden Mitarbeiter geschult?
• Gibt es eine Datenschutzfolgenabschätzung für eingesetzte KI-Tools?

Wer auf diese Fragen keine Antwort hat, hat ein Problem.

Praktischer nächster Schritt

Drei Optionen, je nach Reifegrad:

Sie haben gar nichts: Schreiben Sie sich auf, welche KI-Tools in Ihrem Betrieb tatsächlich verwendet werden (Mitarbeiter ehrlich fragen). Mit dieser Liste setzen wir uns 30 Minuten zusammen und priorisieren.

Sie haben eine Mustervorlage: Lassen Sie sie auf Ihren Betrieb anpassen. Eine generische KI-Richtlinie aus dem Internet hilft nicht — sie muss Ihre konkreten Tools, Datenkategorien und Prozesse abbilden.

Sie haben eine fertige Richtlinie: Schulen Sie Ihre Mitarbeiter. Ohne Schulung ist die beste Richtlinie wirkungslos.

Rufen Sie uns an: 040 57308220-0. Wir haben in den letzten zwölf Monaten 17 Mandanten durch genau diese Frage begleitet — und kennen die Stolperfallen.