EU-KI-Gesetz-Compliance bei Nutzung der OpenAI-API
# EU-KI-Gesetz-Compliance bei Nutzung der OpenAI-API
Sie rufen die OpenAI-API auf. GPT generiert Text in Ihrem Produkt. Ihre Nutzer sehen die Ausgabe. Sie haben kein Modell trainiert. Sie haben kein KI-System von Grund auf entwickelt. Sie führen lediglich API-Aufrufe durch.
Sie haben dennoch Pflichten nach dem EU-KI-Gesetz. Hier erfahren Sie, welche das sind und wie Sie damit umgehen.
Ihre Rolle im Rahmen des Gesetzes
Sie sind ein Betreiber. OpenAI ist der Anbieter des KI-Modells mit allgemeinem Verwendungszweck. Sie setzen es unter Ihrer Marke und in Ihrer Verantwortung in Ihrem Produkt ein. Das EU-KI-Gesetz weist sowohl Anbietern als auch Betreibern Pflichten zu, und Ihre Pflichten entfallen nicht, weil das Modell einem anderen gehört.
Dies gilt gleichermaßen, wenn Sie Anthropics Claude, Googles Gemini, Mistral, Cohere oder ein anderes KI-Modell eines Drittanbieters über eine API nutzen.
Was für Sie gilt
Transparenz nach Artikel 50 (für nahezu jeden SaaS-Anbieter, der KI einsetzt, verpflichtend)
Wenn Ihr Produkt eines der folgenden Merkmale aufweist, müssen Sie Nutzer darüber informieren:
Chatbot oder konversationelle KI (Artikel 50 Absatz 1): Nutzer müssen wissen, dass sie mit einer KI interagieren, bevor das Gespräch beginnt. Ein sichtbarer Hinweis in der oder oberhalb der Chat-Oberfläche. Nicht in Ihren Nutzungsbedingungen. Nicht in einem Hilfeartikel. In der Benutzeroberfläche, am Ort der Interaktion.
KI-generierter Text, Bilder, Audio oder Video (Artikel 50 Absatz 2): Ausgaben müssen in einem maschinenlesbaren Format als KI-generiert gekennzeichnet werden. Fügen Sie data-ai-generated="true" zum umschließenden Element hinzu. Wenn Ihr Produkt Bilder oder Videos generiert, ist C2PA-Metadaten der sich herausbildende Standard.
Deepfakes (Artikel 50 Absatz 4): Wenn Ihr Produkt Bilder oder Videos erstellt oder verändert, die reale Personen zeigen, muss der Inhalt einen sichtbaren und maschinenlesbaren Hinweis enthalten.
Emotionserkennung oder biometrische Kategorisierung (Artikel 50 Absatz 3): Wenn Ihr Produkt Gesichtsausdrücke oder Stimmlagen analysiert oder Nutzer anhand biometrischer Daten kategorisiert, müssen Sie Nutzer vor Beginn der Verarbeitung informieren und ihre Kenntnisnahme einholen.
Die meisten SaaS-Produkte, die die OpenAI-API nutzen, fallen in Kategorie 1 (Chatbot) oder Kategorie 2 (generierte Inhalte) oder in beide. Die Umsetzung dieser Hinweispflichten erfordert Stunden, nicht Wochen.
Prüfung auf Hochrisikoanwendungen gemäß Anhang III (abhängig von Ihrem Anwendungsfall)
Der API-Aufruf selbst ist kein Hochrisikosystem. Entscheidend ist, was Ihr Produkt mit der Ausgabe macht. Wenn Ihr SaaS GPT einsetzt, um:
- Stellenbewerber zu prüfen oder Lebensläufe zu bewerten (Anhang III, 4(a)): Hochrisiko
- Kreditwürdigkeit zu beurteilen oder Versicherungsprämien festzusetzen (Anhang III, 5(b)): Hochrisiko
- Patienten zu triagieren oder bei der medizinischen Diagnose zu unterstützen (Anhang III, 1(a)): Hochrisiko
- Entscheidungen über den Zugang zu Bildung zu treffen (Anhang III, 3(a)): Hochrisiko
- Strafverfolgungsbehörden bei der Profilerstellung zu unterstützen (Anhang III, 6): Hochrisiko
Wenn Ihr Anwendungsfall in dieser Liste aufgeführt ist, haben Sie als Betreiber eines Hochrisiko-KI-Systems entsprechende Pflichten. Das bedeutet: menschliche Aufsicht, Protokollierung, Überwachung, Meldung von Vorfällen und gegebenenfalls eine Grundrechte-Folgenabschätzung.
Wenn Ihr Produkt GPT zur Inhaltsgenerierung, Zusammenfassung, Übersetzung oder für den Kundensupport nutzt und die Ausgabe keine autonomen Entscheidungen über Rechte von Personen steuert, befinden Sie sich wahrscheinlich nicht im Hochrisikobereich. Transparenz nach Artikel 50 ist Ihre primäre Pflicht.
Aufzeichnungspflichten
Artikel 26 Absatz 6 verpflichtet Betreiber von Hochrisiko-KI-Systemen, die vom System erzeugten Protokolle mindestens 6 Monate lang aufzubewahren. Auch wenn Sie kein Hochrisikosystem betreiben, ist die Aufzeichnung Ihrer KI-Interaktionen empfehlenswert. Wenn eine Aufsichtsbehörde oder ein Unternehmenskunde fragt, wie Ihre KI-Funktionen funktionieren, müssen Sie eine Dokumentation vorlegen können.
Was OpenAI übernimmt und was Sie übernehmen
OpenAI als Modellanbieter übernimmt:
- Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (Artikel 51 bis 56)
- Bewertung systemischer Risiken, sofern das Modell die Voraussetzungen erfüllt (Artikel 55)
- Technische Dokumentation des Modells selbst
- Meldung schwerwiegender Vorfälle im Zusammenhang mit dem Modell
Sie als Betreiber übernehmen:
- Transparenzhinweise in der Benutzeroberfläche Ihres Produkts
- Klassifizierung gemäß Anhang III für Ihren spezifischen Anwendungsfall
- Menschliche Aufsicht und Überwachung
- Protokollierung und Aufzeichnung
- Meldung von Vorfällen in Ihrem Einsatzbereich
- Grundrechte-Folgenabschätzung, sofern zutreffend
- Beantwortung von Anfragen von Kunden und Aufsichtsbehörden zu Ihrer Compliance
Die Veröffentlichung von Modellkarten und Systemdokumentation durch OpenAI erfüllt nicht Ihre Betreiberpflichten. Sie benötigen eine eigene Compliance-Dokumentation, die speziell auf die Nutzung des Modells in Ihrem Produkt zugeschnitten ist.
Implementierungs-Checkliste
- Prüfen Sie Ihre KI-Funktionen. Listen Sie alle Stellen auf, an denen Ihr Produkt die OpenAI-API aufruft. Notieren Sie, was die Eingabe ist, was die Ausgabe ist und wie Nutzer sie sehen.
- Fügen Sie Hinweise nach Artikel 50 hinzu. Fügen Sie für jede KI-Funktion den entsprechenden Transparenzhinweis in Ihre Benutzeroberfläche ein. Chatbot-Hinweis für konversationelle Funktionen. KI-generierte Kennzeichnungen für Inhaltsausgaben. Dies ist einfaches Kopieren und Einfügen.
- Führen Sie die Anhang-III-Prüfung durch. Prüfen Sie für jede KI-Funktion, ob der Anwendungsfall in Anhang III aufgeführt ist. Wenn ja, haben Sie zusätzliche Betreiberpflichten. Wenn nein, sind Sie nach der Transparenzpflicht fertig.
- Dokumentieren Sie alles. Verfassen Sie eine einseitige Zusammenfassung Ihrer KI-Funktionen, Ihrer Klassifizierungsbegründung und der von Ihnen umgesetzten Hinweispflichten. Das ist es, was Sie Unternehmenskunden und Aufsichtsbehörden vorlegen.
- Richten Sie ein Monitoring ein. Entscheiden Sie, wie Sie KI-Vorfälle erkennen und darauf reagieren. Für die meisten SaaS-Anbieter bedeutet das: KI-Interaktionen protokollieren und einen Prozess zur Meldung schwerwiegender Vorfälle einrichten.
Die Frist
- August 2026. Die Transparenzpflichten nach Artikel 50 und die Betreiberpflichten für Hochrisikosysteme werden an diesem Datum durchsetzbar. Sie haben noch 60 Tage.
Der Implementierungsaufwand für einen typischen SaaS-Anbieter, der die OpenAI-API nutzt, ist gering. Die Transparenzhinweise sind an einem Tag umgesetzt. Die Klassifizierung nimmt eine Stunde in Anspruch. Die Dokumentation erfordert einen Nachmittag. Jetzt zu handeln kostet fast nichts. Nach Beginn der Durchsetzung kostet jede Woche Verzögerung Ihre Vertriebspipeline.
Ressourcen
Open-Source-Compliance-Checkliste mit Disclosure-Code nach Artikel 50 und Anhang-III-Klassifizierer: github.com/GatisOzols/eu-ai-act-checklist
EU-KI-Gesetz-Audit mit festem Leistungsumfang für SaaS, 997 EUR, 5 Werktage: disclos.eu/audit
Last updated: 2026-06-04