DSA & AI: Kommt ChatGPT als „VLOSE“?

Gerade an Tagen, an denen Politik und Technologie sich berühren, spürt man ein eigentümliches Ziehen: die Suche nach klaren Regeln für Dienste, die das öffentliche Gespräch formen. Die EU-Kommission sondiert nun, ob Teile von ChatGPT formal wie eine Suchmaschine behandelt werden können. Das Ergebnis könnte die Compliance-Landschaft für generative KI grundlegend verändern — und die Frage aufwerfen, wie viel Transparenz und Prävention wir von solchen Systemen erwarten dürfen.

Eine Einstufung als “Very Large Online Search Engine” bringt nicht nur einen Namen mit sich, sondern ein Bündel konkreter Pflichten. Rechtlich relevant ist die DSA-Schwelle von 45 Mio. monatlichen Nutzerinnen und Nutzern in der EU; Berichten zufolge hat OpenAI für die Suchfunktion von ChatGPT im Sechsmonatsdurchschnitt deutlich höhere Zahlen genannt. Sollte die Kommission diese Angaben akzeptieren, würde die sogenannte dsa-vlose-klassifizierung Folgewirkungen wie verpflichtende Risikoanalysen, regelmäßige Audits und erweiterte Transparenzauflagen auslösen.

“Eine Designation als VLOSE ist fallbezogen — es kommt auf Funktion und Wirkung an, nicht nur auf Branding.”

Praktisch hieße das: Anbieter müssten nachweisen, wie sie Risiken erkennen und mindern, sie müssten Forschungszugänge gewähren und die Moderation sowie Rankingentscheidungen offenlegen. Für Forschende kann das mehr Einsicht bedeuten; zugleich stellt sich die Frage nach Datenschutz und Geschäftsgeheimnissen. Entscheidend bleibt, dass die Kommission bei solchen Abwägungen methodisch vorgeht und die Grenzen zwischen Suchfunktionen und generativen Assistenzangeboten klarer zieht.

In der Debatte zeigt sich ein Grundkonflikt: Regulierung will Wirkung begrenzen, während Plattformbetreiber oft funktionale Vermischungen anführen — genau deshalb wird die Auslegung der DSA-Kategorien hier richtungsweisend sein.

Im Kern entscheidet die Messung über regulatorische Folgen. Die DSA stützt Designationsprüfungen auf veröffentlichte Plattformmetriken; die Kommission kann aber auch Verifikationen verlangen. Anbieter geben oft Kennzahlen wie “average monthly active recipients” an — bei ChatGPT kursieren für eine Funktion sechsmonatige Durchschnitte, die deutlich über der DSA-Schwelle liegen. Relevant ist, ob die EU diese Methodik anerkennt oder eigene Prüfverfahren initiiert.

Für Unternehmen heißt das: Transparenz und Nachvollziehbarkeit sind zentral. Wer Zahlen meldet, sollte erklären können, wie sie ermittelt wurden (Zählregeln, Unique Users, Messfenster). Die Kommission hat empfohlen, Mess- und Verifikationskriterien zu präzisieren; Experten raten zu standardisierten Metriken und unabhängigen Prüfungen, um Streit über Zählniveaus zu vermeiden.

Ein praktisches Problem sind funktionsübergreifende Dienste. Wenn eine Plattform sowohl generative Antworten als auch Web-Suchfunktionen anbietet, muss klar dokumentiert werden, welche Nutzer für welche Funktion gezählt werden. Sonst droht eine pauschale Designation, die über das tatsächliche Funktionsprofil hinausgeht.

Aus Compliance-Sicht sind drei Schritte empfohlen: (1) Auditfähige Metriken intern etablieren, (2) Prozesse zur Verifikation gegenüber Behörden vorbereiten, und (3) Kommunikationspläne entwickeln, falls Zahlen öffentlich korrigiert werden müssen. So bleibt die Debatte über Daten nicht nur eine juristische Frage, sondern ein operatives Thema.

Parallel zur VLOSE-Debatte hat die Kommission einen Entwurf veröffentlicht, der das Meldeverfahren für “serious AI incidents” operationalisiert. Der Entwurf nennt gestaffelte Fristen: besonders schwere, großflächige Störungen sollen binnen 2 Tagen gemeldet werden; Todesfälle innerhalb von 10 Tagen; alle anderen schweren Vorfälle binnen 15 Tagen. Eine erste unvollständige Meldung ist erlaubt, Ergänzungen können folgen.

Meldepflichtig sind primär Anbieter von High‑Risk‑AI‑Systemen; Deployers sollen Provider unverzüglich informieren. Der Leitfaden erweitert die Kausalitätsprüfung: auch indirekte Folgen, die durch nachgelagerte Entscheidungen entstehen, können meldepflichtig sein. Das weitet den Anwendungsbereich und erhöht den Bedarf an schnellen Incident‑Response‑Workflows.

Wichtig ist die Schnittstelle zu bestehendem Sektorrecht. Für Bereiche mit eigenen Meldepflichten (z. B. NIS2, DORA, Medizinprodukte‑Regelungen) soll die Guidance Doppelmeldungen vermeiden und klare Abgrenzungen vorschlagen. Dennoch bleibt in der Praxis die Abstimmung zwischen Behörden herausfordernd.

Für Unternehmen entstehen operative Pflichten: ein standardisiertes Reporting‑Template, klare Rollen (wer meldet was wann), Forensik zur Beweissicherung und abgestimmte Kommunikationspläne. Behörden können kurzfristig Maßnahmen ergreifen; daher lohnt sich ein geübter Prozess. Die angedrohten Sanktionen im AI Act können empfindlich sein, weshalb Fristwahrung und Dokumentation essenziell sind.

Was sollten Betreiber tun, während die Politik noch diskutiert? Zunächst: Funktional aufräumen. Definieren Sie klar, welche Module Ihrer Dienste als Suchfunktion gelten und welche als Assistenz. Nur mit dieser Abgrenzung lassen sich Nutzerzahlen sauber zuordnen und Compliance-Risiken berechnen.

Parallel brauchen Teams ein Incident‑Reporting‑Playbook: automatisierte Detektion, schnelle Erstmeldung (auch unvollständig), forensische Evidence‑Preservation und Eskalationsstufen. Simulieren Sie die 2/10/15‑Tagesfristen in Übungen, damit Verantwortlichkeiten sitzen. Binden Sie Rechts- und Datenschutzexpertinnen früh ein — die Balance zwischen Transparenz und Geheimhaltung ist technisch und juristisch sensibel.

Technisch empfiehlt sich Monitoring, Audit-Logs und eine dokumentierte Zählmethode für MAU‑Angaben. Organisatorisch sollten Verantwortlichkeiten (Provider vs. Deployer) geregelt und Kommunikationskanäle zu Aufsichtsbehörden vorbereitet werden. Wer sich an der Konsultation zur Guidance beteiligt, kann Einfluss auf Formulierungen nehmen — das ist kurzfristig ein strategischer Hebel.

Kurzfristig geht es nicht um Panik, sondern um Struktur: klare Metriken, geprobte Meldeprozesse und dokumentierte Governance. So lassen sich regulatorische Überraschungen in handhabbare Maßnahmen übersetzen.

Die mögliche VLOSE‑Einstufung von ChatGPT und die geplanten Meldepflichten für ernsthafte KI‑Vorfall schaffen ein neues Compliance‑Geflecht. Entscheidend sind präzise Metriken, klare Funktionstrennung und robuste Incident‑Workflows. Anbieter sollten jetzt auditfähige Prozesse aufbauen, politische Konsultationen nutzen und technische Nachvollziehbarkeit priorisieren, um Transparenz und Schutzpflichten zu verbinden.