Leitfaden 2025/2026

EU AI Act
Was Soloselbstständige und kleine Teams
jetzt wissen müssen

Ein Compliance-Leitfaden für KMU und Soloselbstständige unter 10 Mitarbeiter in Deutschland, die KI bereits nutzen, nutzen wollen oder Handlungsbedarf sehen.

Du nutzt ChatGPT, Copilot oder KI in deiner Buchhaltung? Seit Februar 2025 gelten neue Pflichten — auch für Einzelunternehmer. Keine Panik: Das ist alles machbar. Dieser Leitfaden zeigt dir in 5 Minuten, was du wissen musst und was du konkret tun kannst.

Zum Zeitplan → Zur Checkliste
💡 FÖRDERTIPP
Bis zu 90 % staatliche Förderung für KI-Schulung und -Implementierung — iuvaris.de

⚖️ Dieses Dokument ersetzt keine Rechtsberatung. Für individuelle rechtliche Fragen wende dich an einen Datenschutzbeauftragten oder Rechtsanwalt.

Kapitel 1

Für wen gilt der EU AI Act?

Die wichtigste Unterscheidung: Betreiber vs. Anbieter

Der EU AI Act (Verordnung EU 2024/1689) unterscheidet zwei zentrale Rollen:

ANBIETER (Provider)

Wer KI entwickelt und vermarktet.
→ OpenAI, Google, Anthropic, Microsoft, Mistral

BETREIBER (Deployer) = DU

Wer KI beruflich nutzt (Art. 3 Nr. 4).
→ Jeder Selbstständige oder KMU, der ChatGPT, Copilot & Co. geschäftlich einsetzt

Du denkst, du bist „nur Nutzer"? Rechtlich bist du Betreiber — mit eigenen Pflichten. Ausgenommen ist lediglich die rein private Nutzung (Art. 2 Abs. 10). Dieser Leitfaden fokussiert sich auf deine Pflichten als Betreiber.

Zeitplan: Ab wann gilt was?

Der EU AI Act tritt stufenweise in Kraft. Einiges gilt bereits — anderes kommt erst noch.

1. August 2024

Formelles Inkrafttreten der KI-Verordnung

Die Verordnung (EU) 2024/1689 wurde im Amtsblatt veröffentlicht und ist formell in Kraft. Die meisten Pflichten gelten jedoch erst zu späteren Zeitpunkten.

2. Februar 2025 ✅ GILT BEREITS

KI-Kompetenzpflicht (Art. 4) + Verbotene Praktiken (Art. 5)

Art. 4 — KI-Kompetenz: Alle Betreiber müssen sicherstellen, dass Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das umfasst den sachkundigen Einsatz, das Bewusstsein für Chancen und Risiken sowie den ethisch und rechtlich verantwortungsvollen Umgang mit KI (Art. 3 Nr. 56). Eine formale Zertifizierung ist nicht vorgeschrieben — aber dokumentierte Maßnahmen sind empfohlen.

Art. 5 — Verbotene Praktiken: Bestimmte KI-Anwendungen sind ab sofort verboten, z. B. Social Scoring, unterschwellige Manipulation oder biometrische Massenüberwachung.

2. August 2025 ⏳ BALD

GPAI-Modelle + Governance-Strukturen

Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (z. B. GPT, Claude, Gemini). Einrichtung nationaler Überwachungsbehörden — in Deutschland voraussichtlich die Bundesnetzagentur. Für Betreiber/Anwender: keine direkten neuen Pflichten.

2. August 2026 🔴 VOLLSTÄNDIGE ANWENDUNG

Hochrisiko-KI + Transparenz + Betreiberpflichten

Art. 6 + Anhang III: Volle Pflichten für Hochrisiko-KI-Systeme (z. B. KI in Personalentscheidungen, Kreditscoring, Bildung).
Art. 50: Transparenzpflichten — KI-generierte Inhalte (Texte, Bilder, Videos) müssen gekennzeichnet werden. Chatbots müssen sich als KI zu erkennen geben.
Art. 26: Erweiterte Betreiberpflichten — u. a. Informationspflicht an Arbeitnehmer bei Einsatz von Hochrisiko-KI am Arbeitsplatz (Art. 26 Abs. 7).

2. August 2027

Anhang-I-Systeme

Pflichten für risikoreiche KI-Systeme, die Sicherheitskomponenten von Produkten sind und unter bestehende EU-Harmonisierungsvorschriften fallen (z. B. Medizinprodukte, Maschinen).

⚡ Handlungsbedarf: Art. 4 gilt JETZT

Die KI-Kompetenzpflicht ist seit dem 2. Februar 2025 in Kraft — und sie betrifft jeden, der KI beruflich einsetzt, unabhängig von der Unternehmensgröße. Die Verordnung verlangt, dass dein Personal KI-Systeme „sachkundig einsetzen" kann und sich der „Chancen und Risiken von KI und möglicher Schäden bewusst" ist (Art. 3 Nr. 56). Das bedeutet: Schulungen müssen den technischen Umgang, die rechtlichen Rahmenbedingungen und das kritische Hinterfragen von KI-Ergebnissen abdecken. Dokumentiere, was du tust — das schützt dich im Ernstfall.

Kapitel 2

Die 4 Risikoklassen des EU AI Act

Der EU AI Act teilt KI-Systeme in vier Risikostufen ein. Je höher die Stufe, desto strenger die Pflichten.

🔴 Unzulässiges Risiko

Verboten (Art. 5)

Social Scoring, unterschwellige Manipulation, biometrische Massenüberwachung, Emotionserkennung am Arbeitsplatz. Diese Systeme dürfen nicht eingesetzt werden.

🟠 Hohes Risiko

Strenge Pflichten (Art. 6 + Anhang III)

KI für Personalentscheidungen, Kreditscoring, Bildungszugang, Strafverfolgung. Konformitätsbewertung, Risikomanagement und menschliche Aufsicht erforderlich. Ab August 2026.

🟡 Begrenztes Risiko

Transparenzpflichten (Art. 50)

Chatbots, KI-generierte Texte/Bilder/Videos, Deepfakes. Müssen als KI-erzeugt gekennzeichnet werden. Ab August 2026 Pflicht.

🟢 Minimales Risiko

Keine besonderen Pflichten

Spamfilter, Rechtschreibprüfung, Übersetzungstools, Empfehlungsalgorithmen. Die meisten Standard-KI-Anwendungen fallen hierunter.

Wo stehst du? Die meisten Soloselbstständigen und kleinen Teams bewegen sich im grünen oder gelben Bereich — ChatGPT für Texte, Canva AI für Design, Copilot für E-Mails. Aber: Die Kompetenzpflicht (Art. 4) gilt für ALLE Stufen.

KI-Tools im DSGVO-Check

Welche gängigen KI-Tools kannst du datenschutzkonform einsetzen? Ein Überblick:

Tool Serverstandort AVV verfügbar? DSGVO-konform nutzbar?
ChatGPT (OpenAI) USA Ab Team/Enterprise Nur mit AVV + richtigem Plan
Claude (Anthropic) USA Ab Team/API API mit DPA = konform; Cowork/Code nur über API
Microsoft Copilot EU möglich (Azure) Enterprise Agreement Unter Bedingungen ja
Google Gemini USA / EU Workspace Business Unter Bedingungen ja
Mistral (EU) 🇪🇺 EU (Paris) Ja, API + Platform Beste Ausgangslage als EU-Anbieter
Midjourney USA Nein Nicht konform für personenbez. Daten

⚠️ Stand: 03.04.2026 — Die Policies der Anbieter können sich jederzeit ändern. Prüfe immer die jeweils aktuellen Datenschutzrichtlinien und AVV-Bedingungen des Anbieters.
Unsicher, wie du dein Tool konform einsetzen kannst? Wir helfen →

Kapitel 3

Wo stehst du? Schnell-Check

Beantworte diese 7 Fragen ehrlich — und du weißt sofort, wo Handlungsbedarf besteht.

Nutzt du oder dein Team KI-Tools beruflich? Ja → weiter · Nein → nur Art. 4 beachten
Gibt es eine schriftliche interne KI-Richtlinie? Ja ✓ · Nein ⚠️
Wurden KI-Schulungen durchgeführt und dokumentiert? (Art. 4) Ja ✓ · Nein 🔴
Bestehen AV-Verträge mit deinen KI-Anbietern? (Art. 28 DSGVO) Ja ✓ · Nein 🔴
Erwähnt deine Datenschutzerklärung die KI-Nutzung? Ja ✓ · Nein ⚠️
Weißt du, wo dein KI-Anbieter Daten speichert? EU ✓ · USA/Unklar ⚠️
Kennzeichnest du KI-generierte Inhalte bei Veröffentlichung? Ja ✓ · Ab 08/2026 Pflicht

Handlungsbedarf erkannt? Wir helfen dir bei der Umsetzung.

Bis zu 90 % staatlich gefördert — Erstgespräch →

Die 3 größten Risikofaktoren für Kleinstunternehmer

1. Schatten-KI

Deine Mitarbeiter nutzen ChatGPT oder andere KI-Tools — vielleicht ohne dein Wissen. Ohne interne Richtlinie gibt es keine Kontrolle, welche Daten eingespeist werden. Du als Arbeitgeber haftest trotzdem.

2. DSGVO-Verstöße durch KI-Nutzung

Kundendaten in ChatGPT eingeben = Datenübermittlung in die USA. Ohne Auftragsverarbeitungsvertrag (Art. 28 DSGVO) und ohne Rechtsgrundlage für den Drittlandtransfer (Art. 44ff. DSGVO) riskierst du Bußgelder und Abmahnungen.

3. Fehlende Dokumentation

Art. 4 verpflichtet dich seit Februar 2025 zur KI-Kompetenz. Ohne Nachweis (Schulungsdoku, interne Richtlinie) erhöht sich dein Haftungsrisiko bei KI-verursachten Schäden erheblich. Bußgelder für KMU: bis zu 7 % des Jahresumsatzes — bei 200.000 € Umsatz also bis zu 14.000 €.

Kosten der Untätigkeit

Wer jetzt nicht handelt, verliert doppelt: Compliance-Risiko und Wettbewerbsnachteil.

48 %

der Großunternehmen nutzen bereits KI

Destatis 2024

17 %

der kleinen Unternehmen nutzen KI

Destatis 2024

24,6

Arbeitstage/Jahr gehen für Bürokratie drauf

KfW-Mittelstandspanel 2025

KI zieht auch bei den Kleinen ein. 82 % der KMU arbeiten noch überwiegend manuell (Bitkom 2024). In Zukunft gibt es zwei Arten von Unternehmen: die, die KI nutzen — und die, die keine Aufträge mehr bekommen.

Kapitel 4

Compliance-Checkliste: So wirst du konform

7 konkrete Schritte — von „muss sofort" bis „demnächst empfohlen".

01

KI-Inventar erstellen

Welche KI-Tools nutzt du und dein Team? Wo fließen Daten hin? Erstelle eine einfache Liste aller genutzten KI-Anwendungen mit Zweck und Datenfluss.

02

Risikoklasse bestimmen

Ordne jedes Tool einer Risikoklasse zu (→ Kapitel 2). Die meisten Standard-Tools fallen unter „minimal" oder „begrenzt". Hochrisiko betrifft z. B. KI in Personalentscheidungen.

03

KI-Schulung dokumentieren GILT SEIT FEB 2025

Art. 4 EU AI Act: Stelle sicher, dass du und dein Team über KI-Kompetenz verfügen. Dokumentiere Teilnehmer, Datum, Inhalte. Die Schulung muss den sachkundigen Einsatz, rechtliche Rahmenbedingungen und das kritische Hinterfragen von KI-Ergebnissen abdecken.

04

AV-Verträge prüfen und abschließen

Art. 28 DSGVO: Mit jedem KI-Anbieter, der personenbezogene Daten verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag. Die großen Anbieter (OpenAI, Google, Microsoft) bieten diese online an — aber oft erst ab bestimmten Plänen (→ Tabelle Kapitel 2).

05

Datenschutzerklärung aktualisieren

Wenn du personenbezogene Daten über KI-Tools verarbeitest, muss deine Datenschutzerklärung das transparent machen: Welche Tools, welcher Zweck, wo werden Daten verarbeitet.

06

Interne KI-Richtlinie erstellen

Lege fest: Welche Tools sind erlaubt? Welche Daten dürfen eingegeben werden (keine Kundendaten in Free-Pläne!)? Wer ist verantwortlich? So schützt du dich vor Schatten-KI.

07

KI-generierte Inhalte kennzeichnen AB AUG 2026

Art. 50 EU AI Act: Wenn du KI-Texte, -Bilder oder -Videos veröffentlichst, müssen diese als KI-erzeugt erkennbar sein. Chatbots müssen sich als KI zu erkennen geben. Jetzt schon empfohlen.

⚡ Was KI heute schon für dich tun kann

Compliance ist Pflicht — aber KI kann viel mehr als nur Regeln erfüllen. Hier ist, was dein Wettbewerb bereits nutzt:

  • Content-Erstellung: Blog, Social Media, Newsletter — 5–10 Stunden/Woche gespart
  • Rechnungen & Mahnwesen: Automatisch erstellen, versenden, nachfassen — 3–5 Stunden/Woche
  • E-Mail-Management: Vorqualifizierung, automatische Antworten, Sortierung — 3–5 Stunden/Woche
  • Marketing-Automatisierung: Leads generieren, Funnels steuern, Anzeigen optimieren
  • Kundenservice: KI-Chatbots auf der Website, FAQ-Automatisierung, 24/7 Erreichbarkeit
  • Projektmanagement: Angebote, Onboarding, Follow-ups, Protokolle — alles automatisierbar

Dein Wettbewerb spart bereits 10+ Stunden pro Woche.
Du auch?

Dein nächster Schritt

Du musst sowieso handeln.
Warum dann nicht gleich richtig?

Die KI-Pflichten gelten bereits. Die Förderung ist da. Die Mitarbeiterschulung und KI-Act-Konformität ist in allen Leistungen mit inbegriffen. Die Frage ist nicht ob du startest, sondern wann.

SOLO-SELBSTSTÄNDIGE

KI-Bootcamp

8 Wochen, live, praxisorientiert. Woche 2: Datenschutz & Compliance (Art. 4 erledigt). Woche 3–8: Echte Workflows für dein Business.

3.000 € ab 300 €

Bis zu 90 % KOMPASS-Förderung

✓ Schulungspflicht erfüllt & dokumentiert
✓ Echte Automatisierungen gebaut
✓ KOMPASS-Zertifizierung inklusive

Förderhöhe berechnen →
KMU BIS 10 MITARBEITER

KI-Audit

Prozessanalyse, Automatisierungs-Matrix, konkreter Fahrplan. Mitarbeiterschulung und Compliance inklusive.

1.000 € ab 200 €

Bis zu 80 % BAFA-Förderung

✓ Compliance + Strategie + Umsetzungsplan
✓ Team-Schulung inklusive (Art. 4 erledigt)
✓ Dokumentation für Fördermittel

Strategie anfragen →

Kostenloses 5-Minuten-Erstgespräch

Wir prüfen, ob du förderberechtigt bist — unverbindlich und in 5 Minuten erledigt.

Jetzt anrufen →