KI & Recht

EU AI Act für Gründer:innen und Soloselbständige: Pflichten, Fristen und was du jetzt tun musst

24. März 2026 6 Min. Lesezeit von Annette Schneider-Desgranges

Der EU AI Act gilt auch für dich — und die ersten Verbote sind seit Februar 2025 in Kraft. Was du als Gründerin oder Soloselbständige:r wirklich wissen und tun musst.

Seit Februar 2025 sind die ersten verbotenen KI-Praktiken des EU AI Acts in Kraft. Viele Gründer:innen und Soloselbständige wissen das noch nicht — oder fragen sich: Betrifft mich das überhaupt?

Die Antwort ist Ja. Aber die eigentlich wichtige Botschaft kommt gleich.

Rechtlicher Hinweis: Dieser Artikel ist eine persönliche Zusammenfassung öffentlich zugänglicher Gesetzestexte, insbesondere der Verordnung (EU) 2024/1689. Er stellt keine Rechtsberatung dar. Für verbindliche rechtliche Einschätzungen wende dich an eine zugelassene Rechtsberatung. Aktueller Stand: EUR-Lex.

Anbieter oder Betreiber — in welche Rolle fällst du?

Das Gesetz unterscheidet zwei Hauptrollen:

KI-Anbieter (Provider) entwickeln KI-Systeme — zum Beispiel OpenAI (ChatGPT), Anthropic (Claude) oder Adobe (Firefly). Als Gründerin oder Soloselbständige:r bist du das in den allermeisten Fällen nicht.

KI-Betreiber (Deployer) nutzen fertige KI-Systeme für ihre Geschäftstätigkeit. Wenn du ChatGPT für Texte, Canva AI für Grafiken oder ein KI-Tool für Social Media verwendest — dann bist du Betreiber.

Als Betreiber hast du deutlich weniger Pflichten als ein Anbieter. Das ist die eigentlich wichtige Botschaft.

Welche KI-Tools fallen unter welches Risiko?

Der EU AI Act bewertet KI-Anwendungen nach Risikostufe. Entscheidend ist dabei nicht nur das Tool selbst, sondern vor allem der konkrete Anwendungskontext bzw. Use Case.

Kurz zusammengefasst:

Verboten: Heimliche Manipulation, Social Scoring, gezielte Ausnutzung von Schwachstellen (z. B. bei Kindern oder älteren Menschen)
Hochriskant: KI-Systeme für Personalentscheidungen, Kreditvergabe, Medizin, kritische Infrastruktur oder biometrische Identifikation
Begrenzt riskant: Systeme mit Transparenzpflichten, z. B. Chatbots oder KI-generierte Inhalte
Minimal riskant: Viele alltägliche KI-Anwendungen wie Textassistenz, KI-Bildbearbeitung oder Spam-Filter

Wichtig: Die Risikoeinstufung bezieht sich häufig auf die konkrete Nutzung. Ein Tool wie ChatGPT kann im Marketing minimal riskant sein, aber in einem HR- oder Kreditbewertungsprozess unter strengere Regeln fallen.

Beispiele:

ChatGPT für Blogtexte → meist minimal riskant
KI-gestützte Bewerberbewertung → potenziell hochriskant
KI-Chatbots im Kundenservice → Transparenzpflicht (Nutzer:innen müssen wissen, dass sie mit KI interagieren)

Muss ich KI-Inhalte kennzeichnen?

Normale Marketingtexte — Social-Media-Posts, Newsletter, Blogartikel — müssen nicht als „KI-generiert” gekennzeichnet werden.

Deepfakes hingegen schon: Ein KI-generiertes Bild oder Video, auf dem eine reale Person erkennbar dargestellt wird, muss als solches kenntlich gemacht werden.

Chatbots müssen sich als KI vorstellen — von Anfang an, bevor das Gespräch beginnt. Ein einfacher Satz wie „Hallo, ich bin der KI-Assistent von [dein Unternehmen]” reicht.

Vorsicht bei Dateneingaben

Was du in ein KI-Tool eingibst, verlässt deinen Computer und wird auf Servern des Anbieters verarbeitet — häufig außerhalb der EU. Das hat zwei Konsequenzen:

EU AI Act: Keine vertraulichen Geschäftsdaten (Kundenlisten, Verträge, Mitarbeiterdaten) ungefiltert eingeben. Nutze anonymisierte Beispiele oder fiktive Daten.

DSGVO: Wenn du Personendaten mit KI verarbeitest, muss das in deiner Datenschutzerklärung stehen. EU AI Act und DSGVO gelten gleichzeitig — der eine ersetzt den anderen nicht.

Checkliste — was du jetzt tun musst

KI-Inventar: Welche KI-Tools nutzt du? Name, Anbieter, Zweck. Eine kurze Notiz reicht.
Chatbot kennzeichnen: Hast du einen KI-Chatbot? Macht er deutlich, dass er eine KI ist?
Dateneingabe prüfen: Gibst du vertrauliche Kunden- oder Unternehmensdaten ein? Durch anonymisierte Beispiele ersetzen.
Datenschutzerklärung prüfen: Erwähnst du den KI-Einsatz, wenn dabei Personendaten verarbeitet werden?
KI-Grundkenntnisse nachweisen: Seit August 2025 müssen Betreiber grundlegende KI-Kompetenz sicherstellen (Art. 4).

Diese fünf Punkte klingen einfach — aber wer sie wirklich rechtssicher und nachvollziehbar umsetzen will, merkt schnell: Es gibt Fragen, die ein Artikel nicht beantworten kann.

Wie weise ich KI-Kompetenz nach, wenn ich allein arbeite?

Im Kurs KI-Kompetenz für das Marketing gehen wir genau das Schritt für Schritt durch — praxisnah, ohne Juristendeutsch, zugeschnitten auf Gründer:innen, Soloselbständige und KMUs.

Die wichtigsten Fristen

Datum	Was gilt
2. Februar 2025	Verbotene KI-Praktiken (Art. 5) — gilt bereits
2. August 2025	KI-Kompetenzpflicht (Art. 4) — gilt bereits
2. August 2026	Hochriskante KI-Systeme (Anhang I)

Aktueller Stand: EUR-Lex oder Bundesnetzagentur

Fazit

Der EU AI Act ist für Gründer:innen, Soloselbständige und KMUs kein Bürokratiemonster. Der Kern ist überschaubar: keine Manipulation, Chatbots kennzeichnen, keine vertraulichen Daten in KI-Tools — und grundlegende KI-Kenntnisse nachweisen können.

Wer das kennt und strukturiert umsetzt, ist auf der sicheren Seite.

Quellen

Europäisches Parlament & Rat der EU: Verordnung (EU) 2024/1689 — Artificial Intelligence Act
Europäische Kommission: EU AI Act — Offizielle Übersicht
Future of Life Institute: EU AI Act Explorer
Bundesnetzagentur: Informationen zur KI-Verordnung
Bundesministerium für Wirtschaft: KI-Verordnung der EU

Häufige Fragen

Muss ich meine KI-generierten Social-Media-Posts kennzeichnen?

Nein. Normale Marketingtexte, die du mit KI erstellst, müssen nicht als „KI-generiert" gekennzeichnet werden. Ausnahme: Deepfakes — also KI-generierte Bilder oder Videos, auf denen eine reale Person erkennbar dargestellt wird.

Muss ich ein Zertifikat für KI-Kompetenz nachweisen?

Nein, ein formelles Zertifikat ist nicht vorgeschrieben. Art. 4 des EU AI Acts verpflichtet Betreiber, ausreichende KI-Kenntnisse sicherzustellen — also grundlegendes Wissen über Funktionsweise und Risiken von KI. Wie das nachgewiesen wird, ist nicht festgelegt. Dokumentierte Schulungen oder Kurse sind geeignete Wege.

Gibt es Ausnahmen für KMUs?

Ja. KMU und Start-ups erhalten priorisierten und kostenlosen Zugang zu sogenannten Regulatory Sandboxes — sicheren Testumgebungen, in denen KI-Anwendungen unter Behördenaufsicht erprobt werden können. Jeder EU-Mitgliedstaat muss bis August 2026 mindestens ein solches Reallabor bereitstellen. Zusätzlich sind vereinfachte Dokumentationsformulare, reduzierte Gebühren für Konformitätsbewertungen sowie niedrigere Bußgelder vorgesehen. KMU können außerdem am AI-Beratungsforum teilnehmen und technisches Fachwissen in die Standardsetzung einbringen.

Was passiert mit meinen Daten, wenn ich etwas in ChatGPT eingebe?

Eingaben werden auf den Servern des Anbieters verarbeitet — häufig außerhalb der EU. Wenn du dabei personenbezogene Daten eingibst (z. B. Kundennamen oder E-Mail-Adressen), bist du nach DSGVO verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter abzuschließen. Viele Anbieter wie OpenAI stellen einen solchen Vertrag bereit — prüfe, ob dieser für deinen Account aktiv ist. Zusätzlich nutzen viele Anbieter Eingaben standardmäßig für das Training ihrer Modelle, sofern du dem nicht aktiv in den Datenschutzeinstellungen widersprichst. Vertrauliche Kunden- oder Unternehmensdaten gehören grundsätzlich nicht ungefiltert in KI-Tools.

Wo finde ich die aktuell gültigen Fristen des EU AI Act?

Die Fristen stehen in Artikel 113 der Verordnung (EU) 2024/1689. Aktueller Stand: eur-lex.europa.eu oder Bundesnetzagentur.

Dieser Artikel entstand mit KI-Unterstützung und wurde redaktionell überarbeitet.

Artikel teilen:

LinkedIn WhatsApp E-Mail

Autorin

Annette Schneider-Desgranges

Marketing-Expertin mit über 25 Jahren Erfahrung · Gründerin der AI Marketing LearnAgency in Karlsruhe · Dozentin · Certified KI Architect – Expertin für KI Agenten · Certified AI Marketing Innovation Leader · Certified AI Prompt Engineer.

LinkedIn Profil ansehen