CHRISTIAN OHLE

KW 19 / 2026

· · 3 Min Lesezeit

EU AI Act ab Mai 2026 — was Selbstständige jetzt wissen müssen

Die zweite Stufe des EU AI Act ist in Kraft. Was sich für deutsche Selbstständige und KMU konkret ändert — und welche Pflichten du heute erfüllen musst.

Hero-Image: EU AI Act ab Mai 2026 — was Selbstständige jetzt wissen müssen

Die zweite Stufe des EU AI Act ist seit Mai 2026 in Kraft — Transparenzpflichten für General-Purpose-AI und Hochrisiko-Bereiche. Für die meisten Solo-Selbstständigen heißt das: Kennzeichnung von KI-generierten Inhalten und KI-Interaktionen, plus interne Dokumentation. Quelle: EU-Kommission, Verordnung 2024/1689.

Was es konkret heißt

Der AI Act ist seit August 2024 verabschiedet, wird stufenweise angewendet:

  • Februar 2025 — Verbot bestimmter Praktiken (Social Scoring, manipulative Systeme, biometrische Massenkategorisierung)
  • Mai 2026 (aktuell) — Transparenzpflichten und Vorgaben für General-Purpose-AI (GPAI)
  • August 2026 — erweiterte GPAI-Pflichten
  • August 2027 — volle Pflichten für Hochrisiko-Systeme in regulierten Sektoren

Für die Mai-2026-Stufe sind drei Anforderungen für die meisten Berufstätigen relevant:

  1. Kennzeichnung von KI-Interaktionen. Wenn ein Mandant oder Kunde direkt mit einem KI-System spricht (z.B. Chat-Bot auf der Website, automatisierte Customer-Support-Antworten), muss das erkennbar sein.

  2. Kennzeichnung von KI-generierten Inhalten. Texte, Bilder, Audio, Video, die durch KI erzeugt wurden und als menschlich-generiert verstanden werden könnten, müssen entsprechend ausgewiesen werden.

  3. Dokumentationspflicht. Eingesetzte KI-Systeme müssen intern dokumentiert sein — welches Tool, welcher Anwendungsfall, welche Datenkategorien. Bei Hochrisiko-Systemen umfangreicher als bei normalen Anwendungen.

Warum es jetzt relevant ist

Für Solo-Selbstständige und KMU im DACH-Raum sind drei Punkte praktisch:

Du bist meistens Deployer, nicht Provider. Das senkt deine Pflichten massiv. Wer Claude oder ChatGPT nutzt, ist Deployer (Anwender). Provider ist Anthropic oder OpenAI. Provider-Pflichten (Konformitätsbewertung, technische Dokumentation, CE-Kennzeichnung) gelten nicht für dich.

Hochrisiko ist enger definiert als befürchtet. Hochrisiko-Bereiche sind klar enumeriert: kritische Infrastruktur, Bildungs-Bewertung, Personalauswahl mit automatisierter Entscheidung, Strafverfolgung. Wer als Steuerberater Claude für Recherche nutzt, fällt nicht unter Hochrisiko. Wer als Recruiter Bewerbungen automatisch filtert ohne menschliche Letztentscheidung, fällt darunter.

Praktische Compliance ist weniger Bürokratie als Klarheit. Drei Sätze Doku pro eingesetztem Tool plus ein Disclaimer bei direkter KI-Interaktion reichen für die meisten Solo-Setups. Das ist eher Kommunikation als Verwaltung.

Was du jetzt tun solltest

Verstehen — der AI Act ist nicht das Ende der KI-Nutzung, aber das Ende der unkommunizierten KI-Nutzung. Wer transparent ist, hat keinen Nachteil. Wer es verschweigt, riskiert Abmahnung.

Anwenden — drei Sofort-Schritte:

  1. Inventar machen — welche KI-Tools nutzt du? Wo verarbeiten sie Mandanten- oder Kundendaten?
  2. Disclaimer-Standardtexte auf Website, in Service-Verträgen, in Mandanten-Korrespondenz wenn KI im Spiel ist
  3. Interne Doku als simple Markdown-Tabelle: Tool, Use-Case, Datenkategorie, Provider, DPA-Status

Mehr zur DSGVO-Schnittmenge: DSGVO und KI.

Bauen — wer eigene KI-Tools baut und an Dritte verkauft, wird zum Provider. Das verlangt deutlich mehr — Konformitätsbewertung, technische Dokumentation, Risiko-Management-System. Für die meisten Side-Projects nicht relevant; für ernsthaft skaliertes Mini-SaaS schon. Wer gewerblich KI-Outputs verkauft, sollte die Anforderungen rechtlich prüfen lassen.

Meine Einschätzung

Ich sage es ungern, aber: Der AI Act ist weniger schlimm als viele befürchten. In Gesprächen mit Solo-Selbstständigen taucht oft die Sorge auf, sie müssten jetzt eine Rechtsabteilung aufbauen. Die Realität ist meist nüchterner: Drei Sätze Doku pro Tool, ein Disclaimer auf der Website, fertig. Was mich mehr besorgt als der AI Act selbst, ist die Abmahnwellen-Gefahr — nicht von Behörden, sondern von findigen Kanzleien, die DSGVO-Style-Abmahnungen auf den AI Act übertragen. Wer jetzt sauber dokumentiert, ist auf der sicheren Seite. Wer wartet, bis die erste Abmahnung kommt, zahlt deutlich mehr als drei Sätze Aufwand.

Verwandte Themen

Quellen

  • EU-Verordnung 2024/1689 (AI Act), offizieller Text und Anwendungsleitfaden
  • BfDI Stellungnahme zu AI Act Stuf
Porträt von Christian Ohle

Geschrieben von

Christian Ohle

Builder · Schmied der christianohle

Seit 2005 mit dem Web. Online-Marketing, Coding, lokale KI. Schreibt auf christianohle über Agents, MCP, lokale LLMs und Workflow-Automation — alles selbst getestet. Wöchentlicher Newsletter mit aktuellen News & Tutorials.

Newsletter Über christianohle @christianohle_de YouTube

Wöchentlich

KI-News mit Einordnung — direkt ins Postfach

News + Workflow + Tutorial. Drei Sektionen, du wählst die Tiefe.

Newsletter abonnieren