KI & Automatisierung6 Min. Lesezeit · 1.201 Wörter

EU AI Act 2026 für Selbstständige & KMU: Was du mit ChatGPT, Chatbot & Automatisierung jetzt tun musst

Der EU AI Act betrifft nicht nur Tech-Konzerne. Wer ChatGPT nutzt, einen Chatbot betreibt oder Prozesse automatisiert, hat ab 2026 konkrete Pflichten. Welche das sind, welche Fristen schon laufen, was bei Verstößen droht — und eine praktische Mini-Checkliste für kleine Betriebe.

SG

Sebastian Gawlita

Webdesigner · KI-Recht & DSGVO für KMU

Aktuell geprüft· 28. Mai 2026 (vor 12 Tagen)
Cookie-BannerGoogle FontsAnalyticsConsentAV-Vertrag70 %Websites mit Defekt< 24hAntwortzeitDSGVO2026 konform

Wenn „EU AI Act“ für dich nach einem Problem von Google und OpenAI klingt, ist das verständlich — aber es stimmt nicht ganz. Die Verordnung betrifft auch den Malerbetrieb mit Chatbot auf der Website, die Praxis mit KI-Telefonassistent und die Beraterin, die ihre Texte mit ChatGPT vorschreibt. Nicht so streng wie die großen Anbieter, aber konkret genug, dass man es kennen sollte.

Die gute Nachricht vorweg: Für die meisten kleinen Betriebe ist der AI Act gut machbar. Es geht nicht um Zulassungsverfahren oder teure Audits, sondern vor allem um Transparenz und ein bisschen Hausverstand. Die schlechte Nachricht: Einige Fristen laufen bereits, und „davon wusste ich nichts“ schützt nicht.

Hier steht, was für dich als nutzenden Betrieb wirklich gilt, welche Termine zählen, und was du konkret tun solltest. In verständlichem Deutsch, nicht im Verordnungston.

Betreiber statt Anbieter: deine Rolle entscheidet

Der AI Act unterscheidet vor allem zwei Rollen, und das ist für dich die wichtigste Weichenstellung.

Anbieter sind die, die KI-Systeme entwickeln und auf den Markt bringen — OpenAI, Google, die Hersteller der Tools. Für sie gelten die strengen Pflichten.

Betreiber sind die, die ein KI-System im Rahmen ihrer Tätigkeit einsetzen. Das bist du, sobald du einen Chatbot auf deine Seite stellst, einen KI-Telefonassistenten nutzt oder Prozesse mit KI automatisierst. Betreiber haben deutlich weniger Pflichten als Anbieter — aber eben nicht null.

Diese Unterscheidung nimmt schon viel Druck raus: Als kleiner Betrieb baust du die KI nicht, du nutzt sie. Damit bist du fast immer auf der leichteren Seite der Verordnung.

01.08.2024

EU AI Act in Kraft getreten — Pflichten greifen gestaffelt

Verordnung (EU) 2024/1689

02.02.2025

KI-Kompetenz-Pflicht & Verbot bestimmter Praktiken aktiv

EU AI Act, Art. 4 & 5

02.08.2026

Transparenzpflichten für KI-Interaktion greifen

EU AI Act, Art. 50

Betreiber

diese Rolle haben KMU fast immer — mit eigenen Pflichten

EU AI Act, Begriffsbestimmungen

Die Fristen, die für KMU zählen

Der AI Act tritt gestaffelt in Kraft. Die meisten Termine betreffen Anbieter oder Hochrisiko-Systeme. Für dich als nutzenden Betrieb sind zwei Daten wichtig.

Seit 2. Februar 2025: KI-Kompetenz. Betriebe müssen dafür sorgen, dass die Personen, die in ihrem Auftrag mit KI arbeiten, ausreichende Kenntnisse dafür haben. Diese Pflicht läuft bereits. Sie klingt größer, als sie für KMU ist — dazu gleich mehr.

Ab 2. August 2026: Transparenzpflichten. Systeme, mit denen Menschen direkt interagieren, müssen erkennbar machen, dass eine KI im Spiel ist. Das betrifft Chatbots und Telefonassistenten direkt. Auch die Kennzeichnung KI-generierter Inhalte gehört in diesen Bereich.

Am selben Augusttermin greifen auch die Regeln für bestimmte Hochrisiko-Anwendungen. Die betreffen kleine Betriebe nur in Ausnahmefällen — am ehesten, wenn KI in der Personalauswahl eingesetzt wird. Wer das vorhat, sollte genauer hinschauen.

Die vier Risikoklassen — und wo du landest

Der AI Act sortiert KI-Anwendungen nach Risiko. Für die Einordnung deiner eigenen Nutzung ist das die nützlichste Brille.

Grobe Verteilung typischer KMU-KI-Nutzungen auf die Risikoklassen (eigene Einschätzung)
Minimales Risiko (z. B. Rechtschreibhilfe, interne Tools)68 % der Fälle
Begrenztes Risiko / Transparenzpflicht (Chatbot, KI-Inhalte)27 % der Fälle
Hohes Risiko (z. B. Bewerber-Auswahl per KI)4 % der Fälle
Verbotene Praktiken (Social Scoring u. Ä.)1 % der Fälle

Minimales Risiko. Der größte Teil der KMU-Nutzung. Rechtschreibhilfe, Textentwürfe, interne Auswertungen, Übersetzungen. Hier gibt es praktisch keine besonderen Pflichten aus dem AI Act. Die DSGVO gilt natürlich trotzdem.

Begrenztes Risiko (Transparenz). Hier landen die meisten kundengerichteten Anwendungen: Chatbots, Telefonassistenten, KI-generierte Inhalte. Die Pflicht ist die Kennzeichnung — die Leute müssen wissen, dass sie mit KI sprechen oder KI-Inhalte sehen. Mehr nicht, aber das konsequent.

Hohes Risiko. Selten bei KMU. Der praxisrelevanteste Fall ist KI in der Bewerber- und Personalauswahl. Wer so etwas einsetzt, hat echte Dokumentations- und Prüfpflichten und sollte sich beraten lassen.

Verbotene Praktiken. Dinge wie Social Scoring oder manipulative Systeme. Für normale Betriebe kein Thema — man betreibt so etwas nicht aus Versehen.

Die Einordnung ist deshalb beruhigend: Fast alles, was kleine Betriebe mit KI machen, fällt in die ersten beiden, harmlosen Klassen.

Was du konkret tun solltest

Genug Theorie. Hier die praktische Liste für einen typischen kleinen Betrieb, der KI nutzt.

1. Chatbot und Telefonassistent als KI kennzeichnen

Wenn du einen Bot oder Sprachassistenten betreibst, baue eine klare Ansage ein: „Hallo, ich bin ein automatischer Assistent.“ Das ist die zentrale Transparenzpflicht und gleichzeitig einfach umzusetzen. Bei der Gelegenheit lohnt der Blick in den Artikel zum DSGVO-konformen Chatbot, der die datenschutzrechtliche Seite abdeckt.

2. KI-generierte Inhalte transparent machen

Bei täuschend echten Bildern, Audio oder Video gilt eine Kennzeichnungspflicht. Bei redaktionellen Texten, die ein Mensch prüft und verantwortet, ist die Lage entspannter. Mein Rat: Wo KI sichtbar im Spiel ist, lieber offen damit umgehen. Transparenz kostet nichts und schafft Vertrauen.

3. Das Team grob schulen

Die KI-Kompetenz-Pflicht ist für KMU kein Zertifizierungsmonster. Es reicht in den meisten Fällen, die Leute, die KI-Tools nutzen, einmal sauber einzuweisen: Wofür nutzen wir das, wo sind die Grenzen, und — ganz wichtig — welche Daten gehören nie in ein externes KI-Tool. Eine kurze, dokumentierte Einweisung erfüllt den Zweck und schützt dich gleich vor dem nächsten Punkt.

4. Datenschutzerklärung und Verzeichnis aktualisieren

Wo KI personenbezogene Daten verarbeitet, gehört das in die Datenschutzerklärung und ins Verarbeitungsverzeichnis — mit Anbieter, Zweck und Speicherort. Das ist die Schnittstelle zur DSGVO, und es ist die Stelle, an der Aufsichtsbehörden zuerst hinschauen. Die DSGVO-Checkliste hilft, hier nichts zu vergessen.

Was bei Verstößen wirklich droht

Die Bußgeldrahmen im AI Act sind hoch — bis zu mehreren Millionen Euro oder einem Anteil am weltweiten Jahresumsatz, gestaffelt nach Schwere. Für KMU gibt es Erleichterungen, und die härtesten Strafen treffen verbotene Praktiken, die kleine Betriebe nicht betreiben.

Für die meisten KMU ist die realistischere Gefahr eine andere: die wettbewerbsrechtliche Abmahnung. Eine fehlende KI-Kennzeichnung oder eine lückenhafte Datenschutzerklärung kann von Mitbewerbern oder Verbänden abgemahnt werden — mit Kosten, die schnell im vierstelligen Bereich liegen. Wie man auf so etwas reagiert, steht im Artikel Abmahnung erhalten — was jetzt?. Auch deshalb lohnt sich Sauberkeit nicht erst wegen der ganz großen Strafen.

Der AI Act ist kein Grund, KI zu meiden

Es wäre die falsche Lehre, aus all dem zu schließen: „Dann lasse ich KI lieber ganz.“ Der AI Act verbietet dir nichts von dem, was kleine Betriebe sinnvoll mit KI tun. Er verlangt nur, es transparent und ordentlich zu tun.

Wer KI sauber einsetzt, hat sogar einen Vorteil: Vertrauen. In einer Zeit, in der viele Menschen KI mit Misstrauen begegnen, ist ein Betrieb, der offen kennzeichnet und Datenschutz ernst nimmt, im Vorteil. Compliance ist hier kein lästiges Anhängsel, sondern ein Verkaufsargument. Ob sich eine bestimmte KI-Anwendung für dich überhaupt rechnet, klärt davor die ehrliche ROI-Rechnung.

Fazit: machbar, wenn man es früh mitdenkt

Der EU AI Act betrifft auch kleine Betriebe, die KI nur nutzen. Aber die Pflichten sind überschaubar: als KI kennzeichnen, KI-Inhalte transparent machen, das Team grob einweisen, die Datenschutzerklärung sauber halten. Zwei Fristen zählen — die KI-Kompetenz seit Februar 2025 und die Transparenzpflichten ab August 2026.

Nachträglich „nachbessern“ ist immer teurer und stressiger als von Anfang an sauber zu bauen. Wer eine neue KI-Anwendung plant, sollte diese Punkte gleich mitdenken, statt sie später unter Zeitdruck nachzuziehen.

Wenn du wissen willst, ob deine KI-Nutzung sauber ist, schreib mir. Wir gehen durch, wo bei dir KI im Einsatz ist, und du bekommst eine konkrete To-do-Liste — verständlich, ohne Juristendeutsch, und mit klarer Priorität, was zuerst dran ist.

Häufige Fragen

Gilt der EU AI Act auch für mich, wenn ich KI nur nutze und nicht entwickle?
Ja. Der AI Act unterscheidet zwischen Anbietern (die KI bauen) und Betreibern (die KI einsetzen). Als kleiner Betrieb bist du fast immer Betreiber — und auch Betreiber haben Pflichten, vor allem bei Transparenz und KI-Kompetenz. Die Pflichten sind für Betreiber deutlich leichter als für Anbieter, aber sie existieren.
Muss ich meinen Chatbot wirklich als KI kennzeichnen?
Ja. Systeme, mit denen Menschen direkt interagieren, müssen so gestaltet sein, dass die Person erkennt, dass sie mit einer KI spricht — es sei denn, das ist aus dem Zusammenhang offensichtlich. In der Praxis heißt das: eine klare Ansage in der Begrüßung des Bots oder Telefonassistenten. Diese Transparenzpflicht greift ab August 2026.
Was ist diese KI-Kompetenz-Pflicht, von der alle reden?
Seit Februar 2025 müssen Anbieter und Betreiber von KI dafür sorgen, dass die Personen, die in ihrem Auftrag mit KI arbeiten, ausreichende Kenntnisse dafür haben. Für einen kleinen Betrieb heißt das nicht „teure Zertifizierung“, sondern: Die Leute, die ChatGPT oder ähnliche Tools nutzen, sollten die Grundlagen und die Grenzen kennen — etwa, dass man keine sensiblen Kundendaten hineinkopiert. Eine dokumentierte kurze Einweisung reicht in den meisten Fällen.
Was droht bei Verstößen?
Die Bußgelder im AI Act sind hoch angesetzt: bis zu mehreren Millionen Euro oder einem Prozentsatz des weltweiten Jahresumsatzes, je nach Art des Verstoßes. Für KMU gibt es Erleichterungen, und die höchsten Strafen zielen auf verbotene Praktiken, die kleine Betriebe praktisch nie betreiben. Realistischer als ein AI-Act-Bußgeld ist für die meisten KMU ohnehin eine wettbewerbsrechtliche Abmahnung wegen fehlender Kennzeichnung — auch deshalb lohnt sich Sauberkeit.
Muss ich KI-generierte Texte und Bilder auf meiner Website kennzeichnen?
Bei KI-generierten oder -bearbeiteten Inhalten, die der Information der Öffentlichkeit dienen, sieht der AI Act eine Kennzeichnungspflicht vor, besonders bei täuschend echten Bildern, Audio oder Video (Deepfakes). Bei einem klar redaktionellen Blogtext, der von einem Menschen geprüft und verantwortet wird, ist die Lage entspannter. Im Zweifel gilt: Transparenz schadet nie und schafft Vertrauen.
Wie hängt der AI Act mit der DSGVO zusammen?
Beide gelten parallel und ergänzen sich. Der AI Act regelt, wie KI-Systeme eingesetzt werden dürfen; die DSGVO regelt, wie mit personenbezogenen Daten umzugehen ist. Eine KI-Anwendung muss beide erfüllen. In der Praxis prüft man sie zusammen — wer seine DSGVO-Hausaufgaben gemacht hat, hat für den AI Act schon die halbe Arbeit erledigt.

Quellen & weiterführende Links

  1. EU AI Act — Verordnung (EU) 2024/1689Amtsblatt der Europäischen Union
  2. Europäische Kommission — AI ActEuropäische Kommission
  3. IHK — AI Act und KI-SchulungspflichtIHK Schleswig-Holstein
  4. DSK — Orientierungshilfe KI und DatenschutzDatenschutzkonferenz (DSK)
Tags#EU AI Act#KI#DSGVO#Recht#Compliance
SG

Sebastian Gawlita

Webdesigner · KI-Recht & DSGVO für KMU

Ich integriere KI in Kunden-Websites und achte dabei auf das, was Aufsichtsbehörden sehen wollen. Dieser Überblick ist aus der Praxis geschrieben, ersetzt aber keine Rechtsberatung im Einzelfall.

30 Min. Website-Check buchen →Über mich →

Das könnte dich auch interessieren

KI & Automatisierung·6 Min.

Was kostet eine KI-Automatisierung? Echte Projektpreise 2026

Konkrete Preisspannen statt „kommt drauf an“: Was eine KI-Automatisierung in der Einrichtung kostet, welche laufenden Kosten dazukommen, was den Preis treibt — und woran du ein unseriöses Angebot erkennst. Mit ehrlichen Amortisations-Beispielen für kleine Betriebe.

Lesen →
KI & Automatisierung·6 Min.

KI-Telefonassistent für Handwerker 2026: Was er wirklich kostet — und wann er sich lohnt

Verpasste Anrufe sind verlorene Aufträge. Ein KI-Telefonassistent nimmt ab, während du auf der Baustelle bist. Was die Anbieter 2026 wirklich können, was sie kosten, wo die DSGVO-Fallen liegen — und wann ein Mensch am Telefon trotzdem die bessere Wahl ist.

Lesen →
KI & Automatisierung·8 Min.

Lohnt sich KI-Automatisierung für kleine Betriebe? Die ehrliche ROI-Rechnung 2026

Keine Hype-Versprechen, sondern eine nachvollziehbare Rechnung: Wann sich KI-Automatisierung für Selbstständige und KMU wirklich auszahlt, wo der Break-even liegt, und in welchen Fällen ich aktiv abrate. Mit konkreten Use-Cases, Stundensätzen und Amortisationszeiten.

Lesen →
Datenschutz·8 Min.

Abmahnung erhalten — was jetzt? Die Erste-Hilfe-Anleitung für Selbstständige 2026

Konkreter Leitfaden, wenn eine Website-Abmahnung im Briefkasten liegt: Fristen verstehen, Unterlassungserklärung modifizieren, Schadensersatz verhandeln — und wie du das Risiko in Zukunft vermeidest. Praxiswissen aus über 40 begleiteten Fällen.

Lesen →