Tech

AI Act 2026: Was sich am 2. August für dein Kleinstunternehmen ändert (auch wenn du nur ChatGPT nutzt)

Am 2. August 2026 werden die zentralen Pflichten des EU AI Acts wirksam. Was sich für dich als Solo-Unternehmerin wirklich ändert — klar, ohne Panikmache, mit Entscheidungsbaum nach Profil.

Rechtlicher Hinweis: dieser Artikel ist eine verständliche Zusammenfassung, keine Rechtsberatung. Ich bin Entwicklerin und Solo-Unternehmerin, keine Anwältin. Für deinen konkreten Fall — insbesondere wenn du KI in sensiblen Bereichen einsetzt (Recruiting, Gesundheit, Scoring, biometrische Daten) — wende dich an eine Rechtsanwältin oder an die zuständigen Behörden: in Deutschland die Bundesnetzagentur (zentrale Koordinierung über das nationale Durchführungsgesetz KI-MIG, in Verabschiedung), die BfDI (Datenschutz und biometrische Systeme), das BSI (IT- und Cybersicherheit von Hochrisiko-KI), die BaFin (Finanzaufsicht) und das BfArM (Medizinprodukte) je nach Sektor. Die offiziellen Texte sind in den 24 EU-Amtssprachen verbindlich — der AI Act ist eine EU-Verordnung, also ohne nationale Umsetzung direkt anwendbar.

Ich baue CodingQueen40 alleine auf und nutze täglich Claude, Claude Code, ChatGPT und Bildgeneratoren (mein kompletter KI-Stack steht hier: KI-Tools für Solopreneurin — mein ehrlicher Erfahrungsbericht). Ich habe mir ein paar Tage genommen, um die offiziellen Quellen zu lesen (Europäische Kommission, AI Act Service Desk, IAPP), und daraus diesen Leitfaden gemacht. Nicht um dich zu erschrecken. Damit du genau weißt, wo du stehst und was in deinem Fall zu tun ist.

Denn der 2. August 2026 ist ein reales Datum, die Pflichten sind real, und der Lärm drumherum ist so unübersichtlich, dass die Hälfte der Frauen ab 40, die ihr Business 2026 mit einem KI-Stack aufbauen, nicht mehr weiß, ob sie sich Sorgen machen, handeln oder einfach ignorieren soll.

Was sich am 2. August 2026 wirklich ändert

Der AI Act ist am 1. August 2024 in Kraft getreten, seine Pflichten greifen jedoch in Wellen. Die große Welle, die dich betrifft, kommt am 2. August 2026. Zu diesem Datum werden drei zentrale Blöcke anwendbar.

Artikel 50 — Transparenz. Wenn du Menschen mit einem KI-System interagieren lässt (z. B. einem Chatbot), musst du es offenlegen. Für Deepfakes (Video, Audio oder Bild, die eine reale Person imitieren), die du veröffentlichst: Kennzeichnung verpflichtend, ohne Schlupfloch. Für andere KI-generierte Bilder, Videos oder Audios (ein Midjourney-Visual, ein ElevenLabs-Voice-Over über einer Landschaft, eine Blog-Illustration): das Tool selbst muss eine unsichtbare technische Markierung integrieren — du hast als Nutzerin keine Pflicht. Für veröffentlichten Text zu Themen von öffentlichem Interesse: Kennzeichnung verpflichtend, außer du hast ihn redaktionell geprüft und übernimmst die Verantwortung dafür (das ist die Ausnahme Artikel 50(4) — dazu unten mehr, sie ändert alles für Solo-Unternehmerinnen, die ihre Inhalte selbst gegenlesen).

Artikel 26 — Pflichten der Betreiber von Hochrisiko-KI-Systemen. Wenn du ein als hochriskant eingestuftes KI-System einsetzt (Recruiting, Kreditscoring, Bildungsbewertung, bestimmte biometrische Anwendungen), musst du den Anweisungen des Anbieters folgen, eine menschliche Aufsicht sicherstellen und die Qualität der Eingabedaten gewährleisten.

Regulatorische Sandboxes. Jeder Mitgliedstaat muss mindestens eine „Sandbox" mit vorrangigem Zugang für KMU und Start-ups bereitstellen, mit Schutz vor Enforcement während der gutgläubigen Testphase.

Hinweis: Ein Vorschlag namens „Digital Omnibus" sieht vor, bestimmte Hochrisiko-Pflichten zu verschieben. Stand Mai 2026 ist das nur ein Entwurf. Verlass dich nicht darauf.

Ich fasse hier die Informationen zusammen, die du brauchst. Alle Artikel und Quellen findest du am Ende dieses Beitrags.

Bist du betroffen? Die 3 Profile von Solo-Unternehmerinnen vor dem AI Act

Hier irren die meisten Artikel. Sie werfen alle Solo-Unternehmerinnen in einen Topf. Falsch. Du gehörst zu einem dieser drei Profile — und deine Pflichten ändern sich radikal je nach Profil.

Profil 1 — Persönliche Nutzerin (kein „Deployer" im Sinne des AI Acts)

Du nutzt ChatGPT, Claude oder Cursor für deine eigene Arbeit: einen Entwurf schreiben, den du überarbeitest, eine Idee brainstormen, deinen Code debuggen. Das Endergebnis geht durch deinen Kopf und deine Hände, bevor es zur Kundin oder auf deinen Blog kommt.

Du bist KEIN „Deployer" eines KI-Systems im Sinne des AI Acts. Du bist Endnutzerin eines Werkzeugs. Die Compliance-Pflicht liegt beim Anbieter des Modells (OpenAI, Anthropic, Google), nicht bei dir.

Was du konkret tun musst:

  • Nichts Spezifisches im Rahmen des AI Acts
  • Wende weiterhin deine üblichen DSGVO-Pflichten an, falls das Tool personenbezogene Daten Dritter verarbeitet
  • Halte eine schriftliche Spur deiner Kette „Idee → KI → menschliche Überarbeitung" für dein Portfolio (nicht verpflichtend, aber nützlich bei Kundenfragen)

Profil 2 — Erstellerin von veröffentlichtem KI-Inhalt (Transparenz Artikel 50)

Du nutzt KI, um Texte, Bilder, Videos oder Audio zu erzeugen, die du ohne substanzielle redaktionelle Prüfung veröffentlichst: ein zu 100 % von ChatGPT generierter Artikel, der automatisch online geht; Midjourney-Bilder ohne Bearbeitung; eine ElevenLabs-Stimme auf einem YouTube-Video; ein Deepfake.

Du fällst unter Artikel 50 — aber nicht auf gleiche Weise je nach Format.

Veröffentlichter Text zu Themen von öffentlichem Interesse: Kennzeichnung verpflichtend außer wenn du gegenliest, korrigierst und die redaktionelle Verantwortung übernimmst (Ausnahme Artikel 50(4)). Konkret: die Solo-Unternehmerin, die Claude um einen Entwurf bittet, ihn überarbeitet, ihren Standpunkt einfügt und unter ihrer Signatur veröffentlicht, ist befreit — keine Kennzeichnungspflicht für Text. Der Entwurf des Code of Practice der Kommission stellt klar: die Prüfung muss substanziell sein (keine kosmetische Korrektur) und nachvollziehbar. Führe ein internes Mindest-Journal (Datum, wer, Art der Korrekturen): genau das erlaubt es dir, die Ausnahme im Kontrollfall geltend zu machen.

Deepfakes (imitiertes Gesicht oder Stimme einer realen Person, in Bild, Audio oder Video): Kennzeichnung ohne Ausnahme verpflichtend. Die Kunst-Ausnahme für fiktionale Bilder greift nicht, sobald betrügerische Nutzung oder Irreführungsrisiko vorliegt.

Andere KI-Bilder, -Audios oder -Videos (Midjourney-Landschaft, Illustration, Voice-Over einer fiktiven Figur): keine Pflicht für dich auf Deployer-Seite. Der AI Act legt diese Pflicht den Tools selbst auf (unsichtbare technische Markierung). Kennzeichnen bleibt eine gute Praxis — vorgeschrieben ist es dir aber nicht.

Profil 3 — Betreiberin eines KI-Systems für deine Nutzerinnen

Du integrierst ein KI-Modell in ein Produkt oder eine Dienstleistung, die du Dritten anbietest: einen Chatbot auf deiner Website, ein Lead Magnet „KI-Diagnose in 5 Fragen", ein SaaS-Tool, das automatisierte Empfehlungen ausspielt, einen Agent, der für dich Kundenanfragen beantwortet.

Hier bist du im vollen Sinne „Deployer" nach AI Act. Deine Pflichten hängen von der Klassifizierung deines Systems ab: minimal, begrenzt, hoch oder inakzeptabel.

Was du konkret tun musst:

  • Inventar: liste alle KI-Systeme auf, die du für deine Nutzerinnen einsetzt
  • Klassifizierung: prüfe für jedes System, ob es in Anhang III (Hochrisiko) fällt — Recruiting, Scoring, Bildung, Biometrie, kritische Infrastruktur
  • Transparenz: deine Nutzerin muss wissen, dass sie mit einer KI interagiert (außer es ist offensichtlich)
  • Dokumentation: führe Buch darüber, wie du das System nutzt, welche Eingabedaten verwendet werden, welche menschlichen Aufsichtsentscheidungen getroffen wurden
  • Bei Hochrisiko: verstärkte Pflichten (Art. 26) — Anweisungen des Anbieters, benannte menschliche Aufsicht, Monitoring, relevante Eingabedaten

Bei den meisten Solo-Unternehmerinnen aus Profil 3 reden wir von begrenztem Risiko (Service-Chatbot, Produktempfehlung) — Transparenz reicht. Hochrisiko-Fälle sind bei Solos selten.

Das erleichterte Regime „Kleinstunternehmen" — Artikel 62 und 62a

Gute Nachricht: Wenn du der europäischen Definition des Kleinstunternehmens entsprichst (weniger als 10 Beschäftigte UND weniger als 2 Mio. EUR Jahresumsatz), gilt für dich ein erleichtertes Regime: vereinfachte Dokumentation, leichteres Qualitätssystem, vorrangiger Zugang zu nationalen Sandboxes.

Achtung: die Erleichterung betrifft die Papiere, nicht die Substanz. Wenn du ein Hochrisiko-KI-System einsetzt, muss dein System konform sein — du musst nur weniger Belege produzieren.

Artikel 62 sieht außerdem Sanktionen vor, die verhältnismäßig zu deiner Größe sind. Die in der Presse genannte Höchststrafe von 35 Mio. EUR gilt nicht für ein Kleinstunternehmen. Die Behörden berücksichtigen Größe und Ressourcen — eine vollständige Befreiung gibt es trotzdem nicht.

Was du konkret bis zum 2. August 2026 tun musst

Hier das absolute Minimum, vom Dringendsten zum weniger Dringenden.

Diese Woche: identifiziere dein dominantes Profil (1, 2 oder 3). Liste alle KI-Tools auf, die du nutzt (Claude, ChatGPT, Cursor, Midjourney, etc.) und notiere zu jedem: nur persönliche Nutzung, veröffentlichter Inhalt oder Einsatz für deine Nutzerinnen?

Bis Ende Juni: bei Profil 2, lege eine Standardformulierung „mit KI generiert" für deine Deepfakes fest (und Bonus für den Rest, wenn du willst). Bei Profil 3, erstelle dein Inventar + Klassifizierung + Transparenzplan. Wenn du dich fragst, ob dein Tool „hochriskant" ist, lautet die Antwort wahrscheinlich nein — aber dokumentiere deine Begründung.

Vor dem 2. August: lege einen Ordner „AI Act" in deiner Unternehmensdoku an (Notion, Drive — egal) mit Inventar, Klassifizierung, Hinweisen und Änderungsprotokoll. Ergänze bei Bedarf einen KI-Hinweis in deinen DSGVO-Einwilligungsformularen.

Laufend beobachten: den Digital Omnibus, die Kleinstunternehmen-Vorlagen der Kommission, die Eröffnung der nationalen Sandboxes, die Verabschiedung des KI-MIG mit der Bundesnetzagentur als zentraler Koordinierungsstelle (BfDI/BSI/BaFin/BfArM für die jeweiligen Sektoren).

Was du NICHT tun musst (die falschen Ängste)

In den letzten Wochen ist mir einiges an Quatsch begegnet. Zur Klarstellung:

  • Du musst ChatGPT nicht aufgeben für deine eigene Arbeit.
  • Du musst keinen 5 000-EUR-KI-Audit bezahlen, wenn du Solo bist und kein Hochrisiko-System einsetzt.
  • Du musst keinen Datenschutzbeauftragten einstellen, wenn du noch keinen hast (diese Position fällt unter DSGVO, nicht unter AI Act, und ist für Solos selten verpflichtend).
  • Du musst keine 35-Mio-Strafe fürchten, wenn du gutgläubig handelst, Kleinstunternehmen bist und kein Hochrisiko-System betreibst. Die Behörden wenden die in Artikel 62 vorgesehene Verhältnismäßigkeit an.

Wovor du dich aber hüten solltest: die Anbieter von „schlüsselfertiger KI-Compliance", die auf der Angst surfen. Wenn dir jemand sagt, du müsstest unbedingt seine Schulung oder seinen Audit kaufen, lies Artikel 62a, prüfe, ob du dem Kleinstunternehmens-Regime entsprichst, und behalte dein Geld für das, was dein Business wirklich voranbringt.

Meine eigene 90-Tage-Methode, um konform zu werden (ohne Panik)

Ich nutze meine Roadmap Business Tech 90 Tage Notion-Vorlage, um meine eigene Compliance zu organisieren. Phase 1: Inventar (30 Tage). Phase 2: Klassifizierung + Hinweise (30 Tage). Phase 3: Dokumentation + Meilensteine (30 Tage). Genau dieselbe Methode, die ich für jedes Solo-Business-Ziel einsetze (warum gerade die 40+ in der KI-Ära einen Vorteil haben, habe ich hier ausführlich beschrieben: Digitales Business nach 40: Warum KI 2026 alles verändert).

Wenn du dieselbe Struktur willst, hier ist die Vorlage: Roadmap Business Tech 90 Tage →.

Und wenn du die kostenlose Checkliste „AI Act Solo in 5 Fragen" willst (Veröffentlichung Ende Mai), trag dich in den Newsletter über die Tech-Neustart-Checkliste ein — ich schicke sie als Bonus an die Abonnentinnen der Sequenz.

Was du dir merken solltest

Der AI Act legt Pflichten auf, die proportional zu dem sind, was du tatsächlich mit KI machst. 84 Tage bis zum 2. August. Kurz, um fertig zu werden, lang genug, um anzufangen. Beginne diese Woche damit, deine Tools aufzulisten. Der Rest folgt von selbst.

Konsultierte offizielle Quellen

Offizieller EU-Text (Primärquelle)

Europäische Kommission und AI Office

Deutsche Behörden und Gesetzgebung

Hinweis zur Quellenreichweite — Stand 9. Mai 2026: die Bundesnetzagentur (zentrale Koordinierungsstelle KoKIVO) hat bereits eine offizielle Fachseite zu den Transparenzpflichten nach Artikel 50 veröffentlicht — sie ist die primäre deutsche behördliche Quelle für den Kerngegenstand dieses Artikels. Die Wettbewerbszentrale hat im Februar 2026 einen Leitfaden veröffentlicht, der die Ausnahme der substanziellen menschlichen redaktionellen Prüfung (Artikel 50(4)) ausdrücklich behandelt. Für die genaue Auslegung der Ausnahme 50(4) stütze ich mich zusätzlich auf den EUR-Lex Originaltext und den Code of Practice der Europäischen Kommission (zweiter Entwurf bis 30. März 2026 konsultiert, Finalisierung für Anfang Juni 2026 angekündigt).

Einzelartikel (kommentierte Lektüre)

Ergänzende Analysen

Bereit, loszulegen? Lade die kostenlose Checkliste „Tech-Neustart nach 40 starten" herunter — 10 konkrete Schritte in der richtigen Reihenfolge, mit den passenden Tools. → Checkliste kostenlos herunterladen

Weitere Guides findest du im Bereich Tech.