EU KI-Verordnung 2026: Was Solo-Selbständige und Kleinunternehmen in DACH wirklich tun müssen

Warum dieser Beitrag#

Wenn du eine Ein-Personen-Agentur in Hamburg führst, eine Freelance-Dev-Werkstatt in Wien oder eine Coaching-Praxis in Zürich und ChatGPT, Claude, Copilot oder ein anderes KI-Tool im Geschäft einsetzt, dann fällst du unter die EU KI-Verordnung. Das gilt unabhängig von deiner Mitarbeiterzahl, unabhängig vom Umsatz und unabhängig davon, ob du KI baust oder nur nutzt. Die Frage ist nicht, ob die Verordnung für dich gilt, sondern welche Teile dich heute schon treffen, welche möglicherweise verschoben werden und wie Compliance für einen Ein-Mann-Betrieb 2026 konkret aussieht.

Die meisten KI-Act-Leitfäden sind für Konzerne mit Rechtsabteilung geschrieben. Dieser Beitrag ist das Gegenteil: gedacht für den Solo-Selbständigen, der wissen muss, was er diese Woche tun soll, was er ignorieren kann und wo die echten Fristen liegen.

Keine Rechtsberatung. Die Verordnung wird gerade aktiv neu verhandelt. Für deine spezifische Situation: Datenschutz-Anwalt fragen.

Stand der Dinge: April 2026#

Die KI-Verordnung ist am 1. August 2024 in Kraft getreten. Ihre Vorschriften gelten gestaffelt, nicht alle auf einmal. Ende April 2026 sind drei Dinge gleichzeitig wahr:

1. Artikel 5 (verbotene Praktiken) und Artikel 4 (KI-Kompetenz) sind seit dem 2. Februar 2025 bindend. Keine Schonfrist mehr.
2. Die große Frist 2. August 2026 für Hochrisiko-Systeme nach Artikel 6 schwebt rechtlich. Der Digital Omnibus on AI der Europäischen Kommission (vom 19. November 2025) schlägt vor, diese Frist auf den 2. Dezember 2027 für eigenständige Systeme und 2. August 2028 für eingebettete zu verschieben. Quelle: DLA Piper Analyse zum Digital Omnibus.
3. Der politische Trilog am 28. April 2026 endete ohne Einigung. Der nächste Versuch ist für den 13. Mai 2026 angesetzt. Wenn bis zum 2. August 2026 keine Einigung erzielt und ratifiziert wird, gilt die ursprüngliche Frist wie geschrieben.

Daher die ganze Unsicherheit, die du in den Medien liest. Anwaltskanzleien sind gespalten: einige raten Mandanten, für August 2026 zu planen, andere nennen die Verschiebung "nahezu sicher". Beide raten. Die ehrliche Antwort: bereite dich vor, als ob die ursprüngliche Frist hält, weil (a) sie es könnte und (b) die Vorbereitung sich ohnehin lohnt.

Quelle für die Timeline-Mechanik: die offizielle Implementierungs-Timeline der KI-Verordnung und Holland & Knights April-2026-Analyse.

Was bereits bindend ist (und die meisten Solo-Selbständigen nicht wissen)#

Artikel 5: Verbotene Praktiken (seit 2. Februar 2025)#

Acht Kategorien von KI-Nutzung sind in der EU schlicht illegal. Die meisten Solo-Selbständigen lesen die Liste und denken "mache ich offensichtlich nicht". Trotzdem lesen:

1. Subliminale oder manipulative KI-Techniken, die Schaden verursachen.
2. Ausnutzung von Schwachstellen bestimmter Gruppen (Alter, Behinderung, soziale oder wirtschaftliche Lage).
3. Social Scoring durch öffentliche oder private Akteure mit nachteiliger Behandlung in nicht zusammenhängenden Kontexten.
4. Vorhersage kriminellen Verhaltens rein aus Persönlichkeitsprofilierung.
5. Ungezieltes Scraping von Gesichtsbildern aus dem Internet oder von Überwachungskameras.
6. Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit engen Ausnahmen).
7. Biometrische Kategorisierung zur Ableitung von Rasse, politischer Meinung, Religion, sexueller Orientierung etc.
8. Echtzeit-biometrische Fernidentifizierung durch Strafverfolgung in öffentlichen Räumen.

Quelle: Artikel 5, KI-Verordnung konsolidierter Text und die Kommissions-Leitlinien zu verbotenen Praktiken vom Februar 2025.

Die zwei, die echte Unternehmen überraschen:

• Emotionserkennung am Arbeitsplatz. Wenn du eine kleine Agentur führst und ein KI-Tool einsetzt, das "die Stimmung in Meeting-Aufnahmen analysiert, um Burnout-Risiken zu erkennen", ist das in der EU jetzt illegal, außerhalb enger medizinischer oder Sicherheitskontexte. Egal ob du 3 Mitarbeiter hast.
• Biometrische Kategorisierung nach geschützten Merkmalen. Manche Marketing-Analytics-Tools werben mit "Audience-Segmentierung nach abgeleiteten Demografien aus Fotos". Wenn diese abgeleiteten Demografien Rasse, Religion oder sexuelle Orientierung enthalten: illegal.

Artikel 4: KI-Kompetenz (seit 2. Februar 2025)#

Das ist die Pflicht, die fast kein Solo-Selbständiger kennt, und sie gilt für jeden einzelnen, der ChatGPT in der Arbeit nutzt.

Der Wortlaut: Anbieter und Betreiber von KI-Systemen müssen ein ausreichendes Maß an KI-Kompetenz ihres Personals und anderer Personen sicherstellen, die in ihrem Auftrag mit KI-Systemen umgehen, unter Berücksichtigung von technischem Wissen, Erfahrung, Ausbildung und Einsatzkontext.

Laut der offiziellen Q&A der EU-Kommission: "Wenn dein Unternehmen ein KI-Tool nutzt, bist du Betreiber. Die Pflicht macht keinen Unterschied nach Sektor, Unternehmensgröße oder Art der eingesetzten KI." Quelle: KI-Kompetenz - Fragen und Antworten, Europäische Kommission.

Für einen Solo-Selbständigen klingt "KI-Kompetenz des Personals sicherstellen" absurd: du bist das Personal. Aber die Pflicht gilt trotzdem. Konkret bedeutet sie:

• Du musst die Grenzen der von dir genutzten KI-Tools artikulieren können.
• Du musst die Grundrisiken der KI verstehen, die du im Kundeneinsatz nutzt (Halluzination, Datenabfluss, Bias).
• Du musst Kunden erklären können, was die KI tut und warum.
• Wenn du Auftragnehmer, Freelancer oder eine virtuelle Assistenz hast, die in deinem Namen KI nutzen, fallen sie unter dieselbe Kompetenzpflicht.

Die Strafe für Verstöße gegen Artikel 4 fällt unter den allgemeinen Verstoßtarif: bis zu 7,5 Millionen Euro oder 1,5 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Quelle: Latham & Watkins zu Artikel 4. Für einen Ein-Mann-Betrieb ist die obere Schranke theoretisch, aber die 1,5-Prozent-Umsatz-Formel gibt nationalen Behörden einen kalibrierten Hebel.

Die Vollstreckung von Artikel 4 greift erst voll am 2. August 2026, wenn nationale Marktüberwachungsbehörden eingerichtet sein müssen. In Deutschland teilen sich Bundesnetzagentur (Lead) und BfDI die Rolle, in Österreich Datenschutzbehörde und Telekom-Control-Kommission. Quelle: Bundesnetzagentur zur KI-Verordnung und Marktüberwachung.

Übersetzung für Solo-Selbständige: bis zum 2. August 2026 sollte dein "KI-Kompetenz-Programm" zumindest auf Papier existieren. Auch wenn es nur ein Einseiter ist, der beschreibt, welche KI-Tools du nutzt, worauf du dich selbst geschult hast und was du Kunden über KI-Beteiligung sagst: das schlägt nichts.

Was am 2. August 2026 starten sollte#

Unter der Annahme, dass die Verschiebung durch den Digital Omnibus nicht durchkommt:

Transparenzpflichten (Artikel 50)#

Gelten direkt für Betreiber und Anbieter. Die für ein Solo-Geschäft relevanten:

• Chatbots: wenn du einen KI-Chatbot auf deiner Website einsetzt, der mit Menschen interagiert, musst du offenlegen, dass sie mit einer KI sprechen. Selbst wenn "aus dem Kontext offensichtlich", wird Offenlegung empfohlen.
• KI-generierte Inhalte: jedes KI-generierte Bild, Audio oder Video, das ein "Deepfake" darstellt, muss als solches gekennzeichnet sein. Die Verordnung erlaubt künstlerische, satirische und klar kreative Ausnahmen.
• KI-generierter Text im öffentlichen Interesse (Nachrichten, Meinungsstücke) muss gekennzeichnet sein, außer der Inhalt ist redaktionell von Menschen geprüft und der Verleger übernimmt Verantwortung.

Quelle: Artikel 50, KI-Verordnung konsolidierter Text.

Für die meisten Service-Solopreneure heißt das praktisch: ein Footer-Hinweis "diese Seite nutzt KI-generierte Inhalte, wo gekennzeichnet" plus Inline-Labels auf KI-Bildern. Viele deutschsprachige Websites machen das bereits freiwillig.

Hochrisiko-Systeme (Artikel 6, Anhang III)#

Genau dieser Teil soll durch den Digital Omnibus verschoben werden. Hochrisiko umfasst KI in: HR/Recruiting-Screening, Kreditscoring, Bildungsbewertung, Medizinprodukte, kritische Infrastruktur, Strafverfolgung, Migration und demokratische Prozesse.

Für einen typischen DACH-Solopreneur ist das in genau zwei Szenarien relevant:

1. Du bist Recruiter oder nutzt KI-getriebenes CV-Screening. Das eingesetzte Tool muss nach Artikel 6 CE-gekennzeichnet sein, sobald die Vollstreckung beginnt. Du als Betreiber musst eine Grundrechte-Folgenabschätzung nach Artikel 27 durchführen.
2. Du baust ein KI-Bewertungs- oder Scoringprodukt (Sprachtests, Prüfungs-Scoring, EdTech-Assessment). Du wirst dann Anbieter eines Hochrisiko-Systems, mit Dokumentation, Daten-Governance, Post-Market-Monitoring und Konformitätsbewertungspflichten.

Außerhalb dieser Szenarien gilt Anhang III wahrscheinlich nicht für dich. Aber prüfe sorgfältig, wenn du in diesen Bereichen arbeitest: Legal-Tech, FinTech (Kreditwürdigkeitsbewertung), MedTech (Entscheidungsunterstützung), oder etwas mit öffentlicher Verwaltung.

Pflichten für GPAI-Anbieter (Artikel 53+)#

Diese gelten für Unternehmen, die Universal-KI-Modelle bauen: OpenAI, Anthropic, Google, Mistral usw. Sie gelten nicht für dich als Nutzer.

Indirekte Auswirkung: ab dem 2. August 2026 kann die Kommission Dokumentation einfordern, Bewertungen durchführen und Bußgelder gegen GPAI-Anbieter verhängen. Erwarte, dass diese Anbieter mehr Compliance-Informationen, Watermarking-Metadaten und Transparenzhinweise in ihre APIs und EULAs schieben. Für Nutzer dieser APIs ist das in den nächsten 12 Monaten primär eine Kosten-Weiterreichungsfrage. Quelle: Artikel 53 Vollstreckungs-Timeline.

Die KMU- und Start-up-Erleichterungen, die du tatsächlich nutzen solltest#

Die Verordnung nimmt kleine Unternehmen nicht aus, räumt aber konkrete KMU-freundliche Mechanismen ein. Die meisten werden untergenutzt, weil fast niemand, der über die KI-Verordnung schreibt, sich für das untere Marktsegment interessiert.

Kostenfreier Sandbox-Zugang. Artikel 57 verpflichtet jeden Mitgliedstaat, bis zum 2. August 2026 mindestens eine KI-Reallabor-Sandbox zu betreiben, mit prioritärem Zugang für KMU und Start-ups, kostenfrei. In Deutschland baut die Bundesnetzagentur das gerade auf, in Österreich die RTR, in der Schweiz (nicht EU, aber EWR-relevant) hat das EFD Interesse signalisiert. Nützlich, wenn du an irgendeinem KI-Produkt nahe der Hochrisiko-Klassifikation baust.

Leichtere Dokumentation für KMU. Die Verordnung erlaubt KMU und Start-ups "gleichwertige Dokumentation" statt der vollständigen technischen Akte einzureichen, vorbehaltlich der Genehmigung durch die nationale Behörde. Quelle: Holisticai zu KMU-Fördermaßnahmen unter der KI-Verordnung.

Keine Pflicht-Konsultation bei Grundrechte-Folgenabschätzungen. KMU sind explizit von der Konsultationspflicht beim FRIA befreit, obwohl sie ermutigt werden, sie wo möglich durchzuführen.

Verhältnismäßige Strafen. Sanktionen müssen Größe und Marktanteil des Unternehmens berücksichtigen. Eine Obergrenze von 1,5 Prozent globalem Umsatz auf 30.000 Euro Umsatz sind 450 Euro, nicht 7,5 Millionen. Nationale Behörden setzen die tatsächlichen Schwellen.

Vorbehalt: keine dieser Erleichterungen reduziert die materiellen Pflichten. Sie machen Compliance billiger und leichter, sie befreien dich nicht.

Bist du "Betreiber" oder "Anbieter"?#

Diese Unterscheidung entscheidet, welche Pflichten dich treffen. Verwirrung hier ist der häufigste Fehler bei Solo-Selbständigen, die die Verordnung lesen.

Betreiber: nutzt ein KI-System unter eigener Verantwortung. Fast jeder Solo-Selbständige ist Betreiber mehrerer GPAI-Systeme (ChatGPT, Claude, Copilot etc.).

Anbieter: entwickelt ein KI-System oder lässt eines entwickeln und bringt es unter eigenem Namen oder Markenzeichen auf den Markt.

Die Falle: wenn du ein GPAI-Modell nimmst und wesentlich modifizierst, für einen spezifischen Hochrisiko-Zweck feinabstimmst und das feinabgestimmte System unter deiner eigenen Marke an Kunden anbietest, wirst du Anbieter eines Hochrisiko-Systems. Die Schwelle für "wesentliche Modifikation" steht in Artikel 25 und wird in juristischen Kommentaren aktiv diskutiert. Eine grobe Faustregel: leichtes Fine-Tuning + gleicher Zweck = weiterhin Betreiber, schweres Fine-Tuning + neuer Zweck, besonders in Anhang-III-Kategorien = jetzt Anbieter.

Quelle: Artikel 25 zu Verantwortlichkeiten in der KI-Wertschöpfungskette.

Für einen Solo-Berater, der ChatGPT in einen Custom-GPT verpackt und Zugang verkauft: fast sicher weiterhin Betreiber, weil der zugrundeliegende Zweck Universal-Chat ist. Für einen Solo-Selbständigen, der Llama auf Bewerber-Lebensläufen feinabstimmt und "KI-gestütztes Recruiting-Screening" verkauft: wahrscheinlich Anbieter eines Hochrisiko-Systems nach Anhang III, mit allen damit verbundenen Dokumentationspflichten. Der Unterschied ist eine 100-fache Compliance-Last.

Konkrete Fünf-Punkte-Checkliste für die nächsten vier Wochen#

1. Schreibe deinen KI-Kompetenz-Einseiter. Liste jedes KI-Tool auf, das du nutzt (ChatGPT, Claude, Copilot etc.), wofür du es nutzt, welche Grenzen du verstehst und was du Kunden über KI-Beteiligung sagst. Das ist dein Artikel-4-Compliance-Nachweis. Quartalsweise aktualisieren.

2. Pruefe deine kundenseitige KI auf Artikel-50-Offenlegung. Jeder Chatbot braucht einen klaren Hinweis "du sprichst mit einer KI". Jedes KI-generierte Bild auf Social Media oder im Marketing braucht ein Label oder einen Hinweis. Die meisten Solo-Selbständigen sind hier heute nicht konform und wissen es nicht.

3. Mappe deine Tools gegen Anhang III. Wenn etwas, was du tust, Recruiting, Scoring, Bildungsbewertung, Kredit oder kritische Infrastruktur berührt, auch nur tangential, hole vor dem 2. August 2026 spezifische rechtliche Prüfung.

4. Wenn Auftragnehmer in deinem Namen KI nutzen: Subunternehmer-Klausel-Update. Artikel 4 macht dich verantwortlich für "andere Personen, die in deinem Auftrag mit KI-Systemen umgehen". Aktualisiere Freelancer-Verträge mit einem Ein-Absatz-KI-Kompetenz- und Vertraulichkeits-Klausel. Besonders relevant für VAs, Texter und Offshore-Dev-Auftragnehmer.

5. Beobachte den Trilog am 13. Mai 2026. Wenn der Digital Omnibus durchkommt, verschiebt sich die Hochrisiko-Timeline auf Dezember 2027 / August 2028 und deine Dringlichkeit sinkt. Wenn er erneut scheitert, bereite dich auf Vollstreckung am 2. August 2026 wie geschrieben vor. Quellen für den Trilog-Kalender: der offizielle KI-Verordnung-News-Feed und der Omnibus-Tracker des GDPR Register.

Was du (vorerst) ignorieren kannst#

Wenn du ein Ein-Mann-Service-Geschäft führst, das Standard-SaaS-KI-Produkte nutzt und keine KI-Modelle entwickelt, feinabstimmt oder weiterverkauft:

• Der Konformitätsbewertungsprozess nach Artikel 43 gilt nicht für dich. Der ist für Anbieter von Hochrisiko-Systemen.
• Der Post-Market-Monitoring-Plan nach Artikel 72 gilt nicht.
• Die CE-Kennzeichnungspflicht gilt nicht.
• Die volle technische Dokumentation nach Anhang IV gilt nicht.

Wenn du KI-Verordnungs-Leitfäden liest, die für Konzerne geschrieben sind, und dich erschlagen fühlst: das meiste, was sie behandeln, ist genuin nicht dein Problem. Artikel 4 + Artikel 5 + Artikel 50 Offenlegung decken 90 Prozent deiner echten Exposition ab.

Die ehrliche Zusammenfassung#

Für einen DACH-Solo-Selbständigen im April 2026 ist die KI-Verordnung überwiegend eine Papierhygiene-Übung, keine existenzielle Bedrohung. Die zwei bindenden Stücke (verbotene Praktiken, die du sehr wahrscheinlich versehentlich bereits einhältst, und KI-Kompetenz, die du wahrscheinlich nicht einhältst) sind billig zu adressieren mit einem Einseiter und einem Auftragnehmer-Klausel-Update. Die großen Hochrisiko-Pflichten sind entweder eng anwendbar oder werden gerade verschoben.

Das praktische Risiko ist nicht die Obergrenze von 7,5 Millionen Euro. Es ist, Artikel 4 zu verschlafen, eine Beschwerde von einem unzufriedenen Kunden oder Auftragnehmer zu kassieren und als Präzedenzfall zu enden, an dem die Bundesnetzagentur oder RTR Ende 2026 ein Exempel statuiert. Dieses Ergebnis ist mit einem Nachmittag Papierkram vermeidbar.

Mach den Nachmittag Papierkram.

Quellen#

EU-Primärquellen

• KI-Verordnung konsolidierter Text - Artikel 4 (KI-Kompetenz)
• KI-Verordnung konsolidierter Text - Artikel 5 (verbotene Praktiken)
• KI-Verordnung konsolidierter Text - Artikel 25 (Verantwortlichkeiten in der Wertschöpfungskette)
• KI-Verordnung konsolidierter Text - Artikel 50 (Transparenz)
• KI-Verordnung Implementierungs-Timeline
• Vollstreckung von Kapitel V unter der KI-Verordnung
• Leitfaden für kleine Unternehmen zur KI-Verordnung
• Europäische Kommission - KI-Kompetenz Q&A
• Europäische Kommission - Leitlinien zu verbotenen KI-Praktiken
• Bundesnetzagentur - Verbotene Praktiken nach KI-Verordnung

Digital Omnibus und Trilog-Verfolgung

• DLA Piper - Digital AI Omnibus und vorgeschlagene Hochrisiko-Verschiebung
• Holland & Knight - US-Unternehmen und die August-2026-Compliance-Frist
• EU-Rat einigt sich auf Position zur KI-Verordnung (März 2026)
• GDPR Register - KI-Verordnung 2026 Compliance Tracker

Unabhängige juristische Analyse

• Latham & Watkins - Pflichtschulungen und verbotene Praktiken
• Holisticai - KMU-Fördermaßnahmen unter der KI-Verordnung
• Delbion - KI-Verordnung Verschiebung 2027 und Artikel 4 in 2026
• Delbion - KI-Verordnung KMU-Compliance-Leitfaden
• Travers Smith - Artikel 4 KI-Kompetenz-Erwägungen
• Noerr - Artikel 4 Pflichten und Chancen für Unternehmen
• Privacy Needle - Warum kleine Start-ups nicht ausgenommen sind
• Future of Privacy Forum - Rote Linien unter der KI-Verordnung
• aiacto - KI-Verordnung KMU-Compliance vor August 2026