DACH-Legal — EU AI Act und DSGVO für AI-Operator

Wer AI-Tools beruflich nutzt, kann sich nicht mehr darauf verlassen dass Legal "später mal kommt". Der EU AI Act ist seit Februar 2025 in Teilen bindend, die erste Enforcement-Welle rollt im August 2026 an. Plus DSGVO die weiter gilt. Plus das DDG (früher TMG), plus §356a BGB wenn Du Online-Verträge schliesst. Hier ist was davon für Dich als AI-Operator oder AI-nutzende Firma wirklich relevant ist — ohne Juristen-Vokabular.

Warnung

Dies ist kein Rechtsberatung. Ich bin kein Anwalt, das hier ist eine Zusammenfassung aus Recherche und aus Anwendung in eigenen Firmen. Für konkrete Fälle bitte eine AHK, eine IHK, oder einen Anwalt. Was Du hier liest sind die Fragen die Du stellen solltest.

Artikel 4 EU AI Act — AI Literacy ist Pflicht

Seit 2. Februar 2025 in Kraft. Enforcement ab 2. August 2026.

Was er verlangt: Jede Firma die AI-Systeme einsetzt muss sicherstellen dass Mitarbeiter die mit AI arbeiten, "ein ausreichendes Mass an AI-Kompetenz" haben. Das ist vage formuliert, aber die EU-Kommission hat klargestellt dass es keine Pflicht-Prüfung gibt — dokumentierte Training-Massnahmen reichen.

Was Du konkret brauchst:

• Eine schriftliche AI-Use-Policy.
• Jeder Mitarbeiter mit AI-Kontakt hat ein Training durchlaufen.
• Training-Nachweise (wer, wann, welches Modul) aufbewahrt.
• Neue Mitarbeiter bekommen das Training innerhalb der Probezeit.
• Jährliche Auffrischung.

Als Solo-Selbständiger: trifft Dich nur indirekt, über Deine Kunden. Wenn Du B2B arbeitest und Deine Kunden AI-Tools implementieren, werden sie von Dir das Nachweise-Set erwarten. Diese Kunden werden ab August 2026 darauf achten.

Artikel 5 und Risiko-Kategorien

Der AI Act unterscheidet vier Kategorien:

• Verboten (Social Scoring, unterschwellige Manipulation, biometrische Massen-Überwachung).
• High-Risk (AI in Personalauswahl, Kreditentscheidungen, kritischer Infrastruktur, Bildung wenn Prüfungen bewertet werden).
• Transparenz-pflichtig (Chatbots müssen sich als AI zu erkennen geben, Deepfakes müssen gekennzeichnet werden, AI-generierte Texte in Journalismus müssen markiert sein).
• Minimum Risk (der Rest, keine besonderen Pflichten).

Die meisten Anwendungen die Du baust sind "Transparenz-pflichtig" oder "Minimum Risk". Keine Panik, keine drohende Verboten-Kategorie.

Wichtig: wenn Du einen Chatbot auf Deiner Website betreibst, muss der Nutzer erkennen dass er mit einer AI redet. Das reicht als Label "AI-Assistent" oder "dieser Chat wird von AI beantwortet". Versteck es nicht.

DSGVO und AI — die echten Stolpersteine

DSGVO ist älter als ChatGPT, aber sie gilt trotzdem für alles was Du in Deinem AI-Tool machst. Die drei echten Fragen:

Was passiert mit Daten die in ChatGPT/Claude reingehen?

OpenAI und Anthropic bewahren Inputs und Outputs für Betriebs- und Missbrauchs-Zwecke auf. Unterschiedlich lang je nach Plan und Einstellung. Das ist eine Auftragsdaten-Verarbeitung nach DSGVO, wenn Du personenbezogene Daten reingibst.

Zwei Implikationen:

• Du musst einen AV-Vertrag (Auftragsverarbeitungs-Vertrag) mit dem Anbieter haben. Anthropic und OpenAI bieten die an, Du musst sie aber explizit ziehen.
• Du darfst sensible Daten (Gesundheit, Religion, biometrische Daten) NICHT einfach in den Standard-Tools verarbeiten. Das braucht separate Enterprise-Agreements oder eigene Modelle.

Was ist mit US-Transfer?

Die Anbieter hosten primär in den USA. DSGVO verlangt für US-Transfer Standard Contractual Clauses (SCC) oder einen Adequacy Decision. Anthropic hat SCC, OpenAI auch. Die SCCs musst Du aber nachweisen können wenn Du Daten-Anfragen bekommst.

Bei sensiblen Daten reicht SCC oft nicht (Schrems-II-Urteil). Für diese Fälle brauchst Du technische Massnahmen zusätzlich — Pseudonymisierung vor dem Reinsenden, oder EU-hosted Modelle (Mistral, Aleph Alpha) statt US-Anbieter.

Was ist mit Memory-Systemen?

Wenn Du Daten in einem externen Memory-Server speicherst (wie StudioMeyer Memory oder selbst gehostet), ist der Server-Betreiber Auftragsverarbeiter. AV-Vertrag nötig. Bei self-hosted Memory bist Du selbst verantwortlich, das heisst DSGVO-konform hosten (verschlüsselung, Zugriffs-Logs, Löschrechte).

DDG (Digitale Dienste Gesetz) — ersetzt TMG seit Mai 2024

Relevant für jeden der eine Website oder App betreibt. Die Kernpunkte:

• Impressum-Pflicht bleibt bestehen. §5 DDG statt §5 TMG, inhaltlich das Gleiche.
• Kontaktmöglichkeiten müssen "einfach" sein. E-Mail + Kontaktformular + Telefon ist Gold-Standard.
• "User-generated Content" auf Deiner Plattform: Du haftest wenn Du nicht schnell reagierst auf Meldungen über rechtswidrige Inhalte.

Für AI-Anwendungen speziell: wenn User Prompts reinschreiben die dann irgendwo veröffentlicht werden (Blog-Kommentare durch AI, Forum-Posts), gelten die Moderations-Pflichten.

§356 und §356a BGB — Widerruf bei Online-Verträgen

Wenn Du AI-Services online an Endverbraucher verkaufst (B2C), gelten die Fernabsatz-Vorschriften:

• §356 BGB: Widerruf 14 Tage nach Vertragsschluss. Ohne Begründung.
• §356 Abs. 5: Digitale Inhalte — Widerrufs-Verzicht möglich, muss aber explizit angekreuzt werden (Checkbox muss UNCHECKED starten, User setzt den Haken bewusst).
• §356a: Button-Lösung — der Kauf-Button muss eindeutig beschriftet sein ("zahlungspflichtig bestellen" oder äquivalent).

Praktische Konsequenz: wenn Du digitale Produkte verkaufst und der Kunde nach drei Tagen sagt "doch nicht", musst Du zurückzahlen, es sei denn er hat explizit auf Widerruf verzichtet und Du hast ihn darauf hingewiesen. Ein allgemeines "kein Widerruf bei digitalen Produkten" reicht nicht mehr.

Urheberrecht — was AI-generiert ist gehört eigentlich niemandem

AI-generierte Werke sind nicht urheberrechtlich geschützt, solange kein ausreichender menschlicher Anteil drin ist. Das heisst:

• Ein rein AI-geschriebenes Bild kann nicht urheberrechtlich geschützt werden.
• Ein AI-geschriebener Text, den Du nur aus dem Tool kopierst, auch nicht.
• Sobald Du nennenswert redaktionell arbeitest (Umstellen, Ergänzen, Kürzen, Fact-Check), entsteht ein schützbares Werk — aber nur Dein Anteil.

Für Agentur-Arbeit heisst das: wenn Du AI-Outputs an Kunden lieferst ohne nennenswerte Bearbeitung, kann der Kunde das Werk nicht exklusiv schützen. Das ist oft kein Problem (Marketing-Text, Präsentationen brauchen meistens keinen urheberrechtlichen Schutz), bei Software und Buchveröffentlichungen aber schon.

Meine konkreten Empfehlungen für Selbständige und kleine KMU

1. Impressum + Datenschutz + AGB auf Deiner Website — DDG + DSGVO + Widerruf-Belehrung wenn B2C.
2. AV-Verträge mit OpenAI und Anthropic ziehen (beide haben Standard-Portale dafür).
3. AI-Use-Policy schreiben (2 Seiten reicht), Mitarbeitern + Freelancern zur Unterschrift geben, unterschriebene Kopie aufheben.
4. Chatbot-Label auf jeder Web-Anwendung die AI nutzt.
5. Sensible Daten nicht in Standard-ChatGPT oder Standard-Claude. Für Gesundheit / Finanzen / Recht entweder Enterprise-Plan oder EU-hosted oder gar nicht.
6. Cookie-Banner wenn Du Analytics nutzt (Umami ist DSGVO-konform und braucht keinen Banner — gut).
7. Löschrechte dokumentieren — wie kann ein User / Kunde seine Daten bei Dir löschen lassen.

Das sind die sieben Massnahmen die 95 Prozent aller Fälle abdecken.

Was sich noch ändern wird

Die EU AI Office (europäische Aufsichtsbehörde) arbeitet noch an konkreten Leitlinien. Im Laufe von 2026 kommen:

• Konkrete Trainings-Standards für AI Literacy.
• Technische Standards für Transparenz-Kennzeichnung (wie genau muss AI als AI deklariert werden).
• Code of Practice für General-Purpose AI (wen betrifft's, wen nicht).

Halt Dich up-to-date über das EU-AI-Office-Portal oder Fachmedien wie Heise, c't oder die IHK-Newsletter.

Weiter

Wenn Du AI-Systeme für Dich oder für Kunden baust, hilft Dir Level 5 Lesson 5 Human-in-the-Loop dabei die richtigen Freigabe-Punkte einzubauen — was für "High-Risk" Systeme rechtlich zusätzlich Pflicht ist.

Und Level 6 zeigt wie Du Deine Memory-Systeme und MCP-Server selbst hostest, was für DSGVO-sensible Anwendungen oft der sauberste Weg ist.