Die ultimative Compliance-Checkliste für Solopreneur*innen und Kleinstunternehmen

Als Inhaberin oder Inhaber eines Kleinstunternehmens jonglieren Sie täglich mit unzähligen Aufgaben. Zwischen Kundenprojekten, Buchhaltung und Marketing bleibt oft kaum Zeit, den Überblick über den sich ständig wandelnden Dschungel an Gesetzen und Vorschriften zu behalten. DSGVO, GoBD, AI Act – allein die Abkürzungen können einschüchternd wirken. Doch keine Sorge: Sie müssen kein Jurastudium absolvieren, um Ihr Geschäft rechtssicher zu führen.

Dies ist Ihr praktischer Wegbegleiter. Wir haben eine umfassende Checkliste erstellt, die die wichtigsten regulatorischen Anforderungen für Solo-Selbstständige und Kleinstunternehmen entmystifiziert. Betrachten Sie es als eine strukturierte To-do-Liste, die Ihnen hilft, potenzielle Fallstricke zu erkennen und Ihr Unternehmen auf ein solides Fundament zu stellen.

Unsere fiktive Persona: Anna, die kreative Solopreneurin

Um die Themen greifbarer zu machen, begleitet uns Anna. Anna ist Grafikdesignerin und hat sich vor zwei Jahren mit einem kleinen Online-Shop für personalisierte Papeterie und Kunstdrucke selbstständig gemacht. Sie hat eine Website, versendet ihre Produkte an Privatkunden, nutzt KI-Tools für Textideen und möchte nun sicherstellen, dass sie alle wesentlichen Spielregeln beachtet.

Die unverzichtbaren Grundlagen – Ihr rechtliches Fundament

Jede unternehmerische Tätigkeit beginnt mit einigen Säulen, die nicht verhandelbar sind. Diese müssen stehen, bevor Sie an Marketing oder Skalierung denken.

Das Impressum: Ihre digitale Visitenkarte

Sobald Sie eine geschäftliche Website, einen Blog oder auch nur ein Profil in sozialen Netzwerken betreiben, unterliegen Sie der Impressumspflicht. Die gesetzliche Grundlage dafür ist seit Mai 2024 das Digitale-Dienste-Gesetz (DDG), welches das frühere Telemediengesetz (TMG) abgelöst hat. Das Impressum dient dazu, für Transparenz zu sorgen und eine schnelle Kontaktaufnahme zu ermöglichen.

Ihre Checkliste für das Impressum:

• Vollständiger Name und Anschrift: Keine Postfächer, sondern eine ladungsfähige Anschrift.
• Kontaktmöglichkeiten: Eine E-Mail-Adresse sowie eine weitere schnelle, unmittelbare Kontaktmöglichkeit (in der Regel eine Telefonnummer). Neue Vorgabe: die E-Mail-Adresse muss korrekt ausgeschrieben sein – eine Schreibweise mit firma at domain reicht genauso wenig wie ein mailto-Link und Codierung via JavaScript.
• Zusatzangaben: Je nach Rechtsform und Tätigkeit z. B. die Umsatzsteuer-Identifikationsnummer (USt-IdNr.) und die Wirtschaftsidentifikationsnummer (WIdent).
• Erreichbarkeit: Das Impressum muss von jeder Seite Ihrer Online-Präsenz mit maximal zwei Klicks erreichbar sein.

Die Datenschutz-Grundverordnung (DSGVO): Mehr als nur ein Cookie-Banner

Die DSGVO regelt den Umgang mit personenbezogenen Daten. Das betrifft praktisch jeden, denn sobald Sie auch nur ein Kontaktformular auf Ihrer Website haben, verarbeiten Sie Daten. Das Kernprinzip lautet Datensparsamkeit: Erheben und speichern Sie nur, was für den Zweck absolut notwendig ist.

Ihre Checkliste für die DSGVO:

• Datenschutzerklärung: Erstellen Sie eine umfassende, verständliche Datenschutzerklärung für Ihre Website.
• Cookie-Einwilligung: Nutzen Sie ein Cookie-Consent-Tool, das eine aktive Einwilligung einholt, bevor nicht-essenzielle Cookies gesetzt werden.
• Verzeichnis von Verarbeitungstätigkeiten (VVT): Führen Sie intern ein Dokument, das alle Prozesse auflistet, bei denen Sie personenbezogene Daten verarbeiten.
• Auftragsverarbeitungsverträge (AVV): Schließen Sie mit allen externen Dienstleistern (z. B. Newsletter-Tools, Webhoster), die für Sie Daten verarbeiten, einen AVV ab.

GoBD und revisionssichere Archivierung: Das digitale Gedächtnis Ihres Unternehmens

Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) sind das Fundament Ihrer digitalen Buchführung. Sie verlangen, dass alle steuerrelevanten digitalen Dokumente – wie Eingangs- und Ausgangsrechnungen – vollständig, nachvollziehbar und unveränderbar archiviert werden. Ein einfacher Ordner auf Ihrem Computer reicht nicht aus. Spätestens mit der Pflicht zum Empfang von E-Rechnungen ist ein GoBD-konformes Archivsystem keine Kür mehr, sondern eine unternehmerische Pflicht.

Spielregeln für Verkauf & Marketing

Wenn Sie Produkte oder Dienstleistungen anbieten und aktiv bewerben, kommen weitere wichtige Regelwerke ins Spiel.

AGB, Widerruf und Preisangaben: Klare Regeln für Ihre Kundschaft

Während Allgemeine Geschäftsbedingungen (AGB) nicht gesetzlich vorgeschrieben, aber dringend zu empfehlen sind, ist die Widerrufsbelehrung im Verkauf an Verbraucherinnen und Verbraucher Pflicht. Sie müssen klar über das 14-tägige Widerrufsrecht aufklären. Zudem verlangt die Preisangabenverordnung (PAngV), dass alle Preise als Endpreise (inkl. USt.) und inklusive aller Versandkosten transparent ausgewiesen werden.

Faires Marketing: Das Gesetz gegen den unlauteren Wettbewerb (UWG)

Das UWG sorgt für faire Spielregeln im Wettbewerb. Der für Kleinstunternehmen relevanteste Punkt ist das Verbot von unerwünschter Werbung. E-Mail-Marketing, zum Beispiel für einen Newsletter, ist nur mit einer ausdrücklichen und nachweisbaren Einwilligung der Empfangenden erlaubt. Der etablierte Standard hierfür ist das Double-Opt-in-Verfahren.

Achtung, fremde Federn: Das Urheberrecht (UrhG)

Das Urheberrecht hat zwei Seiten: Es schützt Ihre eigenen kreativen Werke (Texte, Fotos, Designs), gibt Ihnen aber auch klare Regeln für die Nutzung fremder Inhalte vor. Kaufen Sie Stockfotos? Nutzen Sie eine bestimmte Schriftart für Ihr Branding? Stellen Sie sicher, dass Sie die entsprechenden Lizenzen für die kommerzielle Nutzung erworben haben. Dies gilt auch für Website-Templates oder Code-Schnipsel.

Das Verpackungsgesetz (VerpackG): Wer versendet, muss registrieren

Wenn Sie als Erste oder Erster eine mit Ware befüllte Verpackung in Umlauf bringen, die beim Endverbraucher als Abfall anfällt, müssen Sie sich im Verpackungsregister LUCID registrieren und Ihre Verpackungsmengen bei einem dualen System lizenzieren. Das betrifft Anna direkt, da sie ihre Drucke in Versandkartons verpackt.

Die neue digitale Agenda: Aktuelle Entwicklungen

Die Digitalisierung bringt stetig neue Gesetze hervor. Drei davon sind aktuell besonders relevant.

Das Barrierefreiheitsstärkungsgesetz (BFSG) – Digitale Türen öffnen

Seit dem 28. Juni 2025 ist es so weit: Das BFSG verpflichtet die meisten Unternehmen, ihre digitalen Produkte und Dienstleistungen für Verbraucher barrierefrei zu gestalten. Betreiben Sie einen Online-Shop wie Anna, bieten eine App an oder haben eine Website zur Dienstleistungsbuchung, müssen Sie die Anforderungen erfüllen. Dazu gehören ausreichende Kontraste, Alternativtexte für Bilder und eine vollständige Tastaturbedienbarkeit Ihrer Website.

Die E-Rechnung: Ein Standard in der Umsetzung

Die Digitalisierung der Buchhaltung schreitet voran. Seit dem 1. Januar 2025 ist der Empfang von elektronischen Rechnungen (in einem strukturierten Format wie XRechnung) für alle Unternehmen im B2B-Bereich Pflicht. Sie müssen also technisch in der Lage sein, solche Rechnungen zu verarbeiten. Der Versand wird schrittweise zur Pflicht. Die Umstellung ist ein Prozess, der jetzt aktiv gestaltet werden muss.

Doch die E-Rechnung ist nur der Auslöser für eine Kette von Notwendigkeiten, die viele nicht bis zum Ende denken.

Das GoBD-konforme Archiv: das ist der Dreh- und Angelpunkt. Eine E-Rechnung im richtigen Format zu empfangen ist eine Sache. Sie dann aber so abzulegen, dass sie für 10 Jahre unveränderbar, auffindbar und maschinell auswertbar ist, eine ganz andere. Ein Ordner in einer normalen Cloud-Speicherlösung (wie Dropbox oder Google Drive) erfüllt diese Anforderung nicht.

Die Verfahrensdokumentation: Das ist die logische und zwingende Konsequenz. Sie ist das schriftliche „Drehbuch“ für das Finanzamt. In ihr wird genau beschrieben:

• Wie kommt eine Rechnung (egal ob Papier oder E-Rechnung) ins Unternehmen?
• Wer prüft sie?
• Wie wird sie freigegeben?
• In welches System wird sie überführt (Software)?
• Wie wird die Unveränderbarkeit im Archiv sichergestellt?
• Wer hat welche Zugriffsrechte?

Ohne diese Doku ist ein digitales Archiv im Falle einer Betriebsprüfung praktisch wertlos. Das ist die Brücke von der technischen Anforderung (E-Rechnung) zur prozessualen Notwendigkeit (Verfahrensdoku).

Der EU AI Act: Was Sie über Künstliche Intelligenz wissen müssen

Der AI Act der EU reguliert den Einsatz von Künstlicher Intelligenz nach einem risikobasierten Ansatz. Die gute Nachricht: Als Kleinstunternehmen sind Sie selten direkt von den strengsten Pflichten betroffen. Diese treffen primär die Entwickler von Hochrisiko-KI-Systemen. Für Sie relevant ist vor allem die Transparenzpflicht: Wenn Sie KI einsetzen, um Inhalte wie Blogartikel oder Produktbilder zu erstellen, müssen Sie dies in der Regel kenntlich machen. Wenn Anna also KI zur Inspiration für ihre Designs nutzt, sollte sie prüfen, ob eine Kennzeichnung sinnvoll oder gefordert ist.

Doch die Realität ist vielschichtiger.

Der Redaktionsbetrieb und die Schulungspflicht: Sobald Mitarbeitende involviert sind, die KI-Tools (wie ChatGPT, Midjourney, etc.) für ihre Arbeit nutzen, entsteht eine neue Verantwortungsebene für die Geschäftsführung. Es geht nicht mehr nur darum, ein KI-generiertes Bild zu kennzeichnen. Die Fragen sind:

• Urheberrecht: Welches KI-Tool wird genutzt? Erlauben die AGB des Tools die kommerzielle Nutzung der Ergebnisse? Wer haftet, wenn die KI ein urheberrechtlich geschütztes Werk nachahmt?
• Datenschutz: Geben Mitarbeitende versehentlich sensible, interne oder personenbezogene Daten in die KI-Prompts ein? Das wäre ein massiver Datenschutzverstoß.
• Qualität & Bias: Wie stellt man sicher, dass die KI-generierten Inhalte faktisch korrekt sind und keine Voreingenommenheit (Bias) reproduzieren?

Daraus leitet sich eine klare Notwendigkeit für interne Richtlinien und die Sensibilisierung der Mitarbeitenden ab. Das ist 1:1 vergleichbar mit der Einführung der DSGVO.

Kleine Praxen (Coaching, Therapie, etc.): Hier wird es besonders heikel. Diese Branchen arbeiten mit besonders schützenswerten Daten (Gesundheitsdaten, persönliche Probleme). Die Nutzung von KI ist hier ein Hochrisikospiel:

• KI für Notizen/Transkription: Absolutes No-Go, wenn nicht eine speziell für diesen Zweck zertifizierte, DSGVO-konforme und Ende-zu-Ende-verschlüsselte KI-Lösung genutzt wird. Die Daten dürften das eigene System niemals verlassen.
• KI für Marketing/Website: Weniger kritisch, aber auch hier gilt: Werden Daten aus Anfragen (z.B. „Ich habe Problem X, können Sie helfen?“) genutzt, um mit KI eine Antwort zu formulieren? Das wäre bereits die Verarbeitung sensibler Daten.

Fazit: Für diese Zielgruppe ist die wichtigste Botschaft: Extreme Vorsicht walten lassen und im Zweifel auf den Einsatz von KI in der direkten Klienten-Interaktion komplett verzichten.

IT-Sicherheit: Der oft ignorierte Unterbau

Das ist der „blinde Fleck“ vieler Kleinstunternehmen, weil es oft als reiner Kostenfaktor ohne direkten Return on Investment gesehen wird – bis es zu spät ist.

• Cloud-Dateiablage & sichere Übermittlung: Die Frage ist nicht ob Cloud, sondern welche und wie. Wo stehen die Server (Stichwort: EU/DSGVO)? Ist eine Ende-zu-Ende-Verschlüsselung Standard? Wie werden sensible Dokumente wie Angebote oder Verträge an Kunden übermittelt? Als ungeschützter Anhang einer normalen E-Mail? Das ist heute fahrlässig.
• E-Mail-Archivierung: Das ist ein eigener Kosmos. Es geht nicht nur um die GoBD-Pflicht zur Archivierung von Mails mit Rechnungscharakter, sondern auch um die DSGVO-Pflicht, andere Mails nach einer gewissen Zeit zu löschen. Ein System, das beides kann, ist für Laien schwer aufzusetzen.
• Cyber-Security-Versicherung: Sie ist kein Ersatz für Sicherheitsmaßnahmen, aber eine wichtige Absicherung für den Restrisikofall. Die spannende Frage für die Zielgruppe ist: Welche Versicherungen leisten überhaupt bei Kleinstunternehmen und welche grundlegenden Sicherheitsstandards (z.B. 2-Faktor-Authentifizierung, regelmäßige Backups) setzen sie voraus, um im Schadensfall zu zahlen?
  
• Weitere Themen:
  • Passwort-Management: Eine Banalität, aber die häufigste Einfallstür. Die Nutzung eines Passwort-Managers sollte Standard sein.
  • Regelmäßige Backups: Nicht nur haben, sondern auch regelmäßig testen, ob die Wiederherstellung funktioniert.
  • Trennug von Privat und Geschäftlich: Gerade bei Solos ein riesiges Thema. Werden private Geräte für das Geschäft genutzt, vermischen sich die Risiken.

Ein Blick auf Spezialthemen – Betrifft Sie das?

Zuletzt zwei Themen, die oft für Unsicherheit sorgen, aber nicht jeden betreffen.

Produktsicherheit – Verantwortung für Ihre Waren

Wenn Sie physische Produkte herstellen oder unter Ihrem Namen verkaufen, gelten Sie als „Inverkehrbringer“. Sie sind für deren Sicherheit verantwortlich und müssen je nach Produktgruppe Pflichten wie die CE-Kennzeichnung oder die Bereitstellung von Sicherheitshinweisen beachten. Mit der neuen EU-Produktsicherheitsverordnung (General Product Safety Regulation, GPSR) an, die in nationales Recht (wie die ProdSV) umgesetzt wurde, entsteht ein Game-Changer für Online-Shops, weil sie die Verantwortung entlang der Lieferkette neu verteilt. Insbesondere die Pflicht, einen verantwortlichen Wirtschaftsakteur in der EU zu benennen, trifft viele kleine Händler, die direkt aus Drittländern importieren oder Dropshipping betreiben. 

NIS2-Richtlinie: Cybersicherheit für kritische Sektoren

Die NIS2-Richtlinie zielt auf eine Erhöhung der Cybersicherheit ab. Die Richtlinie gilt primär für mittlere und große Unternehmen in Sektoren wie Energie, Gesundheit oder digitale Infrastruktur. Es geht jedoch nicht darum, ob das Kleinstunternehmen direkt unter NIS2 fällt, sondern ob es Teil der Lieferkette eines Unternehmens ist, das unter NIS2 fällt. Der große Kunde muss seine Cybersicherheit nachweisen und wird diese Anforderungen an seine Dienstleister – egal wie klein – weitergeben. Das Gleiche gilt für den Architekten, der Pläne für eine kritische Infrastruktur entwirft, oder den IT-Supporter, der die Systeme eines betroffenen Unternehmens wartet. Die Größe ist irrelevant, die Kundenbeziehung ist entscheidend. Das ist eine strategische Überlegung, die weit über eine reine Compliance-Checkliste hinausgeht. 

EU Data Act

Die Auswirkungen werden kommen und sind für die Zielgruppe relevant. Es geht im Kern darum, wem die Daten gehören, die von vernetzten Geräten (IoT) erzeugt werden. Beispiele dafür:

• Hotels: Daten von smarten Thermostaten, digitalen Schließsystemen oder intelligenten Fernsehern.
• Vermietungen: Daten von vernetzten Fahrzeugen oder Smart-Home-Geräten in Ferienwohnungen.
• Online-Shops: Vor allem, wenn sie selbst smarte Produkte verkaufen. Der Kunde hat dann ein Recht, auf die von diesem Produkt generierten Daten zuzugreifen und sie an Dritte (z. B. einen Reparaturservice) weiterzugeben.

Der Data Act schafft hier völlig neue Rechte und Pflichten bezüglich des Datenzugangs und der Datennutzung. Für viele Kleinstunternehmen ist das noch Zukunftsmusik, aber wer jetzt schon in vernetzte Produkte oder Dienstleistungen investiert, muss das auf dem Schirm haben.

Der digitale Nachlass 

Was passiert mit dem digitalen Unternehmen (Domains, Social-Media-Konten, Cloud-Zugänge, Kunden-Datenbanken), wenn dem Inhaber oder der Inhaberin etwas zustößt? Gerade für Solo-Selbstständige ein existenzielles Thema, das fast immer verdrängt wird. Eine geregelte Übergabe oder Abwicklung ist ohne Vorsorge unmöglich. 

---

Fazit: Keine Panik, sondern ein Plan

Die Liste der Anforderungen ist umfassend, doch lassen Sie sich nicht entmutigen. Der Schlüssel liegt darin, die für Sie relevanten Punkte systematisch anzugehen. Nutzen Sie diese Checkliste als Ausgangspunkt, um den Status quo Ihres Unternehmens zu bewerten und Schritt für Schritt die notwendigen Anpassungen vorzunehmen. Ein rechtssicheres Fundament schützt Sie nicht nur vor Abmahnungen, sondern stärkt auch das Vertrauen Ihrer Kundinnen und Kunden.

Weiter unten finden Sie eine umfangreiche Liste von Beiträgen zur Vertiefung der Themen.

Für weitere Praxistipps und regelmäßige Updates zu den Themen, die Sie als Unternehmerin oder Unternehmer wirklich bewegen, melden Sie sich für unseren Newsletter an.

Haben Sie eine spezifische Frage zu Ihrer Situation oder benötigen Sie Unterstützung bei der Umsetzung? Nehmen Sie gerne direkt Kontakt mit uns auf oder vereinbaren Sie einen unverbindlichen Termin, um Ihre Herausforderungen persönlich zu besprechen.