EU AI Act Phase 2 ab 02. August 2026: Was österreichische KMU jetzt konkret tun müssen
TL;DR
- Am 02. August 2026 wird die nächste Stufe des EU AI Act wirksam: Pflichten rund um General-Purpose-AI-Modelle (GPAI), Transparenz bei generativer KI und die ersten Governance-Anforderungen.
- Für österreichische KMU bedeutet das konkret: KI-Inventur, klare Kennzeichnung von KI-generierten Inhalten, dokumentierte Nutzungsrichtlinien, Mitarbeiter-Schulungen und Ansprechpartner.
- Nationale Anlaufstelle ist die RTR KI-Servicestelle.
- Strafen bei schweren Verstößen: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.
- Die meisten KMU fallen in die Kategorien „minimales" oder „begrenztes Risiko" — echte Pflichten sind überschaubar, Dokumentation aber nicht verhandelbar.
Warum dieser Artikel? Und was unterscheidet ihn von unserem ersten AI-Act-Post?
Unser erster AI-Act-Artikel erklärt die Risikostufen und den Gesamtaufbau. Dieser Artikel ist die Termin-fokussierte Fortsetzung: Was gilt ab 02.08.2026 konkret — und welche drei bis fünf Schritte muss ein mittelständisches AT-Unternehmen in den nächsten Wochen wirklich umsetzen?
Offizielle Quellen:
- WKO — AI Act EU
- RTR KI-Servicestelle (nationale AT-Anlaufstelle)
- iso-27001.at — AI Act Umsetzungsguide
- USP.gv.at — AI Act: Was Unternehmen jetzt wissen müssen
Der Zeitplan im Überblick
| Datum | Was gilt |
|---|---|
| 01.08.2024 | AI Act in Kraft getreten |
| 02.02.2025 | Verbotene Praktiken (Social Scoring, biometrische Fernidentifikation etc.) und allgemeine Pflichten |
| 02.08.2026 | GPAI-Pflichten, Transparenz bei generativer KI, Governance-Strukturen, Strafen |
| 02.08.2027 | Vollanwendung inklusive Hochrisiko-Systeme gemäß Anhang III |
Der 02. August 2026 ist für die meisten KMU der relevante Termin — hier greift der „Alltag" der Verordnung.
Was ändert sich konkret ab 02.08.2026?
1. Transparenzpflicht bei generativer KI (Art. 50)
Wenn Sie einen Chatbot, einen Voicebot oder ein anderes KI-System im Kundenkontakt einsetzen, müssen Nutzer eindeutig erkennen, dass sie mit einer KI kommunizieren. In der Praxis:
- Im Chatbot-Launcher oder Begrüßungstext: „Dieser Chat wird von einer KI beantwortet."
- Bei Sprachsystemen: Hinweis am Gesprächsbeginn.
- Bei KI-generierten Texten und Bildern auf der Website: Kennzeichnung als „maschinell erstellt" — insbesondere bei Pressemitteilungen, Blogartikeln, Produktbeschreibungen.
- Bei Deepfakes oder realistischen synthetischen Inhalten: verpflichtende Kennzeichnung, auch wenn sie nicht in einer regulierten Branche entstehen.
Das ist keine Empfehlung, sondern Pflicht. Nichtbeachtung fällt in die mittlere Strafkategorie.
2. GPAI-Nutzer-Pflichten
Wer Systeme wie ChatGPT, Claude, Gemini, Mistral im Geschäftsbetrieb einsetzt, ist formal ein „Deployer" nach AI Act. Die Haupt-Pflichten des Deployers:
- Zweckbindung: Einsatz nur innerhalb der vom Anbieter dokumentierten Nutzungsgrenzen.
- Menschliche Aufsicht: Niemals vollständig automatisierte Entscheidungen mit Rechtsfolgen ohne Review.
- Relevante Eingangsdaten: Keine sensiblen Personendaten oder Geschäftsgeheimnisse in öffentliche Prompts — oder saubere Enterprise-Verträge mit Anbietern in der EU-Region.
- Monitoring: Laufende Prüfung der Ergebnisse, Fehler an den Anbieter zurückmelden.
Die Anbieter (OpenAI, Anthropic, Google) müssen ab August 2026 zusätzlich technische Dokumentation, Trainingsdaten-Zusammenfassungen und Urheberrechts-Compliance öffentlich bereitstellen.
3. Governance und interne Strukturen
Jedes Unternehmen im Scope braucht:
- Benannte Ansprechperson für KI-Themen (muss kein externer Datenschutzbeauftragter sein — eine klare interne Zuständigkeit reicht).
- Schriftliche Nutzungsrichtlinie für KI-Tools im Unternehmen.
- Dokumentierte KI-Inventur: Welche KI-Tools werden in welchen Abteilungen wofür eingesetzt?
- Schulungsnachweise: Mitarbeiter, die KI im Berufskontext nutzen, müssen über Grenzen und Risiken informiert sein.
4. Strafen werden scharfgestellt
Ab 02.08.2026 sind die Strafen voll anwendbar. Die Staffelung:
| Verstoß-Kategorie | Maximal |
|---|---|
| Verbotene Praktiken (Art. 5) | 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |
| Andere AI-Act-Pflichten | 15 Mio. € oder 3 % |
| Falsche/irreführende Angaben gegenüber Behörden | 7,5 Mio. € oder 1 % |
Für KMU gibt es Ermäßigungen, aber keinen Erlass. Die Strafen sind das härtere Instrument als die DSGVO — und sie kumulieren sich mit DSGVO-Bußgeldern, wenn Personendaten betroffen sind.
Der Umsetzungsplan für österreichische KMU
Sie brauchen kein ISMS und keinen eigenen KI-Beauftragten. Realistisch für ein Unternehmen mit 20–100 Mitarbeitern reichen fünf Schritte.
Schritt 1 — KI-Inventur (1–2 Tage)
Dokumentieren Sie in einer einfachen Tabelle:
- Tool (z. B. ChatGPT Plus, Microsoft 365 Copilot, Midjourney, eigener Chatbot)
- Abteilung / Nutzerkreis
- Anwendungsfall („Kundentexte umformulieren", „Code-Reviews", „Bilder für Social Media")
- Datenarten (öffentlich, intern, personenbezogen, Geschäftsgeheimnis?)
- Anbieter-Region (EU, US, Hosting)
- Enterprise-Vertrag vorhanden? (ja/nein)
Das Ergebnis ist eine 10–30-zeilige Tabelle. Sie ist die Grundlage für alle weiteren Schritte — und der erste Punkt, den ein Prüfer sehen will.
Schritt 2 — Nutzungsrichtlinie (½ Tag)
Eine zweiseitige Richtlinie, die klärt:
- Welche Tools sind erlaubt, welche verboten?
- Welche Daten dürfen niemals in Prompts? (Personendaten, Kundennamen, Verträge, Quellcode unter NDA)
- Wann ist menschliche Prüfung zwingend?
- Wohin melden Mitarbeiter Probleme?
Keine Romane — die Mitarbeiter müssen das lesen und verstehen.
Schritt 3 — Transparenz-Hinweise umsetzen (1 Tag)
Konkret:
- Chatbot bekommt einen Hinweis im Launcher und in der ersten Nachricht.
- Blog-Artikel, die mit KI-Unterstützung entstanden sind, bekommen eine diskrete Kennzeichnung (oder eine Redaktions-Policy, dass sie vor Veröffentlichung von Menschen überprüft und umgeschrieben werden — dann greift die Pflicht nicht in voller Härte).
- KI-generierte Bilder in Werbung: Kennzeichnung mit „KI-generiert" oder vergleichbar.
Schritt 4 — Schulung (½–1 Tag)
Ein 45-minütiger Workshop reicht für die meisten Teams. Inhalte:
- Was ist KI, was kann sie — was nicht?
- Die Nutzungsrichtlinie konkret anhand von Beispielen.
- Typische Fehler (Halluzinationen, Bias, Datenlecks).
- Meldewege intern.
Machen Sie es nachweisbar (Teilnehmerliste, Foliensatz archivieren).
Schritt 5 — Ansprechperson benennen (1 h)
Intern. Namen in die Nutzungsrichtlinie und, falls relevant, auf die Kontaktseite der Website. Bei Unsicherheit kann die RTR KI-Servicestelle konsultiert werden.
Kosten-Rahmen
Für ein 50-Personen-Unternehmen:
- Interne Umsetzung: 3–5 Personentage ≈ 2.000–4.000 € intern
- Externe Beratung (optional): 2.000–5.000 € für Richtlinie + Review
- Technische Kennzeichnung an Chatbot/Website: 500–2.000 €
Viele dieser Posten sind über KMU.DIGITAL Beratung förderfähig — siehe KI-Förderungen Österreich 2026.
Häufige Fragen
Wir nutzen nur ChatGPT für Texte — sind wir wirklich betroffen?
Ja, als Deployer. Die Pflichten sind aber überschaubar: KI-Inventur, Richtlinie, Schulung, Transparenz bei extern sichtbaren KI-Inhalten. Kein eigenes Audit, keine Konformitätsbewertung.
Was ist mit Microsoft 365 Copilot?
Analog: Sie sind Deployer. Vorteil: Microsoft stellt Enterprise-Verträge mit EU-Datenverarbeitung bereit, das erleichtert die Deployer-Dokumentation deutlich.
Brauchen wir wirklich einen Hinweis, dass unser Chatbot eine KI ist?
Ja, bei jedem System, das mit natürlicher Sprache direkt mit Kunden interagiert. Einzige Ausnahme: Wenn der Einsatz „offenkundig" ist (reiner Marketingbot im Stil einer Wizard-Figur). Im Zweifel: Hinweis setzen. Er ist UX-freundlich und nimmt nichts weg.
Wer haftet, wenn die KI falsche Aussagen macht?
Grundsätzlich das Unternehmen, das die KI einsetzt (Sie als Deployer). Deshalb ist menschliche Aufsicht für alles mit Rechtsfolge Pflicht — und deshalb sollten kundenrelevante KI-Outputs im Zweifel durchgesehen werden.
Gibt es Hochrisiko-KI in unserem Unternehmen ohne dass wir es wissen?
Möglich bei: automatisierter Bewerberauswahl, Kreditscoring, Versicherungsrisiko-Bewertung, biometrische Systeme, Bildungs- und Prüfungssoftware. Wenn Sie in einem dieser Bereiche KI einsetzen, lohnt sich eine genauere Prüfung mit juristischer Unterstützung — die Pflichten steigen deutlich.
Fazit
Die August-2026-Stufe des AI Act ist für die meisten österreichischen KMU machbar — aber nicht ignorierbar. Wer KI-Inventur, Richtlinie, Transparenz-Hinweise und Schulung bis zum Sommer sauber dokumentiert, ist compliant und hat nebenbei das interne KI-Chaos aufgeräumt. Der größte Fehler ist, die Pflichten aus Bequemlichkeit komplett zu ignorieren und später unter Zeitdruck Strafen zu riskieren.
Wir helfen bei der technischen Umsetzung — Transparenz-Hinweise in Chatbots, Kennzeichnung auf der Website, eingebaute Audit-Logs für KI-Antworten. KI-Compliance-Erstgespräch →
Weiterführende Artikel:
- EU AI Act — Grundlagen und Risikostufen
- Was kostet ein KI-Chatbot?
- KI-Förderungen Österreich 2026
- Leistung: KI-Integration
Stand: April 2026. Dieser Artikel ersetzt keine Rechtsberatung. Für die verbindliche Auslegung wenden Sie sich an einen spezialisierten Rechtsanwalt oder die RTR KI-Servicestelle.
Weitere Artikel
EU AI Act für KMU: Was österreichische Unternehmen 2026 wissen müssen
Der EU AI Act betrifft auch KMU — aber die gute Nachricht: Die meisten Anwendungen fallen unter minimales Risiko. Wir erklären die 4 Risikostufen und was Sie konkret tun müssen.
Was kostet ein KI-Chatbot? Preise & Kostenfaktoren 2026
Ein KI-Chatbot kostet zwischen 3.000 und 80.000 € — je nach Komplexität. Wir zeigen alle Kostenfaktoren, vergleichen SaaS mit Custom-Entwicklung und rechnen vor, wann sich die Investition lohnt.
KI-Förderungen in Österreich 2026: Alle Programme für KMU im Überblick
Bis zu 50 % Zuschuss für Ihr KI-Projekt — und die meisten Unternehmen wissen es nicht. Wir listen alle Bundes- und Landesförderungen auf und zeigen, wie Sie den Antrag stellen.