exponent
KI

EU AI Act für KMU: Was österreichische Unternehmen 2026 wissen müssen

Die gute Nachricht vorab: Die meisten KMU-Anwendungen — Chatbots, Textgenerierung, Dokumentenverarbeitung — fallen unter minimales Risiko und erfordern keine Konformitätsbewertung. Lesen Sie weiter, um herauszufinden, wo Ihr KI-Projekt steht.

Seit Mitte 2024 ist der EU AI Act in Kraft — die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Für viele österreichische KMU klingt das erst einmal bedrohlich: Noch eine Verordnung, noch mehr Bürokratie, noch mehr Compliance-Aufwand.

Aber Panik ist fehl am Platz. In diesem Artikel erklären wir Ihnen verständlich und praxisnah, was der EU AI Act für Ihr Unternehmen bedeutet, welche Pflichten tatsächlich auf Sie zukommen und wie Sie sich mit wenig Aufwand rechtskonform aufstellen.

EU AI Act — Was ist das und ab wann gilt es?

Der EU AI Act (offiziell: Verordnung über Künstliche Intelligenz, EU 2024/1689) wurde im Juni 2024 vom Europäischen Parlament verabschiedet und ist im August 2024 in Kraft getreten. Die Verordnung gilt unmittelbar in allen EU-Mitgliedsstaaten — also auch in Österreich — ohne dass ein nationales Umsetzungsgesetz nötig ist.

Die zentrale Idee: KI-Systeme werden nach ihrem Risikopotenzial eingestuft. Je höher das Risiko, desto strenger die Anforderungen. Die Umsetzung erfolgt stufenweise:

  • Februar 2025: Verbote für unannehmbares Risiko gelten
  • August 2025: Pflichten für General Purpose AI (wie GPT-Modelle) und Governance-Strukturen
  • August 2026: Hauptteil der Verordnung — Pflichten für Hochrisiko-KI-Systeme
  • August 2027: Erweiterte Pflichten für bestimmte Hochrisiko-Systeme in regulierten Produkten

Für die meisten KMU relevant ist August 2026 — bis dahin sollten Sie wissen, wo Ihre KI-Anwendungen einzuordnen sind.

In Österreich wird die RTR (Rundfunk und Telekom Regulierungs-GmbH) voraussichtlich die nationale Aufsichtsbehörde für den AI Act. Die WKO bietet bereits erste Informationsangebote für Unternehmen.

Die 4 Risikostufen — Wo steht Ihr KI-Projekt?

Der EU AI Act teilt KI-Systeme in vier Risikokategorien ein. Diese Einstufung bestimmt, welche Pflichten für Sie als Anbieter oder Nutzer gelten.

RisikostufeBeispielePflichtenKMU-Relevanz
Unannehmbares Risiko (verboten)Social Scoring, manipulative Systeme, biometrische Echtzeit-Überwachung im öffentlichen RaumVollständiges VerbotSehr gering — betrifft KMU praktisch nicht
Hohes RisikoKI in Personalauswahl (CV-Screening), Kreditwürdigkeitsprüfung, biometrische Identifizierung, KI in MedizinproduktenKonformitätsbewertung, Risikomanagement, Datenqualität, Logging, menschliche Aufsicht, TransparenzMittel — betrifft KMU nur bei spezifischen Anwendungen
Begrenztes RisikoChatbots, Deepfake-Generierung, Emotionserkennung, KI-generierte Texte/BilderTransparenz- und Kennzeichnungspflicht (Nutzer muss wissen, dass KI im Einsatz ist)Hoch — betrifft viele KMU, die KI-Tools einsetzen
Minimales RisikoSpamfilter, KI-gestützte Suche, Produktempfehlungen, interne Dokumentenanalyse, ÜbersetzungstoolsKeine spezifischen Pflichten (freiwillige Verhaltenskodizes empfohlen)Sehr hoch — hier fallen die meisten KMU-Anwendungen hin

Die Kernfrage für Sie: In welche Risikostufe fällt Ihre KI-Anwendung? In den meisten Fällen werden KMU-typische Anwendungen unter begrenztes oder minimales Risiko fallen.

Was bedeutet das konkret für österreichische KMU?

Lassen Sie uns vier typische KI-Anwendungsszenarien durchgehen, die wir bei unseren KMU-Kunden sehen:

KI-Chatbots — Transparenzpflicht ja, Konformitätsbewertung nein

Sie setzen einen KI-Chatbot auf Ihrer Website ein, um Kundenanfragen zu beantworten? Das fällt unter begrenztes Risiko. Die Pflicht ist klar und einfach umzusetzen:

  • Kennzeichnungspflicht: Nutzer müssen wissen, dass sie mit einer KI interagieren — ein Hinweis wie „Dieser Chat wird von einer KI unterstützt" reicht aus
  • Keine Konformitätsbewertung erforderlich
  • Keine Registrierung in der EU-Datenbank nötig

Praxis-Tipp: Integrieren Sie den KI-Hinweis direkt in die Chat-Oberfläche. Bei unseren KI-Chatbot-Lösungen bauen wir diese Transparenz standardmäßig ein.

Dokumentenverarbeitung — in der Regel minimales Risiko

Sie nutzen KI, um Rechnungen zu erfassen, E-Mails zu kategorisieren oder Verträge zusammenzufassen? In den meisten Fällen ist das minimales Risiko:

  • Keine spezifischen Pflichten aus dem AI Act
  • Die DSGVO bleibt natürlich relevant (personenbezogene Daten in Dokumenten)
  • Freiwillige Dokumentation Ihrer KI-Nutzung ist empfehlenswert

Wichtig: Wenn die Dokumentenverarbeitung in einem regulierten Kontext eingesetzt wird — etwa zur automatisierten Kreditentscheidung bei einer Bank — kann sie in die Hochrisiko-Kategorie rutschen. Der Kontext entscheidet.

KI-gestützte Personalauswahl — Achtung, hohes Risiko!

Hier wird es strenger. Wenn Sie KI einsetzen, um Bewerbungen vorzufiltern, Lebensläufe zu bewerten oder Kandidaten zu ranken, fällt das explizit unter hohes Risiko. Die Pflichten sind umfangreich:

  • Konformitätsbewertung vor Inbetriebnahme
  • Risikomanagement-System einrichten
  • Datenqualität sicherstellen (keine diskriminierenden Trainingsdaten)
  • Menschliche Aufsicht — ein Mensch muss die KI-Entscheidung überprüfen können
  • Logging und Dokumentation der KI-Entscheidungen
  • Registrierung in der EU-Datenbank für Hochrisiko-KI

Achtung: Auch wenn Sie ein externes KI-Tool für HR-Screening nutzen (z. B. ein SaaS-Produkt), tragen Sie als Betreiber Mitverantwortung. Prüfen Sie, ob Ihr Anbieter AI-Act-konform arbeitet und verlangen Sie entsprechende Dokumentation.

KI in der Medizin — branchenspezifisch

Für Arztpraxen und Gesundheitseinrichtungen gilt besondere Vorsicht. KI-Systeme, die als Medizinprodukt eingestuft werden (z. B. KI-gestützte Diagnoseunterstützung), fallen unter hohes Risiko und müssen zusätzlich die Medizinprodukteverordnung (MDR) erfüllen.

Aber: Ein einfacher Chatbot für Terminbuchungen in einer Ordination? Das ist begrenztes Risiko — gleiche Regeln wie bei jedem anderen Chatbot.

Die Abgrenzung ist entscheidend: Nicht jede KI-Anwendung im Gesundheitsbereich ist automatisch Hochrisiko. Es kommt darauf an, ob das System Entscheidungen trifft oder beeinflusst, die sich direkt auf die Gesundheit von Patienten auswirken.

Die 5-Punkte-Checkliste für KMU

Sie wollen sich AI-Act-konform aufstellen? Dann empfehlen wir diese fünf Schritte:

  1. KI-Inventar erstellen — Listen Sie alle KI-Systeme auf, die Sie einsetzen oder einsetzen wollen. Dazu gehören auch externe SaaS-Tools mit KI-Funktionalität (ChatGPT, Copilot, Jasper, etc.). Vergessen Sie auch eingebettete KI nicht — viele CRM- und Buchhaltungstools nutzen mittlerweile KI im Hintergrund.

  2. Risikostufe bestimmen — Ordnen Sie jede Anwendung einer der vier Risikokategorien zu. Im Zweifelsfall lieber eine Stufe höher einordnen. Die Europäische Kommission hat Leitlinien zur Klassifizierung veröffentlicht.

  3. Transparenzpflichten umsetzen — Für alle Anwendungen ab begrenztem Risiko: Kennzeichnen Sie KI-generierte Inhalte und KI-gestützte Interaktionen klar und verständlich. Das betrifft insbesondere Chatbots, automatisch generierte E-Mails und KI-erstellte Texte auf Ihrer Website.

  4. Dokumentation aufbauen — Erstellen Sie eine grundlegende Dokumentation Ihrer KI-Nutzung: Welches System, welcher Zweck, welche Daten, welcher Anbieter. Für Hochrisiko-Systeme brauchen Sie ein vollständiges technisches Dossier. Für den Rest reicht eine einfache interne Übersicht.

  5. Anbieter prüfen — Wenn Sie KI-Tools von Drittanbietern einsetzen: Fragen Sie nach deren AI-Act-Konformität. Seriöse Anbieter werden entsprechende Dokumentation oder Zertifizierungen bereitstellen. Achten Sie auf Vertragsklauseln zur Konformität und holen Sie sich schriftliche Zusicherungen.

Bei exponent begleiten wir unsere Kunden durch alle fünf Schritte — von der Bestandsaufnahme bis zur fertigen Dokumentation. Als KI-Agentur in Österreich ist AI-Act-Konformität fester Bestandteil unserer Projektplanung.

Zeitplan — Wann treten welche Regeln in Kraft?

DatumWas passiertBetrifft KMU?
August 2024AI Act tritt in KraftNoch keine direkten Pflichten
Februar 2025Verbotene KI-Praktiken gelten (Social Scoring, manipulative Systeme)Kaum relevant — prüfen Sie sicherheitshalber
August 2025Pflichten für General Purpose AI-Modelle (GPT, Claude, Gemini etc.) und Governance-RegelnIndirekt — betrifft Ihre KI-Anbieter, nicht Sie direkt
August 2026Hauptteil: Pflichten für Hochrisiko-KI, Transparenzpflichten, SanktionenJA — Transparenzpflichten für Chatbots, Compliance für Hochrisiko-Anwendungen
August 2027Erweiterte Pflichten für Hochrisiko-KI in regulierten Produkten (Medizinprodukte, Maschinen etc.)Nur bei spezifischen Branchen (Medizin, Maschinenbau)

Das bedeutet: Sie haben bis August 2026 Zeit, sich vorzubereiten. Nutzen Sie diese Zeit, um Ihr KI-Inventar aufzubauen und die notwendigen Prozesse einzurichten. Wer früh beginnt, vermeidet Hektik und kann KI-Projekte von Anfang an compliant aufsetzen.

Strafen bei Verstößen

Der EU AI Act sieht empfindliche Strafen vor:

  • Verbotene KI-Praktiken: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes
  • Verstöße gegen Hochrisiko-Pflichten: bis zu 15 Mio. Euro oder 3 % des Umsatzes
  • Falsche Angaben an Behörden: bis zu 7,5 Mio. Euro oder 1,5 % des Umsatzes

Aber: Für KMU und Start-ups gelten reduzierte Höchstgrenzen. Die Verordnung sieht explizit vor, dass Sanktionen verhältnismäßig sein müssen und die wirtschaftliche Leistungsfähigkeit des Unternehmens berücksichtigen.

Was exponent anders macht — AI-Act-konform by Design

Bei exponent integrieren wir AI-Act-Konformität direkt in die Entwicklung. Das heißt für unsere Kunden:

  • Risikobewertung im Projektstart: Bevor wir eine Zeile Code schreiben, klären wir gemeinsam die Risikoeinstufung Ihrer KI-Anwendung
  • Transparenz eingebaut: Alle KI-gestützten Features — von Chatbots bis zu Empfehlungssystemen — werden automatisch mit den erforderlichen Hinweisen und Kennzeichnungen versehen
  • Dokumentation inklusive: Wir liefern eine verständliche Dokumentation Ihrer KI-Systeme, die Sie sowohl intern als auch gegenüber Behörden verwenden können
  • DSGVO + AI Act zusammengedacht: KI-Regulierung und Datenschutz greifen ineinander. Wir behandeln beides nicht als getrennte Compliance-Silos, sondern als ein zusammenhängendes Konzept
  • Technologieauswahl mit Bedacht: Wir setzen auf KI-Anbieter, die selbst compliant sind und ihre Modelle transparent dokumentieren

Ob KI-Integration in bestehende Systeme, Chatbot-Entwicklung oder KI-gestützte Automatisierung — bei uns ist Compliance kein Nachgedanke, sondern Designprinzip. Erfahren Sie mehr über unsere Arbeitsweise als KI-Agentur in Österreich.

Häufige Fragen zum EU AI Act

Gilt der EU AI Act auch für kleine Unternehmen mit unter 50 Mitarbeitern?

Ja, der EU AI Act gilt unabhängig von der Unternehmensgröße. Entscheidend ist nicht, wie groß Ihr Unternehmen ist, sondern welche Art von KI-System Sie einsetzen. Allerdings sieht die Verordnung für KMU und Start-ups gewisse Erleichterungen vor: regulatorische Sandboxes zum Testen, reduzierte Gebühren und vereinfachte Dokumentationspflichten. Die nationalen Aufsichtsbehörden sollen zudem spezielle Leitlinien für KMU bereitstellen.

Bin ich als Nutzer von ChatGPT oder Microsoft Copilot betroffen?

Wenn Sie diese Tools rein intern nutzen (z. B. zum Texten, Recherchieren, Zusammenfassen), fallen Sie in den meisten Fällen unter minimales Risiko und haben keine besonderen Pflichten. Wenn Sie allerdings KI-generierte Inhalte veröffentlichen oder KI-gesteuerte Kommunikation mit Kunden einsetzen, greift die Transparenzpflicht: Kennzeichnen Sie KI-generierte Inhalte entsprechend.

Was ist der Unterschied zwischen dem AI Act und der DSGVO?

Die DSGVO regelt den Schutz personenbezogener Daten — sie greift immer, wenn Sie mit Daten von Personen arbeiten. Der AI Act reguliert spezifisch KI-Systeme und deren Risiken, unabhängig davon, ob personenbezogene Daten verarbeitet werden. In der Praxis überschneiden sich beide Verordnungen häufig: Ein KI-System, das personenbezogene Daten verarbeitet, muss sowohl DSGVO- als auch AI-Act-konform sein. Lesen Sie auch unsere Datenschutz-Seite für weitere Informationen.

Muss ich meine KI-Systeme registrieren?

Nur Hochrisiko-KI-Systeme müssen in der EU-Datenbank registriert werden. Für Anwendungen mit begrenztem oder minimalem Risiko gibt es keine Registrierungspflicht. Die meisten KMU-Anwendungen benötigen daher keine Registrierung.

Gibt es Förderungen für AI-Act-Compliance?

Direkte Förderungen speziell für AI-Act-Compliance gibt es aktuell nicht. Allerdings können Sie KI-Compliance-Maßnahmen oft im Rahmen allgemeiner Digitalisierungsförderungen mitfinanzieren — etwa über den KMU.DIGITAL-Beratungsscheck oder die aws Digitalisierungsförderung. Die Kosten für eine Compliance-Beratung liegen typischerweise bei 2.000-5.000 Euro für KMU.

Was passiert, wenn ich nichts tue?

Bis August 2026 haben Sie Zeit. Danach riskieren Sie bei Verstößen Strafen — wobei die Aufsichtsbehörden erfahrungsgemäß zunächst auf Aufklärung und Nachbesserung setzen, bevor Bußgelder verhängt werden. Trotzdem empfehlen wir: Fangen Sie jetzt an. Die Bestandsaufnahme dauert oft nur wenige Stunden und gibt Ihnen Sicherheit.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für eine verbindliche Einschätzung Ihrer konkreten KI-Anwendungen empfehlen wir die Konsultation eines spezialisierten Rechtsanwalts oder die Kontaktaufnahme mit der WKO-Rechtsberatung. Die Rechtslage kann sich durch nationale Durchführungsbestimmungen und Leitlinien der Aufsichtsbehörden noch ändern.

Sie planen ein KI-Projekt und möchten von Anfang an compliant arbeiten? Wir beraten Sie gerne — unverbindlich und verständlich. Kontaktieren Sie uns oder erfahren Sie mehr über unsere KI-Dienstleistungen.

KIEU AI ActDSGVOComplianceKMUÖsterreich
Teilen:

Klingt nach Ihrem nächsten Projekt?

Lassen Sie uns unverbindlich über Ihre Anforderungen sprechen. Wir beraten Sie ehrlich und erstellen Ihnen ein transparentes Angebot.

Zurück zum Blog

Weitere Artikel