Kurzzusammenfassung
Ab August 2026 gelten die zentralen Anforderungen des EU AI Act vollständig – auch für österreichische KMU, die KI-Systeme einsetzen oder entwickeln. Je nach Risikoklasse des eingesetzten Systems drohen bei Verstößen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Unternehmen sollten jetzt handeln: KI-Systeme inventarisieren, Risikoklassen bestimmen und Compliance-Maßnahmen einleiten.
Einleitung
Die EU AI Act 2026 Pflichten für Unternehmen sind keine ferne Regulierungstheorie mehr – sie werden für viele österreichische Betriebe bereits in wenigen Monaten bindend. Mit dem schrittweisen Inkrafttreten der EU-Verordnung über künstliche Intelligenz (Verordnung (EU) 2024/1689) steht die nächste große Compliance-Welle bevor, und viele KMU sind noch nicht vorbereitet.
Dabei betrifft das Gesetz nicht nur Technologiekonzerne oder KI-Entwickler. Wer im Unternehmen KI-basierte Recruiting-Tools, automatisierte Kreditentscheidungen, Chatbots im Kundenkontakt oder Predictive-Maintenance-Systeme einsetzt, gilt als „Betreiber“ und unterliegt konkreten Pflichten. Gerade in Österreich, wo der Mittelstand das wirtschaftliche Rückgrat bildet, unterschätzen viele Geschäftsführer den eigenen Handlungsbedarf.
Dieser Beitrag erklärt, was den EU AI Act auszeichnet, welche Risikoklassen relevant sind, welche konkreten Pflichten auf Ihr Unternehmen zukommen – und wie Sie jetzt strukturiert vorgehen.
[toc]
Der EU AI Act im Überblick: Risikoklassen und Zeitplan
Der EU AI Act ist das weltweit erste umfassende Regelwerk zur Regulierung künstlicher Intelligenz. Er folgt einem risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung für Grundrechte, Sicherheit oder gesellschaftliche Prozesse, desto strenger die Anforderungen.
Die vier Risikoklassen
1. Inakzeptables Risiko (verboten):
Systeme, die Menschen manipulieren, soziale Bewertungssysteme (Social Scoring) betreiben oder bestimmte biometrische Echtzeit-Überwachungen ermöglichen, sind vollständig verboten. Diese Verbote gelten bereits seit Februar 2025.
2. Hohes Risiko:
Das ist die kritischste Kategorie für die Praxis. Dazu zählen KI-Systeme in den Bereichen Personalentscheidungen (Recruiting, Leistungsbeurteilung), Kreditvergabe, kritische Infrastruktur, Bildung, Strafverfolgung und medizinische Diagnostik. Für diese Systeme gelten ab August 2026 umfangreiche Pflichten.
3. Begrenztes Risiko:
Chatbots oder Deepfake-Systeme unterliegen vor allem Transparenzpflichten – Nutzer müssen wissen, dass sie mit einer KI interagieren.
4. Minimales Risiko:
Spam-Filter, KI-gestützte Suchfunktionen oder einfache Empfehlungsalgorithmen – hier gibt es keine spezifischen Pflichten, allerdings wird ein freiwilliger Verhaltenskodex empfohlen.
Zeitplan im Überblick
| Datum | Meilenstein |
|---|---|
| August 2024 | Verordnung in Kraft getreten |
| Februar 2025 | Verbote für inakzeptables Risiko wirksam |
| August 2025 | Pflichten für GPAI-Modelle (z. B. GPT-Basis) |
| August 2026 | Vollständige Anwendung der Hochrisiko-Pflichten |
Welche konkreten Pflichten gelten für KMU als Betreiber?
Wenn Ihr Unternehmen ein KI-System einsetzt, das als „hohes Risiko“ eingestuft ist, gelten Sie als Betreiber (Deployer) – und tragen damit eigene Verantwortung, auch wenn Sie das System nicht selbst entwickelt haben.
Die wichtigsten Betreiberpflichten im Hochrisikobereich
Technische Dokumentation und Konformitätsbewertung:
Sie müssen sicherstellen, dass das eingesetzte System vom Anbieter korrekt dokumentiert, getestet und mit CE-Kennzeichnung versehen ist. Im Zweifelsfall sind Sie in der Pflicht, diese Unterlagen anzufordern.
Risikomanagementsystem:
Betreiber müssen ein kontinuierliches Risikomanagement für ihre KI-Systeme einrichten. Das bedeutet: regelmäßige Überprüfung, Protokollierung von Vorfällen und Meldepflichten bei schwerwiegenden Fehlern.
Menschliche Aufsicht (Human Oversight):
Hochrisiko-KI darf keine vollständig automatisierten Entscheidungen ohne menschliche Kontrollmöglichkeit treffen. Mitarbeiterinnen und Mitarbeiter müssen in der Lage sein, das System zu übersteuern.
Datenschutz-Kompatibilität:
KI-Systeme müssen datenschutzkonform betrieben werden – eine direkte Verbindung zur DSGVO. Bestehende Datenschutz-Compliance reicht alleine nicht aus, sie ist aber eine wichtige Grundlage.
Transparenz gegenüber Betroffenen:
Personen, die von KI-basierten Entscheidungen betroffen sind (z. B. Bewerber, Kreditnehmer), müssen darüber informiert werden.
Für österreichische KMU, die etwa KI-gestützte HR-Software oder automatisierte Kundenbewertungssysteme einsetzen, entstehen damit reale operative Anforderungen – kein bürokratisches Randthema.
Bußgelder, Aufsicht und wer in Österreich kontrolliert
Die Durchsetzung des EU AI Act obliegt nationalen Marktüberwachungsbehörden. In Österreich ist die Rolle der zuständigen Behörde noch in Abstimmung – im Gespräch ist die Datenschutzbehörde (DSB) als koordinierende Stelle. Die endgültige Benennung wird bis Mitte 2025 erwartet.
Bußgeldrahmen im Überblick
- Verbotene KI-Systeme: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes
- Verstöße gegen Hochrisiko-Anforderungen: bis zu 15 Mio. Euro oder 3 % des Jahresumsatzes
- Falsche Angaben gegenüber Behörden: bis zu 7,5 Mio. Euro oder 1,5 % des Jahresumsatzes
Für KMU gibt es keine generelle Ausnahme vom Bußgeldrahmen – jedoch sieht der AI Act vor, dass Sanktionen „verhältnismäßig“ sein müssen. Behörden sollen bei KMU und Start-ups Augenmaß walten lassen. Das ist kein Freifahrtschein, aber ein wichtiger Nuancierungsfaktor.
Ein weiterer Aspekt: Auch Versicherungen beginnen, KI-Risiken explizit in ihre Policen aufzunehmen. Wer keine nachweisbare Compliance vorweisen kann, riskiert im Schadensfall Probleme mit dem Versicherungsschutz.
Jetzt vorbereiten: Fünf konkrete Schritte für österreichische KMU
Der August 2026 kommt schneller als gedacht. Wer strukturiert vorgeht, kann Compliance-Risiken deutlich reduzieren. Hier sind fünf praxistaugliche Schritte:
1. KI-Inventar erstellen:
Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden – inklusive eingekaufter SaaS-Lösungen mit KI-Komponenten. Viele Tools (HR-Software, CRM, ERP) enthalten heute KI-Funktionen, die oft nicht explizit kommuniziert werden.
2. Risikoklassifizierung vornehmen:
Ordnen Sie jedes System einer Risikoklasse zu. Im Zweifel gilt: lieber konservativ klassifizieren. Unser Team bei Solutionbox unterstützt Sie dabei im Rahmen unserer KI-Beratungsleistungen.
3. Anbieter kontaktieren:
Fragen Sie Softwareanbieter aktiv nach AI-Act-konformen Dokumentationen, technischen Datenblättern und Konformitätserklärungen. Das ist Ihr gutes Recht als Betreiber.
4. Interne Prozesse anpassen:
Richten Sie – dort wo nötig – Mechanismen für menschliche Aufsicht und Protokollierung ein. Das muss kein großes IT-Projekt sein; oft reicht eine angepasste Arbeitsanweisung.
5. Schulungen einplanen:
Mitarbeiterinnen und Mitarbeiter, die KI-Systeme bedienen oder deren Ergebnisse für Entscheidungen nutzen, müssen grundlegend geschult werden. Das ist ausdrücklich im AI Act verankert.
Häufig gestellte Fragen
Gilt der EU AI Act auch für kleine Unternehmen in Österreich?
Ja, der EU AI Act gilt grundsätzlich für alle Unternehmen, die KI-Systeme in der EU einsetzen oder anbieten – unabhängig von der Unternehmensgröße. Für KMU gelten die gleichen Risikoklassen, allerdings sieht die Verordnung bei Sanktionen eine Verhältnismäßigkeitsprüfung vor.
Was ist der Unterschied zwischen Anbieter und Betreiber im AI Act?
Anbieter (Provider) sind Unternehmen, die KI-Systeme entwickeln und in Verkehr bringen. Betreiber (Deployer) sind Unternehmen, die fertige KI-Systeme im eigenen Geschäftsbetrieb einsetzen. Die meisten KMU sind Betreiber – und tragen als solche eigene, gesetzlich definierte Pflichten.
Ab wann müssen Hochrisiko-KI-Systeme EU AI Act-konform sein?
Die vollständigen Anforderungen für Hochrisiko-KI-Systeme gemäß Anhang III des EU AI Acts gelten ab 2. August 2026. Für in bestehende Produkte integrierte Hochrisiko-Systeme gilt eine Übergangsfrist bis August 2027.
Fazit und nächste Schritte
Der EU AI Act 2026 bringt konkrete Pflichten für Unternehmen – auch für österreichische KMU, die KI-Systeme im Alltag nutzen. Wer jetzt mit einer strukturierten Bestandsaufnahme beginnt, Risikoklassen klärt und Anbieter gezielt anfragt, hat gute Chancen, compliance-ready zu sein, bevor die Fristen laufen.
Solutionbox begleitet österreichische Unternehmen bei der KI-Compliance: von der Inventarisierung über die Risikoklassifizierung bis zur Prozessanpassung. Sprechen Sie uns an – wir helfen Ihnen, den Überblick zu behalten.
👉 Jetzt Kontakt aufnehmen und unverbindliche Erstberatung vereinbaren.
Autor: Martin Höck, IT-Consultant und allgemein beeideter Sachverständiger für Informationstechnologie,
Solutionbox Informationstechnologie GmbH, Salzburg
Fragen? salesteam@solutionbox.net | +43 662 243316