Am 2. August 2026 wird die europäische KI-Verordnung (Regulation (EU) 2024/1689) für den Grossteil der österreichischen Unternehmen direkt anwendbar. Wer KI einsetzt – und das reicht heute von ChatGPT-Nutzung im Marketing bis zum automatisierten Bewerber-Screening – hat ab diesem Tag konkrete Transparenz-, Kennzeichnungs- und Dokumentationspflichten. Verstösse werden mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet. Österreich hat für KMU eine eigene Sandbox bei der RTR-GmbH aufgebaut, die reduzierte Gebühren und kostenlose Testumgebungen bietet.
- Rechtsgrundlage: Verordnung (EU) 2024/1689 – direkt anwendbar, keine Umsetzung nötig
- Stichtag 2. August 2026: Transparenzpflichten und Hochrisiko-KI-Regeln greifen
- Bereits aktiv: Verbote inakzeptabler KI (seit 02.02.2025), GPAI-Dokumentation (seit 02.08.2025)
- Vier Risikokategorien: inakzeptabel, hoch, begrenzt (Transparenz), minimal
- Maximale Strafe: 35 Mio. Euro oder 7 Prozent Weltumsatz (für Hochrisiko-Verstösse)
- Untere Stufe: 7,5 Mio. Euro oder 1,5 Prozent Weltumsatz (Informationsverstösse)
- KMU-Vorteil: reduzierte Obergrenzen, RTR-GmbH als kostenlose Sandbox
- Mitarbeiterschulungspflicht bereits gültig – nicht erst 2026
Was regelt der EU AI Act überhaupt?
Die KI-Verordnung ist das erste umfassende Regelwerk für Künstliche Intelligenz weltweit. Sie definiert, welche KI-Systeme in der EU zulässig sind, welche transparent gemacht werden müssen und welche komplett verboten sind. Anders als Datenschutz-Grundverordnung oder die NIS-2-Richtlinie zur Cybersicherheit trifft der AI Act Unternehmen auf allen Stufen der Wertschöpfung – als Anbieter, als Betreiber und als Nutzer von KI. Wer ChatGPT im Kundensupport einsetzt, unterliegt der Verordnung – genauso wie das KI-Start-up, das einen neuen Algorithmus entwickelt.
Für Österreich gibt es keinen eigenständigen Umsetzungsakt – die Verordnung gilt unmittelbar. Das österreichische Ausführungsgesetz regelt vor allem die nationale Aufsichtsstruktur: die RTR-GmbH übernimmt als benannte Behörde zentrale Funktionen, ergänzt durch Bundesministerien für spezifische Sektoren.
Die vier Risikokategorien und was sie bedeuten
Kategorie |
Beispiele |
Regulierung |
|---|---|---|
Inakzeptables Risiko |
Social Scoring, manipulative Systeme, ungezielte Gesichtserkennung im öffentlichen Raum |
Verboten (seit 02.02.2025) |
Hohes Risiko |
Bewerber-Screening, Kreditscoring, medizinische Geräte, kritische Infrastruktur |
Konformitätsbewertung, Registrierung, Dokumentation, laufende Überwachung |
Begrenztes Risiko |
Chatbots, generative KI (Texte, Bilder, Videos), Deepfakes |
Transparenzpflicht (Kennzeichnung von KI-Output) |
Minimales Risiko |
Spam-Filter, KI in Videospielen, einfache Empfehlungssysteme |
Keine spezifischen Verpflichtungen (Verhaltenskodex empfohlen) |
Separat adressiert die Verordnung General-Purpose AI (GPAI) – die grossen Basismodelle wie GPT-4, Claude oder Gemini. Für deren Anbieter gelten eigene Transparenz-, Copyright- und Dokumentationspflichten bereits seit 2. August 2025. Diese betreffen aber primär die Modellanbieter selbst, nicht die KMU, die sie einsetzen.
Zeitplan: Was wann in Kraft tritt
- 2. Februar 2025 – Verbote inakzeptabler KI-Anwendungen; Pflicht zur KI-Kompetenz der Mitarbeiter
- 2. August 2025 – Pflichten für GPAI-Modellanbieter (Dokumentation, Copyright, Transparenz über Trainingsdaten)
- 2. August 2026 – Transparenzpflichten für KI-Output, Hochrisiko-KI-Regeln (Anhang III), Konformitätsbewertungen, Behördenaufsicht
- 2. August 2027 – Hochrisiko-KI in Produkten, die bereits EU-Produktsicherheitsvorschriften unterliegen (Medizingeräte, Maschinen)
Was für Ihren Betrieb konkret gilt – vier typische Szenarien
Die meisten österreichischen KMU setzen KI auf eine von vier Arten ein. Je nach Fall sind unterschiedliche Pflichten relevant.
Szenario 1: ChatGPT für Texte und Kundenkommunikation. Der Chatbot wird mit menschlichen Nutzern interagieren – Transparenzpflicht greift. Ab 2. August 2026: Nutzer müssen erkennen können, dass sie mit einer KI sprechen. Bei Texten, Bildern oder Videos, die KI-generiert sind und veröffentlicht werden, muss der KI-Ursprung offengelegt werden (Artikel 50 AI Act). Ausnahme: offenkundig künstlerische Werke.
Szenario 2: KI im Recruiting (Bewerber-Screening, automatische Vorauswahl). Das ist Hochrisiko-KI nach Anhang III. Pflichten: Konformitätsbewertung des Systems, Risikomanagement, Datenqualitätsmanagement, technische Dokumentation, menschliche Aufsicht über jede Entscheidung, Registrierung in der EU-Datenbank. In der Praxis heisst das: wer eine Recruiting-KI einsetzt, muss vor dem 2. August 2026 wissen, ob der Anbieter die Konformität gewährleistet – oder auf manuelle Vorauswahl zurückfallen.
Szenario 3: Generative KI im Marketing (Bilder, Videos, Texte). Begrenztes Risiko, Transparenzpflicht. Die KI-generierten Inhalte müssen maschinenlesbar gekennzeichnet sein (Metadaten), und bei bestimmten Veröffentlichungen muss auch die Offenlegung gegenüber dem Publikum erfolgen. Bei Deepfakes ist die Kennzeichnungspflicht besonders streng.
Szenario 4: KI im internen Prozess (Dokumentenzusammenfassung, Datenanalyse, ohne Kundenkontakt). In der Regel minimales Risiko – keine spezifischen Verpflichtungen. Trotzdem: Mitarbeiter müssen in KI-Kompetenz geschult sein (seit 02.02.2025 verpflichtend), und die Datenschutzbestimmungen (DSGVO) bleiben voll gültig – keine sensiblen Personendaten ins Modell kippen.
Die Strafen sind nach Schwere des Verstosses gestaffelt. Inakzeptable KI-Anwendung trotz Verbot: bis 35 Mio. Euro oder 7 Prozent Weltumsatz (je nachdem was höher ist). Hochrisiko-Verstösse oder Transparenzverletzungen: bis 15 Mio. Euro oder 3 Prozent Umsatz. Falsche Informationen gegenüber Behörden: bis 7,5 Mio. Euro oder 1,5 Prozent Umsatz. KMU profitieren von reduzierten Obergrenzen – die Prozent-Variante bleibt gleich, aber die absolute Euro-Obergrenze wird im Verhältnis zur Unternehmensgrösse herabgesetzt. Details finden Sie auf der USP-Seite zum AI Act.
Österreich-Spezial: Die RTR-Sandbox für KMU
Österreich hat sich entschieden, die RTR-GmbH als zentrale Aufsicht zu benennen. Für KMU und Start-ups bedeutet das konkret: freier priorisierter Zugang zu einer Regulatory Sandbox. In diesem geschützten Testumfeld können neue KI-Systeme unter Aufsicht validiert werden, ohne dass bereits volle Konformitätspflichten greifen. Das reduziert Entwicklungsrisiko und beschleunigt den Markteintritt. Zusätzlich gibt es reduzierte Zertifizierungsgebühren, vereinfachte Dokumentationsvorlagen und spezielle Schulungsangebote.
Für Start-ups in Österreich, die KI-basierte Produkte entwickeln, ist die Sandbox oft entscheidend. Sie lässt sich strategisch mit anderen Förderinstrumenten wie EIC Accelerator oder Forschungsprämie kombinieren.
Checkliste: Was KMU bis zum 2. August 2026 tun sollten
1. Bestandsaufnahme – alle KI-Systeme inventarisieren. Was setzen Sie direkt ein, was nutzen Sie über externe Dienstleister?
2. Risikoklassifizierung – jedes System einer der vier Kategorien zuordnen. Hochrisiko-Systeme (Recruiting, Kreditbewertung, kritische Infrastruktur) haben Priorität.
3. Vertragsprüfung – bei externen KI-Diensten: Liefert der Anbieter Konformitätsnachweise? Wer ist Anbieter, wer Betreiber nach der Verordnung?
4. Mitarbeiterschulung – KI-Kompetenz ist seit Februar 2025 verpflichtend. Dokumentieren Sie Schulungen, passen Sie die betriebliche Weiterbildung an.
5. KI-Richtlinie – interne Policy erstellen. Welche Tools sind erlaubt? Welche Daten dürfen rein? Wie wird KI-Output gekennzeichnet?
6. Kennzeichnungsprozess – Workflow für KI-generierte Inhalte (Marketing, Website, Kundenkommunikation) implementieren.
7. Datenschutz-Alignment – DSGVO-Prüfung für jedes KI-System. Personenbezogene Daten, Auftragsverarbeitung, Rechtsgrundlage.
8. Dokumentation aufsetzen – Nachweispflichten schon vor dem 2. August 2026 vorbereiten.
Die GPAI-Sonderrolle und was sie für Nutzer bedeutet
General-Purpose AI wie ChatGPT, Claude, Gemini oder Llama sind nicht per se Hochrisiko-KI. Die Pflichten treffen primär die Anbieter der Basismodelle (OpenAI, Anthropic, Google, Meta) – sie müssen technische Dokumentation, Copyright-Compliance und Transparenz zu Trainingsdaten liefern. Als Nutzer eines solchen Modells haben Sie dennoch Pflichten:
- KI-Kompetenz der Mitarbeiter sicherstellen – dokumentiert
- Keine sensiblen personenbezogenen oder Geschäftsgeheimnis-Daten ins Modell eingeben
- KI-generierte Inhalte für Kunden als solche kennzeichnen
- Bei Integration in eigene Produkte: Ihr Produkt wird möglicherweise selbst Anbieter im Sinne der Verordnung
Die letzte Regel ist die trickreichste: Wer ein GPAI-Modell in ein eigenes Hochrisiko-Produkt integriert – etwa einen Bewerber-Screening-Dienst baut auf Basis von GPT-4 – wird zum Anbieter nach AI Act und übernimmt vollumfängliche Compliance-Pflichten.
Kosten der Compliance: Was auf KMU zukommt
Die Grössenordnung ist stark abhängig vom eingesetzten KI-Portfolio. Grobe Richtwerte aus aktuellen Beratungsmandaten:
- Bestandsaufnahme und Klassifizierung für ein mittelgrosses KMU: 2.000 bis 5.000 Euro externe Beratung, dazu 1-2 Personentage intern
- KI-Richtlinie und Mitarbeiterschulung: 1.000 bis 3.000 Euro pauschale Paketangebote verschiedener KMU.DIGITAL-Berater
- Anpassung eines Hochrisiko-KI-Systems: je nach Komplexität 10.000 bis 80.000 Euro für Konformitätsbewertung, Dokumentation und laufende Überwachung
- Wiederkehrende Compliance: ab 5.000 Euro pro Jahr für Monitoring, Updates, Audit-Vorbereitung
Einige Posten können über KMU.DIGITAL 2026 als Beratungs- oder Umsetzungsförderung eingereicht werden. Wer vorausschauend plant, kann Compliance-Kosten mit Digitalisierungsförderung teilweise finanzieren.
Häufige Fragen
Gilt der AI Act auch für Kleinstunternehmen und EPU?
Ja. Die Verordnung unterscheidet nicht nach Unternehmensgrösse, sondern nach KI-System und Risikokategorie. Allerdings: KMU und Start-ups profitieren von reduzierten Obergrenzen bei Bussgeldern, vereinfachten Dokumentationsvorlagen und kostenloser Sandbox. Wer nur ChatGPT für Standardtexte nutzt, ist primär von Kennzeichnungs- und Schulungspflichten betroffen.
Muss ich ChatGPT-Texte auf meiner Website kennzeichnen?
Ab 2. August 2026 ja, wenn es sich um substanziell KI-generierte Inhalte handelt, die Nutzer über die Natur des Inhalts informieren müssen – insbesondere bei Deepfakes, synthetischen Bildern oder Videos sowie bei Chatbot-Dialogen. Bei stark redaktionell überarbeiteten Texten, die nur KI-assistiert entstanden sind, ist die Abgrenzung weniger streng. Details klärt die Auslegungspraxis ab 2026.
Was passiert, wenn ich die Mitarbeiter-Schulungspflicht nicht erfülle?
Die Pflicht zur KI-Kompetenz gilt seit 02.02.2025. In der aktuellen Praxis gibt es noch keine harten Sanktionen, weil Aufsichtsstrukturen erst aufgebaut werden. Ab August 2026 wird die RTR-GmbH aktiv prüfen – dann drohen Bussgelder im unteren Rahmen (7,5 Mio. Euro oder 1,5 Prozent Umsatz).
Kann ich KI-Dienstleister haftbar machen, wenn etwas schiefläuft?
Die Verordnung trennt Rollen: Anbieter (der das System entwickelt und auf den Markt bringt), Betreiber (der es in einem konkreten Kontext einsetzt), Verteiler und Einführer. Jede Rolle hat eigene Pflichten. In Verträgen mit KI-Dienstleistern sollten Sie explizit regeln, wer für Konformitätsbewertung und Dokumentation verantwortlich ist – sonst landen Pflichten oft beim Betreiber, also bei Ihnen.
Gibt es österreichische Förderungen für AI-Act-Compliance?
Direkt gewidmete Förderungen existieren noch nicht. Indirekt lassen sich Kosten über KMU.DIGITAL & GREEN (Digitalisierungsberatung), die Forschungsprämie (bei eigener KI-Entwicklung) oder FFG-Programme abdecken. Die RTR-Sandbox ist kostenlos.
Die Darstellung gibt den Stand April 2026 wieder. Die KI-Verordnung ist in Auslegung und Anwendung noch dynamisch – EU-Leitlinien, RTR-Bekanntmachungen und erste Gerichtsentscheidungen werden die Praxis bis Jahresende weiter konkretisieren. Verbindliche Einschätzung für Ihre konkrete KI-Anwendung gibt Ihre Rechtsberatung bzw. spezialisierte AI-Governance-Dienstleister. Dieser Artikel ersetzt keine individuelle Rechtsberatung.