Logo Brandauer Rechtsanwälte
Covid Rechtsinfo

KI-Verordnung (AI Act) für Unternehmen in Österreich – Pflichten ab 2.8.2026

Am 2. August 2026 wird die KI-Verordnung der Europäischen Union (Verordnung (EU) 2024/1689) für die meisten Unternehmen unmittelbar anwendbar. Wer Künstliche Intelligenz einsetzt – sei es im Personalwesen, in der Kundenkommunikation, in der Betrugsprävention oder im Marketing –, muss ab diesem Datum mit einem dichten Pflichtenkatalog rechnen. Bei Verstößen drohen Geldbußen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Eine Schulungspflicht für die eigenen Mitarbeiter besteht bereits seit dem 2. Februar 2025, und seit demselben Tag sind bestimmte KI-Praktiken vollständig verboten. Dieser Beitrag erklärt, was die KI-Verordnung für österreichische Unternehmen konkret bedeutet, welche Risikoklassen es gibt, welche Pflichten ab Sommer 2026 zu erfüllen sind und worauf die KI-Servicestelle bei der RTR-GmbH besonderes Augenmerk legt.

Setzen Sie KI in Ihrem Unternehmen ein oder planen Sie es? Beschreiben Sie Ihren KI-Einsatz – wir prüfen die Risikoeinstufung nach der KI-Verordnung und zeigen Ihnen die konkreten Pflichten auf. Jetzt anfragen ↓

Was ist die KI-Verordnung (AI Act)?

Die KI-Verordnung – offiziell Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz – ist das weltweit erste umfassende Regelwerk für den Einsatz von KI-Systemen. Sie wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und ist am 1. August 2024 in Kraft getreten. Die Anwendung erfolgt jedoch gestaffelt, sodass die einzelnen Pflichten zu unterschiedlichen Zeitpunkten greifen.

Ziel der KI-Verordnung ist ein risikobasierter Ansatz: Je höher das Risiko einer KI-Anwendung für die Grundrechte, die Gesundheit oder die Sicherheit von Menschen ist, desto strenger sind die Anforderungen. Anwendungen mit unannehmbarem Risiko sind vollständig verboten, Hochrisiko-Systeme unterliegen umfangreichen Pflichten, Systeme mit begrenztem Risiko müssen Transparenz herstellen, und minimale Risiken bleiben praktisch unreguliert.

Als EU-Verordnung gilt der AI Act unmittelbar in allen Mitgliedstaaten – also auch in Österreich. Es bedarf keines nationalen Umsetzungsgesetzes. Allerdings müssen die Mitgliedstaaten Marktüberwachungsbehörden benennen, Sanktionen festlegen und die organisatorische Aufsicht regeln. In Österreich ist dafür das KI-Servicestelle-Gesetz (KISG) maßgeblich, das die Zuständigkeiten zwischen mehreren Behörden aufteilt. Wenn Sie sich allgemein zu Compliance-Fragen im Unternehmensrecht orientieren möchten, finden Sie auf unserer Schwerpunktseite einen Überblick.

⚖️
Rechtsgrundlage Verordnung (EU) 2024/1689 vom 13. Juni 2024. Inkrafttreten: 1. August 2024. Schrittweise Anwendung bis zum 2. August 2027. Hauptdatum für Unternehmen: 2. August 2026.

Zeitplan: Wann gelten welche Pflichten?

Die KI-Verordnung wird nicht in einem einzigen Schritt anwendbar, sondern über drei Jahre verteilt. Wer den Überblick verliert, läuft Gefahr, Fristen zu übersehen. Die folgenden Stichtage sind besonders wichtig.

⏱️ Zeitplan der KI-Verordnung 2024–2027
Wann welche Bestimmungen anwendbar werden
Datum Was wird wirksam?
1. August 2024 Inkrafttreten der Verordnung
2. Februar 2025 Verbot bestimmter KI-Praktiken (Kapitel II) und Pflicht zur KI-Kompetenz der Mitarbeiter (Art. 4)
2. August 2025 Pflichten für GPAI-Modelle (General Purpose AI), Governance-Strukturen, Sanktionsregelungen
2. August 2026 Hauptanwendung: Hochrisiko-Systeme nach Anhang III, Transparenzpflichten, vollständiger Pflichtenkatalog
2. August 2027 Hochrisiko-Systeme nach Anhang I (Produktsicherheit – z. B. Maschinen, Medizinprodukte, Spielzeug)

Für die meisten Unternehmen ist der 2. August 2026 das entscheidende Datum. Ab diesem Tag gelten die Pflichten für Hochrisiko-KI-Systeme der zweiten Kategorie (Anhang III) sowie sämtliche Transparenzanforderungen. Wer KI in der Personalauswahl, in der Kreditvergabe, in der Bildung, im Versicherungswesen oder in der Strafverfolgung einsetzt, muss bis dahin alle Maßnahmen umgesetzt haben.

Die vier Risikoklassen des AI Act

Der gesamte Aufbau der KI-Verordnung folgt einer Risikoeinteilung in vier Stufen. Die Einstufung entscheidet darüber, welche Pflichten ein Unternehmen treffen – und ob ein KI-System überhaupt eingesetzt werden darf. Die Selbsteinschätzung der Risikoklasse ist daher der erste und wichtigste Schritt jeder AI-Act-Compliance.

Infografik

Die vier Risikoklassen

Pflichten und Folgen je nach Einstufung
🚫
Unannehmbares Risiko
Verboten
Manipulation, Social Scoring, biometrische Massenüberwachung, Emotionserkennung am Arbeitsplatz. Vollständig verboten seit 2. Februar 2025.
⚠️
Hohes Risiko
Streng reguliert
HR-Auswahl, Kreditvergabe, Bildung, kritische Infrastruktur, Justiz. Umfangreiche Pflichten ab 2. August 2026.
💬
Begrenztes Risiko
Transparenz
Chatbots, Deepfakes, KI-generierte Inhalte. Kennzeichnungs- und Hinweispflichten ab 2. August 2026.
Minimales Risiko
Frei
Spamfilter, Empfehlungssysteme, KI in Videospielen. Keine besonderen Pflichten – nur freiwillige Verhaltenskodizes.

Ein wichtiger Punkt vorweg: Die meisten in Unternehmen eingesetzten KI-Tools fallen in die unteren beiden Kategorien. Wer ChatGPT für die Texterstellung verwendet, einen Spamfilter betreibt oder ein Empfehlungssystem im Webshop einsetzt, ist in der Regel nicht von den Hochrisiko-Pflichten betroffen. Sobald jedoch automatisierte Entscheidungen mit Auswirkungen auf Menschen getroffen werden – etwa im Bewerbungsprozess oder bei der Bonitätsbewertung –, kann sich das Bild grundlegend ändern.

Verbotene KI-Praktiken seit 2. Februar 2025

Bestimmte Anwendungen Künstlicher Intelligenz hält die EU für so grundrechtsfeindlich, dass sie schlicht verboten sind. Diese Verbote gelten seit dem 2. Februar 2025 und sind in Art. 5 der KI-Verordnung geregelt. Wer eine verbotene Praktik einsetzt, riskiert die höchsten Strafen des gesamten Verordnungsapparats.

🚫 Verbotene KI-Praktiken (Art. 5 KI-VO)
Wirksam seit 2. Februar 2025
1
Unterschwellige Manipulation – KI-Systeme, die Personen unbemerkt in Entscheidungen drängen, die ihnen schaden können.
2
Ausnutzen von Schutzbedürftigkeit – Systeme, die Schwächen aufgrund von Alter, Behinderung oder sozialer Lage gezielt ausnutzen.
3
Social Scoring – Bewertung von Personen anhand ihres sozialen Verhaltens oder ihrer persönlichen Eigenschaften durch öffentliche Stellen.
4
Predictive Policing – Vorhersage individueller Straftaten allein auf Basis von Profiling.
5
Ungezielte Gesichtsbild-Datenbanken – Anlegen von Datenbanken durch ungerichtetes Scraping von Bildern aus dem Internet oder Videoüberwachung.
6
Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen – Außer aus medizinischen oder Sicherheitsgründen vollständig untersagt.
7
Biometrische Kategorisierung sensibler Merkmale – Etwa nach Religion, politischer Überzeugung oder sexueller Orientierung.
8
Echtzeit-Fernidentifikation im öffentlichen Raum – Mit eng begrenzten Ausnahmen nur für Strafverfolgungsbehörden.

Für die meisten Unternehmen ist die Emotionserkennung am Arbeitsplatz die praktisch relevanteste Verbotsbestimmung. Wer Mitarbeiter durch KI-Tools auf Konzentration, Müdigkeit oder Stress hin beobachten lässt, bewegt sich auf rechtlich verbotenem Boden – auch wenn die Software-Anbieter die Zulässigkeit oft anders darstellen. Gleiches gilt für Bewerbungssoftware, die Mimik und Stimmlage auswertet.

Hochrisiko-KI-Systeme – die Kernpflichten ab 2026

Im Mittelpunkt der KI-Verordnung steht die Regulierung der Hochrisiko-Systeme. Sie sind in Anhang III der Verordnung abschließend aufgelistet und betreffen Bereiche, in denen Fehlentscheidungen erhebliche Auswirkungen auf das Leben von Menschen haben können. Ab dem 2. August 2026 gelten für diese Systeme umfassende Anforderungen.

Welche Anwendungen sind Hochrisiko-Systeme?

Anhang III listet acht Bereiche auf, in denen KI-Systeme als Hochrisiko gelten: biometrische Identifikation, kritische Infrastrukturen (z. B. Strom-, Wasser- und Verkehrsnetze), allgemeine und berufliche Bildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen privaten und öffentlichen Diensten und Leistungen (z. B. Kreditvergabe, Sozialleistungen, Notdienste), Strafverfolgung, Migration und Asyl sowie Justizpflege und demokratische Prozesse. Wer also eine Software einsetzt, die Bewerber vorsortiert, Mitarbeiter bewertet, Kreditwürdigkeit prognostiziert oder Versicherungstarife festlegt, fällt mit hoher Wahrscheinlichkeit in diese Kategorie.

Die zentralen Pflichten für Anbieter und Betreiber

Die Verordnung unterscheidet zwischen Anbietern (jene, die ein KI-System entwickeln und in Verkehr bringen) und Betreibern (jene, die es einsetzen). Beide tragen Verantwortung, allerdings in unterschiedlichem Umfang. Anbieter müssen die technischen und organisatorischen Anforderungen umsetzen; Betreiber müssen sicherstellen, dass das System in der Praxis ordnungsgemäß verwendet wird.

Anbieter (Provider)
Entwickeln und vermarkten KI-Systeme
  • Risikomanagementsystem (Art. 9)
  • Daten-Governance, hochwertige Trainingsdaten (Art. 10)
  • Technische Dokumentation (Art. 11)
  • Aufzeichnungspflichten / Logging (Art. 12)
  • Transparenz und Information (Art. 13)
  • Menschliche Aufsicht (Art. 14)
  • Genauigkeit, Robustheit, Cybersicherheit (Art. 15)
  • Konformitätsbewertung und CE-Kennzeichnung
  • Eintragung in EU-Datenbank
Achtung: Wer ein bestehendes System wesentlich verändert oder unter eigenem Namen betreibt, gilt rechtlich ebenfalls als Anbieter.
Betreiber (Deployer)
Setzen ein KI-System im Unternehmen ein
  • Verwendung gemäß Anbietervorgaben
  • Menschliche Aufsicht durch geschultes Personal
  • Überwachung des Betriebs, Meldung von Vorfällen
  • Aufbewahrung der Logs (mind. 6 Monate)
  • Information betroffener Personen (z. B. Bewerber)
  • Durchführung einer Grundrechte-Folgenabschätzung (Art. 27) – v. a. öffentliche Stellen und bestimmte private Anwendungen
  • Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bleibt parallel bestehen
Praxishinweis: Die meisten österreichischen Unternehmen sind Betreiber, nicht Anbieter – die Pflichten sind dadurch überschaubarer, aber nicht trivial.

Besonders wichtig ist Art. 26 KI-VO, der die Pflichten der Betreiber bündelt. Dazu gehört etwa, dass die Eingabedaten relevant und repräsentativ sein müssen, dass das System überwacht wird und dass Vorfälle an den Anbieter gemeldet werden. In bestimmten Fällen – etwa bei Behörden oder bei der Bewertung der Bonität von Privatpersonen – ist außerdem eine Grundrechte-Folgenabschätzung nach Art. 27 KI-VO durchzuführen.

Transparenzpflichten für Chatbots, Deepfakes und KI-Inhalte

Auch für Systeme, die nicht als Hochrisiko eingestuft sind, sieht die KI-Verordnung Pflichten vor – allerdings deutlich schlankere. Im Mittelpunkt stehen Transparenzanforderungen, die in Art. 50 KI-VO geregelt sind. Sie greifen ebenfalls ab dem 2. August 2026 und betreffen praktisch jeden, der KI im Kundenkontakt einsetzt.

💬 Die vier Transparenzpflichten im Überblick

1. Chatbots und Sprachassistenten: Nutzer müssen erfahren, dass sie mit einer Maschine sprechen – außer es ist offensichtlich oder es handelt sich um zugelassene Strafverfolgungsanwendungen.

2. KI-generierte Inhalte: Anbieter generativer KI müssen ihre Outputs maschinenlesbar als künstlich erzeugt kennzeichnen (z. B. durch Wasserzeichen).

3. Emotionserkennung und biometrische Kategorisierung: Wer erlaubterweise solche Systeme einsetzt, muss die betroffenen Personen darüber aufklären.

4. Deepfakes: Bild-, Audio- oder Videoinhalte, die einer realen Person täuschend ähnlich sind, müssen als künstlich generiert oder manipuliert offengelegt werden. Ausnahmen für Kunst und Satire sind möglich.

In der Praxis bedeutet das: Wer einen Chatbot auf seiner Website betreibt, muss spätestens am 2. August 2026 sicherstellen, dass dieser sich klar als Maschine zu erkennen gibt. Wer KI-generierte Bilder im Marketing verwendet, sollte sie kennzeichnen. Und wer Deepfake-Inhalte erstellt – etwa für Werbung mit prominenten Stimmen –, kommt um eine Offenlegung nicht herum.

KI-Kompetenz-Pflicht: Schulung der Mitarbeiter

Eine der meistunterschätzten Bestimmungen der KI-Verordnung ist Art. 4. Er schreibt vor, dass Anbieter und Betreiber „Maßnahmen ergreifen, um sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen“. Diese Pflicht gilt bereits seit dem 2. Februar 2025 – nicht erst ab 2026.

Die Verordnung definiert KI-Kompetenz in Art. 3 Z 56 als „die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden“. Konkret bedeutet das: Mitarbeiter müssen wissen, wozu ein KI-System dient, wie es funktioniert, wo seine Grenzen liegen und welche Risiken bestehen.

💡
Praxistipp: Schulungspflicht ernst nehmen Die Schulungspflicht gilt für alle Unternehmen, die KI einsetzen – auch wenn nur ein Mitarbeiter ChatGPT für die tägliche Arbeit nutzt. Wir empfehlen, eine interne KI-Richtlinie zu erstellen, sämtliche Mitarbeiter mit KI-Berührung schriftlich zu schulen und die Schulung zu dokumentieren. Im Streitfall müssen Sie nachweisen können, dass die Mitarbeiter „ausreichend kompetent“ waren.

Eine starre Vorgabe, wie die Schulung aussehen muss, gibt es nicht. Die Anforderungen richten sich nach der Art des eingesetzten Systems, der Funktion der Mitarbeiter und dem Risikoniveau. Wer in der Personalabteilung KI-gestützte Bewerber-Screening-Tools verwendet, braucht andere Kompetenzen als jemand, der KI lediglich für Texterstellung nutzt. Die KI-Servicestelle bei der RTR-GmbH hat Leitlinien angekündigt, die hier weitere Orientierung geben sollen.

Strafen: Bis zu 35 Mio. Euro oder 7 Prozent Umsatz

Die KI-Verordnung sieht – vergleichbar mit der DSGVO – ein gestaffeltes Sanktionssystem vor. Die Höhe der Geldbußen richtet sich nach der Schwere des Verstoßes und dem Umsatz des Unternehmens. Maßgeblich ist immer der höhere der beiden Werte (Festbetrag oder Prozentanteil am weltweiten Jahresumsatz). Damit stellt der AI Act sicher, dass auch Großkonzerne empfindlich getroffen werden können.

💶 Sanktionsrahmen der KI-Verordnung
Verstoß Geldbuße bis Oder Umsatzanteil
Verbotene Praktiken (Art. 5) 35 Mio. EUR 7 % des weltweiten Jahresumsatzes
Verstoß gegen Hochrisiko-Pflichten 15 Mio. EUR 3 % des weltweiten Jahresumsatzes
Falsche oder irreführende Angaben gegenüber Behörden 7,5 Mio. EUR 1 % des weltweiten Jahresumsatzes
KMU und Start-ups Es gilt jeweils der niedrigere der beiden Werte (Sondersatz für kleinere Unternehmen)
Hinweis: Die genannten Beträge sind Höchstmaße. Die konkrete Strafhöhe bemisst sich nach Art, Dauer und Schwere des Verstoßes sowie dem Verhalten des Unternehmens.

Der Vergleich mit der DSGVO drängt sich auf: Während die Datenschutz-Grundverordnung Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes vorsieht, setzt die KI-Verordnung mit 35 Millionen Euro und 7 Prozent noch eins drauf. Das zeigt, wie ernst die EU den Bereich nimmt. In Österreich ist mit den ersten Bußgeldverfahren ab dem Jahr 2027 zu rechnen, sobald sich die Aufsicht eingespielt hat.

Österreich: KI-Servicestelle bei der RTR-GmbH

Die KI-Verordnung verpflichtet die Mitgliedstaaten, eine zentrale Anlaufstelle und Marktüberwachungsbehörden zu benennen. In Österreich übernimmt die KI-Servicestelle bei der Rundfunk und Telekom Regulierungs-GmbH (RTR-GmbH) die zentrale Rolle. Sie ist beim Fachbereich Medien angesiedelt und seit dem 1. September 2024 operativ. Rechtsgrundlage ist das KI-Servicestelle-Gesetz (KISG), das im Sommer 2024 vom Nationalrat beschlossen wurde.

Aufgaben der KI-Servicestelle

Die Servicestelle ist die erste Anlaufstelle für Unternehmen, Verwaltung und Bürger. Sie informiert über Pflichten, beantwortet Fragen, koordiniert die Marktüberwachung in Österreich und vertritt Österreich im European AI Board. Sie betreibt außerdem eine sogenannte „regulatorische Sandbox“ – eine Testumgebung, in der Unternehmen innovative KI-Anwendungen unter behördlicher Begleitung erproben können, bevor sie auf den Markt kommen. Diese Sandbox-Umgebung ist insbesondere für Start-ups und KMU eine Chance, regulatorische Sicherheit zu gewinnen.

Marktüberwachung in Österreich

Die eigentliche Aufsicht über einzelne Hochrisiko-Sektoren liegt nicht ausschließlich bei der RTR. Je nach Anwendungsbereich sind andere Behörden zuständig: Bei medizinischen Anwendungen das BASG, bei Finanz- und Versicherungswesen die FMA, bei Datenschutzfragen die Datenschutzbehörde, bei Arbeitsverhältnissen die Arbeitsinspektion. Diese Aufsplitterung soll bestehende Expertise nutzen, macht die rechtliche Bewertung im Einzelfall aber komplexer. Wer unsicher ist, welche Behörde zuständig ist, kann sich zunächst an die KI-Servicestelle wenden.

Praxistipps für die Umsetzung im Unternehmen

Die Vorbereitung auf den 2. August 2026 sollte spätestens jetzt beginnen. Erfahrungsgemäß werden Unternehmen, die erst im Frühjahr 2026 starten, in Zeitnot geraten – insbesondere dann, wenn die Risikoeinstufung ergibt, dass ein Hochrisiko-System vorliegt. Die folgenden Schritte haben sich in der Praxis bewährt.

Checkliste: AI-Act-Vorbereitung in 8 Schritten
1. KI-Inventar erstellen. Erfassen Sie alle KI-Systeme im Unternehmen – auch die SaaS-Tools (z. B. ChatGPT, Microsoft Copilot, HR-Software, CRM-Funktionen).
2. Risikoeinstufung vornehmen. Ordnen Sie jedes System einer der vier Risikoklassen zu. Dokumentieren Sie die Begründung.
3. Verbotene Anwendungen identifizieren und stoppen. Falls Sie Emotionserkennung am Arbeitsplatz oder ähnliche Anwendungen einsetzen, müssen diese sofort beendet werden.
4. Anbieter- vs. Betreiberrolle klären. Sind Sie nur Nutzer einer fremden KI oder werden Sie durch Anpassungen selbst zum Anbieter?
5. KI-Richtlinie und Schulungskonzept erstellen. Definieren Sie schriftlich, wer welche KI-Tools nutzen darf und wie die Schulung erfolgt.
6. Mitarbeiterschulung durchführen und dokumentieren. Jeder Mitarbeiter mit KI-Berührung benötigt eine nachweisbare Grundschulung.
7. Transparenzmaßnahmen einbauen. Chatbot-Hinweise, Kennzeichnung KI-generierter Inhalte, Information betroffener Personen.
8. Verantwortlichkeit benennen. Bestellen Sie eine interne Ansprechperson („KI-Beauftragter“), die das Thema laufend betreut. Idealerweise mit dem Datenschutzbeauftragten verzahnt.

Ein häufig übersehener Punkt ist das Zusammenspiel mit der DSGVO. Wer KI einsetzt, verarbeitet in der Regel personenbezogene Daten – damit gelten beide Regelwerke parallel. Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und die Grundrechte-Folgenabschätzung nach Art. 27 KI-VO können in einem gemeinsamen Dokument kombiniert werden, müssen es aber nicht. Wichtig ist, dass beide Pflichten erfüllt werden.

Häufige Fehler bei der AI-Act-Umsetzung

In der Beratungspraxis sehen wir immer wieder dieselben Stolperfallen. Die folgenden Fehler treten besonders häufig auf – und lassen sich mit etwas Aufmerksamkeit vermeiden.

⚠️ Sechs typische Fehler – und wie Sie sie vermeiden
„Wir setzen ja keine KI ein.“ – Doch. Wer ChatGPT, Copilot, Übersetzungstools, Kundensupport-Bots oder Bewerber-Screening verwendet, ist betroffen. Die meisten Unternehmen nutzen KI, ohne es bewusst wahrzunehmen.
Schulungspflicht ignorieren. – Art. 4 KI-VO gilt seit 2. Februar 2025. Wer ohne dokumentierte Schulung KI nutzt, verstößt seit über einem Jahr gegen geltendes EU-Recht.
KI-Compliance nur auf die IT abwälzen. – Die Einhaltung der KI-Verordnung ist eine rechtlich-organisatorische Aufgabe, nicht primär eine technische. Sie braucht Geschäftsführung, Recht/Compliance und IT in einer Linie.
Sich auf den Anbieter verlassen. – Auch als Betreiber haben Sie eigene Pflichten. Eine Erklärung des Anbieters, dass „alles AI-Act-konform“ sei, ersetzt weder die Risikoeinstufung noch die Schulung noch die Dokumentation im eigenen Haus.
Unbeabsichtigt zum Anbieter werden. – Wer ein bestehendes KI-System wesentlich verändert, einbettet oder unter eigenem Markennamen vermarktet, gilt rechtlich als Anbieter und übernimmt damit den vollen Pflichtenkatalog.
DSGVO und KI-VO getrennt denken. – Die beiden Regelwerke greifen ineinander. Wer beide getrennt behandelt, erzeugt doppelten Aufwand und übersieht Schnittstellen wie die kombinierbare Folgenabschätzung.

Sonderfall: Open-Source-KI

Frei verfügbare Modelle wie Llama, Mistral oder Stable Diffusion sind nicht generell vom AI Act ausgenommen. Zwar bestehen Erleichterungen für kostenfreie Open-Source-Modelle, die ausschließlich der Forschung dienen. Sobald jedoch ein Open-Source-Modell in einem Hochrisiko-Kontext eingesetzt wird oder ein Unternehmen damit eigene Produkte vermarktet, gelten dieselben Pflichten wie für proprietäre Software.

Sonderfall: KI-Einsatz im Konzern

Werden KI-Systeme zentral durch eine Konzernmutter entwickelt und an Tochtergesellschaften verteilt, kann sowohl die Mutter als auch jede einzelne Tochter Pflichten treffen – als Anbieter und/oder als Betreiber. Eine klare interne Vereinbarung über die Verantwortlichkeiten ist daher dringend zu empfehlen, um Doppelarbeit und Haftungslücken zu vermeiden.

Häufige Fragen zur KI-Verordnung

Gilt die KI-Verordnung auch für kleine Unternehmen?
Ja, die KI-Verordnung gilt unabhängig von der Unternehmensgröße. Auch Einzelunternehmer und KMU sind verpflichtet, die Schulungspflicht nach Art. 4 zu erfüllen, eine Risikoeinstufung vorzunehmen und die Transparenzpflichten einzuhalten. Für KMU und Start-ups gelten allerdings reduzierte Höchststrafen und ein erleichterter Zugang zur regulatorischen Sandbox bei der RTR-GmbH.
Muss ich ChatGPT im Unternehmen verbieten, um AI-Act-konform zu sein?
Nein. ChatGPT ist als General-Purpose-AI-Modell nicht per se hochrisikobehaftet. Sie müssen aber dafür sorgen, dass die Mitarbeiter ausreichend KI-Kompetenz besitzen, dass keine sensiblen personenbezogenen Daten in das Modell eingegeben werden und dass KI-generierte Inhalte gegenüber Kunden gekennzeichnet werden. Eine schriftliche Nutzungsrichtlinie ist dringend zu empfehlen.
Was passiert, wenn ich die Pflichten am 2. August 2026 nicht erfüllt habe?
Verstöße gegen die Pflichten für Hochrisiko-KI-Systeme können mit Geldbußen von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden. In der Praxis ist davon auszugehen, dass die Behörden in den ersten Monaten zunächst beratend tätig werden. Wer aber nichts vorweisen kann – keine Risikoeinstufung, keine Schulungsdokumentation, keine internen Richtlinien –, riskiert ab 2027 ernste Konsequenzen.

Das Wichtigste auf einen Blick

📌 Zusammenfassung: KI-Verordnung für Unternehmen

▸ Die KI-Verordnung (EU) 2024/1689 wird ab dem 2. August 2026 in ihrem Kerngehalt anwendbar. Bereits seit 2. Februar 2025 gelten die Verbote und die Schulungspflicht.

▸ Die Verordnung unterscheidet vier Risikoklassen: unannehmbar (verboten), hoch, begrenzt und minimal. Die Einstufung entscheidet über die Pflichten.

Hochrisiko-Systeme – etwa im HR, in der Kreditvergabe oder in der Bildung – unterliegen strengen Anforderungen an Risikomanagement, Dokumentation, menschliche Aufsicht und Transparenz.

Schulungspflicht (Art. 4): Alle Mitarbeiter mit KI-Berührung müssen über ausreichende Kompetenz verfügen – nachweisbar.

Transparenz: Chatbots, KI-generierte Inhalte und Deepfakes müssen gekennzeichnet werden.

Strafen: Bis zu 35 Mio. EUR oder 7 % Weltumsatz für verbotene Praktiken; 15 Mio. EUR oder 3 % für Verstöße gegen Hochrisiko-Pflichten.

Österreich: Zentrale Anlaufstelle ist die KI-Servicestelle bei der RTR-GmbH. Marktüberwachung erfolgt zusätzlich durch sektorale Behörden (FMA, BASG, DSB).

Jetzt unverbindlich anfragen

Füllen Sie das Formular aus und beschreiben Sie Ihre Situation. Wir melden uns in Kürze bei Ihnen.

Schritt 1 von 3Ihre Kontaktdaten

Wie wir Ihnen bei der KI-Verordnung helfen können

Die KI-Verordnung trifft nahezu jedes Unternehmen, das digital arbeitet – vom Einzelunternehmer mit ChatGPT bis zum Konzern mit eigenen Hochrisiko-Anwendungen. Wir begleiten Sie bei der Risikoeinstufung Ihrer KI-Systeme, erstellen Ihre interne KI-Richtlinie und ein dokumentiertes Schulungskonzept und prüfen, ob Ihre Anwendungen unter die Hochrisiko-Kategorie fallen. Falls Sie als Anbieter agieren, unterstützen wir Sie bei der Konformitätsbewertung, der technischen Dokumentation und der Eintragung in die EU-Datenbank. Auch im Streitfall mit Aufsichtsbehörden vertreten wir Ihre Interessen. Kontaktieren Sie uns – wir klären Ihre Situation und zeigen Ihnen die besten Handlungsoptionen auf.

Erstgespräch vereinbaren