EU-KI-Verordnung 2026 – was Salzburger KMU bis 2027 umsetzen müssen

Beitrag vom 19. Mai 2026

Die Verordnung (EU) 2024/1689 – als AI Act bekannt – ist seit 02.08.2025 in Kraft und entfaltet ihre Pflichten in mehreren Stufen bis 2027. Schon seit 02.02.2025 müssen Mitarbeitende, die KI-Werkzeuge im Betrieb verwenden, eine ausreichende KI-Kompetenz nachweisen. Ab 02.08.2026 greifen Transparenzpflichten für Chatbots und KI-generierte Inhalte, ab 02.08.2027 die vollständigen Pflichten für Hochrisiko-KI. Salzburger KMU – vom Hotelbetrieb über den Bauträger bis zum Handwerksunternehmen – setzen KI längst im Alltag ein, oft ohne Bewusstsein für den konkreten Handlungsbedarf. Dieser Beitrag zeigt die Roadmap, ordnet typische Anwendungsfälle den vier Risikoklassen zu und nennt die Sanktionen, die ab August 2026 drohen.

Welche KI-Systeme setzen Sie im Betrieb ein? Wir prüfen Ihre Anwendungsfälle, ordnen sie nach Risikoklasse ein und nennen den konkreten Handlungsbedarf bis 2027. Jetzt anfragen ↓

📑 Inhaltsverzeichnis

1. Die EU-KI-Verordnung im Überblick 2. Vier Risikoklassen – wo Ihr KI-Einsatz steht 3. Stichtag 02.02.2025 – KI-Kompetenz-Pflicht für Mitarbeitende 4. Stichtag 02.08.2026 – Transparenzpflichten und Chatbots 5. Stichtag 02.08.2027 – Hochrisiko-KI und vollständige Anwendbarkeit 6. Typische Anwendungsfälle in Salzburger KMU 7. Sanktionen und Aufsicht – KI-Servicestelle bei der RTR 8. Was Salzburger KMU jetzt konkret tun sollten 9. Häufige Fragen zur EU-KI-Verordnung 10. Das Wichtigste auf einen Blick

Die EU-KI-Verordnung im Überblick

Die Verordnung (EU) 2024/1689 vom 13. Juni 2024 – kurz AI Act – ist die weltweit erste umfassende Regulierung für künstliche Intelligenz. Sie gilt unmittelbar in allen Mitgliedstaaten, ohne dass Österreich ein eigenes Umsetzungsgesetz braucht. Adressaten sind nicht nur die großen Tech-Konzerne, sondern alle Unternehmen, die KI-Systeme in der EU bereitstellen oder einsetzen – vom Salzburger Familienhotel bis zum mittelständischen Bauträger.

Der AI Act trat formal am 02.08.2024 in Kraft. Die Verordnung wirkt nach einer gestaffelten Logik: Je höher das Risiko des KI-Systems für Grundrechte und Sicherheit, desto strenger und früher greifen die Pflichten. Schon ab Februar 2025 sind die ersten Vorschriften anwendbar, die volle Wirkung entfaltet die Verordnung erst ab August 2027.

Wer einen breiten Überblick über das Regelwerk und seine Zielsetzung sucht, findet auf unserem Beitrag KI-Verordnung (AI Act) Österreich 2026 – Pflichten für Unternehmen die rechtsgebietsübergreifende Einordnung. Der hier vorliegende Beitrag fokussiert auf die Umsetzungs-Roadmap und die konkreten Anwendungsfälle in einem Salzburger KMU mit fünf bis fünfzig Mitarbeitenden.

Infografik

⏱️ Die vier Stichtage des AI Act

Wer wann was tun muss

Stichtag	Was gilt?	Status
02.08.2024	Inkrafttreten der Verordnung (Art. 113)	in Kraft
02.02.2025	Verbotene Praktiken (Art. 5) und KI-Kompetenz-Pflicht (Art. 4)	anwendbar
02.08.2025	Anwendbarkeit Verordnungstext, GPAI-Modelle	anwendbar
02.08.2026	Transparenzpflichten (Art. 50), Sanktionsregime, nationale Aufsicht	in 3 Monaten
02.08.2027	Vollanwendbarkeit, Hochrisiko-KI nach Anhang III	in 15 Monaten

Quelle: VO (EU) 2024/1689, Art. 113. Zeitplan der KI-Servicestelle bei der RTR.

Vier Risikoklassen – wo Ihr KI-Einsatz steht

Der AI Act folgt einem risikobasierten Ansatz. Jedes KI-System wird einer von vier Stufen zugeordnet – und genau diese Einordnung entscheidet darüber, welche Pflichten Sie als KMU treffen. Die Einstufung ist nicht beliebig. Sie ergibt sich aus dem Einsatzzweck, nicht aus der verwendeten Technologie. Ein und dasselbe Sprachmodell kann je nach Anwendung minimales Risiko bedeuten oder als Hochrisiko-System gelten.

Infografik

Die vier Risikoklassen des AI Act

Vom verbotenen Einsatz bis zum minimalen Risiko

🚫

Verbotene Praktiken

Art. 5

Social Scoring, manipulative Beeinflussung, ungezielte Gesichtsbild-Sammlung, Emotionserkennung am Arbeitsplatz.

Seit 02.02.2025 untersagt.

⚠️

Hochrisiko-KI

Anhang III

HR-Screening, Kreditwürdigkeitsprüfung, biometrische Identifikation, kritische Infrastruktur.

Volle Pflichten ab 02.08.2027.

ℹ️

Transparenzpflicht

Art. 50

Chatbots, Deepfakes, KI-generierte Texte, Bilder und Audio. Pflicht zur klaren Kennzeichnung.

Pflichten ab 02.08.2026.

✓

Minimales Risiko

Default

Interner Schreibassistent, Spam-Filter, Lead-Scoring im CRM, KI-Suche.

KI-Kompetenz-Pflicht gilt trotzdem.

Der entscheidende Punkt für die Praxis: Auch wer ausschließlich Anwendungen mit minimalem Risiko nutzt, ist nicht von allen Pflichten befreit. Die KI-Kompetenz-Pflicht aus Art. 4 trifft jedes Unternehmen, das KI-Systeme im Betrieb einsetzt – unabhängig von der Risikoklasse.

Stichtag 02.02.2025 – KI-Kompetenz-Pflicht für Mitarbeitende

Der erste Stichtag liegt bereits hinter uns. Seit 02.02.2025 sind zwei Pflichtenkomplexe anwendbar: das absolute Verbot bestimmter Praktiken nach Art. 5 und die KI-Kompetenz-Pflicht nach Art. 4. Während das Verbot nur wenige KMU unmittelbar betrifft – kein Salzburger Familienhotel betreibt Social Scoring – ist die KI-Kompetenz-Pflicht praktisch jedem Betrieb auferlegt, in dem überhaupt KI-Werkzeuge eingesetzt werden.

Art. 4 verpflichtet Anbieter und Betreiber von KI-Systemen, dafür Sorge zu tragen, dass das Personal, das mit der Bedienung und Nutzung der KI-Systeme befasst ist, über ausreichende KI-Kompetenz verfügt. Berücksichtigt werden müssen das technische Wissen, die Erfahrung, die Ausbildung und der Kontext, in dem die KI-Systeme eingesetzt werden.

Konkret bedeutet das: Wenn die Marketing-Mitarbeiterin ChatGPT für Werbetexte verwendet, wenn der HR-Verantwortliche Bewerbungen mit einem KI-Tool vorfiltert oder wenn der Geschäftsführer einen Microsoft-Copilot zur Mailbeantwortung nutzt, muss das Unternehmen sicherstellen, dass diese Personen die Grenzen, Risiken und korrekte Bedienung der eingesetzten Werkzeuge kennen. Eine konkrete Stundenanzahl oder ein vorgeschriebenes Curriculum nennt die Verordnung nicht. Aus Compliance-Sicht empfehlen sich aber eine dokumentierte Schulung, eine Nutzungsrichtlinie und eine regelmäßige Auffrischung.

💡 Praxistipp: Dokumentation ist der Schlüssel

Die KI-Kompetenz-Pflicht ist eine Organisationspflicht. Geprüft wird im Zweifelsfall, ob das Unternehmen sie ernstgenommen hat – nicht, ob jede Mitarbeiterin eine Prüfung bestanden hat. Eine schriftliche KI-Nutzungsrichtlinie, eine zweistündige interne Schulung pro Halbjahr mit Anwesenheitsliste und eine kurze Onboarding-Einheit für neue Mitarbeitende reichen für ein KMU regelmäßig aus. Halten Sie fest, welche Tools im Betrieb eingesetzt werden – diese Liste ist die Grundlage jeder Compliance.

Ein häufiges Missverständnis: Die KI-Kompetenz-Pflicht trifft nicht nur Anbieter von KI, sondern auch Anwender – also fast jedes Unternehmen, das ChatGPT, Copilot, Gemini oder vergleichbare Werkzeuge in den Arbeitsalltag integriert hat. Der bloße private Gebrauch einzelner Mitarbeitender auf eigene Faust ohne Wissen der Geschäftsführung ändert daran nichts; vielmehr verstärkt er das Risiko, weil Schatten-KI ohne Kontrolle wächst.

Stichtag 02.08.2026 – Transparenzpflichten und Chatbots

Der nächste Stichtag steht unmittelbar bevor. Ab 02.08.2026 gelten die Transparenzpflichten nach Art. 50, das Sanktionsregime nach Art. 99 und in Österreich die Zuständigkeit der KI-Servicestelle bei der Rundfunk und Telekom Regulierungs-GmbH (RTR). Parallel werden die Pflichten für sogenannte GPAI-Modelle (General Purpose AI – Sprachmodelle wie GPT-4 oder Claude) für deren Anbieter wirksam.

Für KMU stehen drei Transparenzregeln im Vordergrund. Erstens: Wer einen Chatbot betreibt, der mit natürlichen Personen interagiert, muss die Nutzer eindeutig darüber informieren, dass sie mit einem KI-System kommunizieren. Eine versteckte Fußnote reicht nicht; üblich ist ein klar sichtbarer Hinweis vor dem ersten Nachrichtenaustausch. Zweitens: Inhalte, die mit KI erzeugt oder manipuliert wurden – Texte, Bilder, Audio, Video – müssen entsprechend gekennzeichnet werden, soweit sie veröffentlicht oder einem breiten Publikum zugänglich gemacht werden. Drittens: Deepfakes, also realistisch wirkende, aber künstliche Personenabbildungen, sind besonders streng zu kennzeichnen.

⚖️ Transparenzpflichten nach Art. 50

Vier Pflichten, die KMU ab August 2026 beachten müssen

Chatbot-Hinweis – Nutzer müssen erfahren, dass sie mit einer KI sprechen, bevor die Konversation beginnt.

KI-generierte Inhalte kennzeichnen – Künstlich erzeugte oder bearbeitete Texte, Bilder, Audios und Videos brauchen eine eindeutige Kennzeichnung.

Emotionserkennung & biometrische Kategorisierung – Betroffene müssen vorab informiert werden, sofern der Einsatz überhaupt zulässig ist.

Deepfake-Kennzeichnung – Realistisch wirkende, künstlich erzeugte Inhalte sind als solche offenzulegen.

Für die Praxis im Salzburger Hotelbetrieb oder beim mittelständischen Handwerker bedeutet das: Wer auf seiner Website einen KI-gestützten Chatbot für Anfragen einsetzt, sollte die Begrüßungsnachricht überarbeiten – ein Satz wie „Hallo, ich bin der digitale Assistent dieses Betriebes und antworte mit Hilfe von künstlicher Intelligenz“ genügt der Pflicht. Wer regelmäßig KI-generierte Bilder oder Texte in Social Media oder Newsletter veröffentlicht, sollte eine standardisierte Kennzeichnung etablieren – etwa einen Hinweis im Bilduntertitel oder am Ende des Textes.

Die Pflichten gelten nicht nur für Großunternehmen. Auch ein Pinzgauer Skischulbetreiber, der ein Chat-Tool zur Anfragebeantwortung einsetzt, ist in der Pflicht. Die Höhe der Sanktion richtet sich zwar nach Schwere und Umsatz – eine grundsätzliche Befreiung von KMU gibt es aber nicht. Lediglich bei Geldbußen wird die wirtschaftliche Leistungsfähigkeit kleinerer Unternehmen gewichtet (Art. 99 Abs 7).

Stichtag 02.08.2027 – Hochrisiko-KI und vollständige Anwendbarkeit

Der letzte und schärfste Stichtag ist der 02.08.2027. Ab diesem Datum gelten die vollständigen Pflichten für Hochrisiko-KI-Systeme nach Anhang III der Verordnung. Anhang III listet acht Bereiche auf, in denen KI-Systeme als hochriskant gelten – darunter Beschäftigung und Personalverwaltung (Nr. 4), Bewertung der Kreditwürdigkeit natürlicher Personen (Nr. 5b), biometrische Identifizierung (Nr. 1) sowie Zugang zu öffentlichen Leistungen.

Die Pflichten für Anbieter und Betreiber von Hochrisiko-KI sind umfassend. Anbieter müssen ein Risikomanagementsystem etablieren (Art. 9), sicherstellen, dass Trainings-, Validierungs- und Testdaten in ausreichender Qualität vorliegen (Art. 10), technische Dokumentation führen (Art. 11), automatische Protokollierung gewährleisten (Art. 12), Transparenz gegenüber den Betreibern sicherstellen (Art. 13), menschliche Aufsicht ermöglichen (Art. 14) und Genauigkeit, Robustheit sowie Cybersicherheit garantieren (Art. 15). Vor dem Inverkehrbringen ist eine Konformitätsbewertung durchzuführen und das System mit dem CE-Kennzeichen zu versehen.

Für KMU als Betreiber – und das ist die häufigere Konstellation – sind die Pflichten schlanker, aber nicht zu vernachlässigen. Betreiber von Hochrisiko-KI müssen das System bestimmungsgemäß verwenden, Eingabedaten kontrollieren, menschliche Aufsicht sicherstellen, die Protokolle aufbewahren, betroffene Arbeitnehmer und deren Vertreter informieren (Art. 26 Abs 7) und in bestimmten Konstellationen eine Grundrechte-Folgenabschätzung durchführen (Art. 27).

⚠️ Praxisbeispiel: Bauträger mit KI-Bonitätsprüfung

Ein Bauträger, der Wohnungen verkauft und für seine Kunden eine KI-gestützte Bonitätsprüfung einsetzt, betreibt ab 02.08.2027 eine Hochrisiko-KI nach Anhang III Nr. 5b. Er muss die Eingabedaten kontrollieren, die menschliche Endentscheidung sicherstellen, die Protokolle aufbewahren und gegebenenfalls eine Grundrechte-Folgenabschätzung durchführen. Die schlichte Übernahme eines Scoring-Ergebnisses ohne menschliche Prüfung ist nicht zulässig.

Wer ein Hochrisiko-KI-System einkauft, sollte auch den Vertrag mit dem Anbieter genau prüfen. Welche Haftungsregeln gelten, wer trägt die Verantwortung bei Fehlentscheidungen, wie wird die technische Dokumentation übergeben? Diese vertraglichen Fragen behandeln wir vertieft in unserem Beitrag KI-Verträge für KMU: Vendor-Haftung und Datenverarbeitung in Österreich.

Typische Anwendungsfälle in Salzburger KMU

Die abstrakten Risikoklassen werden erst dann handhabbar, wenn sie auf den Betriebsalltag heruntergebrochen werden. Aus unserer Beratungspraxis kennen wir die typischen KI-Werkzeuge, die im Mittelstand zwischen Bischofshofen, Saalfelden und der Stadt Salzburg eingesetzt werden. Die folgende Übersicht ordnet sie der jeweiligen Risikoklasse zu – und nennt die Pflicht, die zuerst greift.

🏔️ KI im Salzburger KMU – Einordnung nach Risikoklasse

Typische Anwendungen und ihre Pflichten

Anwendung	Risikoklasse	Erste Pflicht
KI-Screening von Bewerbungen	Hochrisiko (Anhang III Nr. 4)	Volle Pflichten ab 02.08.2027
Chatbot auf Website (Reservierung, Service)	Transparenzpflicht	Hinweispflicht ab 02.08.2026
KI-Texterstellung für Newsletter, Social Media	Transparenzpflicht	Kennzeichnungspflicht ab 02.08.2026
Lead-Scoring im CRM (intern)	Minimales Risiko	KI-Kompetenz-Pflicht (bereits geltend)
Biometrische Zeiterfassung am Arbeitsplatz	Hochrisiko (Anhang III Nr. 1)	Volle Pflichten ab 02.08.2027
KI-Bonitätsprüfung bei Vertragsabschluss	Hochrisiko (Anhang III Nr. 5b)	Volle Pflichten ab 02.08.2027
Microsoft Copilot in der Buchhaltung	Minimales Risiko	KI-Kompetenz-Pflicht (bereits geltend)
KI-gestützte Emotionserkennung am Arbeitsplatz	Verboten (Art. 5)	Untersagt seit 02.02.2025

Hinweis: Die Einordnung kann sich im Einzelfall ändern, wenn das KI-System nur eine vorbereitende Aufgabe ohne wesentlichen Einfluss auf die Endentscheidung übernimmt (Art. 6 Abs 3).

Eine Salzburger Bauträgergesellschaft, die Microsoft Copilot in der Buchhaltung nutzt, Bewerbungen mit einem KI-Tool vorfiltert, einen Service-Chatbot auf der Website betreibt und ein CRM-Lead-Scoring einsetzt, hat damit Anwendungen in drei verschiedenen Risikoklassen – und in jeder davon eine eigene Pflicht. Die Schulung muss die Mitarbeitenden in allen Werkzeugen abdecken; die Chatbot-Pflicht greift im August 2026; die Hochrisiko-Pflicht beim HR-Screening im August 2027.

Sanktionen und Aufsicht – KI-Servicestelle bei der RTR

Wer die Pflichten der EU-KI-Verordnung verletzt, muss mit Geldbußen rechnen, die nach österreichischem Maßstab erheblich sind. Die Verordnung sieht ein dreistufiges Sanktionsregime nach Art. 99 vor.

💶 Sanktionsregime nach Art. 99

Drei Stufen, jeweils der höhere Betrag

Verstoßart	Maximalbuße
Verbotene Praktiken nach Art. 5	bis 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes
Verstöße gegen Hochrisiko-Pflichten und sonstige Anforderungen	bis 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes
Falsche Auskünfte an Behörden	bis 7,5 Mio. Euro oder 1 % des weltweiten Jahresumsatzes

Bei KMU und Start-ups ist die für sie wirtschaftlich tragfähigere Variante anzuwenden (Art. 99 Abs 6).

Die Aufsicht in Österreich übernimmt die KI-Servicestelle bei der RTR. Sie ist seit August 2025 als nationale Kontaktstelle eingerichtet und übernimmt mit dem 02.08.2026 vollständig die Funktion der Marktüberwachungs- und Aufsichtsbehörde. Für KMU bedeutet das: Beschwerden von Mitarbeitenden, Kunden oder Mitbewerbern können dort eingebracht werden; die RTR-KI-Servicestelle prüft und kann Verstöße verfolgen.

Daneben bleiben die bestehenden Aufsichtsbehörden für ihre jeweiligen Spezialbereiche zuständig – die Datenschutzbehörde bei Verstößen gegen die DSGVO, die Gleichbehandlungsanwaltschaft bei diskriminierenden Auswirkungen, die FMA bei Hochrisiko-KI im Finanzbereich. KMU sehen sich also nicht nur einer Aufsichtsbehörde gegenüber, sondern müssen die Schnittstellen mitdenken.

Was Salzburger KMU jetzt konkret tun sollten

Die Roadmap des AI Act ist kein Anlass zur Panik, aber sehr wohl zum strukturierten Vorgehen. Wer im Mai 2026 startet, hat drei Monate Zeit bis zum Transparenz-Stichtag und etwa 15 Monate bis zur vollständigen Anwendbarkeit. Das ist machbar, wenn die Reihenfolge stimmt. Wer ohnehin an den CSRD-/ESG-Berichtspflichten arbeitet, kann die KI-Governance gleich mitdenken — beide Pflichtenkreise überschneiden sich bei Dokumentation und Kontrollmechanik. Die folgende Checkliste fasst zusammen, welche Schritte ein Salzburger KMU jetzt angehen sollte.

✅ Sieben Schritte zur AI-Act-Compliance

☑️

KI-Inventar erstellen. Welche Werkzeuge werden im Betrieb genutzt? Wer nutzt sie? Wofür? Dazu zählen auch Schatten-Tools, die Mitarbeitende eigenständig einsetzen.

☑️

Risikoklasse jeder Anwendung bestimmen. Anhang III prüfen, Hochrisiko-Anwendungen kennzeichnen, verbotene Praktiken sofort einstellen.

☑️

KI-Kompetenz-Schulung organisieren. Dokumentierte Schulung für alle Mitarbeitenden, die KI nutzen – schriftliche Nutzungsrichtlinie als Begleitdokument.

☑️

Chatbot-Hinweis bis August 2026 implementieren. Klar sichtbarer Hinweis vor dem ersten Nachrichtenaustausch.

☑️

KI-Content-Kennzeichnung einführen. Standardformulierung für KI-generierte Texte, Bilder und Videos auf Website, Newsletter und Social Media.

☑️

Verträge mit KI-Anbietern prüfen. Haftung, Datenverarbeitung, Dokumentationspflichten – wer trägt welche Pflicht?

☑️

Hochrisiko-Anwendungen vorbereiten. Für jede Hochrisiko-KI bis 02.08.2027 das vollständige Compliance-Paket aufbauen: Risikomanagement, Aufzeichnungen, menschliche Aufsicht, Grundrechte-Folgenabschätzung.

Häufige Fehler sehen wir in der Beratungspraxis immer wieder dieselben. Sie lassen sich vermeiden, wenn man sie kennt.

„Wir setzen keine KI ein“

Falsch in 95 % der Fälle. Sobald ein Mitarbeiter ChatGPT öffnet, Microsoft Copilot in Outlook nutzt oder ein KI-gestütztes Übersetzungs-Plug-in einsetzt, ist Ihr Betrieb betroffen.

„Die KI-Kompetenz-Pflicht ist nur ein Programmsatz“

Die Pflicht ist bereits in Kraft. Sanktionen können ab August 2026 verhängt werden – und die Datenschutzbehörde hat bei verwandten Pflichten gezeigt, dass sie nicht nur Programmsätze prüft.

„KMU sind ausgenommen“

Es gibt keine generelle KMU-Ausnahme. Lediglich bei Geldbußen wird die wirtschaftliche Leistungsfähigkeit gewichtet (Art. 99 Abs 7) und bei GPAI-Modellen bestehen Erleichterungen – beides hilft dem Salzburger Mittelständler nicht.

„Der Anbieter kümmert sich“

Nur teilweise. Beim KI-Anbieter liegen die Pflichten zur Konformitätsbewertung; der Betreiber bleibt aber für den korrekten Einsatz, die menschliche Aufsicht und die Information der Betroffenen verantwortlich.

„Schatten-KI ist kein Problem“

Wenn Mitarbeitende ohne Wissen der Geschäftsführung KI-Tools mit Firmendaten füttern, entstehen DSGVO-Risiken, Berufsgeheimnisverletzungen und Compliance-Verstöße. Eine Nutzungsrichtlinie macht das transparent.

Häufige Fragen zur EU-KI-Verordnung

Gilt die EU-KI-Verordnung auch für kleine Unternehmen mit wenigen Mitarbeitenden?

Ja. Eine generelle KMU-Ausnahme gibt es nicht. Die Verordnung gilt für alle Anbieter und Betreiber von KI-Systemen in der EU, unabhängig von der Unternehmensgröße. Bei der Bemessung von Geldbußen wird die wirtschaftliche Leistungsfähigkeit kleiner Unternehmen berücksichtigt (Art. 99 Abs 7), die Pflichten selbst gelten unverändert.

Müssen wir eine eigene KI-Schulung organisieren oder reicht eine Online-Information?

Art. 4 schreibt kein bestimmtes Format vor. Wesentlich ist, dass die Mitarbeitenden die Funktionsweise, die Grenzen und die Risiken der eingesetzten KI-Werkzeuge tatsächlich kennen. In der Praxis bewährt sich eine interne Schulung mit Anwesenheitsliste, ergänzt um eine schriftliche Nutzungsrichtlinie und ein kurzes Onboarding für neue Mitarbeitende. Reine Online-Selbstlernkurse ohne Begleitmaterial sind riskant.

Was passiert, wenn wir bis 02.08.2026 keinen Chatbot-Hinweis eingebaut haben?

Verstöße gegen Transparenzpflichten fallen unter die zweite Sanktionsstufe und können mit Geldbußen bis 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes geahndet werden, jeweils der höhere Betrag. In der Praxis wird die KI-Servicestelle bei einem KMU regelmäßig zuerst zur Beseitigung des Verstoßes auffordern. Wer den Hinweis dann nachzieht, wird mit deutlich geringeren Sanktionen rechnen müssen.

Das Wichtigste auf einen Blick

📌 EU-KI-Verordnung für Salzburger KMU

1. Die KI-Kompetenz-Pflicht aus Art. 4 ist seit 02.02.2025 anwendbar – sie trifft jeden Betrieb mit KI-Einsatz, unabhängig von der Risikoklasse.

2. Ab 02.08.2026 greifen Transparenzpflichten: Chatbots müssen sich zu erkennen geben, KI-generierte Inhalte sind zu kennzeichnen.

3. Ab 02.08.2027 gelten die vollständigen Pflichten für Hochrisiko-KI nach Anhang III – typische KMU-Fälle: HR-Screening, Bonitätsprüfung, biometrische Erfassung.

4. Sanktionen reichen bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes. Eine generelle KMU-Ausnahme gibt es nicht.

5. Erste Schritte: KI-Inventar, Risikoklassen-Einordnung, dokumentierte Schulung, Chatbot-Hinweis vor August 2026, Vertragsprüfung mit Anbietern.

Jetzt unverbindlich anfragen

Füllen Sie das Formular aus und beschreiben Sie Ihre Situation. Wir melden uns in Kürze bei Ihnen.

Schritt 1 von 3Ihre Kontaktdaten

Vorname(erforderlich)

Nachname(erforderlich)

E-Mail-Adresse(erforderlich)

Telefonnummer(erforderlich)

Wie wir Ihnen helfen können

Wir begleiten Salzburger KMU bei der gesamten AI-Act-Umsetzung – von der ersten Bestandsaufnahme über die Risikoklassen-Einordnung bis zur vertraglichen Absicherung mit KI-Anbietern. Wir prüfen Ihre Anwendungsfälle, identifizieren Hochrisiko-Konstellationen, erarbeiten Nutzungsrichtlinien und Schulungsunterlagen und stellen die Compliance auf eine belastbare Dokumentationsgrundlage. Wenn Sie wissen wollen, welche Pflichten Sie konkret treffen und welche Schritte bis August 2026 zwingend sind, kontaktieren Sie uns. Wir klären Ihre Situation und zeigen Ihnen die besten Handlungsoptionen auf.

Stand: Mai 2026. Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Die Rechtslage im Einzelfall hängt von verschiedenen Faktoren ab – lassen Sie sich beraten.