Call us:

+43 664 9269691
Kontakt
  • AI Integration Advisory

EU AI Act: Was österreichische Unternehmen jetzt konkret tun müssen

⏱ 8 Min. Lesezeit🔊 Beitrag anhören
EU AI Act Compliance für österreichische Unternehmen

Seit August 2024 ist der EU AI Act in Kraft, die ersten Pflichten gelten seit Februar 2025. Wer als Unternehmen in Österreich, Südtirol oder Deutschland KI einsetzt — und das tun heute schon mehr Betriebe als sie selbst denken — steht vor klaren Anforderungen. Hier die Übersicht ohne Juristen-Jargon.

Worum es beim EU AI Act geht

Der EU AI Act ist die erste umfassende KI-Regulierung der Welt. Er kategorisiert KI-Systeme in vier Risikoklassen und knüpft an jede Klasse unterschiedliche Pflichten — von „keine besonderen Auflagen” bis zu „grundsätzlich verboten”. Da der Act EU-weit gilt, sind Unternehmen in Österreich, Südtirol (als Teil Italiens) und Deutschland gleichermaßen betroffen. Für KMU sind vor allem die unteren beiden Klassen relevant.

Die vier Risikoklassen — kurz erklärt

  1. Unannehmbares Risiko (verboten): Social Scoring, manipulative KI, Echtzeit-Biometrie im öffentlichen Raum. Für KMU faktisch nicht relevant.
  2. Hohes Risiko: KI in HR-Auswahlentscheidungen, Kreditscoring, kritische Infrastruktur, Bildung. Hier gelten strenge Dokumentations-, Transparenz- und Audit-Pflichten.
  3. Begrenztes Risiko: Chatbots, Deepfakes, generative KI in Kundenkommunikation. Transparenz-Pflicht — Nutzer müssen wissen, dass sie mit KI sprechen.
  4. Minimales Risiko: Spam-Filter, KI-gestützte Suche, Office-Assistenten. Keine besonderen Pflichten — die meisten Mittelstands-Use-Cases fallen hierher.

Welche Fristen gelten konkret?

  • Februar 2025: Verbotene KI-Praktiken sind nicht mehr erlaubt. AI-Literacy-Pflicht (geschultes Personal) trat in Kraft.
  • August 2025: Pflichten für General-Purpose-AI-Modelle (z. B. Foundation Models) gelten.
  • August 2026: Volle Anwendbarkeit für Hochrisiko-Systeme.
  • August 2027: Übergangsfristen für eingebettete KI in regulierte Produkte.

Compliance-Checkliste für KMU in Österreich und Südtirol

Wenn ihr KI im Unternehmen einsetzt, beantwortet diese sieben Fragen — sie decken 90% der typischen Mittelstands-Risiken ab:

  1. Welche KI-Systeme nutzen wir tatsächlich? Inventarisiert auch Schatten-IT (private ChatGPT-Konten, freie Tools).
  2. In welche Risikoklasse fällt jedes System? Bei Unsicherheit: lieber eine Klasse höher einstufen.
  3. Haben wir Auftragsverarbeitungsverträge mit allen KI-Anbietern? Free-Tier hat meist keinen.
  4. Sind unsere Mitarbeitenden geschult? AI-Literacy ist seit Feb 2025 Pflicht — nicht optional.
  5. Werden Nutzer über KI-Einsatz informiert? Bei Chatbots, generierten Bildern, automatisierter Entscheidung ist das verpflichtend.
  6. Gibt es eine schriftliche KI-Richtlinie im Unternehmen? Mindestens auf einer Seite, Stand der internen Regeln.
  7. Wer ist intern verantwortlich? Eine benannte Person pro Unternehmen, idealerweise mit Geschäftsleitungs-Zugang.

Was passiert bei Verstößen?

Die Strafen sind ernst: bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes, je nachdem was höher ist — für die schwersten Verstöße. Für KMU realistischer: Verwarnungen und niedrigere Bußgelder, aber auch hier reden wir im Bedarfsfall über fünf- bis sechsstellige Beträge. In Österreich übernimmt die Datenschutzbehörde (DSB) zentrale Aufsichtsfunktionen, in Südtirol/Italien das Garante Privacy, in Deutschland die jeweilige Landesdatenschutzbehörde.

Häufige Fragen

Gilt der EU AI Act auch für mein 10-Personen-Unternehmen in Österreich oder Südtirol?

Ja. Der AI Act unterscheidet nicht nach Unternehmensgröße und gilt EU-weit. Aber: Für KMU gibt es Erleichterungen bei den Dokumentationspflichten, und die meisten KMU-Use-Cases fallen in die Klassen mit minimalem oder begrenztem Risiko.

Was ist AI-Literacy konkret?

Mitarbeitende, die mit KI arbeiten, müssen ein angemessenes Verständnis haben — was die Tools können, wo Risiken liegen und wie sie verantwortungsvoll genutzt werden. Das kann von einer 2-Stunden-Schulung bis zu einem mehrtägigen Workshop reichen, je nach Rolle.

Brauchen wir einen KI-Beauftragten?

Eine benannte verantwortliche Person ist Best Practice und in einigen Klassen verpflichtend. Bei KMU ist das oft die Geschäftsleitung selbst oder die IT-/Datenschutz-Verantwortliche.

Welche Behörde ist in Österreich für die Aufsicht zuständig?

Die Datenschutzbehörde (DSB) übernimmt zentrale Aufsichtsfunktionen für den EU AI Act in Österreich. Spezielle KI-Aufsichtsstellen werden auf Bundesebene noch nachgezogen — der aktuelle Stand findet sich auf den DSB-Webseiten.

Wie es weitergeht

In einem unverbindlichen Erstgespräch klären wir gemeinsam, in welche Risikoklassen eure aktuellen KI-Anwendungen fallen und welche konkreten Schritte für euer Unternehmen sinnvoll sind. Wir betreuen Mandanten in ganz Österreich, Südtirol und der DACH-Region. Mehr zu unserer KI-Beratungspraxis findet ihr unter KI-Leistungen.

Kostenlose KI-Beratung anfragen

Wir zeigen Ihnen, wie KI Ihr Unternehmen voranbringt – praxisnah, verständlich und individuell.

Jetzt Termin vereinbaren