„Der EU AI Act ist kein Brüsseler Politikdokument. Wer in Österreich KI entwickelt oder einsetzt, muss Verträge, Architektur und Haftung neu denken.“
Was ist der EU AI Act und ab wann gilt er?
Der EU AI Act ist die weltweit erste umfassende KI-Regulierung und trat 2026 vollständig in Kraft. Er ist keine freiwillige Richtlinie und gilt nicht nur für Großkonzerne. Wer KI-Systeme in der EU entwickelt, vertreibt oder im Betrieb einsetzt, fällt unter diese Verordnung.
Die Regulierung unterscheidet zwischen zwei Gruppen: Anbieter (Unternehmen, die KI-Systeme entwickeln und auf dem EU-Markt bereitstellen) und Betreiber (Unternehmen, die KI-Systeme in ihrem Betrieb einsetzen). Österreichische Unternehmen fallen häufig in beide Kategorien gleichzeitig — sie nutzen kommerzielle KI-Tools und entwickeln zugleich eigene KI-Funktionen für Kunden.
Die meisten Pflichten des Gesetzes sind bereits aktiv. Die Anforderungen für Hochrisiko-Systeme werden ab August 2026 vollständig durchgesetzt. Wer bislang abgewartet hat, wie sich die Durchsetzung entwickelt, hat das Vorbereitungsfenster verpasst. Dieser Leitfaden zeigt Ihnen, wo Sie stehen und was als nächstes zu tun ist.
Die 4 Risikostufen (und wo die meisten österreichischen KMU einzuordnen sind)
Der EU AI Act klassifiziert KI-Systeme in vier Risikostufen. Ihre Pflichten — und die Kosten der Compliance — hängen ausschließlich davon ab, in welche Stufe Ihre Systeme fallen. Die Klassifizierung richtet sich nach dem Anwendungsfall, nicht nach der Technologie.
| Risikostufe | Beispiele | Pflichten | Betrifft österr. KMU? |
|---|---|---|---|
| Inakzeptabel (Verboten) | Social Scoring, Echtzeit-Biometrie-Überwachung, Emotionserkennung am Arbeitsplatz | Vollständig verboten | Selten |
| Hochrisiko | KI in HR/Bewerbung, Kreditwürdigkeitsprüfung, Medizinprodukte, kritische Infrastruktur | Streng: Konformitätsbewertung, menschliche Aufsicht, Protokollierung, DSGVO-Konformität | Manchmal |
| Begrenztes Risiko | Chatbots, Deepfake-Tools, Emotionserkennung | Transparenz: KI-Interaktion muss offengelegt werden | Häufig |
| Minimales Risiko | Spam-Filter, KI-Spiele, Empfehlungssysteme | Keine Pflichten | Am häufigsten |
Für die meisten österreichischen KMU, die KI-Chatbots, Empfehlungssysteme oder interne Automatisierungstools nutzen: Sie fallen in die Kategorie „Begrenztes“ oder „Minimales“ Risiko. Ihre Pflichten sind überschaubar — hauptsächlich Transparenz und Dokumentation.
Was österreichische Unternehmen tatsächlich tun müssen (nach Risikostufe)
Die Anforderungen des Gesetzes skalieren mit dem Risiko. Hier erfahren Sie, was jede Stufe in der Praxis für ein österreichisches Unternehmen bedeutet — mit realistischen Kostenschätzungen aus aktuellen Projekten.
Für KI mit begrenztem Risiko (häufigste Kategorie für KMU)
Wenn Sie einen kundenorientierten Chatbot betreiben, KI zur Inhaltserstellung nutzen oder ein System einsetzen, bei dem Nutzer nicht erkennen könnten, dass sie mit einer KI interagieren, fallen Sie in die Kategorie begrenztes Risiko. Ihre Pflichten sind klar:
- Nutzer darüber informieren, dass sie mit einer KI interagieren (Chatbot-Hinweis)
- KI-generierte Inhalte (Bilder, Audio, Text) kennzeichnen, wenn Verwechslungsgefahr besteht
- Geschätzte Kosten: €500–2.000 für Dokumentation und UI-Anpassungen
Für Hochrisiko-KI (teils Mittelstand und Enterprise)
Wenn Ihre KI Einstellungsentscheidungen, Kreditbewertungen, medizinische Kontexte oder kritische Infrastruktur berührt, befinden Sie sich im Hochrisiko-Bereich. Der Compliance-Aufwand ist deutlich höher:
- Technische Dokumentation des KI-Systems (Zweck, Daten, Architektur)
- Automatische Protokollierung aller Systementscheidungen
- Mechanismus zur menschlichen Aufsicht — Möglichkeit, KI-Entscheidungen zu übersteuern oder zu stoppen
- Konformitätsbewertung vor der Inbetriebnahme
- Registrierung in der EU-AI-Act-Datenbank
- Geschätzte Kosten: €5.000–20.000 je nach Komplexität
Der kostspieligste Fehler bei der Hochrisiko-Compliance ist der Versuch, diese Anforderungen nachträglich in ein bereits produktives System einzubauen. Jede Architekturentscheidung ohne Compliance-Gedanken schafft Nacharbeit.
DSGVO + EU AI Act: Die doppelte Compliance-Schicht
Der EU AI Act ersetzt die DSGVO nicht — er fügt eine zweite Compliance-Schicht hinzu. Österreichische Unternehmen, die bereits der DSGVO unterliegen, haben nun sich überschneidende Pflichten, die gemeinsam und nicht isoliert behandelt werden müssen.
Die wichtigsten Überschneidungen:
- Automatisierte Entscheidungsfindung: Art. 22 DSGVO verlangt das Recht auf menschliche Überprüfung bei Entscheidungen mit erheblichen Auswirkungen. Die Pflicht zur menschlichen Aufsicht im AI Act verstärkt dies — beide müssen umgesetzt werden.
- KI-Training mit personenbezogenen Daten: Erfordert eine Rechtsgrundlage nach DSGVO, bevor personenbezogene Daten in eine Trainings-Pipeline einfließen. Dies gilt auch für das Fine-Tuning kommerzieller Modelle.
- Datensparsamkeit: Nur die personenbezogenen Daten verarbeiten, die das KI-System tatsächlich benötigt. Übererfassung schafft Haftung unter beiden Rechtsregimes gleichzeitig.
Die österreichische Datenschutzbehörde (DSB) ist seit 2024 bei der Durchsetzung aktiv. Grenzüberschreitende Datenübermittlungen für KI-Verarbeitung — insbesondere an US-amerikanische Modellanbieter — bleiben ein aktiver Prüfbereich.
Praktische Compliance-Checkliste für österreichische KI-Projekte
Ob Sie ein neues KI-System entwickeln oder ein bestehendes bewerten — diese Checkliste deckt die Mindestschritte für die Compliance 2026 ab. Jeder Punkt entspricht einer konkreten Pflicht aus dem Gesetz.
- ✅ Risikostufe des KI-Systems vor der Entwicklung bestimmen — nicht danach
- ✅ Transparenzhinweise überall einbauen, wo KI mit Nutzern interagiert
- ✅ Protokollierung aller KI-Entscheidungen implementieren (besonders bei Hochrisiko)
- ✅ Möglichkeit zur menschlichen Übersteurung von Anfang an einplanen
- ✅ Zweck, Datenquellen und Grenzen des KI-Systems dokumentieren
- ✅ KI-Datenverarbeitung mit bestehenden DSGVO-Rechtsgrundlagen abgleichen
- ❌ Compliance nicht nachrüsten — von Sprint 1 an einbauen
Der letzte Punkt verdient besondere Betonung. Compliance-ready Architektur kostet upfront €2.000–5.000 mehr. Dieselben Anforderungen nachträglich in ein Produktivsystem einzubauen kostet €15.000–30.000 und erfordert typischerweise Architekturänderungen, die den Marktstart um Monate verzögern.
Wie PilotProof Compliance von Tag 1 einbaut
Jeder PilotProof-Sprint enthält Risikostufenklassifikation, Transparenzkomponenten, Protokollierungsarchitektur und Dokumentation als Standardlieferungen — keine optionalen Extras am Projektende.
Für Hochrisiko-KI-Bewertungen arbeiten wir mit österreichischen Rechtsexperten zusammen, die auf die Schnittstelle von DSGVO und EU AI Act spezialisiert sind. Technische und rechtliche Compliance sind nicht trennbar — wir adressieren beides gemeinsam.
Das Ergebnis: Unsere Kunden erreichen den Go-live mit bereits vorbereiteter Dokumentation, aktiver Protokollierung und lebenden Transparenzhinweisen. Behörden finden keine Systeme, die ohne Compliance-Gedanken gebaut wurden — weil sie das nicht wurden.
Häufig gestellte Fragen
Gilt der EU AI Act für mich, wenn ich nur ChatGPT oder Claude in meinem Unternehmen nutze?
Wenn Sie kommerzielle KI-Tools nur als Endnutzer verwenden (ohne selbst KI-Systeme zu entwickeln), wird die Compliance größtenteils vom Anbieter übernommen — OpenAI, Anthropic usw. Transparenzhinweise können dennoch erforderlich sein, wenn Sie KI für die Kundenkommunikation einsetzen.
Welche Strafen drohen bei Nichteinhaltung?
Bis zu €35 Mio. oder 7 % des weltweiten Jahresumsatzes bei den schwerwiegendsten Verstößen. Bei Nichteinhaltung im Bereich begrenztes Risiko: bis zu €15 Mio. oder 3 % des Umsatzes. Österreichische Behörden haben Durchsetzungsbefugnis — die Erfolgsbilanz der DSB bei der DSGVO-Durchsetzung deutet auf denselben Ansatz bei AI-Act-Verstößen hin.
Müssen KI-generierte Marketing-E-Mails gekennzeichnet werden?
Für B2B-E-Mails, bei denen kein Verwechslungsrisiko besteht, ist eine Kennzeichnung noch nicht verpflichtend. Für verbraucherorientierte KI-generierte Inhalte (Bilder, Sprache, Video), die irreführen könnten, ist eine Kennzeichnung vorgeschrieben.
Wie lange dauert es, ein bestehendes KI-System konform zu machen?
Bei Systemen mit begrenztem Risiko: 2–4 Wochen (Dokumentation + UI-Anpassungen). Bei Hochrisiko-Systemen: 2–4 Monate. Ein von Anfang an konformes System zu entwickeln benötigt nur 20 % dieser Zeit — das Argument, dies vor dem nächsten Sprint anzugehen, liegt auf der Hand.