Pflichten-Paket · KI-Compliance · EU AI Act

EU AI Act für KMU in Österreich: Was bis August 2026 wirklich zu tun ist

Der EU AI Act betrifft österreichische KMU nicht erst dann, wenn sie eigene KI entwickeln. Schon der professionelle Einsatz von KI-Tools im Unternehmen kann Pflichten auslösen. Bis August 2026 sollten KMU wissen, welche KI-Systeme sie einsetzen, wofür sie diese nutzen, ob personenbezogene Daten verarbeitet werden und ob Transparenzpflichten greifen. Für die meisten KMU geht es kurzfristig nicht um eine Compliance-Abteilung, sondern um ein sauberes KI-Inventar, klare Nutzungsregeln, dokumentierte Mitarbeiterschulung und eine Prüfung auf Hochrisiko-Fälle.

Was ist der EU AI Act?

Der EU AI Act, offiziell die Verordnung (EU) 2024/1689 über künstliche Intelligenz, ist der europäische Rechtsrahmen für KI-Systeme. Er verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Sicherheit, Gesundheit oder Grundrechte, desto strenger die Anforderungen.

Die Verordnung unterscheidet vier Risikokategorien: Verbotene KI-Praktiken (z.B. Social Scoring, manipulative Systeme, gelten seit Februar 2025), Hochrisiko-KI (Beschäftigung, Bildung, Kredit, Migration, biometrische Anwendungen), Begrenztes Risiko (Chatbots, KI-generierte Inhalte mit Transparenzpflichten) und Minimales Risiko (viele einfache interne Anwendungen).

Für KMU ist entscheidend: Der AI Act unterscheidet zwischen Anbietern, Betreibern, Importeuren, Händlern und Nutzern. Ein Unternehmen kann also auch dann Pflichten haben, wenn es kein eigenes KI-Modell entwickelt, sondern ein fremdes Tool im Betrieb einsetzt.

Was gilt bis August 2026?

Bis August 2026 sollten österreichische KMU mindestens fünf Themen aktiv bearbeiten.

  1. 1KI-Kompetenz: Mitarbeitende, die KI-Systeme einsetzen, müssen ausreichend kompetent mit diesen Systemen umgehen. Das bedeutet: grundlegende Risiken kennen (Halluzinationen, Datenschutz, Bias, Urheberrecht, vertrauliche Informationen).
  2. 2KI-Inventar: Dokumentieren, welche KI-Tools eingesetzt werden. Dazu zählen ChatGPT, Microsoft Copilot, Gemini, Claude, aber auch KI-Funktionen in CRM, ERP, HR-Software, Buchhaltung, Ticketsystemen, Design-Tools.
  3. 3Zweck und Risiko: Für jedes Tool klar festhalten: Wofür wird es genutzt? Welche Daten werden eingegeben? Betrifft der Output Kunden, Bewerber, Mitarbeitende oder Verbraucher?
  4. 4Transparenz: Wenn Kunden mit einem Chatbot sprechen, KI-generierte Inhalte veröffentlicht werden oder Deepfake-nahe Medien entstehen, können Kennzeichnungspflichten greifen.
  5. 5DSGVO-Schnittstelle: Der AI Act ersetzt die DSGVO nicht. Sobald personenbezogene Daten verarbeitet werden, bleiben Datenschutz-Grundverordnung und österreichisches Datenschutzrecht parallel relevant.

Was sollten KMU konkret tun?

Der pragmatische Start besteht aus sechs Schritten:

  1. 1KI-Inventar erstellen: Alle eingesetzten KI-Tools und KI-Funktionen erfassen.
  2. 2Einsatzzwecke dokumentieren: Für jedes Tool festhalten, wofür es genutzt wird.
  3. 3Datenarten prüfen: Personenbezogene, vertrauliche oder sensible Daten identifizieren.
  4. 4Risikokategorie einschätzen: Minimal, begrenzt, potenziell Hochrisiko oder verboten.
  5. 5Interne Regeln festlegen: Was darf KI, was darf sie nicht, wann braucht es menschliche Prüfung?
  6. 6Mitarbeitende schulen: Kurz, praxisnah, rollenbezogen und dokumentiert.
Checkliste: Bin ich als KMU betroffen?

Prüfen Sie diese Fragen:

  1. 1Nutzen Mitarbeitende KI-Tools wie ChatGPT, Copilot, Gemini, Claude oder KI-Funktionen in Fachsoftware?
  2. 2Werden Kundendaten, Mitarbeiterdaten, Bewerberdaten oder andere personenbezogene Daten in KI-Systeme eingegeben?
  3. 3Gibt es einen Chatbot, digitalen Assistenten oder automatisierte Kundenkommunikation?
  4. 4Werden KI-generierte Texte, Bilder, Videos oder Audioinhalte veröffentlicht?
  5. 5Wird KI im Recruiting, in Mitarbeiterbewertungen oder zur Leistungsanalyse eingesetzt?
  6. 6Unterstützt KI Entscheidungen über Preise, Bonität, Zugang, Priorisierung oder Risikobewertung?
  7. 7Wird KI in sicherheitsrelevanten Prozessen, Produktion, Qualitätskontrolle oder kritischer Infrastruktur verwendet?
  8. 8Gibt es klare interne Regeln, welche Daten in KI-Tools eingegeben werden dürfen?
  9. 9Sind Mitarbeitende nachweisbar zum Umgang mit KI geschult?
  10. 10Ist dokumentiert, wer für KI-Governance, Datenschutz und Freigaben zuständig ist?

Häufige Fragen

Betrifft der AI Act auch kleine Unternehmen?
Ja, grundsätzlich kann der AI Act auch KMU betreffen. Entscheidend ist nicht die Unternehmensgröße allein, sondern welche KI-Systeme eingesetzt oder angeboten werden und mit welchem Risiko. Für KMU und Startups sollen Sanktionen verhältnismäßig ausgestaltet werden, aber eine generelle Ausnahme gibt es nicht.
Müssen alle Mitarbeitenden eine KI-Schulung machen?
Nicht zwingend alle im gleichen Umfang. Sinnvoll ist eine rollenbezogene Schulung. Marketing, Vertrieb, HR, Kundenservice, Management und IT brauchen unterschiedliche Schwerpunkte. Wichtig ist, dass relevante Personen die Chancen, Risiken und Grenzen der eingesetzten KI-Systeme verstehen.
Ist ChatGPT im Unternehmen jetzt verboten?
Nein. Der Einsatz von generativer KI ist nicht verboten. Kritisch wird es, wenn vertrauliche oder personenbezogene Daten unkontrolliert eingegeben werden, Outputs ungeprüft verwendet werden oder Kunden nicht erkennen, dass sie mit KI interagieren. Das Problem ist selten das Tool allein, sondern der unkontrollierte Prozess rundherum.
Braucht jedes KMU einen AI Officer?
Der AI Act schreibt für normale KMU keinen eigenen AI Officer vor. Praktisch braucht es aber eine verantwortliche Person oder Stelle, die KI-Nutzung, Freigaben, Dokumentation, Datenschutz und Schulung koordiniert. Bei kleinen Unternehmen kann das Geschäftsführung, Datenschutzkoordination oder Operations übernehmen.
Was passiert bei Verstößen?
Der AI Act sieht hohe Strafrahmen vor, abhängig von Art und Schwere des Verstoßes. Bei KMU sollen Größe und wirtschaftliche Tragfähigkeit berücksichtigt werden. Das größere praktische Risiko liegt oft früher: ungeprüfte Tools, Datenschutzverletzungen, fehlerhafte automatisierte Entscheidungen, Kundenschäden oder Reputationsverlust.

AI-Act-Betroffenheit klären. Festpreis, 3 Wochen.

GreenOnion unterstützt österreichische KMU bei einer schlanken AI-Act-Bestandsaufnahme: KI-Tools erfassen, Risiken prüfen, pragmatische Maßnahmenliste erstellen, interne Regeln definieren. Kein Berater-Folklore, sondern ein umsetzbarer Fahrplan für Geschäftsführung und Operations.

Erstgespräch vereinbaren · 20 Min

Diese Seite dient der ersten operativen Orientierung und ersetzt keine Rechtsberatung.