Dieser Beitrag ordnet die Rechtslage praxisnah ein und ersetzt keine anwaltliche Prüfung im Einzelfall. Die Lage ist zudem in Bewegung: Der „Digital Omnibus" könnte einige Fristen verschieben, ist aber noch nicht im EU-Amtsblatt veröffentlicht. Bis dahin gilt der ursprüngliche Zeitplan — dazu unten mehr.
Kaum ein Thema sorgt im Mittelstand für so viel Verunsicherung wie der EU AI Act. Zwischen Schlagzeilen über Millionenstrafen und „dann verbieten wir KI halt ganz" geht unter, was wirklich zählt. Die gute Nachricht vorweg: Für die meisten Betriebe ist die Pflichtenlast überschaubar und gut machbar — wenn man weiß, worauf es ankommt.
Gilt der EU AI Act überhaupt für mein Unternehmen?
Ja — größenunabhängig. Der EU AI Act (Verordnung (EU) 2024/1689) ist seit 1. August 2024 in Kraft und gilt als EU-Verordnung unmittelbar in Österreich, ohne nationales Umsetzungsgesetz. Er betrifft jeden, der KI beruflich entwickelt oder einsetzt — vom Konzern bis zur Solo-Selbstständigen. Sogar Unternehmen außerhalb der EU sind erfasst, wenn ihr KI-Output in der EU genutzt wird.
Damit sind zwei verbreitete Mythen erledigt: „Das betrifft nur Tech-Konzerne" stimmt nicht — und „wir setzen ja gar keine KI ein" meistens auch nicht, denn KI steckt oft eingebettet in CRM-, ERP- oder HR-Software oder wird als „Schatten-KI" eigenständig genutzt (ChatGPT, Copilot, Midjourney).
Quelle: EUR-Lex, Verordnung (EU) 2024/1689; Veröffentlichung im Amtsblatt 12.7.2024.
Anbieter oder Betreiber — welche Rolle haben Sie?
Diese Frage entscheidet über fast alles. Der AI Act unterscheidet vor allem Anbieter (Provider) und Betreiber (Deployer) — und die meisten KMU sind Betreiber, sobald sie fertige Tools wie ChatGPT oder Copilot nutzen. Betreiber haben überschaubare Pflichten; Anbieter tragen den vollen Katalog.
Betreiber (Deployer) — die meisten KMU
- Nutzt KI in eigener Verantwortung (nicht rein privat)
- Bestimmungsgemäße Nutzung, menschliche Aufsicht
- Logs aufbewahren, Eingabedaten kontrollieren
- Betroffene informieren (Art. 26)
- Überschaubarer Pflichtenkatalog
Anbieter (Provider) — voller Katalog
- Entwickelt KI und bringt sie unter eigenem Namen in Verkehr
- Risikomanagement, Daten-Governance, technische Doku
- Konformitätsbewertung, CE-Kennzeichnung
- EU-Datenbank-Registrierung, Post-Market-Monitoring
- Deutlich höherer Aufwand (Art. 16 ff.)
Achtung, Falltür (Art. 25): Ein Betreiber kann unbemerkt zum Anbieter werden — etwa wenn er ein KI-System unter eigenem Namen oder eigener Marke weitergibt, ein Hochrisiko-System wesentlich verändert, seinen Zweck Richtung Hochrisiko ändert oder ein Allzweck-Modell (GPAI) als Hochrisiko-KI einsetzt. Besonders relevant für Agenturen und SaaS-Anbieter, die zugekaufte KI unter eigenem Branding weiterverkaufen.
Welche KI gilt als Hochrisiko — und welche nicht?
Die wenigste. Der AI Act arbeitet mit vier Risikostufen, und die allermeisten Anwendungen in einem KMU landen ganz unten. Die EU-Kommission schätzt, dass nur etwa 5–15 % der Anwendungen unter die strengen Hochrisiko-Regeln fallen.
→ Für ein typisches ChatGPT-/Copilot-KMU heißt das: kein Verbot, keine Hochrisiko-Pflichten — aber Art. 4 (Kompetenz) und Art. 50 (Kennzeichnung).
Tool-Mapping: Wo landet welche Anwendung?
Einstufung nach Einsatzzweck, nicht nach Tool. Orientierung, keine verbindliche Einzelfallbewertung. Quelle: AI Act Art. 5/6/50, Annex III; EU-Kommission, Impact Assessment.
Welche Pflichten zählen wirklich? (Art. 4, 5 und 50)
Für das durchschnittliche KMU sind es drei — der pragmatische Kern des AI Act.
- Art. 4 — KI-Kompetenz: Mitarbeitende, die KI nutzen, müssen „nach besten Kräften" ausreichend kompetent sein. Eine Bemühenspflicht, keine fixe Stundenzahl und kein Pflichtzertifikat — aber die Beweislast liegt beim Unternehmen. Rollenspezifisch, dokumentiert, mit Auffrischung. Mehr dazu auf unserer Seite zu KI-Schulungen für Unternehmen.
- Art. 5 — Verbotene Praktiken: Acht Kategorien, seit 2.2.2025 verboten. Für KMU vor allem relevant: Emotionserkennung am Arbeitsplatz, manipulatives Marketing und biometrische Kategorisierung nach sensiblen Merkmalen.
- Art. 50 — Transparenz: Nutzer müssen erkennen, dass sie mit einem Chatbot sprechen; Deepfakes und KI-Bilder sowie KI-Texte zu Themen von öffentlichem Interesse sind zu kennzeichnen. Die Zustimmung einer abgebildeten Person befreit nicht von der Kennzeichnungspflicht.
Quelle: AI Act Art. 4, Art. 5 (EU-Leitlinien C(2025) 884 final, 4.2.2025), Art. 50.
Welche Fristen gelten — und was ändert der Digital Omnibus?
Verbindlich ist aktuell der ursprüngliche Zeitplan. Der „Digital Omnibus" will einige Hochrisiko-Fristen nach hinten schieben, ist aber Stand 27.6.2026 noch nicht im Amtsblatt veröffentlicht — und damit noch nicht rechtsverbindlich.
Das EU-Parlament hat dem Omnibus am 16.6.2026 zugestimmt; die formelle Annahme durch den Rat wird Ende Juni 2026 erwartet. Würde er final, verschöben sich Annex III auf 2.12.2027 und Annex I auf 2.8.2028. Bis zur Veröffentlichung im Amtsblatt bleibt aber der 2.8.2026 maßgeblich. Die Kern-Transparenzpflichten aus Art. 50 (Chatbot- und Deepfake-Kennzeichnung) und die GPAI-Pflichten werden nicht verschoben.
Was droht bei Verstößen?
Die Bußgelder sind real, aber gestaffelt — und für KMU gedeckelt. Der AI Act sieht je nach Verstoß unterschiedliche Obergrenzen vor; für kleine und mittlere Unternehmen gilt jeweils der niedrigere der beiden Beträge.
Zum Vergleich: Die DSGVO endet bei 20 Mio. € bzw. 4 %. Die Behörde muss Verhältnismäßigkeit, Schwere und Vorsatz berücksichtigen. Wichtig für die Einordnung: In Österreich ist mangels benannter Behörde (siehe unten) aktuell faktisch noch keine AI-Act-Strafe vollziehbar — ein Grund zur Gelassenheit, kein Grund zum Abwarten.
Quelle: AI Act Art. 99. Hinweis: Eine kursierende Behauptung über eine „850.000-€-Strafe" für KI-Bewerber-Screening in Österreich ließ sich in keiner Primärquelle bestätigen.
Wer ist in Österreich zuständig?
Stand Juni 2026: noch niemand abschließend. Österreich hat weder eine Marktüberwachungs- noch eine notifizierende Behörde offiziell benannt — obwohl die Frist dafür der 2.8.2025 war. Damit ist die Zuständigkeit derzeit unklar.
Die RTR KI-Servicestelle (seit 1.9.2024, auf Basis einer KOG-/TKG-Novelle, BGBl. I Nr. 6/2024) ist ein Informations- und Beratungshub: AI-Act-Chatbot, FAQ, Übersichten, geplante Sandbox, Vertretung im European AI Board. Sie ist ausdrücklich keine Vollzugs- oder Bußgeldbehörde. Für datenschutznahe Hochrisiko-Bereiche (z. B. Personalauswahl) gilt die Datenschutzbehörde als wahrscheinlicher Kandidat, ist aber noch nicht designiert.
Praktisch heißt das: Die Pflichten gelten, die Durchsetzungsstruktur in Österreich entsteht aber erst. Wer jetzt sauber aufsetzt, ist auf der sicheren Seite, sobald die Behörden benannt sind. Gute, kostenlose Anlaufstellen sind die RTR KI-Servicestelle und die KI-Guidelines der WKO (inkl. Muster-KI-Richtlinie).
Quellen: RTR KI-Servicestelle (FAQ); WKO; Future of Life AI Act Tracker (Stand 17.6.2026).
Mythos oder Pflicht? Die häufigsten Irrtümer
Wie setzen KMU den AI Act praktisch um?
Mit einem überschaubaren Fahrplan. Für ein typisches Basis-Setup reicht oft ein halber bis ganzer Tag interner Aufwand — bei Hochrisiko-Anwendungen entsprechend mehr.
KI-Inventar erstellen
Alle KI-Anwendungen erfassen — inklusive Schatten-KI und eingebetteter Funktionen in CRM, ERP, HR. Pro System: Anbieter, Zweck, Eingabedaten, betroffene Personen, Verantwortliche.
Risiko je Use-Case einstufen
Nicht pro Tool, sondern pro Einsatzzweck: Verbot? Hochrisiko (Annex III)? Transparenzpflicht? Minimal?
Rolle klären (Art. 25-Check)
Anbieter oder Betreiber? Vor allem prüfen, ob eigenes Branding oder Modifikation Sie zum Anbieter machen.
KI-Richtlinie aufsetzen
Schriftlich: Rollen, Freigaben, Eskalation, welche Daten in welche Tools dürfen. Schnittstelle zu DSGVO. Muster gibt es bei der WKO.
Mitarbeitende schulen (Art. 4)
Rollenspezifisch und dokumentiert, mit Auffrischung und Onboarding vor der ersten Nutzung.
Transparenz umsetzen (Art. 50)
Chatbot-Hinweise, Kennzeichnung von KI-Bildern und Deepfakes, redaktioneller Freigabeprozess für KI-Texte.
Dokumentieren & überwachen
Laufend, mindestens quartalsweise. Anbieter prüfen (AVV, EU-Hosting) und mit der DSGVO synchronisieren.
Wo steht Ihr Betrieb — und was ist wirklich zu tun?
In einem Erstgespräch ordnen wir Ihre Tools den Risikoklassen zu, klären Ihre Rolle und benennen die nächsten konkreten Schritte — pragmatisch, auf Österreich bezogen, ohne Juristendeutsch.
Erstgespräch vereinbaren →Häufig gestellte Fragen
Müssen wir wegen des EU AI Act ChatGPT verbieten?
Gilt der EU AI Act auch für kleine Betriebe?
Welche KI gilt als Hochrisiko?
Welche Frist gilt jetzt wirklich?
Welche Behörde ist in Österreich zuständig?
Reicht eine einmalige ChatGPT-Schulung für Art. 4?
Was kostet AI-Act-Compliance für ein KMU?
Fazit
Der EU AI Act ist für die meisten österreichischen KMU kein Grund zur Panik — aber einer, jetzt sauber aufzusetzen. Drei Pflichten zählen wirklich: Kompetenz (Art. 4), keine verbotenen Praktiken (Art. 5), Transparenz (Art. 50). Ein KI-Inventar, eine schlanke KI-Richtlinie und eine dokumentierte Schulung bringen Sie auf einen guten Stand — unabhängig davon, wie der Digital Omnibus am Ende ausfällt. Wer früh anfängt, hat die Pflicht erledigt, bevor sie zur Hektik wird.