Start / Blog / EU AI Act für KMU
Recht & DSGVO · EU AI Act

Der EU AI Act für KMU: Was Sie wirklich beachten müssen.

Recht & DSGVO 27. Juni 2026 11 Minuten Lesezeit Österreich-Fokus

Für ein normales österreichisches KMU zählen am EU AI Act vor allem drei Dinge: die KI-Kompetenzpflicht (Art. 4, seit 2.2.2025), das Verbot bestimmter Praktiken (Art. 5, seit 2.2.2025) und die Transparenz- und Kennzeichnungspflichten (Art. 50, ab 2.8.2026). Wer ChatGPT, Copilot & Co. nutzt, ist fast immer „Betreiber" — und fällt damit in minimales oder begrenztes Risiko, nicht in Hochrisiko. Die Pflichten sind überschaubar, aber real.

Stand 27. Juni 2026 · keine Rechtsberatung

Dieser Beitrag ordnet die Rechtslage praxisnah ein und ersetzt keine anwaltliche Prüfung im Einzelfall. Die Lage ist zudem in Bewegung: Der „Digital Omnibus" könnte einige Fristen verschieben, ist aber noch nicht im EU-Amtsblatt veröffentlicht. Bis dahin gilt der ursprüngliche Zeitplan — dazu unten mehr.

Kaum ein Thema sorgt im Mittelstand für so viel Verunsicherung wie der EU AI Act. Zwischen Schlagzeilen über Millionenstrafen und „dann verbieten wir KI halt ganz" geht unter, was wirklich zählt. Die gute Nachricht vorweg: Für die meisten Betriebe ist die Pflichtenlast überschaubar und gut machbar — wenn man weiß, worauf es ankommt.

Gilt der EU AI Act überhaupt für mein Unternehmen?

Ja — größenunabhängig. Der EU AI Act (Verordnung (EU) 2024/1689) ist seit 1. August 2024 in Kraft und gilt als EU-Verordnung unmittelbar in Österreich, ohne nationales Umsetzungsgesetz. Er betrifft jeden, der KI beruflich entwickelt oder einsetzt — vom Konzern bis zur Solo-Selbstständigen. Sogar Unternehmen außerhalb der EU sind erfasst, wenn ihr KI-Output in der EU genutzt wird.

Damit sind zwei verbreitete Mythen erledigt: „Das betrifft nur Tech-Konzerne" stimmt nicht — und „wir setzen ja gar keine KI ein" meistens auch nicht, denn KI steckt oft eingebettet in CRM-, ERP- oder HR-Software oder wird als „Schatten-KI" eigenständig genutzt (ChatGPT, Copilot, Midjourney).

Quelle: EUR-Lex, Verordnung (EU) 2024/1689; Veröffentlichung im Amtsblatt 12.7.2024.

Anbieter oder Betreiber — welche Rolle haben Sie?

Diese Frage entscheidet über fast alles. Der AI Act unterscheidet vor allem Anbieter (Provider) und Betreiber (Deployer) — und die meisten KMU sind Betreiber, sobald sie fertige Tools wie ChatGPT oder Copilot nutzen. Betreiber haben überschaubare Pflichten; Anbieter tragen den vollen Katalog.

Exhibit 01 · RollenBetreiber vs. Anbieter

Betreiber (Deployer) — die meisten KMU

  • Nutzt KI in eigener Verantwortung (nicht rein privat)
  • Bestimmungsgemäße Nutzung, menschliche Aufsicht
  • Logs aufbewahren, Eingabedaten kontrollieren
  • Betroffene informieren (Art. 26)
  • Überschaubarer Pflichtenkatalog

Anbieter (Provider) — voller Katalog

  • Entwickelt KI und bringt sie unter eigenem Namen in Verkehr
  • Risikomanagement, Daten-Governance, technische Doku
  • Konformitätsbewertung, CE-Kennzeichnung
  • EU-Datenbank-Registrierung, Post-Market-Monitoring
  • Deutlich höherer Aufwand (Art. 16 ff.)

Achtung, Falltür (Art. 25): Ein Betreiber kann unbemerkt zum Anbieter werden — etwa wenn er ein KI-System unter eigenem Namen oder eigener Marke weitergibt, ein Hochrisiko-System wesentlich verändert, seinen Zweck Richtung Hochrisiko ändert oder ein Allzweck-Modell (GPAI) als Hochrisiko-KI einsetzt. Besonders relevant für Agenturen und SaaS-Anbieter, die zugekaufte KI unter eigenem Branding weiterverkaufen.

Welche KI gilt als Hochrisiko — und welche nicht?

Die wenigste. Der AI Act arbeitet mit vier Risikostufen, und die allermeisten Anwendungen in einem KMU landen ganz unten. Die EU-Kommission schätzt, dass nur etwa 5–15 % der Anwendungen unter die strengen Hochrisiko-Regeln fallen.

VerbotenUnannehmbares Risiko (Art. 5). Seit 2.2.2025 verboten — z. B. Emotionserkennung am Arbeitsplatz, Social Scoring, manipulative Systeme.
HochrisikoAnnex III. Sensible Einsätze wie Recruiting/CV-Screening, Leistungsbewertung, Kreditwürdigkeit, Bildungsbewertung. Voller Pflichtenkatalog.
BegrenztTransparenz (Art. 50). Chatbots, Deepfakes, KI-Bilder und -Texte — müssen gekennzeichnet werden. Hier stehen viele KMU.
MinimalKeine besonderen Pflichten. Spamfilter, einfache Empfehlungen, die meiste Office-KI. Hier steht der Großteil.

→ Für ein typisches ChatGPT-/Copilot-KMU heißt das: kein Verbot, keine Hochrisiko-Pflichten — aber Art. 4 (Kompetenz) und Art. 50 (Kennzeichnung).

Tool-Mapping: Wo landet welche Anwendung?

Anwendung / Tool
Typische Einstufung
ChatGPT, Copilot, Gemini (allg. Nutzung)
Minimal / begrenzt
Chatbot auf der Website
Begrenzt — Hinweis „KI" (Art. 50)
KI-Bilder (Midjourney, Nano Banana & Co.)
Begrenzt — Kennzeichnung (Art. 50)
KI-Recruiting / CV-Screening, Leistungsbewertung
Hochrisiko (Annex III)
Emotionserkennung am Arbeitsplatz
Verboten (Art. 5)
Spamfilter, einfache Empfehlungssysteme
Minimal

Einstufung nach Einsatzzweck, nicht nach Tool. Orientierung, keine verbindliche Einzelfallbewertung. Quelle: AI Act Art. 5/6/50, Annex III; EU-Kommission, Impact Assessment.

Welche Pflichten zählen wirklich? (Art. 4, 5 und 50)

Für das durchschnittliche KMU sind es drei — der pragmatische Kern des AI Act.

  • Art. 4 — KI-Kompetenz: Mitarbeitende, die KI nutzen, müssen „nach besten Kräften" ausreichend kompetent sein. Eine Bemühenspflicht, keine fixe Stundenzahl und kein Pflichtzertifikat — aber die Beweislast liegt beim Unternehmen. Rollenspezifisch, dokumentiert, mit Auffrischung. Mehr dazu auf unserer Seite zu KI-Schulungen für Unternehmen.
  • Art. 5 — Verbotene Praktiken: Acht Kategorien, seit 2.2.2025 verboten. Für KMU vor allem relevant: Emotionserkennung am Arbeitsplatz, manipulatives Marketing und biometrische Kategorisierung nach sensiblen Merkmalen.
  • Art. 50 — Transparenz: Nutzer müssen erkennen, dass sie mit einem Chatbot sprechen; Deepfakes und KI-Bilder sowie KI-Texte zu Themen von öffentlichem Interesse sind zu kennzeichnen. Die Zustimmung einer abgebildeten Person befreit nicht von der Kennzeichnungspflicht.

Quelle: AI Act Art. 4, Art. 5 (EU-Leitlinien C(2025) 884 final, 4.2.2025), Art. 50.

Welche Fristen gelten — und was ändert der Digital Omnibus?

Verbindlich ist aktuell der ursprüngliche Zeitplan. Der „Digital Omnibus" will einige Hochrisiko-Fristen nach hinten schieben, ist aber Stand 27.6.2026 noch nicht im Amtsblatt veröffentlicht — und damit noch nicht rechtsverbindlich.

Datum
Was gilt
1.8.2024
Inkrafttreten des EU AI Act
2.2.2025
Verbote (Art. 5) + KI-Kompetenz (Art. 4) anwendbar
2.8.2025
GPAI-Pflichten, Governance-/Aufsichtsregeln, Sanktionsregime
2.8.2026
Allgemeine Anwendbarkeit, insb. Transparenz (Art. 50) und Hochrisiko (Annex III, urspr. Zeitplan)
2.8.2027
Hochrisiko nach Annex I (in regulierte Produkte eingebettet)
Digital Omnibus — im Fluss

Das EU-Parlament hat dem Omnibus am 16.6.2026 zugestimmt; die formelle Annahme durch den Rat wird Ende Juni 2026 erwartet. Würde er final, verschöben sich Annex III auf 2.12.2027 und Annex I auf 2.8.2028. Bis zur Veröffentlichung im Amtsblatt bleibt aber der 2.8.2026 maßgeblich. Die Kern-Transparenzpflichten aus Art. 50 (Chatbot- und Deepfake-Kennzeichnung) und die GPAI-Pflichten werden nicht verschoben.

Was droht bei Verstößen?

Die Bußgelder sind real, aber gestaffelt — und für KMU gedeckelt. Der AI Act sieht je nach Verstoß unterschiedliche Obergrenzen vor; für kleine und mittlere Unternehmen gilt jeweils der niedrigere der beiden Beträge.

Art des Verstoßes
Obergrenze
Verbotene Praktiken (Art. 5)
bis 35 Mio. € oder 7 % Umsatz
Hochrisiko-/sonstige Pflichtverstöße
bis 15 Mio. € oder 3 %
Falsche Auskünfte an Behörden
bis 7,5 Mio. € oder 1 %

Zum Vergleich: Die DSGVO endet bei 20 Mio. € bzw. 4 %. Die Behörde muss Verhältnismäßigkeit, Schwere und Vorsatz berücksichtigen. Wichtig für die Einordnung: In Österreich ist mangels benannter Behörde (siehe unten) aktuell faktisch noch keine AI-Act-Strafe vollziehbar — ein Grund zur Gelassenheit, kein Grund zum Abwarten.

Quelle: AI Act Art. 99. Hinweis: Eine kursierende Behauptung über eine „850.000-€-Strafe" für KI-Bewerber-Screening in Österreich ließ sich in keiner Primärquelle bestätigen.

Wer ist in Österreich zuständig?

Stand Juni 2026: noch niemand abschließend. Österreich hat weder eine Marktüberwachungs- noch eine notifizierende Behörde offiziell benannt — obwohl die Frist dafür der 2.8.2025 war. Damit ist die Zuständigkeit derzeit unklar.

Die RTR KI-Servicestelle (seit 1.9.2024, auf Basis einer KOG-/TKG-Novelle, BGBl. I Nr. 6/2024) ist ein Informations- und Beratungshub: AI-Act-Chatbot, FAQ, Übersichten, geplante Sandbox, Vertretung im European AI Board. Sie ist ausdrücklich keine Vollzugs- oder Bußgeldbehörde. Für datenschutznahe Hochrisiko-Bereiche (z. B. Personalauswahl) gilt die Datenschutzbehörde als wahrscheinlicher Kandidat, ist aber noch nicht designiert.

Praktisch heißt das: Die Pflichten gelten, die Durchsetzungsstruktur in Österreich entsteht aber erst. Wer jetzt sauber aufsetzt, ist auf der sicheren Seite, sobald die Behörden benannt sind. Gute, kostenlose Anlaufstellen sind die RTR KI-Servicestelle und die KI-Guidelines der WKO (inkl. Muster-KI-Richtlinie).

Quellen: RTR KI-Servicestelle (FAQ); WKO; Future of Life AI Act Tracker (Stand 17.6.2026).

Mythos oder Pflicht? Die häufigsten Irrtümer

Aussage
Einordnung
„Wir müssen ChatGPT verbieten."
Mythos. Nicht verboten — es gelten Kompetenz- und Transparenzpflichten.
„Betrifft nur Tech-Konzerne."
Mythos. Gilt größenunabhängig für jeden Betreiber.
„Wir setzen ja keine KI ein."
Mythos. Meist doch — über eingebettete Funktionen oder Schatten-KI.
„Eine Stunde Schulung reicht für immer."
Mythos. Rollenspezifisch, dokumentiert, mit Auffrischung.
„Der Anbieter macht das schon."
Mythos. Betreiber haben eigene Pflichten (Einstufung, Schulung, Doku).
„AI Act ist reine IT-Sache."
Mythos. Rechtlich-organisatorisch: GF, Recht/Compliance und IT gemeinsam.
„Wir brauchen einen zertifizierten AI Officer."
Mythos. Nicht vorgeschrieben — eine interne Ansprechperson genügt.
„Alles erst ab 2026/2027 relevant."
Mythos. Art. 4 und Art. 5 gelten seit Februar 2025.

Wie setzen KMU den AI Act praktisch um?

Mit einem überschaubaren Fahrplan. Für ein typisches Basis-Setup reicht oft ein halber bis ganzer Tag interner Aufwand — bei Hochrisiko-Anwendungen entsprechend mehr.

01

KI-Inventar erstellen

Alle KI-Anwendungen erfassen — inklusive Schatten-KI und eingebetteter Funktionen in CRM, ERP, HR. Pro System: Anbieter, Zweck, Eingabedaten, betroffene Personen, Verantwortliche.

02

Risiko je Use-Case einstufen

Nicht pro Tool, sondern pro Einsatzzweck: Verbot? Hochrisiko (Annex III)? Transparenzpflicht? Minimal?

03

Rolle klären (Art. 25-Check)

Anbieter oder Betreiber? Vor allem prüfen, ob eigenes Branding oder Modifikation Sie zum Anbieter machen.

04

KI-Richtlinie aufsetzen

Schriftlich: Rollen, Freigaben, Eskalation, welche Daten in welche Tools dürfen. Schnittstelle zu DSGVO. Muster gibt es bei der WKO.

05

Mitarbeitende schulen (Art. 4)

Rollenspezifisch und dokumentiert, mit Auffrischung und Onboarding vor der ersten Nutzung.

06

Transparenz umsetzen (Art. 50)

Chatbot-Hinweise, Kennzeichnung von KI-Bildern und Deepfakes, redaktioneller Freigabeprozess für KI-Texte.

07

Dokumentieren & überwachen

Laufend, mindestens quartalsweise. Anbieter prüfen (AVV, EU-Hosting) und mit der DSGVO synchronisieren.

AI-Act-Quickscan

Wo steht Ihr Betrieb — und was ist wirklich zu tun?

In einem Erstgespräch ordnen wir Ihre Tools den Risikoklassen zu, klären Ihre Rolle und benennen die nächsten konkreten Schritte — pragmatisch, auf Österreich bezogen, ohne Juristendeutsch.

Erstgespräch vereinbaren

Häufig gestellte Fragen

Müssen wir wegen des EU AI Act ChatGPT verbieten?
Nein. Gängige generative KI-Tools wie ChatGPT oder Copilot sind nicht verboten. Als Betreiber treffen Sie vor allem die KI-Kompetenzpflicht (Art. 4) und Transparenzpflichten (Art. 50). Ein Verbot ist keine davon.
Gilt der EU AI Act auch für kleine Betriebe?
Ja. Die Pflichten gelten größenunabhängig für jeden, der KI beruflich einsetzt — auch für Solo-Selbstständige. Es gibt keinen Bonus für kleine Unternehmen. Die meisten KMU fallen aber in minimales oder begrenztes Risiko mit überschaubaren Pflichten.
Welche KI gilt als Hochrisiko?
Vor allem KI in sensiblen Bereichen wie Recruiting und Bewerber-Screening, Leistungsbewertung, Kreditwürdigkeit oder Bildungsbewertung (Annex III). Übliche Büro- und Marketing-KI gehört in der Regel nicht dazu. Die EU-Kommission schätzt, dass nur 5–15 % der Anwendungen unter die strengen Hochrisiko-Regeln fallen.
Welche Frist gilt jetzt wirklich?
Verbindlich ist der ursprüngliche Zeitplan: Art. 4 und Art. 5 seit 2.2.2025, die allgemeine Anwendbarkeit inklusive Transparenzpflichten (Art. 50) ab 2.8.2026. Der Digital Omnibus will einige Hochrisiko-Fristen verschieben, ist aber Stand Juni 2026 noch nicht im EU-Amtsblatt veröffentlicht und damit noch nicht rechtsverbindlich.
Welche Behörde ist in Österreich zuständig?
Stand Juni 2026 hat Österreich noch keine Marktüberwachungs- oder notifizierende Behörde offiziell benannt. Die RTR KI-Servicestelle ist ein Informations- und Beratungshub, keine Vollzugs- oder Bußgeldbehörde.
Reicht eine einmalige ChatGPT-Schulung für Art. 4?
Nein. Art. 4 verlangt rollenspezifische, dokumentierte KI-Kompetenz mit regelmäßiger Auffrischung. Ein einmaliges E-Learning für alle erfüllt die Pflicht nicht zwingend.
Was kostet AI-Act-Compliance für ein KMU?
Für ein typisches Basis-Setup aus KI-Inventar, KI-Richtlinie und Basisschulung reicht oft ein halber bis ganzer Tag interner Aufwand. Bei Hochrisiko-Anwendungen steigt der Aufwand deutlich.

Fazit

Der EU AI Act ist für die meisten österreichischen KMU kein Grund zur Panik — aber einer, jetzt sauber aufzusetzen. Drei Pflichten zählen wirklich: Kompetenz (Art. 4), keine verbotenen Praktiken (Art. 5), Transparenz (Art. 50). Ein KI-Inventar, eine schlanke KI-Richtlinie und eine dokumentierte Schulung bringen Sie auf einen guten Stand — unabhängig davon, wie der Digital Omnibus am Ende ausfällt. Wer früh anfängt, hat die Pflicht erledigt, bevor sie zur Hektik wird.

AI Act erledigt — ohne Juristendeutsch.

Wir bringen Ihr KI-Inventar, die Risikoeinstufung und die Schulung in einen pragmatischen Stand. Auf Österreich bezogen, auf Ihren Betrieb gemünzt.

Erstgespräch vereinbaren → 30 Minuten · klare Einordnung · keine Rechtsberatung