Künstliche Intelligenz verändert die Art, wie Unternehmen arbeiten – von der automatischen E-Mail-Bearbeitung über intelligente Chatbots bis zur KI-gestützten Angebotserstellung. Gleichzeitig hat die EU mit dem AI Act das weltweit erste umfassende KI-Gesetz verabschiedet. Für KMU in Österreich stellt sich damit eine entscheidende Frage: Was darf ich, was muss ich, und was passiert, wenn ich nichts tue?
Dieser Praxis-Guide erklärt den EU AI Act ohne Juristendeutsch, zeigt die konkreten Pflichten für KMU und gibt Ihnen eine Checkliste, mit der Sie Ihr Unternehmen in 5 Schritten compliant aufstellen.
[Interner Link: /blog/eu-ai-act-2026-was-kmu-in-oesterreich-jetzt-wissen-und-tun-muessen – Anchor: „unser erster Überblick zum EU AI Act"]
Was ist der EU AI Act – und warum betrifft er Ihr KMU?
Der EU AI Act (Verordnung (EU) 2024/1689) ist die europäische KI-Verordnung, die am 1. August 2024 in Kraft getreten ist. Sie schafft erstmals einheitliche Regeln für den Einsatz von künstlicher Intelligenz in der gesamten EU. Das Gesetz ergänzt die bestehende DSGVO und folgt einem risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung für Sicherheit, Grundrechte oder Demokratie, desto strenger die Anforderungen.
Wichtig zu verstehen: Der AI Act betrifft nicht nur Unternehmen, die KI entwickeln. Er betrifft auch jedes Unternehmen, das KI einsetzt – also auch Ihr KMU, wenn Sie ChatGPT, Microsoft Copilot, einen KI-Chatbot oder automatisierte Workflows mit KI-Komponenten nutzen. In der Sprache des Gesetzes sind Sie dann ein „Betreiber" (Deployer) eines KI-Systems.
Und ja, auch wenn Sie „nur" ChatGPT im Browser verwenden: Sobald Sie damit Kundendaten verarbeiten, Texte für Kunden generieren oder interne Entscheidungen vorbereiten, gelten Pflichten.
Die Fristen: Was gilt wann?
Der AI Act wird nicht auf einen Schlag wirksam, sondern stufenweise. Hier der Zeitplan, der für österreichische KMU relevant ist:
Seit 2. Februar 2025 – BEREITS IN KRAFT:
- Verbot von KI-Systemen mit „inakzeptablem Risiko" (z.B. Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung in öffentlichen Räumen)
- Pflicht zur KI-Kompetenz: Unternehmen müssen sicherstellen, dass Mitarbeiter, die KI-Systeme bedienen, ausreichend geschult sind (Art. 4 AI Act)
Seit 2. August 2025:
- Transparenzpflichten für generative KI (z.B. Hinweis, dass ein Text oder Bild mit KI generiert wurde)
- Regeln für KI-Modelle mit allgemeinem Verwendungszweck (betrifft vor allem die Anbieter wie OpenAI, Anthropic, Google – nicht Sie als Nutzer)
- Sanktionsbestimmungen treten in Kraft
Ab 2. August 2026 – KOMMT ALS NÄCHSTES:
- Vollständige Anwendung aller Bestimmungen für Hochrisiko-KI-Systeme
- Pflicht zur Konformitätsbewertung für bestimmte KI-Anwendungen
- Erweiterte Dokumentations- und Überwachungspflichten
- Österreich muss bis dahin eine KI-Sandbox einrichten, zu der KMU priorisierten Zugang erhalten
Ab August 2027:
- Verpflichtungen für Hochrisiko-KI-Systeme, die über das Produktsicherheitsrecht reguliert werden
Die 4 Risikokategorien: Wo steht Ihre KI-Anwendung?
Der AI Act teilt KI-Systeme in vier Kategorien ein. Die Einstufung bestimmt, welche Pflichten für Sie gelten.
Inakzeptables Risiko – VERBOTEN
KI-Systeme, die als direkte Bedrohung für Grundrechte gelten, sind in der EU komplett verboten. Dazu gehören Social-Scoring-Systeme, die Bürger nach ihrem Verhalten bewerten, KI zur unterschwelligen Manipulation von Personen, biometrische Echtzeit-Identifizierung in öffentlichen Räumen (mit wenigen Ausnahmen für Strafverfolgung) und Systeme, die emotionale Zustände am Arbeitsplatz oder in Bildungseinrichtungen auslesen.
Für die allermeisten KMU ist diese Kategorie nicht relevant. Wenn Sie jedoch Software einsetzen, die Mitarbeiter-Emotionen analysiert oder Kunden nach Verhaltensmustern bewertet, sollten Sie das dringend prüfen.
Hohes Risiko – STRENGE AUFLAGEN
Hierunter fallen KI-Systeme, die in sensiblen Bereichen eingesetzt werden: Personalentscheidungen und Recruiting (z.B. automatisches Screening von Bewerbungen), Kreditwürdigkeitsprüfungen und Scoring, Zugangsentscheidungen zu Bildung oder Sozialleistungen und kritische Infrastruktur.
Für Hochrisiko-KI gelten ab August 2026 umfassende Pflichten: Risikomanagement-System, technische Dokumentation, Datenqualitätsanforderungen, menschliche Aufsicht (Human-in-the-Loop), Logging und Nachvollziehbarkeit.
Begrenztes Risiko – TRANSPARENZPFLICHTEN
Hierunter fallen die meisten KI-Anwendungen, die KMU in der Praxis einsetzen: Chatbots im Kundenservice, KI-generierte Texte oder Bilder und Empfehlungssysteme.
Die Hauptpflicht: Transparenz. Nutzer müssen wissen, dass sie mit einer KI interagieren. Wenn ein Chatbot auf Ihrer Website Kundenanfragen beantwortet, muss klar erkennbar sein, dass es sich um KI handelt und nicht um einen menschlichen Mitarbeiter. KI-generierte Inhalte müssen als solche gekennzeichnet werden.
Minimales Risiko – KEINE BESONDEREN AUFLAGEN
KI-Anwendungen wie Spam-Filter, automatische Übersetzungen oder intelligente Suchfunktionen fallen in diese Kategorie. Hier gelten keine spezifischen Pflichten aus dem AI Act – die allgemeinen Regeln der DSGVO bleiben aber natürlich anwendbar.
[Interner Link: /services/beratung – Anchor: „KI-Strategieberatung für KMU"]
Was bedeutet die KI-Schulungspflicht konkret?
Die Schulungspflicht nach Art. 4 AI Act gilt bereits seit Februar 2025 und ist für KMU der wichtigste sofort relevante Punkt. Das Gesetz selbst bleibt bei der Formulierung bewusst offen: Unternehmen müssen sicherstellen, dass ihre Mitarbeiter über „ausreichende KI-Kompetenz" verfügen.
Die österreichische KI-Servicestelle bei der RTR hat konkretisiert, was das in der Praxis bedeutet. Erstens sollten Mitarbeiter, die mit KI-Systemen arbeiten, eine dokumentierte Schulung erhalten. Zweitens sollte die Schulung die Grundlagen der verwendeten KI-Systeme abdecken: Was kann das System, was kann es nicht? Wo liegen die Risiken? Drittens sind interne KI-Richtlinien empfehlenswert, die klare Regeln für den Umgang mit KI-Tools festlegen – insbesondere bezüglich Datenschutz und Vertraulichkeit. Und viertens sollte die Schulung dokumentiert werden, damit Sie im Fall einer Prüfung nachweisen können, dass Sie Ihre Pflicht erfüllt haben.
Konkrete Strafbestimmungen für die Verletzung der Schulungspflicht enthält der AI Act zwar nicht direkt. Aber: Wenn ein ungeschulter Mitarbeiter mit einem KI-Tool einen DSGVO-Verstoß begeht – etwa indem er personenbezogene Kundendaten in ChatGPT eingibt – kann die fehlende Schulung als erschwerender Faktor bei der Bußgeldberechnung wirken. Umgekehrt gilt: Wer nachweislich geschult hat, steht im Ernstfall deutlich besser da.
DSGVO und AI Act: Was gilt gleichzeitig?
Der AI Act ersetzt die DSGVO nicht – er ergänzt sie. Sobald Ihre KI-Anwendung personenbezogene Daten verarbeitet (und das tut sie fast immer, sobald Kunden- oder Mitarbeiterdaten im Spiel sind), gelten beide Regelwerke parallel.
In der Praxis bedeutet das für KMU drei zentrale Anforderungen. Erstens brauchen Sie eine Rechtsgrundlage für die Datenverarbeitung. Wenn Ihr Wissens-Chatbot Kundenanfragen bearbeitet, verarbeitet er personenbezogene Daten. Sie brauchen dafür entweder eine Einwilligung, ein berechtigtes Interesse oder eine vertragliche Grundlage. Zweitens benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) mit Ihrem KI-Anbieter. Die großen Anbieter – Anthropic (Claude), Microsoft (Azure OpenAI/Copilot) und Google (Gemini) – bieten in ihren Business-Tarifen standardmäßig einen AVV an. Wichtig: Die kostenlosen Consumer-Versionen reichen für den Unternehmenseinsatz nicht aus. Drittens müssen Sie das Thema Datenminimierung beachten. Geben Sie nur die Daten in KI-Systeme ein, die für den jeweiligen Zweck tatsächlich erforderlich sind. Keine vollständigen Kundendatenbanken „zum Testen" hochladen.
Ein häufiges Missverständnis: Viele KMU glauben, dass ihre Daten automatisch zum Training der KI-Modelle verwendet werden, wenn sie ChatGPT oder ähnliche Tools nutzen. Bei den Business-APIs und Enterprise-Tarifen ist das vertraglich ausgeschlossen. Ihre Daten fließen in die Antwortgenerierung, werden aber nicht gespeichert oder für Modelltraining verwendet.
Für maximale Datensicherheit gibt es drei Abstufungen. Die erste Option ist die Nutzung von Cloud-APIs mit EU-Hosting wie Azure OpenAI in der EU-Region – Ihre Daten bleiben im europäischen Rechtsraum. Die zweite Option ist die Nutzung von Anbietern wie Anthropic (Claude), die bei API-Nutzung grundsätzlich keine Daten fürs Training verwenden. Die dritte und sicherste Option ist der Einsatz von Open-Source-Modellen wie Llama, die komplett lokal auf Ihrer eigenen Infrastruktur laufen. Dabei verlassen Ihre Daten nie Ihr Unternehmen.
[Interner Link: /ki-strategie-kmu – Anchor: „KI-Strategie für KMU"]
Die Strafen: Was passiert bei Verstößen?
Der AI Act sieht empfindliche Strafen vor, die an die DSGVO-Bußgelder erinnern – teils sogar darüber hinausgehen.
Für den Einsatz verbotener KI-Systeme drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für Verstöße gegen Auflagen bei Hochrisiko-KI sind es bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes. Für geringere Verstöße wie Informationspflichten gelten bis zu 7,5 Millionen Euro oder 1,5 Prozent des Umsatzes. Für KMU und Startups gilt jeweils die niedrigere der beiden Obergrenzen.
Realistisch betrachtet: Die Wahrscheinlichkeit, dass eine österreichische Behörde in den nächsten Monaten ein KMU wegen eines KI-Verstoßes mit Millionenstrafen belegt, ist gering. Die Aufsichtsstrukturen werden gerade erst aufgebaut. Aber: Die DSGVO hat gezeigt, dass Behörden nach einer Aufbauphase deutlich aktiver werden. Wer jetzt Strukturen schafft, vermeidet Stress später.
Neben den Geldstrafen ist der Reputationsschaden nicht zu unterschätzen. Ein bekannt gewordener Datenschutz- oder KI-Verstoß kann das Vertrauen von Kunden und Geschäftspartnern nachhaltig beschädigen – gerade im B2B-Bereich, wo Vertrauen die Geschäftsgrundlage bildet.
Ihre 5-Schritte-Checkliste: So wird Ihr KMU AI-Act-compliant
Schritt 1: KI-Inventar erstellen
Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen im Einsatz sind – auch die, die Mitarbeiter eigenständig nutzen (Stichwort „Schatten-KI"). Dazu gehören ChatGPT, Microsoft Copilot, Gemini, aber auch KI-Funktionen in bestehender Software wie automatische Textvorschläge in E-Mail-Programmen oder KI-basierte Analysefunktionen in Ihrem CRM. Dokumentieren Sie für jedes System: Welchen Zweck erfüllt es? Welche Daten werden eingegeben? Wer nutzt es?
Schritt 2: Risikoeinstufung vornehmen
Ordnen Sie jedes KI-System einer der vier Risikokategorien zu. Für die meisten KMU-Anwendungen wird das Ergebnis „begrenztes Risiko" oder „minimales Risiko" sein. Sollten Sie KI für Personalentscheidungen, Kreditvergabe oder ähnlich sensible Bereiche einsetzen, ist eine genauere Prüfung erforderlich.
Schritt 3: Mitarbeiter schulen und dokumentieren
Führen Sie eine KI-Schulung für alle Mitarbeiter durch, die mit KI-Systemen arbeiten. Die Schulung sollte Grundlagen der eingesetzten KI-Tools, Datenschutz-Regeln im Umgang mit KI, die interne KI-Richtlinie Ihres Unternehmens sowie Chancen und Risiken von KI-generierten Inhalten abdecken. Dokumentieren Sie Datum, Teilnehmer und Inhalte. Das ist Ihr Nachweis für die Schulungspflicht nach Art. 4 AI Act.
Schritt 4: Interne KI-Richtlinie erstellen
Definieren Sie verbindliche Regeln für den KI-Einsatz in Ihrem Unternehmen. Eine gute KI-Richtlinie beantwortet folgende Fragen: Welche KI-Tools sind erlaubt, welche nicht? Welche Daten dürfen in KI-Systeme eingegeben werden? Wer ist für die Qualitätsprüfung von KI-Ergebnissen verantwortlich? Wie werden KI-generierte Inhalte gekennzeichnet? An wen wenden sich Mitarbeiter bei Fragen oder Problemen?
Schritt 5: Technische Maßnahmen umsetzen
Stellen Sie sicher, dass Ihre KI-Tools den DSGVO-Anforderungen entsprechen. Das bedeutet Business-Tarife mit AVV statt kostenloser Consumer-Versionen, EU-Hosting wo möglich, Zugangsbeschränkungen (nicht jeder Mitarbeiter braucht Zugang zu jedem KI-Tool) und regelmäßige Überprüfung der KI-Ausgaben auf Qualität und Compliance.
KI-Förderungen nutzen: Österreich unterstützt KMU
Die gute Nachricht zum Schluss: Österreich bietet mehrere Förderprogramme, die KMU bei der rechtskonformen Einführung von KI unterstützen. Über KMU.DIGITAL können Beratungen zur Einführung von KI-Lösungen mit bis zu 14.800 Euro gefördert werden. Die FFG-Kleinprojektförderung unterstützt KI-Pilotprojekte mit bis zu 90.000 Euro bei vereinfachter Abwicklung. Und ab August 2026 wird Österreich eine KI-Sandbox einrichten, zu der KMU priorisierten und kostenlosen Zugang erhalten.
[Interner Link: /blog/ki-foerderungen-in-oesterreich-2026-alle-programme-fuer-kmu-im-ueberblick – Anchor: „Alle KI-Förderungen für KMU in Österreich"]
Diese Förderungen können einen erheblichen Teil der Implementierungskosten abdecken – von der Strategieberatung über die technische Umsetzung bis zur Mitarbeiterschulung.
Fazit: Handeln Sie jetzt – aber ohne Panik
Der EU AI Act klingt auf den ersten Blick einschüchternd. In der Praxis bedeutet er für die meisten KMU jedoch keine Revolution, sondern eine Professionalisierung. Schulen Sie Ihre Mitarbeiter, erstellen Sie eine interne KI-Richtlinie, dokumentieren Sie Ihren KI-Einsatz und achten Sie auf DSGVO-konforme Anbieter. Damit haben Sie bereits 90 Prozent der Anforderungen erfüllt.
Unternehmen, die jetzt Struktur schaffen, haben einen doppelten Vorteil: Sie sind rechtlich abgesichert UND sie nutzen KI systematischer und effektiver als ihre Wettbewerber. Denn wer sich mit den Regeln beschäftigt, beschäftigt sich automatisch auch mit den Möglichkeiten.
Bereit für den nächsten Schritt? In einem kostenlosen 30-Minuten-Erstgespräch analysieren wir gemeinsam, wo KI in Ihrem Unternehmen den größten Hebel hat – und wie Sie den AI Act von Anfang an richtig umsetzen. Unverbindlich und konkret.
→ Jetzt kostenloses Erstgespräch buchen: www.ai-integration.at/kontakt
Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine verbindliche rechtliche Einschätzung zu Ihrem konkreten KI-Einsatz empfehlen wir, einen auf IT- und Datenschutzrecht spezialisierten Rechtsanwalt hinzuzuziehen.
Stand: März 2026. Die Informationen basieren auf der Verordnung (EU) 2024/1689, den Hinweisen der österreichischen KI-Servicestelle bei der RTR und den WKO-Leitlinien zum AI Act.