EU AI Act: Was österreichische KMU über KI-Regulierung wissen müssen

TL;DR: Der EU AI Act tritt stufenweise in Kraft — ab August 2026 gelten die meisten Bestimmungen. Für KMU in Österreich ist vor allem relevant: Welche KI-Anwendungen als Hochrisiko gelten und welche Dokumentationspflichten es gibt.

Was ist der EU AI Act?

Der EU AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Verabschiedet im März 2024, gilt er für alle Unternehmen, die KI-Systeme in der EU entwickeln, bereitstellen oder nutzen.

Ziel: KI soll sicher, transparent und menschenzentriert sein. Gleichzeitig soll Innovation nicht gebremst werden. Der Act arbeitet mit einem risikobasierten Ansatz — je höher das Risiko, desto strenger die Regeln.

Der Zeitplan

• Februar 2025: Verbotene KI-Praktiken treten in Kraft
• August 2025: Regeln für General Purpose AI (GPAI) wie ChatGPT
• August 2026: Regeln für Hochrisiko-KI (der Hauptteil)
• August 2027: Vollständige Anwendung aller Bestimmungen

Die vier Risikoklassen

1. Verbotene KI (Unacceptable Risk)

Diese KI-Anwendungen sind ab Februar 2025 verboten:

• Social Scoring durch Behörden
• Biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen (mit Ausnahmen für Strafverfolgung)
• Manipulation durch unterschwellige Techniken
• Ausnutzung von Schwächen bestimmter Gruppen (Alter, Behinderung)
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

Für KMU relevant? Eher nicht — diese Praktiken betreffen primär Behörden und große Tech-Unternehmen.

2. Hochrisiko-KI (High Risk)

Das ist der Teil, der KMU betreffen kann. Hochrisiko-KI-Systeme müssen strenge Anforderungen erfüllen:

• HR und Recruiting: KI-gestützte Bewerberauswahl, automatisierte Lebenslauf-Screening, Leistungsbewertung von Mitarbeitern
• Kreditwürdigkeitsprüfung: Automatisierte Bonitätsbewertung
• Versicherungswesen: KI-basierte Risikoeinschätzung und Preisgestaltung
• Bildung: Automatisierte Bewertung von Prüfungen, Zugang zu Bildungseinrichtungen
• Kritische Infrastruktur: Wasser, Gas, Strom, Verkehr

3. Begrenzt riskante KI (Limited Risk)

KI-Systeme mit Transparenzpflichten:

• Chatbots: Nutzer müssen wissen, dass sie mit einer KI interagieren
• Deepfakes: KI-generierte Bilder/Videos müssen als solche gekennzeichnet werden
• KI-generierter Content: Muss als KI-generiert erkennbar sein

Für KMU relevant? Ja! Wenn du einen Chatbot auf deiner Website hast, musst du transparent kommunizieren, dass es sich um eine KI handelt.

4. Minimales Risiko (Minimal Risk)

Die meisten KI-Anwendungen fallen in diese Kategorie und haben keine besonderen Auflagen:

• Spam-Filter
• Rechtschreibkorrektur
• Content-Empfehlungen
• Bilderkennung für Produktsuche

Was KMU konkret beachten müssen

1. Chatbots kennzeichnen

Wenn du einen KI-Chatbot auf deiner Website einsetzt: Mach klar, dass es eine KI ist. Ein einfacher Hinweis wie "Du sprichst mit unserem KI-Assistenten" reicht.

2. HR-Tools prüfen

Nutzt du KI für Recruiting (Bewerber-Screening, CV-Parsing, automatisierte Vorselektion)? Dann fallen diese Tools unter Hochrisiko und brauchen:

• Risikobewertung und -management
• Transparente Dokumentation
• Menschliche Aufsicht
• Diskriminierungsfreie Datenbasis

3. Dokumentation erstellen

Für Hochrisiko-KI musst du dokumentieren:

• Welche KI-Systeme du einsetzt
• Wofür sie verwendet werden
• Welche Daten sie verarbeiten
• Wie menschliche Aufsicht gewährleistet ist

4. Transparenz gegenüber Nutzern

Informiere deine Kunden, wenn KI-Systeme Entscheidungen beeinflussen, die sie betreffen.

Strafen bei Verstößen

Der EU AI Act sieht empfindliche Strafen vor:

• Verbotene KI-Praktiken: bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes
• Hochrisiko-Verstöße: bis zu 15 Mio. € oder 3% des Umsatzes
• Falsche Informationen: bis zu 7,5 Mio. € oder 1% des Umsatzes

Für KMU gibt es reduzierte Obergrenzen — aber die Strafen sind immer noch erheblich.

Wie r.digital hilft

Wir unterstützen Unternehmen in Graz und Österreich bei der KI-Compliance:

• KI-Strategie-Beratung — welche KI-Systeme sind betroffen?
• KI-Workshops — Team schulen zu AI Act Anforderungen
• Chatbot-Implementierung mit Transparenz-Hinweisen
• Dokumentation und Risikobewertung für Hochrisiko-KI

Fazit

Der EU AI Act ist kein Grund zur Panik — aber ein Grund, sich vorzubereiten. Für die meisten KMU bedeutet es: Chatbot kennzeichnen, HR-Tools prüfen und grundlegend dokumentieren, welche KI-Systeme im Einsatz sind. Wer sich jetzt darum kümmert, hat bis August 2026 alles erledigt.

Häufige Fragen

Bin ich als KMU betroffen?

Wahrscheinlich ja, zumindest teilweise. Wenn du einen Chatbot auf deiner Website hast oder KI für Recruiting nutzt, gibt es Pflichten. Wenn du nur ChatGPT für interne Texte nutzt, eher nicht.

Muss ich meine ChatGPT-Nutzung dokumentieren?

Nur wenn du ChatGPT als Teil eines Produkts oder einer Dienstleistung für Kunden einsetzt. Interne Nutzung für Brainstorming, Textentwürfe etc. fällt unter "minimales Risiko" und hat keine besonderen Auflagen.

Gilt der AI Act auch für US-Tools wie OpenAI?

Ja. Der AI Act gilt für alle KI-Systeme, die in der EU eingesetzt werden — unabhängig davon, wo der Anbieter sitzt. OpenAI, Google, Anthropic etc. müssen die Regeln für GPAI einhalten.

Wo finde ich den vollständigen Gesetzestext?

Im Amtsblatt der EU unter eur-lex.europa.eu. Für eine verständliche Zusammenfassung empfehlen wir die Seite artificialintelligenceact.eu — dort ist jeder Artikel einzeln erklärt.