Zum Hauptinhalt springen
Zurück zum Blog
10. April 2026(aktualisiert: 23. Mai 2026)4 Min. LesezeitJulian PaulEU AI ActKMUÖsterreichRegulierungCompliance

EU AI Act: Was österreichische KMU jetzt wissen müssen

Österreichische KMUs setzen zunehmend KI-Tools ein — von Chatbots über CRM-Automatisierung bis hin zu intelligenter Terminplanung. Ab August 2026 gilt der EU AI Act vollständig. Dieser Leitfaden zeigt, was konkret auf Ihr Unternehmen zukommt, welche Pflichten Sie heute schon haben und wie Sie sich pragmatisch vorbereiten — ohne in Panik zu verfallen.

TL;DR: Die meisten KMU-Anwendungen fallen unter „minimales" oder „begrenztes Risiko" und brauchen keine teure Compliance-Maschinerie. Aber: Wer ChatGPT, Claude oder andere GPAI-Modelle im Kundenkontakt einsetzt, muss transparent kennzeichnen, dokumentieren und schulen. Drei Schritte reichen für 90% der Fälle.

Was ist der EU AI Act?

Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Er ist im August 2024 in Kraft getreten und wird stufenweise wirksam. Sein Grundprinzip: KI-Systeme werden nach Risiko klassifiziert — von „verboten" bis „minimal" — und die Pflichten skalieren entsprechend. Für die meisten österreichischen KMUs ist das eine gute Nachricht: Die Mehrheit typischer Business-Anwendungen fällt in die unteren Risikokategorien mit überschaubarem Aufwand.

Wichtig zur Einordnung: Sie sind als Unternehmen, das KI nutzt (nicht baut), im EU AI Act ein „Betreiber" (Deployer), kein „Anbieter" (Provider). Das ist regulatorisch ein riesiger Unterschied — Betreiber haben deutlich weniger Pflichten als Anbieter. Wenn Sie also ChatGPT, Claude oder einen vorgefertigten Chatbot einsetzen, sind die strengen Auflagen für KI-Anbieter nicht Ihre Sorge.

Die Zeitlinie: Was gilt wann?

Der EU AI Act greift in vier Stufen:

DatumWas gilt?Wen betrifft es?
2. Februar 2025Verbotene Praktiken sind illegalAlle
2. August 2025Pflichten für GPAI-Modellanbieter (OpenAI, Anthropic, Google etc.)Modellanbieter — KMUs indirekt
2. August 2026Vollständige Anwendung — Hochrisiko, Transparenz, SanktionenAlle
2. August 2027Hochrisiko-KI in Produktsicherheit (Annex II)Spezialfälle

Das bedeutet: Ab Februar 2025 sind bestimmte Praktiken (z.B. Social Scoring, manipulative Beeinflussung, Emotionserkennung am Arbeitsplatz ohne Sicherheitszweck) bereits heute illegal. Im August 2026 schaltet der Großteil der Regulierung scharf — und ab dann können auch österreichische Behörden Strafen verhängen.

Die vier Risikokategorien — was bedeutet das für KMUs?

1. Unannehmbares Risiko — VERBOTEN

Diese KI-Systeme dürfen seit Februar 2025 gar nicht mehr eingesetzt werden:

  • Social Scoring durch Behörden
  • Manipulative oder ausnutzende KI (z.B. die Schwächen von Kindern oder vulnerablen Gruppen gezielt ausnutzt)
  • Biometrische Echtzeit-Identifikation im öffentlichen Raum (mit eng definierten Ausnahmen)
  • Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen ohne medizinischen oder Sicherheitsgrund
  • Predictive Policing ausschließlich auf Profilbildung basierend

KMU-Relevanz: In der Regel keine. Die meisten Verbote betreffen Behörden oder sehr spezielle Anwendungen. Aber: Wenn Sie KI im Bewerbungsprozess einsetzen, um Emotionen oder Stress zu messen — das ist verboten.

2. Hohes Risiko — STRENG REGULIERT

Hochrisiko-KI ist erlaubt, unterliegt aber harten Auflagen (Risikomanagement, technische Dokumentation, menschliche Aufsicht, Datenqualität, Cybersecurity, CE-Konformität). Typische Beispiele aus Annex III:

  • KI in Personalentscheidungen (Bewerber-Screening, Beförderungsentscheidungen, Kündigungsempfehlungen)
  • KI in Kreditvergabe und Bonitätsbewertung
  • KI in kritischer Infrastruktur (Energie, Verkehr)
  • KI in Bildung (Prüfungsbewertung, Zulassungsentscheidungen)
  • KI als Sicherheitskomponente in regulierten Produkten

KMU-Relevanz: Mittel bis hoch — je nach Branche. Ein Steuerberater oder Anwalt, der KI nur für interne Recherche nutzt, ist nicht betroffen. Ein KMU, das KI für automatische Bewerbervorauswahl einsetzt, schon. Wichtig: Auch hier sind Sie meist Betreiber, nicht Anbieter — Sie müssen also nicht die CE-Konformität herstellen, sondern die korrekte Anwendung sicherstellen.

3. Begrenztes Risiko — TRANSPARENZPFLICHTEN

Diese Kategorie betrifft die meisten KMUs. Wer einen Chatbot, einen KI-Agenten oder generative KI im Kundenkontakt einsetzt, muss:

  • Kennzeichnen, dass es sich um KI handelt (außer es ist offensichtlich)
  • Deepfakes als solche markieren (KI-generierte Bilder/Videos)
  • KI-generierte Texte mit öffentlichem Interesse kennzeichnen (z.B. Newsletter, Blog)

Konkret: Ein Chatbot auf Ihrer Website braucht spätestens ab August 2026 einen Hinweis wie „Sie chatten gerade mit einer KI" oder einen ähnlich klaren Disclaimer. Eine kleine Änderung — meist eine Zeile UI-Text — kein Aufwand.

4. Minimales Risiko — KEINE AUFLAGEN

Die große Mehrheit alltäglicher KI-Anwendungen fällt hierhin:

  • Spam-Filter
  • KI-gestützte Rechtschreibkorrektur
  • Empfehlungssysteme im E-Commerce
  • E-Mail-Klassifikation
  • Routenoptimierung

Hier gibt es keine spezifischen Pflichten aus dem AI Act. DSGVO bleibt natürlich weiter zu beachten.

Typische KMU-Anwendungen im Überblick

AnwendungRisikokategoriePflicht für KMU
E-Mail-AutomatisierungMinimalKeine
Chatbot auf der WebsiteBegrenztKI-Kennzeichnung
CRM-AutomatisierungMinimalKeine
Terminplanung mit KIMinimalKeine
ChatGPT/Claude für interne RechercheMinimalSchulung empfohlen
KI-TelefonassistentBegrenztAnrufer informieren
Automatische Bewerber-VorauswahlHochDokumentation, menschliche Aufsicht
KI-gestützte BuchhaltungBegrenzt–HochPrüfung empfohlen
Inhaltliche KI-generierte WerbetexteBegrenztBei öffentlichem Interesse kennzeichnen

GPAI: Was, wenn ich ChatGPT, Claude oder Gemini im Unternehmen nutze?

Die meisten KMUs nutzen heute General-Purpose AI (GPAI) — also vortrainierte Modelle wie GPT-5, Claude oder Gemini — entweder direkt oder über Tools wie Microsoft Copilot, ChatGPT for Business oder ähnliche Wrapper.

Die guten Nachrichten: Die GPAI-Pflichten treffen die Modellanbieter, nicht Sie als Betreiber. OpenAI, Anthropic und Google müssen seit August 2025 technische Dokumentation, Trainingsdatenzusammenfassung und Urheberrechts-Compliance vorlegen.

Was Sie als KMU tun müssen, wenn Sie GPAI einsetzen:

  1. Mitarbeiter schulen — Artikel 4 verlangt „AI Literacy" für alle, die KI-Systeme bedienen oder einsetzen. Eine halbtägige Schulung mit Dokumentation reicht für die meisten Fälle.
  2. Nutzungspolicy schreiben — Was darf KI? Was nicht? Welche Daten dürfen rein?
  3. Output-Kontrolle dokumentieren — Wer prüft KI-Outputs vor Kundenkontakt?
  4. DSGVO-Konformität sicherstellen — Nutzen Sie EU-gehostete Versionen (z.B. ChatGPT Enterprise mit EU-Datenresidenz oder ähnliche Setups).

EU AI Act vs. DSGVO: zwei Regelwerke, ein System

Viele KMUs fragen: „Brauche ich jetzt zwei Compliance-Systeme?" Die kurze Antwort: nein, aber sie greifen ineinander.

  • DSGVO regelt personenbezogene Daten — wie sie verarbeitet werden, wer Zugriff hat, wie lange gespeichert wird.
  • EU AI Act regelt KI-Systeme — welche Risiken sie bergen, wie transparent sie sein müssen, wer haftet.

In der Praxis: Wenn Sie einen Chatbot mit Kundendaten betreiben, brauchen Sie eine DSGVO-konforme Datenverarbeitungsvereinbarung und eine AI-Act-konforme KI-Kennzeichnung. Beides ist meist in einer kurzen Datenschutzerklärung + UI-Hinweis abgedeckt.

Strafen: Was kostet ein Verstoß?

Der EU AI Act sieht abgestufte Strafen vor, ähnlich wie die DSGVO:

VerstoßMaximalstrafe (Unternehmen)
Verbotene KI-Praktikenbis zu 35 Mio. € oder 7% Jahresumsatz
Pflichtverletzung bei Hochrisiko-KIbis zu 15 Mio. € oder 3% Jahresumsatz
Falsche/irreführende Angaben gegenüber Behördenbis zu 7,5 Mio. € oder 1% Jahresumsatz

Wichtig für KMUs: Bei kleinen und mittleren Unternehmen wird der niedrigere Betrag (€) angesetzt, nicht der prozentuale. Das ist die SMB-Schonregel — keine existenzbedrohenden Strafen für ehrliche Fehler. Wer aber bewusst gegen Verbote verstößt, riskiert sehr wohl ernsthafte Konsequenzen.

In Österreich wird voraussichtlich die RTR-GmbH als Marktüberwachungsbehörde fungieren, das BMK koordiniert. Wer im Hochrisiko-Bereich tätig ist, sollte die finale österreichische Umsetzung im Auge behalten.

Praktischer Compliance-Leitfaden: Fünf Schritte für Ihr KMU

1. KI-Inventar erstellen

Listen Sie alle KI-Tools auf, die in Ihrem Unternehmen eingesetzt werden — auch Schatten-IT. ChatGPT-Pro-Accounts der Mitarbeiter zählen. Notion AI, Copilot in Office, Cal.com-AI-Features. Alles.

2. Risiko pro Tool einordnen

Für jedes Tool: Welche Risikokategorie? Bei Unsicherheit fragen Sie den Anbieter — die müssen ab August 2026 ohnehin Auskunft geben. Tabelle führen.

3. Transparenzpflichten umsetzen

Für jeden Chatbot, jede generative KI im Kundenkontakt: KI-Hinweis einbauen. Eine Zeile in der UI reicht meistens.

4. AI Literacy schulen

Eine halbtägige interne Schulung — was ist KI, was sind die Risiken, was sind unsere Regeln. Schulungsteilnehmer dokumentieren. Erfüllt Artikel 4.

5. Nutzungspolicy + Dokumentation

Ein zwei- bis dreiseitiges Dokument: Welche Tools nutzen wir wofür? Welche Daten dürfen rein? Wer prüft Outputs? Wer ist verantwortlich?

Diese fünf Schritte reichen für die meisten österreichischen KMUs aus, um August 2026 entspannt entgegenzusehen.

FAQ

Muss ich als kleines KMU wirklich etwas tun? Ja, mindestens die Transparenzpflicht für Chatbots und die AI-Literacy-Pflicht (Schulung) gelten auch für Kleinstunternehmen. Beides ist in wenigen Stunden umgesetzt.

Was, wenn ich KI nur intern nutze? Dann gelten nur minimale Anforderungen: AI Literacy (Schulung der Mitarbeiter) und eine interne Nutzungsrichtlinie. Keine Kennzeichnungspflicht nach außen.

Brauche ich einen externen KI-Beauftragten? Nicht zwingend. Anders als ein Datenschutzbeauftragter (DSB) ist eine KI-Verantwortliche-Rolle gesetzlich nicht vorgeschrieben — sinnvoll ist aber, intern eine Person zu benennen, die das Thema verfolgt.

Wie unterscheidet sich der EU AI Act vom US-Ansatz? Die EU reguliert horizontal (alle Branchen, nach Risiko), die USA setzen auf sektorale Regeln (z.B. Bias in Finanzdienstleistungen) plus freiwillige Frameworks. Für Sie als österreichisches KMU zählt: EU-Recht greift, sobald Sie EU-Bürger als Kunden haben — auch wenn Sie ausschließlich US-Tools einsetzen.

Welche Tools brauche ich für die Dokumentation? Für KMU-Umfang reichen Excel oder Notion. Erst bei mehreren Hochrisiko-Systemen lohnt sich spezialisierte Compliance-Software.

Wie neuklick Compliance vereinfacht

Bei neuklick bauen wir KI-Agenten, die von Anfang an EU-AI-Act-konform sind:

  • Kennzeichnung integriert: Jeder Agent, der Kundenkontakt hat, ist klar als KI ausgewiesen.
  • Audit-Trail: Alle Aktionen und Entscheidungen des Agenten sind nachvollziehbar protokolliert.
  • DSGVO-konformes Hosting: EU-Datenresidenz, keine Datenweitergabe in Drittländer ohne Vereinbarung.
  • Schulungsunterlagen: Wir liefern eine kompakte AI-Literacy-Schulung mit jedem Projekt mit.
  • Dokumentations-Templates: Risiko-Inventar, Nutzungspolicy und Output-Kontrolle als Vorlage.

So bekommen Sie nicht nur einen funktionierenden KI-Agenten, sondern auch die Compliance-Hausaufgaben gleich mit erledigt. Damit der August 2026 kein Stressmoment wird, sondern ein Termin im Kalender, den Sie längst abgehakt haben.

Bereit für den ersten Agenten?

In 30 Minuten zeigen wir Ihnen, welcher Prozess in Ihrem Betrieb am meisten von Automatisierung profitiert. Kostenlos, unverbindlich.

Erstgespräch buchen