EU AI Act ab August 2026: Was österreichische KMU jetzt wissen müssen

Die Künstliche Intelligenz hat in den letzten Jahren den Arbeitsalltag in kleinen und mittleren Unternehmen (KMU) in Salzburg und ganz Österreich massiv verändert. Ob ChatGPT für Texte, Midjourney für Bilder oder KI-gestützte Automatisierung im Kundenservice – die Möglichkeiten sind enorm. Doch mit der zunehmenden Nutzung rückt auch die rechtliche Regulierung in den Fokus. Am 1. August 2026 tritt der EU AI Act (KI-Verordnung der Europäischen Union) in weiten Teilen vollständig in Kraft.

Für viele Unternehmer klingt das nach einem bürokratischen Albtraum. Doch keine Panik: Nicht jedes Unternehmen, das KI nutzt, muss sofort komplexe Risikoanalysen durchführen. In diesem Artikel klären wir verständlich und praxisnah, was der EU AI Act für österreichische KMU bedeutet, welche Tools du weiterhin bedenkenlos nutzen kannst und wo du in Zukunft genauer hinsehen musst.

Was ist der EU AI Act eigentlich?

Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Das Ziel der Europäischen Union ist es, einen Rechtsrahmen zu schaffen, der Innovationen fördert, aber gleichzeitig die Grundrechte, die Demokratie und die Sicherheit der Bürger schützt.

Im Kern basiert das Gesetz auf einem risikobasierten Ansatz. Das bedeutet: Je höher das Risiko ist, das von einem KI-System ausgeht, desto strenger sind die Regeln. Systeme mit einem unannehmbaren Risiko (wie Social Scoring nach chinesischem Vorbild) werden komplett verboten. Systeme mit minimalem Risiko können hingegen weitgehend frei genutzt werden.

Für dich als Unternehmer in Österreich ist es wichtig zu verstehen, dass der AI Act nicht primär die Technologie an sich reguliert, sondern ihren Einsatzzweck. Es macht rechtlich einen gewaltigen Unterschied, ob du eine KI nutzt, um Blogbeiträge zu schreiben, oder ob du eine KI einsetzt, um Bewerbungsunterlagen automatisch zu filtern und Personalentscheidungen zu treffen.

Die 4 Risikoklassen des EU AI Act: Wo steht dein KMU?

Um zu verstehen, ob und wie dein Unternehmen betroffen ist, musst du die vier Risikoklassen der Verordnung kennen.

1. Unannehmbares Risiko (Verboten)

KI-Systeme, die eine klare Bedrohung für die Sicherheit oder die Rechte der Menschen darstellen, sind strikt verboten. Dazu gehören:

• Biometrische Echtzeit-Überwachung im öffentlichen Raum.
• Social Scoring (Bewertung des sozialen Verhaltens von Bürgern).
• KI, die menschliches Verhalten unbewusst manipuliert (z.B. subliminale Techniken).
• Für 99% der KMU in Österreich spielt diese Kategorie in der Praxis keine Rolle.

2. Hohes Risiko (Streng reguliert)

Hier wird es spannend. Hochrisiko-KI-Systeme sind erlaubt, unterliegen aber strengen Auflagen. Bevor sie auf den Markt kommen oder im Unternehmen eingesetzt werden, müssen sie eine Konformitätsbewertung durchlaufen, menschliche Aufsicht garantieren und hohe Anforderungen an die Datenqualität erfüllen.
Beispiele für Hochrisiko-Systeme:

• KI-Software im Personalwesen (z.B. zum automatischen Filtern von Bewerbern oder zur Leistungsbewertung).
• KI im Bildungsbereich (z.B. zur Bewertung von Prüfungen).
• KI zur Kreditwürdigkeitsprüfung durch Banken.
• Achtung KMU: Wenn du KI-Tools nutzt, um Personalentscheidungen zu treffen, fällst du in diese Kategorie. Du bist dann als „Betreiber“ in der Pflicht, sicherzustellen, dass das System den EU-Regeln entspricht.

3. Begrenztes Risiko (Transparenzpflicht)

In diese Kategorie fallen KI-Systeme, die mit Menschen interagieren und bei denen eine Täuschungsgefahr besteht.
Beispiele:

• Chatbots im Kundenservice.
• KI-generierte Bilder, Audio- oder Videodateien (Deepfakes).

Die Regel hier: Transparenz. Wenn ein Kunde mit einem Chatbot kommuniziert, muss ihm klar mitgeteilt werden, dass er mit einer Maschine spricht. Wenn du KI-generierte Bilder auf deiner Website nutzt, müssen diese in bestimmten Fällen als solche gekennzeichnet werden.

4. Minimales Risiko (Weitgehend frei)

Die gute Nachricht: Die allermeisten KI-Anwendungen, die KMU aktuell nutzen, fallen in diese Kategorie.
Beispiele:
– KI-gestützte Spam-Filter.
– Textgeneratoren wie ChatGPT für Marketing-Zwecke (sofern sie keine Deepfakes erzeugen).
– KI-Lösungen zur Prozessoptimierung, wie etwa die Automatisierung von Rechnungen.
Hier gibt es keine strengen neuen Auflagen aus dem AI Act. Allerdings gelten natürlich weiterhin die DSGVO und das Urheberrecht.

Bin ich Entwickler oder Betreiber? Der entscheidende Unterschied

Der EU AI Act unterscheidet stark zwischen den Rollen, die Unternehmen im KI-Ökosystem einnehmen. Für österreichische KMU ist diese Unterscheidung essenziell.

1. Der Anbieter (Provider/Entwickler)
Das sind Unternehmen, die ein KI-System entwickeln und unter eigenem Namen auf den Markt bringen (z.B. OpenAI, Anthropic oder ein österreichisches Startup, das eine eigene KI-Software programmiert). Anbieter tragen die Hauptlast der Regulierung. Sie müssen die Systeme testen, dokumentieren und zertifizieren lassen.

2. Der Betreiber (Deployer/Nutzer)
Das sind Unternehmen, die ein KI-System im beruflichen Kontext nutzen. Wenn dein Handwerksbetrieb in Salzburg ChatGPT nutzt, um Angebote zu formulieren, bist du ein Betreiber.
Für Betreiber sind die Pflichten deutlich geringer. Du musst lediglich sicherstellen, dass du die KI gemäß der Bedienungsanleitung des Anbieters nutzt, die menschliche Aufsicht gewährleistest (bei Hochrisiko-Systemen) und die Transparenzpflichten erfüllst (z.B. bei Chatbots).

Was österreichische KMU bis August 2026 tun sollten

Der 1. August 2026 mag noch etwas entfernt wirken, doch in der digitalen Welt vergeht die Zeit schnell. Wenn du in deinem Unternehmen KI nutzt oder nutzen willst, solltest du jetzt folgende Schritte einleiten:

1. Inventur: Welche KI-Tools nutzen wir bereits?

Mach eine Bestandsaufnahme. Frag deine Mitarbeiter, welche KI-Tools sie im Alltag verwenden. Oft gibt es eine „Schatten-IT“, bei der Mitarbeiter auf eigene Faust Tools wie ChatGPT, DeepL oder Canva nutzen, ohne dass die Geschäftsführung davon weiß. Erstelle eine Liste aller im Unternehmen genutzten KI-Anwendungen.

2. Risikoklassifizierung vornehmen

Gehe deine Liste durch und ordne die Tools den Risikoklassen zu. Nutzt ihr KI nur für Texte und Bilder (minimales/begrenztes Risiko)? Oder nutzt ihr KI, um Bewerber auszusortieren (hohes Risiko)? Wenn du Hochrisiko-Systeme nutzt, solltest du dich rechtlich beraten lassen.

3. KI-Richtlinien im Unternehmen einführen

Es ist höchste Zeit, klare Regeln für den Umgang mit KI im Unternehmen zu definieren. Eine interne KI-Richtlinie sollte klären:
– Welche Tools dürfen genutzt werden?
– Welche Daten dürfen in die KI eingegeben werden? (Stichwort: Keine sensiblen Kundendaten in öffentliche Tools wie das kostenlose ChatGPT eingeben!)
– Wie werden KI-generierte Inhalte geprüft und freigegeben?

4. Transparenz schaffen

Wenn du einen Chatbot auf deiner Website einsetzt, sorge dafür, dass er sich als solcher zu erkennen gibt. Formuliere die Begrüßung beispielsweise so: „Hallo, ich bin der digitale Assistent von [Unternehmen]. Wie kann ich helfen?“ Das schafft Vertrauen und erfüllt die kommenden Transparenzpflichten. Erfahre mehr über professionelles Webdesign.

Die DSGVO bleibt der strengere Türsteher

Ein wichtiger Punkt, der oft vergessen wird: Der EU AI Act ersetzt nicht die Datenschutz-Grundverordnung (DSGVO). In der Praxis ist die DSGVO für KMU meist die viel größere Hürde beim Einsatz von KI.

Wenn du personenbezogene Daten (Namen, Adressen, Kaufverhalten deiner Kunden) in ein KI-System eingibst, greift sofort die DSGVO. Du musst sicherstellen, dass das Tool DSGVO-konform arbeitet. Bei US-Anbietern ist das oft schwierig. Eine Lösung ist es, auf europäische KI-Modelle zu setzen oder Tools zu nutzen, die Daten lokal auf deinen eigenen Servern verarbeiten (z.B. durch selbst gehostete Workflow-Automatisierung mit n8n).

Fazit: Keine Angst vor dem EU AI Act

Der EU AI Act ist kein Innovationskiller, auch wenn er oft so dargestellt wird. Für die allermeisten kleinen und mittleren Unternehmen in Österreich ändert sich im operativen Alltag wenig, solange sie KI für Standardaufgaben wie Marketing, Textkreation oder einfache Prozessautomatisierung nutzen.

Wichtig ist, dass du dir bewusst machst, wo und wie KI in deinem Unternehmen eingesetzt wird. Transparenz gegenüber Kunden und Mitarbeitern sowie ein sauberer Umgang mit Daten (DSGVO) sind die Schlüssel zum rechtssicheren und erfolgreichen KI-Einsatz.

Wenn du Unterstützung dabei brauchst, deine Geschäftsprozesse rechtssicher und effizient mit KI zu automatisieren, stehen wir dir als verlässlicher Partner in Salzburg zur Seite. Wir bauen Lösungen, die nicht nur technisch funktionieren, sondern auch den europäischen Standards entsprechen. Jetzt Projekt anfragen

---

FAQ: Häufige Fragen zum EU AI Act für KMU

Ab wann gilt der EU AI Act?
Die Verordnung trat im August 2024 in Kraft, wird aber schrittweise angewendet. Die Verbote für unannehmbare Risiken gelten ab Anfang 2025. Die Regeln für Hochrisiko-Systeme und die meisten anderen Pflichten greifen vollständig ab dem 1. August 2026.

Darf ich ChatGPT nach 2026 noch im Unternehmen nutzen?
Ja, absolut. Tools wie ChatGPT fallen in der Regel in die Kategorie des minimalen oder begrenzten Risikos (sofern sie nicht für Hochrisiko-Zwecke wie Personalentscheidungen eingesetzt werden). Du musst lediglich die Transparenzpflichten beachten, wenn du KI-Inhalte veröffentlichst, und natürlich die DSGVO einhalten.

Muss mein kleines Unternehmen jetzt einen KI-Beauftragten einstellen?
Nein. Der EU AI Act schreibt für KMU keine generelle Pflicht zur Benennung eines KI-Beauftragten vor. Es ist jedoch dringend ratsam, intern eine Person zu benennen, die sich mit den KI-Richtlinien des Unternehmens auskennt und den Überblick über die genutzten Tools behält.

Was passiert, wenn wir KI nutzen, um Bewerbungen zu filtern?
Dann nutzt ihr ein sogenanntes Hochrisiko-System. In diesem Fall müsst ihr als „Betreiber“ sicherstellen, dass das System den strengen Vorgaben des AI Acts entspricht. Dazu gehört unter anderem, dass die KI-Entscheidungen stets von einem Menschen überprüft und nachvollzogen werden können (menschliche Aufsicht).

Gilt der AI Act auch für Open-Source-KI-Modelle?
Grundsätzlich ja, aber es gibt weitreichende Ausnahmen für Open-Source-Modelle, um die Forschung und Entwicklung nicht zu bremsen. Wenn ein Open-Source-Modell jedoch als Hochrisiko-System eingestuft wird oder ein verbotenes Risiko darstellt, greifen die Regeln des AI Acts vollumfänglich.