Die EU-Verordnung über Künstliche Intelligenz — der sogenannte AI Act — ist seit August 2024 in Kraft und wird schrittweise wirksam. Für viele Geschäftsführer kleiner und mittlerer Unternehmen in Österreich stellt sich die Frage: Betrifft mich das überhaupt? Die kurze Antwort: Ja, mit hoher Wahrscheinlichkeit. Die längere Antwort folgt in diesem Artikel.
Warum der AI Act auch für KMU relevant ist
Ein weit verbreiteter Irrtum ist, dass der AI Act nur für große Technologiekonzerne gilt, die selbst KI-Systeme entwickeln. Tatsächlich unterscheidet die Verordnung zwischen Anbietern (die KI-Systeme entwickeln oder auf den Markt bringen) und Betreibern (die KI-Systeme im geschäftlichen Kontext einsetzen). Und genau hier wird es für KMU relevant: Sobald Sie ChatGPT, Microsoft Copilot, einen KI-Chatbot auf Ihrer Website oder ein KI-gestütztes Recruiting-Tool einsetzen, gelten Sie als Betreiber.
Laut der KI-Servicestelle der RTR (Rundfunk und Telekom Regulierungs-GmbH), die als offizielle Anlaufstelle für den AI Act in Österreich fungiert, müssen auch Betreiber bestimmte Pflichten erfüllen — abhängig davon, in welche Risikokategorie das eingesetzte System fällt.
Die vier Risikokategorien des AI Act
Der AI Act teilt KI-Systeme in vier Stufen ein:
Unannehmbares Risiko (verboten): Dazu gehören beispielsweise Social Scoring, manipulative Systeme oder bestimmte Formen biometrischer Echtzeitüberwachung. Diese Systeme dürfen in der EU nicht eingesetzt werden. Für die meisten KMU ist das nicht relevant, aber es schadet nicht, zu wissen, wo die rote Linie liegt.
Hohes Risiko: Hier wird es für manche KMU interessant. Hochrisiko-KI-Systeme umfassen unter anderem Systeme, die in der Personalauswahl eingesetzt werden (z.B. automatisiertes Screening von Bewerbungen), im Kreditscoring, in der Bildung oder in sicherheitskritischen Bereichen. Für diese gelten die strengsten Auflagen: Risikomanagement, Datenqualitätssicherung, technische Dokumentation, menschliche Aufsicht und Transparenzpflichten.
Begrenztes Risiko: Dazu gehören die meisten Chatbots, KI-generierte Inhalte und Empfehlungssysteme. Hier gilt vor allem eine Transparenzpflicht: Nutzer müssen wissen, dass sie mit einer KI interagieren. Wenn Sie also einen Chatbot auf Ihrer Website haben, muss klar erkennbar sein, dass es sich um einen KI-Assistenten handelt.
Minimales Risiko: Spam-Filter, KI-gestützte Textvorschläge oder einfache Automatisierungen. Hier gelten keine besonderen Auflagen, aber die allgemeinen Prinzipien guter KI-Nutzung (Datenschutz, Fairness) bleiben natürlich bestehen.
Die wichtigsten Fristen im Überblick
Der AI Act tritt schrittweise in Kraft. Hier die relevanten Termine:
Seit Februar 2025 gelten bereits die Verbote für KI-Systeme mit unannehmbarem Risiko sowie die Anforderungen an die KI-Kompetenz. Das bedeutet: Unternehmen, die KI einsetzen, müssen sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen.
Ab August 2025 gelten die Regeln für General-Purpose-AI-Modelle (also Modelle wie GPT-4 oder Claude) — das betrifft vor allem die Anbieter dieser Modelle, nicht die Betreiber.
Ab August 2026 werden die Regelungen für Hochrisiko-KI-Systeme vollständig anwendbar. Spätestens dann müssen Unternehmen, die solche Systeme einsetzen, alle Compliance-Anforderungen erfüllen.
Bis August 2027 gilt eine Übergangsfrist für bestehende Hochrisiko-Systeme, die bereits vor Inkrafttreten auf dem Markt waren.
Was KMU jetzt konkret tun sollten
1. Bestandsaufnahme: Welche KI-Systeme setzen Sie ein?
Erstellen Sie eine Liste aller KI-Tools und -Systeme, die in Ihrem Unternehmen verwendet werden. Denken Sie dabei auch an weniger offensichtliche Anwendungen: Microsoft Copilot in Office, KI-Funktionen in Ihrem CRM, automatisierte E-Mail-Filter, Chatbots auf der Website, KI-gestützte Buchhaltungssoftware.
2. Risikokategorie bestimmen
Ordnen Sie jedes System einer der vier Risikokategorien zu. Im Zweifelsfall hilft die KI-Servicestelle der RTR mit konkreten Informationen. Für die meisten KMU werden die eingesetzten Systeme in die Kategorien "begrenztes Risiko" oder "minimales Risiko" fallen.
3. Transparenzpflichten umsetzen
Wenn Sie Chatbots, KI-generierte Inhalte oder andere Systeme mit begrenztem Risiko einsetzen, stellen Sie sicher, dass Nutzer darüber informiert werden. Ein einfacher Hinweis wie "Dieser Chat wird von einem KI-Assistenten beantwortet" reicht in vielen Fällen aus.
4. KI-Kompetenz im Team aufbauen
Die Anforderung an KI-Kompetenz gilt bereits seit Februar 2025. Schulen Sie Ihre Mitarbeiter im verantwortungsvollen Umgang mit KI-Tools. Das muss kein großes Projekt sein — oft reicht ein halbtägiger Workshop, um die wichtigsten Grundlagen zu vermitteln.
5. Interne Richtlinien erstellen
Erstellen Sie eine einfache KI-Nutzungsrichtlinie für Ihr Unternehmen. Die WKO bietet dafür Muster-Richtlinien an, die Sie als Ausgangsbasis verwenden können. Wichtige Punkte: Welche Daten dürfen in KI-Tools eingegeben werden? Wer ist verantwortlich? Wie wird die Qualität der KI-Outputs geprüft?
6. Dokumentation aufbauen
Auch wenn Ihre Systeme nicht in die Hochrisiko-Kategorie fallen, ist eine grundlegende Dokumentation sinnvoll. Halten Sie fest, welche Systeme Sie einsetzen, zu welchem Zweck und welche Maßnahmen Sie getroffen haben.
Häufige Fehler, die KMU vermeiden sollten
Abwarten und Tee trinken: Der AI Act gilt bereits — die ersten Pflichten (Verbote, KI-Kompetenz) sind seit Februar 2025 in Kraft. Wer jetzt noch nicht begonnen hat, sollte zeitnah starten.
Alles intern lösen wollen: Die Materie ist komplex, und die Interpretation einzelner Bestimmungen ist teilweise noch unklar. Es ist keine Schwäche, sich externe Unterstützung zu holen — sei es durch Berater, die KI-Servicestelle der RTR oder Branchenverbände wie die WKO.
Compliance als reines Rechtsprojekt sehen: Der AI Act ist nicht nur eine juristische Herausforderung, sondern auch eine Chance. Unternehmen, die jetzt eine durchdachte KI-Strategie entwickeln, schaffen gleichzeitig die Basis für effizientere Prozesse und bessere Kundeninteraktion.
Überreagieren: Nicht jeder KI-Einsatz erfordert eine umfassende Compliance-Prüfung. Wenn Sie ChatGPT für interne E-Mail-Entwürfe nutzen, müssen Sie kein Risikomanagement-System aufbauen. Proportionalität ist das Stichwort.
Förderungen nutzen
In Österreich gibt es verschiedene Förderprogramme, die KMU bei der Digitalisierung und KI-Integration unterstützen. Das Programm KMU.DIGITAL der WKO fördert Beratungsleistungen mit bis zu 50% der Kosten. Die Austria Wirtschaftsservice (aws) bietet ebenfalls Programme zur Innovationsförderung an. Im Rahmen der AI Factory Austria werden Unternehmen beim Einstieg in die KI-Nutzung begleitet.
Fazit
Der EU AI Act ist kein Grund zur Panik, aber ein guter Anlass, sich strategisch mit dem Thema KI auseinanderzusetzen. Für die meisten KMU bedeutet er: Transparenz schaffen, Mitarbeiter schulen, Dokumentation aufbauen. Und wer das ohnehin macht, legt gleichzeitig die Grundlage für eine erfolgreiche und verantwortungsvolle KI-Nutzung.
Sie möchten wissen, wo Ihr Unternehmen steht und welche konkreten Schritte Sie als nächstes unternehmen sollten? Vereinbaren Sie ein kostenloses Erstgespräch — 30 Minuten, unverbindlich, mit konkreten Handlungsempfehlungen.