Zum Hauptinhalt springen
Strategie

EU AI Act 2026 — Was österreichische Unternehmen jetzt tun müssen

Konkreter Compliance-Leitfaden zum EU AI Act für Geschäftsführer in Österreich. Mit Risikoklassen, Strafen, Fristen und einer 12-Schritte-Checkliste.

Von Andreas Will12 Min. Lesezeit
#EU AI Act#DSGVO#Compliance#Österreich

Der EU AI Act ist seit August 2024 in Kraft, die Hochrisiko-Pflichten greifen ab August 2026 in voller Schärfe. Wir sitzen also nicht mehr vor einer abstrakten Regulatorik, sondern vor einem Stichtag mit Vertragsstrafen. Was in den letzten 18 Monaten in den meisten österreichischen Mittelstand- Unternehmen passiert ist: gefährlich wenig. Die folgenden Zeilen sind die operative Übersetzung — was du als Geschäftsführer in den nächsten 90 Tagen wirklich anstoßen musst, ohne dass dir ein 200-Seiten-Whitepaper auf den Tisch flattert.

1. Die vier Risikoklassen — und wo eure Use Cases reinfallen

Der AI Act klassifiziert nach Anwendungsfall, nicht nach Technologie. Das ist die wichtigste mentale Verschiebung: Es ist egal, ob ihr GPT-4, Claude oder ein selbstgebautes Modell nutzt — die Risikoklasse hängt davon ab, was die KI tut, wo sie eingesetzt wird und wer davon betroffen ist.

  • Unzulässig (Verbot ab Februar 2025): Social Scoring durch Behörden, emotionsbasierte Manipulation, biometrische Massenüberwachung. Für den Mittelstand selten relevant — aber wer Stimmungsanalyse von Mitarbeitenden plant, ist hier in der Grauzone.
  • Hochrisiko: alles, was kritische Infrastruktur, Bildung, Beschäftigung, Zugang zu öffentlichen Diensten, Strafverfolgung, Migration oder Justiz betrifft. Konkrete Beispiele aus der Mittelstand-Realität: CV-Screening im Recruiting, Bonitätsbewertung im Vertrieb, Predictive-Maintenance in kritischer Infrastruktur, Versicherungs- Underwriting.
  • Begrenztes Risiko (Transparenz-Pflicht): Chatbots im Kundenservice, Deepfakes, KI-generierte Inhalte. Pflicht: Kennzeichnung, dass es sich um KI handelt. Mehr nicht — solange ihr nicht in eine höhere Klasse rutscht.
  • Minimales Risiko: Spam-Filter, KI-gestützte Übersetzungen, Suchverbesserungen. Hier sind keine Pflichten — außer den allgemeinen GDPR-Anforderungen, die ihr ohnehin habt.

In den 30+ Audits, die wir 2025/2026 in Österreich gemacht haben, fallen etwa 60 Prozent der geplanten Use Cases in Begrenztes Risiko, 25 Prozent in Minimales Risiko und 10 bis 15 Prozent in Hochrisiko. Unzulässig ist die absolute Ausnahme.

2. Wann wird's hochkritisch? Die Stichtage 2026

Das Gesetz ist gestaffelt in Kraft. Was Geschäftsführer wissen müssen:

2. August 2026

Stichtag für Hochrisiko-KI-Compliance in der EU

  • 2. Februar 2025: Verbote für unzulässige Praktiken sind scharf. Wer Emotionserkennung am Arbeitsplatz einsetzt, riskiert ab heute Strafen.
  • 2. August 2025: Pflichten für General-Purpose-AI-Anbieter (OpenAI, Anthropic, Google, Mistral, Meta). Für euch als Anwender heißt das: ihr müsst die Provider-Dokumentation aufnehmen und in eure eigene Risikoabwägung einfließen lassen.
  • 2. August 2026: Hochrisiko-Pflichten greifen. Wer hier nicht vorbereitet ist und ein Hochrisiko-System produktiv betreibt, riskiert Marktverbot.
  • 2. August 2027: Übergangsfristen für bereits 2024 in Betrieb befindliche Hochrisiko-Systeme laufen aus.

3. Was Hochrisiko-KI konkret verlangt

Wenn euer Use Case in die Hochrisiko-Klasse fällt — typisch beim CV-Screening, beim Underwriting oder bei medizinischen Anwendungen — dann braucht ihr im Wesentlichen sechs Bausteine, dokumentiert und auditierbar:

  1. Risikomanagement-System über den gesamten Lebenszyklus der KI
  2. Datenqualität und Daten-Governance — keine Bias-anfälligen Trainingsdaten, dokumentierte Repräsentativität
  3. Technische Dokumentation und Aufzeichnungs-Pflichten (Logging)
  4. Transparenz gegenüber Nutzern und Aufsicht
  5. Menschliche Aufsicht ("Human-in-the-Loop") mit echter Eingriffsmöglichkeit
  6. Genauigkeit, Robustheit, Cybersicherheit auf nachweisbarem Stand der Technik

Plus: Konformitätsbewertung vor Markteintritt (bei vielen Hochrisiko- Anwendungen reicht die interne Selbstbewertung, manche brauchen externe Stelle), CE-Kennzeichnung, Eintrag in die EU-Datenbank für Hochrisiko-KI.

4. General-Purpose-AI — die unsichtbare Verpflichtung

Hier liegt der größte Stolperstein für den Mittelstand. Wer GPT-4, Claude oder Mistral nutzt, bezieht ein General-Purpose-AI-Modell — und ist damit Anwender im Sinne des AI Act. Eure Pflicht: ihr müsst die vom Anbieter bereitgestellte technische Dokumentation, die Nutzungsbedingungen und die verbotenen Einsatzfälle kennen und einhalten. OpenAI, Anthropic und Mistral veröffentlichen seit August 2025 entsprechende Model-Cards.

Praktisch heißt das: Es reicht nicht, einfach die ChatGPT-Enterprise-Lizenz zu kaufen und loszulegen. Ihr braucht eine interne Nutzungsrichtlinie, die definiert, welche Daten ins Modell dürfen, welche Use Cases erlaubt sind und wer im Unternehmen für die Einhaltung verantwortlich ist.

5. Was kostet es, wenn ihr nichts tut?

Die Bußgeld-Stufen sind hart, vor allem im Vergleich zur DSGVO. Drei Größenordnungen:

  • Unzulässige KI-Praktiken: bis €35 Mio. oder 7 % des weltweiten Jahresumsatzes (je nachdem, was höher ist).
  • Verstöße gegen Hochrisiko-Pflichten: bis €15 Mio. oder 3 %.
  • Falsche Informationen an Behörden: bis €7,5 Mio. oder 1 %.

In Österreich übernimmt die RTR-AI-Servicestelle die zentrale Beratung und Koordination, die eigentliche Marktüberwachung liegt bei sektorspezifischen Behörden (FMA für Finanz, Bundesamt für Sicherheit im Gesundheitswesen, Datenschutzbehörde für DSGVO-Schnittstellen). Wer einen Compliance-Verstoß meldet, sollte wissen, an wen — und sollte das vorbereitet haben, bevor es brennt.

6. Die 12-Schritte-Checkliste

Aus der Praxis: wenn ihr in den nächsten 90 Tagen folgendes abarbeitet, seid ihr für 2026 sauber aufgestellt — vorausgesetzt, ihr habt keinen Hochrisiko-Use-Case (wenn doch, sind das eher 6 bis 9 Monate Vorlauf).

  1. Inventur: alle eingesetzten oder geplanten KI-Anwendungen auflisten (inkl. ChatGPT-Nutzung in einzelnen Abteilungen)
  2. Risiko-Klassifizierung pro Anwendung gegen die vier AI-Act-Klassen
  3. Verantwortlichkeit klären — wer ist KI-Beauftragter, wer eskaliert
  4. Datenschutz-Folgenabschätzung für jede KI-Anwendung mit Personenbezug
  5. Provider-DPAs prüfen (OpenAI, Anthropic, andere) auf EU-Routing und Datenresidenz
  6. Interne Nutzungs-Richtlinie erstellen und kommunizieren
  7. Transparenz-Hinweise auf Chatbots und KI-generierten Inhalten implementieren
  8. Logging-Strategie für KI-Interaktionen (Wer hat wann was gefragt, was kam zurück)
  9. Eskalations-Workflow für KI-Vorfälle definieren
  10. Schulung für Mitarbeiter, die täglich mit KI arbeiten — realistische 2-Stunden-Onboarding ist meist genug
  11. Vertragslage mit Implementierungs-Partnern auf AI-Act-Konformität prüfen
  12. Roadmap für die nächsten 12 Monate — was wird wann produktiv, was muss vorher compliant sein

7. Was wir in der Praxis sehen

Zwei beobachtete Muster aus österreichischen Audits 2025/2026:

Muster 1 — der Versicherungs-Mittelständler. Ein bestehendes CV-Screening-Tool wurde unkritisch ausgerollt, niemand hatte den AI Act auf dem Radar. Im Audit fanden wir: Hochrisiko-Anwendung, keine technische Dokumentation, keine Bias-Prüfung der Trainingsdaten, keine menschliche Letztentscheidung. Nachrüstung: 4 Monate, €85.000 Kosten — billiger als ein Bußgeld oder ein Rufschaden im LinkedIn-Zeitalter.

Muster 2 — der E-Commerce-Player. Wollte einen Customer-Service-Bot launchen, hatte Sorge vor AI-Act-Bürokratie. Audit-Ergebnis: Begrenztes Risiko, einfache Transparenz-Pflicht, fertig. Implementation in 6 Wochen durchgezogen, keine zusätzliche Compliance-Last über das hinaus, was ohnehin DSGVO-konform sein muss.

Die Lektion: AI-Act-Compliance ist managebar, wenn ihr früh klassifiziert und ehrlich seid. Wer es ignoriert oder bewusst falsch einstuft, kauft sich teure Probleme.

Häufige Fragen

Was Geschäftsführer zum EU AI Act fragen.

Gilt der EU AI Act auch für Einzelunternehmer und Kleinstunternehmen?
Ja, der AI Act gilt unabhängig von der Unternehmensgröße. Es gibt aber Erleichterungen für KMU (definitorisch: bis 250 Mitarbeiter, €50 Mio. Umsatz) — vereinfachte Dokumentation, niedrigere Gebühren bei externen Konformitätsbewertungen. Die grundsätzlichen Pflichten — vor allem Risikoklassifizierung und Transparenz — gelten aber für alle.
Brauchen wir einen KI-Beauftragten — analog zum Datenschutzbeauftragten?
Der AI Act schreibt keinen formalen KI-Beauftragten vor — das ist anders als bei der DSGVO. Trotzdem empfehlen wir, eine verantwortliche Person zu benennen, die intern als Ansprechpartner für KI-Themen fungiert. In der Praxis ist das oft der IT-Leiter, der Datenschutzbeauftragte oder ein dedicated Compliance-Officer.
Was ist mit Open-Source-Modellen wie Llama oder Mistral selfhosted?
Open-Source-Modelle unter freier Lizenz sind teilweise von den General-Purpose-AI-Pflichten ausgenommen — solange sie nicht 'systemic risk' darstellen, also extrem große Modelle sind. Für euch als Anwender ändert sich aber wenig: Wenn ihr Llama 3 selbst hostet und in eine Hochrisiko-Anwendung einbaut, bleibt ihr für die Anwendungs-Compliance verantwortlich.
Wie verhalten sich AI Act und DSGVO zueinander?
Beide gelten parallel und ergänzen sich. DSGVO regelt den Umgang mit personenbezogenen Daten, der AI Act regelt KI-Systeme als Ganzes. In der Praxis heißt das: jede Hochrisiko-KI mit Personenbezug braucht eine DSFA nach DSGVO plus die Konformitätsbewertung nach AI Act. Klingt aufwendig — ist aber meistens dieselbe Dokumentation mit zwei Überschriften.
Können wir das einfach an einen externen Berater auslagern?
Auslagern kann man die Vorbereitung und Dokumentation, nicht aber die Verantwortung. Der Geschäftsführer haftet weiterhin persönlich. Realistisch ist ein Setup, in dem ein externer Berater (oder eine spezialisierte Kanzlei) die Erst-Klassifizierung und die Dokumentationsvorlagen liefert, und ihr intern eine verantwortliche Person für die laufende Compliance habt.

Was als Nächstes?

Wer bis hier gelesen hat, gehört zur Minderheit, die das Thema ernst nimmt — und das ist 2026 ein Wettbewerbsvorteil. Konkrete nächste Schritte: macht in den nächsten zwei Wochen die KI-Inventur (Schritt 1 und 2 aus der Checkliste), schickt eure interne Nutzungs-Richtlinie raus, und plant die Hochrisiko-Use-Cases — falls ihr welche habt — mit einem realistischen Vorlauf von 6 Monaten. Wenn ihr dabei Unterstützung braucht: ein Audit S mit Compliance-Fokus kostet bei uns €4.500 und liefert euch in zwei Wochen eine vollständige Klassifizierung plus Roadmap. Discovery-Call dauert 30 Minuten und kostet nichts.

Mehr lesen.

Tactical

Dein erstes KI-Audit selbst durchführen — Template inkludiert (2026)

Sechs-Schritte-Worksheet für das KI-Self-Audit. Konkrete Fragen, Zeitschätzungen, Priorisierungs-Matrix. Für Geschäftsführer, die erst selbst schauen wollen.

Tactical

Wie du KI-Outputs systematisch testest — Eval-Frameworks für Production

Tech-Anleitung für Eval-Pipelines in Production: 4-Layer-Strategy mit deterministischen Tests, LLM-as-Judge, Golden-Datasets und Drift-Monitoring.

Case Study

Case Study — Internes Wissensportal mit RAG: Bauträger spart 60% Onboarding-Zeit

Wie ein regionaler Bauträger in Salzburg/OÖ mit RAG, Permissions-Filter und Slack-Integration die Onboarding-Zeit neuer Projektleiter von 8 auf 3 Wochen gedrückt hat.

Bereit für eine ehrliche Einschätzung?

Discovery-Call kostet 30 Minuten — und kann euer 2026 entscheiden.