EU AI Act Österreich — Fristen, Pflichten und Risikoklassen für KMU verständlich erklärt

Die KI-Verordnung gilt direkt — auch für kleine und mittlere Unternehmen. Hier ist, was Sie wissen müssen.

Der EU AI Act (deutsch: KI-Verordnung, offiziell EU-Verordnung 2024/1689) gilt in Österreich direkt und unmittelbar — ohne nationales Umsetzungsgesetz. Betroffen ist jedes Unternehmen, das KI einsetzt, unabhängig von der Größe. Die Pflichten greifen gestaffelt: KI-Kompetenz seit Februar 2025, Hochrisiko-Regeln ab August 2026. Diese Seite erklärt Geltung, Fristen, die vier Risikoklassen und die konkreten Schritte für KMU.

Was ist der EU AI Act?

Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Als EU-Verordnung (2024/1689 vom 13. Juni 2024) gilt er unmittelbar in allen Mitgliedstaaten — er muss nicht erst in nationales Recht übertragen werden.

Der Ansatz ist risikobasiert: Je höher das Risiko eines KI-Einsatzes für Grundrechte und Sicherheit, desto strenger die Pflichten. Vier Risikoklassen reichen von „minimal“ (keine Sonderpflichten) bis „inakzeptabel“ (verboten).

Gilt der EU AI Act in Österreich?

Ja — direkt und unmittelbar. Weil der AI Act eine Verordnung (nicht eine Richtlinie) ist, gilt er ab den jeweiligen Stichtagen automatisch für österreichische Unternehmen. Der im Deutschen gebräuchliche Begriff „KI-Verordnung“ meint genau diesen Rechtsakt.

Aufsicht in Österreich: Das Bundeskanzleramt (BKA) koordiniert die nationale Umsetzung. Die RTR baut die KI-Servicestelle als zentrale Anlauf- und Beratungsstelle auf; die Datenschutzbehörde begleitet grundrechtsrelevante Aspekte. Auf EU-Ebene koordiniert das AI Office.

Fristen: Ab wann gilt was?

Die Pflichten treten gestaffelt in Kraft. Für KMU am wichtigsten: Die KI-Kompetenz-Pflicht gilt bereits.

2. Februar 2025

KI-Kompetenz (Art. 4) + verbotene Praktiken (Art. 5)

Alle Betreiber von KI-Systemen müssen ausreichende KI-Kompetenz ihrer Mitarbeitenden sicherstellen. Verbotene Praktiken (Social-Scoring, manipulative KI) sind ab sofort untersagt.

2. August 2025

GPAI-Modelle + Governance-Struktur

Pflichten für Anbieter von General-Purpose-AI-Modellen treten in Kraft. Nationale Aufsichtsstrukturen und das EU-AI-Office nehmen die Arbeit auf.

2. August 2026

Hochrisiko-Systeme (Anhang III)

Die strengen Pflichten für Hochrisiko-KI (Recruiting, Kreditvergabe, Gesundheit, kritische Infrastruktur) werden wirksam: Risikomanagement, Daten-Governance, Dokumentation, menschliche Aufsicht, Konformitätsbewertung.

2. August 2027

Hochrisiko in regulierten Produkten

Übergangsfrist für KI als Sicherheitskomponente in bereits regulierten Produkten (z. B. Medizinprodukte, Maschinen) endet.

Die vier Risikoklassen

Nicht die Branche entscheidet, sondern der konkrete Use-Case. Dieselbe Technologie kann je nach Einsatz in unterschiedliche Klassen fallen.

Minimales Risiko

Keine Sonderpflichten (DSGVO bleibt)

Spam-Filter, Übersetzung, interne Effizienz-KI ohne kritische Entscheidungen.

Begrenztes Risiko

Transparenz-Pflicht (Art. 50)

Chatbots, Content-Generatoren, Deepfakes — Kunden müssen KI als KI erkennen, Medien brauchen maschinenlesbares Wasserzeichen.

Hohes Risiko

Strenge Compliance (Anhang III)

Recruiting, Kreditvergabe, Biometrie, Gesundheit, Bildung, kritische Infrastruktur — Risikomanagement, Doku, menschliche Aufsicht, Konformitätsbewertung vor Markteintritt.

Inakzeptables Risiko

Verboten (Art. 5)

Social-Scoring, gezielte Manipulation, Ausnutzung vulnerabler Gruppen, biometrische Echtzeit-Überwachung im öffentlichen Raum.

Was müssen KMU jetzt tun?

Vier Schritte zur EU-AI-Act-Konformität — vom Überblick bis zur dokumentierten Pflicht-Erfüllung.

Schritt 1

KI-Inventur erstellen

Erfassen Sie jedes eingesetzte KI-System — eigene Modelle, SaaS-Tools (ChatGPT, Copilot, Claude, Gemini) und eingebettete KI in CRM/ERP.

Schritt 2

Risikoklassen einordnen

Ordnen Sie jeden Use-Case in eine der vier Risikoklassen ein. Erstindikation liefert der kostenlose Risk-Check.

Schritt 3

KI-Kompetenz schulen (Art. 4)

Seit Februar 2025 Pflicht: Geschäftsführung und KI-nutzende Mitarbeitende brauchen nachweisbare KI-Kompetenz inklusive Dokumentation.

Schritt 4

Pflichten dokumentieren

AI-Policy, Teilnahme-Nachweise und — bei Hohem Risiko — technische Dokumentation, Risikomanagement und menschliche Aufsicht aufsetzen.

Risikoklasse jetzt prüfen (12 Fragen) →Zur EU-AI-Act-Pflichtschulung →

Wer hilft bei der Umsetzung in Österreich?

OptimusFlow Consulting begleitet DACH-KMU durch den gesamten EU-AI-Act-Prozess: von der Risikoklassen-Einordnung über die Pflichtschulung nach Art. 4 bis zur praktischen Umsetzung von KI-Workflows, die Compliance von Anfang an mitdenken.

Der Einstieg ist niederschwellig: Starten Sie mit dem kostenlosen Risk-Check oder einem Erstgespräch. Bei Hohem Risiko (Anhang III) benennen wir ausdrücklich die anwaltliche Schnittstelle.

Quelle und Zuständigkeit

Rechtsgrundlage: EU-Verordnung 2024/1689 vom 13. Juni 2024 (AI Act / KI-Verordnung). Art. 4 (KI-Kompetenz) und Art. 5 (verbotene Praktiken) seit 2. Februar 2025 in Kraft. Hochrisiko-Pflichten (Anhang III) ab 2. August 2026.

Aufsichtsbehörden DACH: Österreich — Bundeskanzleramt (BKA) koordinierend, RTR (KI-Servicestelle), Datenschutzbehörde. Deutschland — BMWK plus BMJ / Bundesnetzagentur. Schweiz — Drittland-Status, der AI Act gilt indirekt bei EU-Markteintritt.

Verbindlichkeit: Diese Seite ist eine fachliche Orientierung, kein Rechtsgutachten. Bei Hohem Risiko (Anhang III) empfehlen wir ausdrücklich anwaltliche Validierung.

Häufige Fragen

Gilt der EU AI Act in Österreich?+

Ja. Der EU AI Act ist eine EU-Verordnung (2024/1689) und gilt damit direkt und unmittelbar in allen Mitgliedstaaten — auch in Österreich, ohne nationales Umsetzungsgesetz. Österreichische Unternehmen jeder Größe sind betroffen, sobald sie KI-Systeme einsetzen.

Ist die KI-Verordnung dasselbe wie der EU AI Act?+

Ja. „KI-Verordnung“ ist die deutsche Bezeichnung für den EU AI Act (englisch: AI Act), offiziell EU-Verordnung 2024/1689 vom 13. Juni 2024. Beide Begriffe meinen denselben Rechtsakt.

Ab wann gilt der EU AI Act?+

Gestaffelt: Seit 2. Februar 2025 gelten die KI-Kompetenz-Pflicht (Art. 4) und das Verbot inakzeptabler Praktiken (Art. 5). Ab 2. August 2025 greifen GPAI-Pflichten, ab 2. August 2026 die strengen Anforderungen für Hochrisiko-Systeme (Anhang III), ab August 2027 für KI in regulierten Produkten.

Welche Pflichten hat ein KMU nach dem EU AI Act?+

Mindestens: nachweisbare KI-Kompetenz der Mitarbeitenden (Art. 4) und Transparenz-Kennzeichnung von Chatbots und KI-Inhalten (Art. 50). Bei Hochrisiko-Use-Cases (z. B. Recruiting) kommen Risikomanagement, Daten-Governance, Dokumentation, menschliche Aufsicht und Konformitätsbewertung hinzu. Die konkrete Pflichten-Tiefe hängt von der Risikoklasse ab.

Welche Aufsichtsbehörde ist in Österreich zuständig?+

In Österreich koordiniert das Bundeskanzleramt (BKA) die Umsetzung; die RTR (Rundfunk und Telekom Regulierungs-GmbH) baut die KI-Servicestelle als Anlaufstelle auf, die Datenschutzbehörde ist für grundrechtsrelevante Aspekte zuständig. Auf EU-Ebene koordiniert das AI Office.

Welche Strafen drohen bei Nicht-Einhaltung?+

Der EU AI Act sieht gestaffelte Bußgelder vor: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken, bis zu 15 Mio. € oder 3 % bei Verstößen gegen Hochrisiko-Pflichten. Für KMU sind die Höchstbeträge anteilig gedeckelt.

Wer hilft KMU in Österreich bei der EU-AI-Act-Umsetzung?+

OptimusFlow Consulting begleitet DACH-KMU von der Risikoklassen-Einordnung über die Pflichtschulung (Art. 4) bis zur praktischen Umsetzung. Einstieg über den kostenlosen Risk-Check oder ein Erstgespräch. Bei Hohem Risiko benennen wir die anwaltliche Schnittstelle.

Unsicher, in welche Risikoklasse Ihre KI fällt? Machen Sie den 12-Fragen-Risk-Check — 8 Minuten, sofortige Einordnung. Oder direkt Erstgespräch anfragen.