EU AI Act in Österreich: Was KMU bis August 2026 wirklich tun müssen
Am 2. August 2026 wird der AI Act für fast jedes Unternehmen scharf. Warum die KI-Servicestelle der RTR dabei zentral ist, was seit Februar 2025 schon gilt, und die drei Fehler, die wir bei KMU am häufigsten sehen.
In 107 Tagen wird es ernst. Am 2. August 2026 werden die zentralen Pflichten des EU AI Act direkt anwendbar. Keine nationale Umsetzung, kein Übergang, keine "Gnadenfrist weil KMU". Wer KI einsetzt und das nicht strukturiert dokumentiert hat, steht dann vor einem ausgewachsenen Compliance-Problem.
Die gute Nachricht: Für die meisten Unternehmen ist der Aufwand überschaubar, wenn man jetzt beginnt. Die weniger gute: Viele glauben, sie wären nicht betroffen, und liegen falsch.
Warum dich das auch betrifft, wenn du "keine KI entwickelst"
Der AI Act unterscheidet zwischen Anbieter (wer KI baut) und Betreiber (wer sie einsetzt). Beide haben Pflichten. Wenn dein Unternehmen ChatGPT für Kundenkommunikation verwendet, einen Chatbot auf der Website hat, Copilot im Office nutzt oder Bewerbungen mit einem KI-Tool vorfiltert, du bist Betreiber. Und Betreiber-Pflichten greifen ab 2. August 2026 voll.
Der Geltungsbereich ist bewusst weit. Alles, was Inhalte generiert, Vorhersagen trifft oder Entscheidungen beeinflusst, fällt darunter, kommerziell wie im öffentlichen Sektor.
Was seit 2. Februar 2025 bereits gilt
Vielen KMU ist nicht bewusst, dass zwei Teile des AI Act bereits scharf sind:
Verbotene KI-Praktiken (Art. 5). Soziales Scoring, manipulative KI, biometrische Kategorisierung nach sensiblen Merkmalen, ungezielte Gesichtsdatenbank-Scraping und Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen, schlicht verboten. Bußgeld bis 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
KI-Kompetenzpflicht (Art. 4). Alle Personen, die in deinem Unternehmen mit KI-Systemen arbeiten, müssen ein angemessenes Kompetenzniveau haben. Das gilt seit über 14 Monaten. Die Pflicht selbst ist nicht direkt mit Verwaltungsstrafe belegt, aber wenn durch fehlende KI-Kompetenz ein Schaden entsteht, haftest du nach § 1313a ABGB. Und die KI-Servicestelle der RTR nennt Art. 4 wörtlich "eine Präzisierung unternehmerischer Sorgfaltspflichten".
Konkret heißt das: Wenn dein Sales-Team mit ChatGPT Kundenangebote schreibt, brauchst du eine dokumentierte Schulung. Das kann ein 90-minütiger interner Workshop sein, aber er muss nachweislich stattgefunden haben.
Die österreichische Dimension: KI-Servicestelle und KI-Behörde
Österreich hat zwei Besonderheiten, die viele deutsche oder internationale Leitfäden nicht abbilden:
Die KI-Servicestelle der RTR (Rundfunk und Telekom Regulierungs-GmbH, erreichbar unter ki.rtr.at) ist seit Februar 2024 live. Sie ist kein klassischer Regulator, sondern zuerst Informations- und Beratungsstelle, gedacht als "niederschwelliger Zugang für KMU und Bürger". Für Thomas Draxler, Geschäftsführer der ChangeMy.ai FlexCo: "Die RTR-Servicestelle ist der pragmatischste Einstieg. Wer unsicher ist, greift einfach zum Hörer."
Das KI-Servicestelle-Gesetz (KISG) regelt Zuständigkeiten zwischen mehreren Behörden. Die eigentliche KI-Behörde, mit Marktüberwachungs- und Sanktionsbefugnissen, wird auf der Wissensbasis der Servicestelle aufgebaut. Welche Behörden im Detail welche Hochrisiko-Bereiche überwachen, wird bis zum Stichtag 2. August 2026 final geschärft.
Für dich als KMU relevant: Der erste Ansprechpartner bei konkreten Fragen ist ki@rtr.at. Kostenlos, niederschwellig, auf Deutsch.
Timeline: Die fünf Stichtage des AI Act
1. August 2024: AI Act tritt in Kraft. Der Countdown beginnt.
2. Februar 2025: Verbote und KI-Kompetenz. Verbotene Praktiken nach Art. 5 gelten. Art. 4 (KI-Kompetenz für alle Beschäftigten) ist scharf.
2. August 2025: GPAI-Modelle. Pflichten für Anbieter von Sprach- und Basismodellen (OpenAI, Anthropic, Google etc.) greifen. Für KMU indirekt relevant, weil diese Anbieter ab jetzt Dokumentation bereitstellen müssen, die Betreiber nutzen können.
2. August 2026: Das große Datum. Transparenzpflichten, Governance-Anforderungen, Pflichten für Hochrisiko-KI nach Anhang III, Sanktionen scharf. Die nationale Aufsichtsstruktur ist aktiv.
2. August 2027: Hochrisiko in Produkten. Die verlängerte Frist für Hochrisiko-KI, die in regulierte Produkte (Medizintechnik, Maschinen, Spielzeug etc.) eingebettet ist.
Die vier Risikoklassen, und wo KMU meist stehen
Inakzeptables Risiko (verboten): soziales Scoring, manipulative KI, biometrische Kategorisierung nach sensiblen Merkmalen. Für normale KMU irrelevant.
Hochrisiko: KI in Personalauswahl, Bonitätsprüfung, kritischer Infrastruktur, Bildungszugang, Rechtsanwendung. Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht, Protokollierung, Eintragung in EU-Datenbank, voller Pflichtenkatalog. Wer Bewerbungen mit einem KI-Tool vorsortiert, ist potenziell hier. Das ist kein Theoriefall.
Begrenztes Risiko: Chatbots, generative KI, Deepfakes. Transparenzpflicht, Nutzer:innen müssen wissen, dass sie mit KI kommunizieren oder dass ein Inhalt KI-generiert ist. Hier landen die allermeisten KMU-Anwendungen.
Minimales Risiko: alles andere. Spamfilter, Empfehlungssysteme, interne Produktivitätstools. Keine spezifischen Pflichten, aber Art. 4 KI-Kompetenz gilt trotzdem.
Faustregel: Wenn du unsicher bist, ob ein Anwendungsfall hochrisiko ist, ist er es oft. Lieber einmal zu viel die Servicestelle fragen.
Die drei Fehler, die wir bei KMU am häufigsten sehen
Fehler 1: Keine Bestandsaufnahme. Die meisten Unternehmen wissen nicht, welche KI-Systeme sie tatsächlich einsetzen. ChatGPT-Accounts in der Marketingabteilung. Copilot in Office 365. Übersetzungs-KI in Outlook. Ein experimenteller Chatbot auf der Website. Ein Zoom-Notetaker in Meetings. Alles "KI-Systeme" im Sinne der Verordnung. Wer das nicht inventarisiert hat, kann auch keine Risikoklassifizierung machen.
Fehler 2: KI-Richtlinie fehlt oder ist zwei Seiten Buzzword-Bingo. Die Verordnung verlangt keine spezifische Form, aber eine dokumentierte Policy, die klärt, wofür KI im Unternehmen eingesetzt werden darf und wofür nicht, ist die Basis für alles andere. Wer keine hat, hat bei einer Aufsichtsanfrage nichts vorzuweisen.
Fehler 3: Schatten-KI wird unterschätzt. Mitarbeiter:innen, die mit persönlichen ChatGPT-Accounts Kundendaten verarbeiten, produzieren das klassische Doppelproblem: DSGVO-Verstoß und AI-Act-Dokumentationslücke gleichzeitig. Das ist keine Randerscheinung, Umfragen aus dem Herbst 2025 zeigen, dass in über 60 % der österreichischen KMU mindestens eine nicht freigegebene KI-Anwendung produktiv im Einsatz ist.
Was du bis August 2026 konkret machen solltest
Wir sehen bei unseren Kunden im Waldviertel, im Weinviertel und in Wien immer wieder denselben Ablauf funktionieren, acht Schritte, keine Raketenwissenschaft:
- Inventar erstellen. Welche KI-Systeme sind in welchen Abteilungen im Einsatz? Anbieter, Zweck, Datenquelle, Nutzerkreis.
- Rollen klären. Für jedes System: Sind wir Anbieter oder Betreiber? Bei selbst entwickelten Lösungen, auch bei kleinen eigenen Chatbots, kann man beides sein.
- Risikoklassifizieren. Die meisten Systeme landen in "begrenztes Risiko" oder "minimal". Hochrisiko-Kandidaten nochmal kritisch prüfen.
- KI-Richtlinie schreiben. Ein Dokument, maximal fünf Seiten: Strategie, erlaubte und verbotene Anwendungsfälle, Rollen, Eskalationspfad, Verweis auf Datenschutz-Richtlinie.
KI-Kompetenz nachweisen. Schulungen planen und durchführen, Teilnehmerlisten führen, Inhalte dokumentieren. Drei bis fünf Stunden pro Kompetenzniveau reichen meist.
Transparenz umsetzen. Chatbots kennzeichnen, KI-generierte Inhalte markieren, bei Mitarbeitenden-Monitoring sauber aufklären.
Verträge anpassen. Auftragsverarbeitungsverträge um KI-spezifische Klauseln erweitern. Eingabedaten dürfen nicht zum Training der Modelle verwendet werden, das muss vertraglich abgesichert sein.
Ansprechpartner benennen. Eine Person im Unternehmen, die AI-Act-Compliance verantwortet. Muss kein eigener Full-Time-Job sein, aber eine klare Rolle.
Was die Strafen wirklich bedeuten
Die Schlagzeilen drehen sich um die 35-Millionen-Euro-Maximalstrafe. In der KMU-Praxis relevanter sind die beiden unteren Stufen:
- Bis 15 Mio. € oder 3 % des Weltumsatzes bei Verstößen gegen Hochrisiko-Pflichten
- Bis 7,5 Mio. € oder 1 % des Weltumsatzes bei Auskunfts- und Dokumentationsverstößen
Maßgeblich ist der jeweils höhere der beiden Werte. Für ein KMU mit zehn Millionen Euro Jahresumsatz und einer Dokumentationslücke bedeutet das: bis 100.000 Euro Bußgeldrisiko. Für einen echten Hochrisiko-Verstoß: bis 300.000 Euro. Nicht existenzbedrohend für die meisten, aber ein bequem vermeidbarer Schaden.
Wichtig zu wissen: Der AI Act sieht für KMU und Start-ups "verhältnismäßige Anpassungen" vor. Die konkrete Auslegung entwickelt sich noch, aber die Tonalität der KI-Servicestelle ist klar: Wer ehrlich mitmacht und dokumentiert, wird bei einer ersten Anfrage anders behandelt als wer vorsätzlich wegsieht.
Der strategische Hebel
AI-Act-Compliance klingt erstmal nach Pflicht. Aber drei Effekte werden in den nächsten 18 Monaten sichtbar werden:
Vertriebsargument. Enterprise-Kunden, insbesondere größere Mittelständler und die öffentliche Hand, werden in Ausschreibungen Nachweise über AI-Act-Konformität verlangen. Wer das vorweisen kann, gewinnt Projekte, bei denen die Konkurrenz noch hektisch Policies tippt.
Reduktion von Schatten-IT. Die Inventarisierung deckt in der Regel auf, wo parallele Tool-Landschaften entstanden sind. Das ist unabhängig vom AI Act ein guter Hebel für Kostensenkung und IT-Sicherheit.
Grundlage für Skalierung. Wer einmal eine saubere KI-Governance etabliert hat, kann neue KI-Projekte schneller und sicherer einführen, statt bei jedem Pilotprojekt rechtlich bei null anzufangen.
Kurz gesagt
Der AI Act ist keine EU-Bürokratie-Keule, sondern der erste umfassende Rechtsrahmen für KI weltweit, und er zwingt zu Strukturen, die ohnehin sinnvoll sind. Die Kernaufgaben für österreichische KMU sind:
- Inventar bis Mai 2026 fertigstellen
- KI-Richtlinie und Kompetenzschulung bis Juni 2026
- Transparenz- und Vertragsanpassungen bis Juli 2026
- Zum 2. August 2026 eine funktionierende, dokumentierte AI-Governance haben
Wer jetzt beginnt, hat Zeit. Wer im Juli anfängt, nicht mehr.
Du willst das Thema strukturiert angehen? Wir begleiten österreichische KMU von der ersten Inventarisierung bis zum laufenden Betrieb einer AI-Governance. Kontakt aufnehmen
*Dieser Beitrag stellt allgemeine Information dar und ersetzt keine Rechtsberatung im Einzelfall. Stand: April 2026.*