Der EU AI Act: Der ultimative Leitfaden für Dein Unternehmen
dein sicheres Fundament im Web

Der EU AI Act, offiziell die Verordnung (EU) 2024/1689, ist das erste umfassende Gesetz weltweit, das den Einsatz von Künstlicher Intelligenz explizit regelt.

Die Verordnung verfolgt einen sogenannten risikobasierten Ansatz. Das bedeutet: Nicht die Technologie an sich wird reguliert, sondern das spezifische Risiko, das von einer konkreten Anwendung für die Gesundheit, die Sicherheit und die Grundrechte von Menschen ausgeht.

Die KI-Verordnung teilt KI-Anwendungen in vier Risikoklassen ein – von „völlig unbedenklich“ bis hin zu „verboten“. Ziel der Europäischen Union ist es, ein harmonisiertes Marktumfeld zu schaffen, das Innovationen fördert, gleichzeitig aber den Schutz von Bürgern garantiert. Für Unternehmen bedeutet das primär: Transparenzpflichten, Dokumentationsaufwand und die Notwendigkeit einer klaren Governance-Struktur.

Für vollumfänglichen Informationen, kannst Du dir diese auch direkt auf der WKO Seite über den EU AI Act anschauen.

Diese EU-Verordnung betrifft viele Unternehmen in Österreich unmittelbar, sobald diese KI im Geschäftsbetrieb einsetzen. Der EU AI Act gilt unabhängig von Deiner Branche und unterscheidet primär nach dem geografischen Markt und Deiner genauen Rolle im Umgang mit der KI.

Der geografische Geltungsbereich

Das Gesetz betrifft Dich, wenn Dein Unternehmen KI-Systeme in der EU auf den Markt bringt, in Betrieb nimmt oder die Ergebnisse dieser Systeme in der EU genutzt werden. Es ist dabei völlig unerheblich, wo Dein Firmensitz liegt. Ein Softwareanbieter aus den USA oder Asien unterliegt den exakt gleichen Regeln wie ein europäisches Start-up, sobald Kunden innerhalb der EU bedient werden.

Die regulatorischen Rollen

Das Gesetz unterscheidet strikt zwischen verschiedenen Akteuren:

• Anbieter: Du entwickelst ein KI-System selbst oder lässt es entwickeln, um es unter Deinem eigenen Namen auf den Markt zu bringen. Hier liegen die höchsten regulatorischen Hürden.
• Betreiber: Du nutzt ein KI-System eines Drittanbieters im beruflichen Kontext. Das betrifft die überwiegende Mehrheit der klassischen, nicht rein technologiegetriebenen Unternehmen.
• Importeure und Händler: Du bringst KI-Systeme aus Nicht-EU-Ländern in den europäischen Wirtschaftsraum.

Wichtiger Warnhinweis: Wenn Du ein bestehendes KI-System eines Drittanbieters nimmst und es so grundlegend veränderst oder für einen neuen Zweck anpasst, dass es eine neue Risikostufe erreicht, wirst Du rechtlich vom „Betreiber“ zum „Anbieter“. Damit gehen alle Pflichten der Softwareentwicklung auf Dich über.

Die Regulierung orientiert sich an einer vierstufigen Risikopyramide. Je gefährlicher ein System eingestuft wird, desto strenger sind die gesetzlichen Vorgaben.

Unakzeptables Risiko (Verbotene Praktiken)

Systeme in dieser Kategorie stellen eine klare Bedrohung für die Sicherheit und die Rechte von Menschen dar. Sie sind in der EU vollständig verboten. Dazu gehören:

• Biometrische Kategorisierungssysteme zur Ableitung sensibler Merkmale (z.B. politische oder religiöse Ansichten).
• Ungezieltes Auslesen von Gesichtsbildern aus dem Internet oder von Videoüberwachungsaufnahmen (CCTV).
• Emotionserkennungssysteme am Arbeitsplatz oder in Bildungseinrichtungen.
• KI-gestütztes Social Scoring (Bewertung des Sozialverhaltens durch Behörden oder Unternehmen).

Hohes Risiko (High-Risk AI)

Diese Systeme sind erlaubt, müssen jedoch höchste regulatorische Standards erfüllen, bevor sie eingesetzt oder verkauft werden dürfen. Typische geschäftliche Anwendungsfälle fallen in diese Kategorie (festgelegt im berüchtigten Annex III des Gesetzes):

• Personalwesen (HR): KI-Software, die für die Filterung von Bewerbungen, die Bewertung von Kandidaten bei Vorstellungsgesprächen oder für Beförderungen und Leistungsbeurteilungen eingesetzt wird.
• Kreditprüfung: Algorithmen, die die Kreditwürdigkeit von Einzelpersonen bewerten oder deren Zugang zu Finanzdienstleistungen steuern.
• Kritische Infrastrukturen: KI-Komponenten im Bereich der Energie- oder Wasserversorgung sowie im Verkehrswesen.

Begrenztes Risiko (Transparenzpflichten)

Hierzu zählen Systeme, die primär mit menschlichen Nutzern interagieren oder Inhalte generieren. Das Paradebeispiel sind generative KI-Modelle (wie Chatbots oder Bildgeneratoren). Die Pflicht ist hier rein informativer Natur: Die Benutzer müssen dabei informiert werden, dass sie mit einer Maschine interagiert.

Minimales Risiko

Der Großteil der heute genutzten Anwendungen fällt in diese Kategorie. KI-gestützte Spam-Filter, Videospiele oder intelligente Tools zur Datenorganisation in Tabellenkalkulationen erfordern keine Anpassungen und können wie gewohnt weiterbetrieben werden.

Die konkreten Compliance-Anforderungen hängen maßgeblich davon ab, ob Deine Systeme als „High-Risk“ eingestuft sind und ob Du die Rolle des Anbieters oder des Betreibers einnimmst.

Anforderungen für Betreiber von High-Risk-Systemen

Wenn Du Software im HR- oder Kreditbereich zukaufst und einsetzt, musst Du als Betreiber folgende Pflichten organisieren:

• Menschliche Aufsicht: Du musst sicherstellen, dass die Systeme von qualifizierten Mitarbeitern überwacht werden, die die Entscheidungen der KI im Zweifel überschreiben können.
• Überwachung des Betriebs: Du musst das System fortlaufend auf Anomalien oder Fehlentscheidungen überwachen und im Ernstfall den Betrieb einstellen sowie den Anbieter informieren.
• Protokollierung: Automatisch generierte Protokolle (Logs) des KI-Systems müssen über einen gesetzlich definierten Zeitraum aufbewahrt werden, um Entscheidungen nachvollziehbar zu machen.

Anforderungen für Anbieter (Provider) von High-Risk-Systemen

Entwickelst Du selbst solche sensiblen Systeme, sind die Auflagen extrem tiefgreifend:

• Risikomanagement-System: Ein lückenloser Prozess zur Identifikation und Minimierung von Risiken über den gesamten Lebenszyklus der KI hinweg.
• Daten-Governance: Trainings-, Validierungs- und Testdaten müssen strengen Qualitätskriterien genügen, um Verzerrungen (Bias) und Diskriminierung zu verhindern.
• Technische Dokumentation: Eine detaillierte Dokumentation, die den Behörden beweist, dass das System den gesetzlichen Anforderungen entspricht.
• CE-Kennzeichnung: Das System muss ein offizielles Konformitätsbewertungsverfahren durchlaufen und erhält ein CE-Siegel (Hier nachlesbar auf der CE-Seite der WKO), bevor es vertrieben werden darf.

Anforderungen für Generative KI (General-Purpose AI)

Betreibst Du Kundenservice-Chatbots oder KI zur Texterstellung, gelten die Transparenzregeln:

• Offenlegungspflicht: Nutzer müssen explizit und unmissverständlich darauf hingewiesen werden, dass sie mit einer KI kommunizieren.
• Watermarking (Wasserzeichen): Von generativer KI erzeugte Audio-, Bild- oder Videoinhalte müssen in einem maschinenlesbaren Format als „synthetisch erzeugt“ markiert werden.

Compliance lässt sich nicht an einem Wochenende umsetzen. Ein systematischer Ansatz schützt Dich vor rechtlichen Risiken und operativen Ausfällen. Mit folgenden vier Schritten erhältst Du einen Überblick über deinen KI-Einsatz:

Schritt 1: Das KI-Inventar erstellen

Du kannst nur regulieren, was Du kennst. Erfasse systematisch sämtliche Software-Werkzeuge, die in Deinem Unternehmen im Einsatz sind. Frage aktiv in allen Abteilungen (Marketing, Vertrieb, HR, IT) ab, welche Tools genutzt werden. Achte besonders auf unregulierte Tools, die Mitarbeiter eigenmächtig nutzen (Shadow IT).

Schritt 2: Die Risikoklassifizierung vornehmen

Ordne jedes identifizierte Werkzeug einer der vier Risikoklassen des EU AI Acts zu. Falls Werkzeuge im HR-Bereich zur Personalbeurteilung genutzt werden, markiere diese sofort als „High-Risk“ und unterziehe sie einer tieferen Prüfung.

Schritt 3: Verträge und Lieferanten Management anpassen

Nimm Kontakt zu Deinen Software-Lieferanten auf. Verlange schriftliche Zusicherungen und Konformitätsnachweise bezüglich des EU AI Acts. Aktualisiere Deine Beschaffungsrichtlinien: Zukünftige Software darf nur noch eingekauft werden, wenn der Anbieter die Einhaltung der EU-Vorgaben garantiert.

Schritt 4: KI-Dokumentation aufbauen

Das Gesetz verpflichtet Unternehmen, sicherzustellen, dass alle Mitarbeiter, die mit KI-Systemen arbeiten, über ein Mindestmaß an KI-Kompetenz verfügen. Setze verpflichtende Schulungen an, um das Bewusstsein für Risiken, Datenschutz und den korrekten Umgang mit KI-Systemen im Team zu verankern.

Die Europäische Union verleiht dem AI Act durch hohe Strafen ein großes regulatorisches Gewicht. Die Sanktionen übertreffen in ihren Spitzenwerten sogar die Rahmenbedingungen der Datenschutz-Grundverordnung (DSGVO).

Wirtschaftliche Strafen

Die Bußgelder sind gestaffelt und richten sich nach der Schwere des Vergehens sowie dem globalen Umsatz Deines Unternehmens:

• Einsatz verbotener KI-Praktiken: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.
• Verstöße gegen High-Risk-Auflagen: Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes.
• Falsche Angaben gegenüber Behörden: Bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes.

Für kleine und mittlere Unternehmen (KMU) sowie Start-ups sieht das Gesetz gewisse Deckelungen vor, um existenzbedrohende Strafen bei Erstverstößen im geringen Risikobereich abzufedern. Dennoch bleibt das finanzielle Risiko erheblich.

Operative und reputative Folgen

Neben reinen Geldstrafen besitzen die nationalen Aufsichtsbehörden weitreichende Befugnisse:

• Sie können den sofortigen Stopp der Nutzung eines KI-Systems anordnen.
• Sie können den Rückruf eines Produkts vom gesamten europäischen Markt erzwingen.
• Ein öffentlich dokumentierter Verstoß führt zu erheblichem Vertrauensverlust bei Kunden, Partnern und Investoren.

Der EU AI Act trat schrittweise in Kraft. Du musst die unterschiedlichen Fristen genau im Auge behalten, um rechtzeitig konform zu sein:

Stand: 21.06.2026
Quelle: WKO

Der EU AI Act erfordert von Dir als Unternehmer kein technologisches Expertenwissen, wohl aber ein klares Verständnis Deiner Prozesse. Wer rechtzeitig dokumentiert, seine Lieferanten prüft und sein Team schult, minimiert das Risiko von Strafzahlungen und schafft eine sichere, zukunftsfähige Basis für digitale Innovationen.