Ab wann greifen die Strafvorschriften?

Ab 2. August 2026. Bis dahin gelten zwar die Verbote (Art. 5) und die Artikel-4-Schulungspflicht bereits, aber die Sanktionsmechanismen werden erst ab August 2026 scharfgeschaltet.

Wer prüft in Österreich?

Die RTR KI-Servicestelle übernimmt die Aufsicht. Bis Juli 2026 bietet sie Beratung, ab August 2026 läuft auch die formelle Prüftätigkeit. Kostenlose Orientierungsgespräche für KMU sind möglich.

Was bedeutet der Digital Omnibus konkret?

Er verschiebt die Fristen für Hochrisiko-KI (Anhang III und I) um 12–18 Monate. Die Pflichten selbst bleiben unverändert. Solange der Omnibus nicht formal verabschiedet ist, gelten offiziell die ursprünglichen Fristen – die politische Mehrheit für den Omnibus ist aber deutlich.

Reicht ein Hinweis im Impressum aus?

Nein. Die Transparenzpflicht muss am Ort der Interaktion erfolgen: Chatbots müssen sich als KI zu erkennen geben, KI-generierte Inhalte müssen am Inhalt selbst markiert sein. Impressum-Hinweise reichen nicht.

Sind Tools wie ChatGPT oder Copilot betroffen?

Der Einsatz im Unternehmen ja – aber in der Regel als Klasse 4 (minimales Risiko) oder Klasse 3 (begrenztes Risiko bei nutzergerichteter Interaktion). Die Anbieter (OpenAI, Microsoft) tragen die Haupt-Compliance-Last über die GPAI-Regelungen.

Muss jeder Mitarbeiter geschult werden?

Jeder, der KI im Rahmen seiner Arbeit einsetzt. Das umfasst in den meisten Unternehmen faktisch alle Büroangestellten. Die Schulung darf pragmatisch sein (30–60 Minuten), muss aber nachweisbar durchgeführt und dokumentiert sein.

Was ist mit der österreichischen KI-Sandbox?

Ab August 2026 bietet Österreich – wie alle EU-Staaten verpflichtend – eine regulatorische Sandbox. KMU erhalten prioritären Zugang, kostenfrei, um Hochrisiko-Systeme unter Aufsicht zu entwickeln. Betrieben wird die Sandbox voraussichtlich über die RTR und das BMI.

Was, wenn wir ein HR-Tool mit KI-Screening nutzen?

Dann sind Sie Betreiber eines Hochrisiko-Systems und müssen: menschliche Endentscheidung sicherstellen, Bewerber informieren, Logs aufbewahren und eine DPIA (Data Protection Impact Assessment) durchführen. Ab 2. Dezember 2027 sind die Anbieter-Pflichten zusätzlich voll anwendbar.

Leitfaden · Stand April 2026

EU AI Act 2026 für KMU in Österreich. Pragmatisch.

Der EU AI Act ist kein Projekt, das Sie einmal abarbeiten. Er ist eine dauerhafte Governance-Aufgabe – in der Liga von DSGVO oder ISO 9001. Dieser Leitfaden erklärt Fristen, Risikoklassen und Ihre konkreten Pflichten. Am Ende finden Sie auch einen Weg, diese Aufgabe nicht alleine tragen zu müssen.

Zur Checkliste Erstgespräch buchen

Aktualisiert: 23. April 2026 · Lesezeit ~14 Minuten · Stand: Digital Omnibus (Parlamentsabstimmung März 2026)

Compliance · Stichtage 2026

EU AI Act 2026, DSGVO, Artikel 4 und RTR - in jedem Mandat als Voreinstellung enthalten, nicht als Zusatzbaustein.

0160-Sekunden-Zusammenfassung

Das Wichtigste in 60 Sekunden

Ja, der EU AI Act betrifft auch Ihr kleines Unternehmen – aber er ist für die meisten KMU deutlich weniger dramatisch, als es klingt.

Seit 2. Februar 2025 gelten zwei Pflichten: das Verbot bestimmter KI-Anwendungen (Art. 5) und die Pflicht, Mitarbeiter in KI-Kompetenz zu schulen (Art. 4).
Ab 2. August 2026 werden Transparenzpflichten für generative KI scharfgeschaltet – Kennzeichnung von KI-Texten, -Bildern und -Videos. Auch Strafvorschriften greifen.
Hochrisiko-Pflichten sind verschoben. Der Digital Omnibus verschiebt die Anwendung auf 2. Dezember 2027 (Anhang III) bzw. 2. August 2028 (Anhang I).
Die meisten KMU betreiben ausschließlich KI mit minimalem oder begrenztem Risiko – ChatGPT, Copilot, Chatbots. Für diese Anwendungen reichen Kennzeichnungspflichten und Mitarbeiterschulung.
Bußgelder sind für KMU gedeckelt: Es gilt der niedrigere Betrag von Fixbetrag oder Umsatzprozentsatz. Österreich bietet ab August 2026 eine kostenlose KI-Sandbox mit prioritärem Zugang für KMU.

02Zeitachse

Fristen nach dem Digital Omnibus

Datum	Status	Was gilt
2. Februar 2025	In Kraft	Verbote + KI-Kompetenzpflicht Verbotene KI-Praktiken (Art. 5) und Artikel-4-Schulungspflicht für alle, die KI einsetzen.
2. August 2025	In Kraft	GPAI-Anbieter-Pflichten Pflichten für Anbieter generischer KI-Modelle (OpenAI, Anthropic, Google). Für KMU-Anwender nicht relevant.
2. August 2026	Kritisch	Transparenz + Strafvorschriften KI-generierte Inhalte müssen gekennzeichnet werden. Strafvorschriften greifen. KI-Sandbox in Österreich startet.
2. Dezember 2027	Digital Omnibus	Hochrisiko nach Anhang III Eigenständige Hochrisiko-Systeme (HR-Tools, Kreditscoring etc.). Verschoben durch Digital Omnibus.
2. August 2028	Digital Omnibus	Hochrisiko nach Anhang I In Produkte eingebettete Systeme (Medizingeräte, Maschinen). Verschoben durch Digital Omnibus.

Für die meisten KMU ist der 2. August 2026 das relevante Datum. Nicht weil an diesem Tag Prüfer an der Tür klingeln – sondern weil ab dann Transparenzpflichten greifen, Strafvorschriften in Kraft treten und die RTR KI-Servicestelle aktiv prüfen kann.

03Risikoklassen

Vier Klassen, vier Regime

Der AI Act reguliert nicht Technologie, sondern Einsatzzweck. Jedes KI-System muss nach seinem konkreten Anwendungsfall eingestuft werden.

Klasse 1

Verboten

Unannehmbares Risiko

Social Scoring, biometrische Echtzeit-Fernidentifikation, Emotionserkennung am Arbeitsplatz, unterschwellige Manipulation. Für die meisten KMU nicht relevant – außer bei HR- oder Überwachungssystemen.

Klasse 2

Streng reguliert

Hohes Risiko

HR-Tools mit Bewerber-Screening, Kreditscoring, kritische Infrastruktur, Medizinprodukte, Bildungs- und Justizsysteme. Wer ein automatisiertes Bewerber-Screening einsetzt, ist Betreiber eines Hochrisiko-Systems.

Klasse 3

Transparenzpflichten

Begrenztes Risiko

Chatbots, Voice Agents, KI-generierte Inhalte, Deepfakes. Nutzer müssen erkennen, dass sie mit einer KI interagieren. KI-generierte Inhalte werden gekennzeichnet. Die Klasse, in der die meisten KMU-Anwendungen liegen.

Klasse 4

Keine Pflichten

Minimales Risiko

Rechtschreibprüfung, Übersetzungs-Tools, Spam-Filter, KI-gestützte Empfehlungssysteme im E-Commerce. Die überwiegende Mehrheit aller KI-Alltagsanwendungen. Keine zusätzlichen AI-Act-Pflichten.

04Artikel 4

Die Schulungspflicht

Wer

Alle Mitarbeiter, die KI-Systeme einsetzen – faktisch fast alle Büroangestellten.

Was

Nachweisbare KI-Kompetenz: Grundlagen, Risiken, unternehmensspezifische Nutzungsregeln.

Dokumentation

Schulungsnachweise mit Datum, Inhalten und Teilnehmern. Einmalig reicht nicht – regelmäßige Auffrischung ist Pflicht.

Artikel 4 EU AI Act verpflichtet Unternehmen, die KI-Systeme betreiben, dafür zu sorgen, dass ihre Mitarbeiter die Systeme sachgerecht verstehen. Das Gesetz nennt das „KI-Kompetenz“ (AI literacy).

Wichtig: Die Schulung darf pragmatisch sein. Eine 45-Minuten-Einführung plus unternehmensspezifische Nutzungsrichtlinie reicht für die Grundkompetenz der meisten Rollen. Tiefergehende Schulungen für Power-User (z. B. Datenanalysten oder Entwickler) müssen separat nachweisbar sein.

Die Durchsetzung läuft über die RTR KI-Servicestelle und wird typischerweise im Rahmen anderer Audits (DSGVO, IT-Security) mitgeprüft. Wer heute noch keine Schulungsnachweise hat, sollte das für 2026 nicht mehr aufschieben.

05Bußgelder

Drei Stufen an Sanktionen

Die Höchststrafen klingen dramatisch. Für KMU gilt jeweils der niedrigere Betrag – aber bereits das kann existenzgefährdend sein.

KRITISCH7 % Umsatz

€35 Mio.

Höchststrafe bei Einsatz verbotener KI-Praktiken (Art. 5). Für KMU gedeckelt auf den niedrigeren Betrag.

HOCH3 % Umsatz

€15 Mio.

Strafe bei Verstößen gegen Pflichten aus dem AI Act (ausgenommen Art. 5 und Falschangaben).

RELEVANT1,5 % Umsatz

€7,5 Mio.

Strafe bei Falschangaben gegenüber Aufsichtsbehörden. Für KMU gilt immer der niedrigere Wert.

067-Schritte-Checkliste

Was Sie jetzt konkret tun sollten

Schritt 01
KI-Inventar erstellen
Liste aller KI-Systeme, die bei Ihnen im Einsatz sind – inklusive externer Dienste wie ChatGPT, Copilot, Marketing-Automation, Chatbots auf der Website.
Schritt 02
Risikoklassen bestimmen
Jedes System nach Einsatzzweck in eine der vier Klassen einordnen. Bei Unsicherheit: zur höheren Klasse tendieren, Dokumentation macht das später leicht korrigierbar.
Schritt 03
KI-Nutzungsrichtlinie verfassen
Einseitige Richtlinie: Welche Tools dürfen verwendet werden, welche Daten nicht, wer ist Ansprechpartner. Muss schriftlich vorliegen und kommuniziert sein.
Schritt 04
Artikel-4-Schulung durchführen
Alle Mitarbeiter, die KI einsetzen, müssen in KI-Kompetenz geschult sein. Nachweise aufbewahren. Einmalig reicht nicht – regelmäßige Auffrischung ist Pflicht.
Schritt 05
Kennzeichnungen vorbereiten
Bis August 2026: Chatbots und Voice Agents müssen als KI kenntlich gemacht werden. KI-generierte Inhalte (Text, Bild, Video) ebenfalls – auch intern.
Schritt 06
Hochrisiko-Systeme gesondert behandeln
Falls vorhanden: Risikomanagement, menschliche Aufsicht, Dokumentationspflichten. In KMU oft nur HR-Screening – aber dann mit vollem Pflichtenprogramm.
Schritt 07
Governance-Rhythmus etablieren
KI-Compliance ist kein einmaliges Projekt. Inventar, Schulungen und Richtlinien müssen laufend gepflegt werden – mindestens quartalsweise überprüft.

07Österreich-Spezifika

RTR, Sandbox, KMU-Erleichterungen

RTR KI-Servicestelle

Die österreichische Aufsichtsbehörde für den AI Act. Bis Juli 2026 primär Beratung, ab August 2026 auch Prüftätigkeit. Kostenlose Orientierungsgespräche für KMU.

KI-Sandbox

Ab August 2026 – regulatorische Sandbox nach EU-Vorgabe. KMU mit prioritärem Zugang, kostenfrei. Entwicklung von Hochrisiko-Systemen unter Aufsicht.

KMU-Erleichterungen

Vereinfachte Dokumentation, gedeckelte Bußgelder (niedrigerer Betrag aus Fix oder Prozent), geförderte Sandbox-Teilnahme.

08FAQ

Häufige Fragen zum EU AI Act

09Quellen

Weiterführend

Hinweis: Gloriane ist keine Rechtskanzlei. Dieser Leitfaden ersetzt keine juristische Beratung. Bei Detailfragen verweise ich auf WKO, RTR oder Fachanwälte für IT- und Datenschutzrecht.

Nicht alleine durch die Umsetzung

Der EU AI Act ist eine Führungsfrage.

Ich führe als externer KI-Vorstand die Governance-, Strategie- und Umsetzungsarbeit für ausgewählte Mittelstandsbetriebe in Österreich. EU-AI-Act-Compliance ist dabei einer von mehreren Bausteinen – aber oft der Einstieg. Alternativ gibt es das EU-AI-Act-Compliance-Paket: 4 Wochen, €9.500, Mindest-Dokumentation bis 2. August 2026.

Kostenloses Erstgespräch Compliance-Paket ansehen