Recht & Compliance

EU AI Act: Das müssen österreichische KMU 2026 wissen

Von Trango Labs · 10. Juni 2026 · 7 Min. Lesezeit

Der EU AI Act gilt seit 2024 schrittweise. Für die meisten österreichischen KMU ist die Lage weniger dramatisch, als Schlagzeilen vermuten lassen — aber einige Pflichten gelten bereits jetzt. Dieser Beitrag ordnet die wichtigsten Fristen ein und zeigt, was Sie konkret tun sollten. Dies ist eine Information, keine Rechtsberatung.

Der Zeitplan im Überblick

  • 2. Februar 2025: Verbotene KI-Praktiken sind untersagt, und die Pflicht zur KI-Kompetenz (Art. 4) gilt — Mitarbeitende, die mit KI arbeiten, brauchen ausreichendes Grundwissen.
  • 2. August 2025: Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) und die Governance-Strukturen treten in Kraft.
  • 2. August 2026: Der Großteil der Verordnung wird anwendbar — inklusive der Pflichten für Hochrisiko-KI nach Anhang III und der Transparenzpflichten.
  • 2. August 2027: Pflichten für Hochrisiko-Systeme nach Art. 6 Abs. 1 (KI in regulierten Produkten).

Achtung: eine Verschiebung ist in Vorbereitung

Im Mai 2026 haben sich Rat, Parlament und Kommission im Rahmen des sogenannten Digital Omnibus vorläufig darauf geeinigt, zentrale Fristen zu verschieben: Die Hochrisiko-Pflichten für eigenständige Anwendungen nach Anhang III sollen auf 2. Dezember 2027 rücken, jene für KI in regulierten Produkten (Anhang I) auf 2. August 2028.

Stand Juni 2026 ist diese Verschiebung aber noch nicht formell beschlossen — sie braucht noch die Abstimmungen in Parlament und Rat sowie die Veröffentlichung im Amtsblatt; die Abstimmung im EU-Parlament wird für Anfang Juli 2026 erwartet. Bis dahin bleibt rechtlich der 2. August 2026 maßgeblich. Praktisch heißt das: Bereiten Sie sich auf August 2026 vor, behalten Sie die Entwicklung aber im Auge.

Was die meisten KMU wirklich betrifft

Entscheidend ist Ihre Rolle. Die strengen Hochrisiko-Pflichten treffen vor allem Anbieter, die solche Systeme entwickeln. Die meisten KMU sind dagegen Betreiber — sie nutzen KI-Werkzeuge, statt sie zu bauen. Für Betreiber sind drei Punkte zentral:

  • KI-Kompetenz (seit Februar 2025): Sorgen Sie dafür, dass Ihr Team ein ausreichendes Grundverständnis der eingesetzten KI hat — Chancen, Grenzen und Risiken.
  • Transparenz: Chatbots müssen sich als KI zu erkennen geben, und KI-generierte oder -manipulierte Inhalte (etwa Deepfakes) sind zu kennzeichnen.
  • Keine verbotenen Praktiken: z. B. manipulative Systeme oder Social Scoring sind untersagt.

Checkliste für KMU

  • Inventur: Welche KI-Werkzeuge sind im Einsatz (auch in Standard-Software)?
  • KI-Kompetenz: Mitarbeitende schulen oder einweisen und das dokumentieren.
  • Transparenz umsetzen: Chatbots kennzeichnen, KI-generierte Inhalte ausweisen.
  • Risiko einordnen: Nutzen oder entwickeln Sie eine Hochrisiko-Anwendung (z. B. im Personalbereich)? Dann gelten erweiterte Pflichten.
  • Verantwortlichkeit klären: eine Person oder Rolle für das Thema benennen.
  • Beratung nutzen: die KI-Servicestelle der RTR als erste Anlaufstelle.

Welche Strafen drohen?

Die Bußgelder sind nach Schwere gestaffelt: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken, bis zu 15 Mio. Euro oder 3 % bei Verstößen gegen Hochrisiko-Pflichten und bis zu 7,5 Mio. Euro oder 1 % bei falschen Angaben (jeweils der höhere Wert). Für KMU und Start-ups gilt eine Erleichterung: Hier kommt jeweils der niedrigere der beiden Werte zur Anwendung.

Ihre Anlaufstelle in Österreich

Für Österreich hat die RTR die KI-Servicestelle eingerichtet. Sie informiert über Pflichten, beantwortet Fragen, koordiniert die Marktüberwachung und vertritt Österreich im Europäischen KI-Gremium. Sie stellt außerdem praktische Hilfen wie einen AI-Act-Chatbot bereit.

Wie Sie jetzt starten

Der pragmatische Weg führt über drei Schritte: Verschaffen Sie sich zuerst einen Überblick, wo in Ihrem Unternehmen KI bereits steckt — oft mehr, als man denkt, etwa in CRM-, Office- oder Marketing-Werkzeugen. Klären Sie dann die KI-Kompetenz im Team und die Transparenz nach außen, etwa bei Chatbots. Erst danach stellt sich für die wenigsten KMU überhaupt die Frage nach den strengen Hochrisiko-Pflichten. Wer früh beginnt, vermeidet Hektik kurz vor den Fristen — unabhängig davon, ob diese nun im August 2026 oder erst 2027 greifen.

Stand: Juni 2026. Der Rechtsrahmen entwickelt sich — insbesondere durch den Digital Omnibus — laufend weiter. Maßgeblich sind die offiziellen Quellen; dieser Beitrag ersetzt keine rechtliche Beratung.

Quellen

/ Los geht's

Unsicher, was der AI Act für
Ihr Unternehmen bedeutet?

Gratis Erstgespräch Sprechen wir darüber