Der EU AI Act (EU-Verordnung über Künstliche Intelligenz) ist der weltweit erste umfassende Rechtsrahmen für den sicheren und verantwortungsvollen Einsatz von KI-Systemen Als EU-Verordnung (Verordnung (EU) 2024/1689) gilt das Gesetz in allen Mitgliedstaaten – also auch in Österreich – unmittelbar und einheitlich. Es soll sicherstellen, dass KI-Anwendungen europäischen Werten und Sicherheitsanforderungen entsprechen. Für österreichische IT-Dienstleister, Softwareunternehmen und KI-Entwickler bedeutet dies neue Pflichten und Chancen: Die Verordnung schafft Rechtssicherheit und fördert Vertrauen in KI, bringt aber auch umfangreiche Compliance-Anforderungen, die es zu meistern gilt.
Inkrafttreten und Übergangsfristen
Nach drei Jahren Verhandlungen wurde der EU AI Act im Juli 2024 im Amtsblatt der EU veröffentlicht. Er ist am 1. August 2024 in Kraft getreten (20 Tage nach Veröffentlichung). Allerdings gelten viele Bestimmungen nicht sofort, sondern stufenweise nach Übergangsfristen. Konkret: Ab 2. Februar 2025 müssen alle verbotenen KI-Praktiken eingestellt werden. Gleichzeitig tritt ab diesem Datum eine neuartige Pflicht in Kraft, wonach Unternehmen ihr Personal hinsichtlich KI schulen müssen (sog. KI-Kompetenz, siehe Art. 4 AI Act).
Ab 2. August 2025 werden bestimmte weitere Kapitel wirksam – etwa die Vorgaben für Generative KI/Grundlagenmodelle (General Purpose AI) und Transparenzpflichten. Der Großteil der Vorschriften – insbesondere die für Hochrisiko-KI-Systeme – ist ab 2. August 2026 verpflichtend einzuhalten. Für einige Bereiche gilt sogar eine verlängerte Frist: 36 Monate nach Inkrafttreten (also bis 2. August 2027) gelten die restlichen Bestimmungen, z. B. spezielle Vorgaben für Hochrisiko-KI in bestimmten Sektoren. Diese gestaffelten Übergangsfristen geben Unternehmen Zeit, sich vorzubereiten – dennoch ist frühes Handeln ratsam, um rechtzeitig compliant zu sein.
Tipp: Nutzen Sie jetzt unsere Angebote zur Vorbereitung auf den EU AI Act! Melden Sie sich etwa zu unserem kostenlosen Webinar an und erfahren Sie aus erster Hand, wie Sie die neuen Vorgaben effizient umsetzen können. Alternativ beraten wir Sie gerne persönlich – nutzen Sie unseren Rückrufservice, um individuelle Fragen zu klären.
Überblick: Zielsetzung des EU AI Act
Der EU AI Act verfolgt einen risikobasierten Regulierungsansatz, der Innovationen ermöglichen und zugleich Risiken von KI minimieren soll. Im Mittelpunkt steht der Schutz von Grundrechten, Gesundheit, Sicherheit und demokratischen Werten vor negativen KI-Auswirkungen. Gleichzeitig will die EU einen „digitalen Verantwortungsgesellschaft“-Standard setzen, der weltweit Maßstäbe für vertrauenswürdige KI setzt – ähnlich wie es die DSGVO im Datenschutz getan hat.
Aus Unternehmenssicht bedeutet dies: KI-Systeme, die in der EU auf den Markt gebracht oder betrieben werden, müssen bestimmte Mindestanforderungen an Sicherheit, Transparenz, Datenqualität und Aufsicht erfüllen. Der AI Act ergänzt bestehende Gesetze wie z. B. die Datenschutz-Grundverordnung (DSGVO) oder sektorspezifische Regeln, anstatt sie zu ersetzen. Unternehmen müssen daher künftig parallel sowohl KI- als auch Datenschutzvorgaben und weitere einschlägige Vorschriften beachten.
Weitreichender Anwendungsbereich: Der AI Act gilt sektorübergreifend für nahezu alle KI-basierten Produkte, Dienste oder internen Anwendungen – sowohl im privaten als auch öffentlichen Sektor. Er erfasst alle Anbieter und Betreiber, die KI-Systeme in der EU anbieten oder verwenden, unabhängig davon, ob das Unternehmen in der EU ansässig ist. Dadurch sind z. B. auch US-Softwarehersteller oder andere Drittlands-Anbieter erfasst, wenn ihre KI-Systeme EU-Nutzer betreffen. Österreichische Unternehmen jeder Größe – vom KI-Startup bis zum etablierten IT-Dienstleister – fallen somit unter den AI Act, sobald sie KI-Technologien entwickeln, vertreiben oder einsetzen. Die Verordnung soll Rechtsunsicherheit abbauen und einheitliche Spielregeln schaffen, damit Unternehmen sich vertrauensvoll auf KI-Innovationen einlassen können. Gleichzeitig müssen sie aber die neuen Pflichten genau kennen, um hohe Strafen und Risiken zu vermeiden (dazu später mehr).
Risikoklassifizierung von KI-Systemen
Kernstück des EU AI Act ist die Einteilung von KI-Systemen in Risikoklassen. Nach dem Motto „je höher das Risiko, desto strenger die Auflagen“ werden KI-Anwendungen in vier Stufen eingeteilt:
Inakzeptables Risiko
Diese Kategorie umfasst KI-Systeme, deren Einsatz verboten ist. Darunter fallen Anwendungen, die menschenwürdewidrig oder grundrechtsgefährdend sind. Beispiel: Ein staatlich betriebenes Social Scoring zur Verhaltenskontrolle der Bevölkerung, wie man es aus China kennt, ist ausdrücklich untersagt. Ebenfalls verboten sind etwa KI zur biometrischen Massenüberwachung in Echtzeit im öffentlichen Raum (mit wenigen Ausnahmen für Strafverfolgung) und Systeme zur Kategorisierung von Personen nach sensiblen Merkmalen (z. B. Religion, Sexualität, Ethnie). Solche Praktiken gelten als „inakzeptables“ Risiko für die Gesellschaft und dürfen in der EU ab 2025 nicht mehr angewandt werden.
Hohes Risiko
Dies sind KI-Systeme mit bedeutendem Gefährdungspotenzial für Gesundheit, Sicherheit oder Grundrechte. Typische Beispiele: KI in kritischen Bereichen wie Medizin (z. B. Diagnose-Software), Personalwesen (z. B. ein Tool zum automatisierten Bewerber-Ranking), Bildung (z. B. Prüfungsbewertung), Finanzdienstleistungen (Kreditwürdigkeitsprüfung) oder öffentliche Infrastruktur. Für solche Hochrisiko-KI schreibt der AI Act strenge Auflagen und Konformitätsprüfungen vor (siehe nächster Abschnitt). Sie dürfen weiterhin eingesetzt werden, müssen aber vor Inverkehrbringen zertifiziert und während des Betriebs laufend überwacht werden. Die Liste konkreter Hochrisiko-Anwendungsfälle ist in Anhang III der Verordnung festgelegt und kann von der EU-Kommission künftig erweitert werden. Wichtig: KI-Systeme zur Erstellung von Persönlichkeitsprofilen (Profiling) gelten laut Gesetz grundsätzlich als hochriskant.
Begrenztes Risiko
Diese Kategorie (oft auch „Limited Risk“ genannt) umfasst KI-Systeme, die nicht hochriskant sind, aber dennoch gewisse Transparenzpflichten erfordern. Hierunter fallen z. B. Chatbots, die deutlich machen müssen, dass man es mit einer Maschine zu tun hat, oder Systeme, die KI-generierte Inhalte erstellen (Text, Bild, Audio, Video), welche als solche gekennzeichnet werden müssen. Durch einfache Hinweispflichten soll sichergestellt werden, dass Nutzer informierte Entscheidungen treffen können. Ein konkretes Beispiel: Deepfakes – also synthetisch erzeugte Medien – müssen als künstlich gekennzeichnet werden, damit niemand sie für echte Aufnahmen hält. ChatGPT-artige Sprachmodelle, die direkt mit Nutzern interagieren, müssen zumindest auf ihre KI-Natur hinweisen. Weitere Pflichten (z. B. Meldung an Behörden) greifen für begrenztes Risiko nicht – solange diese Systeme nicht in die Hochrisiko-Klasse fallen.
Minimales oder kein Risiko
Die meisten KI-Anwendungen im Alltag gelten als minimal riskant und sind weitgehend unreguliert. Dazu zählen etwa Spam-Filter, Rechtschreibprüfungen, Empfehlungsalgorithmen im E-Commerce oder KI in Videospielen. Für solche Systeme schreibt der AI Act keine speziellen Auflagen vor – sie dürfen frei entwickelt und betrieben werden. Wichtig: EU-weit soll es den Mitgliedstaaten untersagt sein, zusätzliche nationale Sonderregeln für diese geringe Risiko-Klasse zu erlassen (Stichwort Maximalharmonisierung). Unternehmen können aber freiwillig Verhaltenskodizes anwenden, um auch bei geringem Risiko Best Practices zu erfüllen.
Zusammenfassung der Risiken nach dem EU AI Act
Zusammengefasst verlangt der EU AI Act also striktes Verbot für wenige besonders heikle KI-Praktiken, Regulierung und Kontrolle für risikoreiche KI, Transparenz für einige mittlere Fälle und Zurückhaltung (kein Eingreifen) bei unproblematischer KI. Für Unternehmen bedeutet das: Identifizieren Sie Ihre KI-Anwendungen und ordnen Sie sie einer Kategorie zu. Davon hängt ab, welche Pflichten konkret greifen. Im Zweifel bietet die KI-Servicestelle der RTR Orientierungshilfen zur Risikoeinstufung.
Anforderungen an KI-Systeme mit hohem Risiko
Für Hochrisiko-KI-Systeme definiert der AI Act ein umfangreiches Pflichtenheft, das sowohl technische Anforderungen als auch organisatorische Maßnahmen umfasst. Diese Anforderungen müssen vom Anbieter (Hersteller/Inverkehrbringer) erfüllt werden, bevor das System auf den Markt kommt, und vom Betreiber während des Betriebs aufrechterhalten werden.
Die wichtigsten Auflagen auf einen Blick
Risikomanagement
Anbieter müssen ein kontinuierliches Risikomanagementsystem einrichten. Das bedeutet: schon bei der Entwicklung wird eine Risikoanalyse durchgeführt, Risiken werden dokumentiert und durch Maßnahmen minimiert. Dieser Prozess muss über den gesamten Lebenszyklus der KI fortgeführt werden. Wichtig für Unternehmen: Ein formales Risikomanagement nachweisbar zu betreiben – ähnlich wie man es aus ISO 31000 oder aus der IT-Sicherheit kennt – wird Pflicht.
Daten-Governance und -Qualität
Die Qualität der Trainings-, Validierungs- und Testdaten muss sichergestellt sein. Datensätze müssen relevant, repräsentativ, korrekt und vollständig für den vorgesehenen Zweck sein. Verfahren zur Datenaufbereitung und -prüfung sind einzuführen. Mit „Data Governance“ verlangt der AI Act quasi Leitlinien für den Umgang mit Daten: Welche Daten werden genutzt? Sind sie frei von Verzerrungen? Hier besteht eine Schnittstelle zur DSGVO – insbesondere wenn es um personenbezogene Daten geht (siehe weiter unten).
Technische Dokumentation
Für jedes Hochrisiko-KI-System ist eine ausführliche technische Dokumentation zu erstellen. Darin müssen u. a. Systembeschreibung, Zweck, Leistung, Risikoabschätzung, Datenquellen und die Einhaltung aller Anforderungen dargelegt werden. Diese Dokumentation ähnelt einem „Konformitätshandbuch“ und ist Voraussetzung für das Inverkehrbringen. Sie muss stets auf dem aktuellen Stand gehalten werden und kann von Behörden angefordert oder geprüft werden.
Aufzeichnungspflichten (Logging)
Hochrisiko-KI müssen so konzipiert sein, dass sie Protokolle über ihren Betrieb aufzeichnen. Betreiber solcher Systeme sind verpflichtet, die automatisiert erzeugten Logs mindestens sechs Monate aufzubewahren (sofern keine anderen Gesetze wie die DSGVO kürzere Löschfristen vorschreiben). Diese Logs dienen der Nachvollziehbarkeit von Entscheidungen und der Untersuchung von Vorfällen. Unternehmen müssen also für geeignete Speicherlösungen und Zugriffskonzepte sorgen, um Logs sicher zu speichern und bei Bedarf auszuwerten.
Transparenz und Nutzerinformationen
Anwender:innen eines Hochrisiko-Systems (also z. B. die Mitarbeiter, die mit dem System arbeiten, oder die Endnutzer, die damit konfrontiert werden) müssen klare Informationen über das System erhalten. Dazu gehört in vielen Fällen eine Betriebsanleitung vom Anbieter, die der Betreiber dem eigenen Personal zugänglich machen muss. Außerdem müssen betroffene Personen, also z. B. jemand, über den das KI-System eine Entscheidung trifft, auf die Nutzung von KI hingewiesen werden. In bestimmten Fällen räumt der AI Act auch ein Recht auf eine Erklärung der Funktionsweise ein – etwa wenn eine automatisierte Entscheidung erhebliche Auswirkungen auf eine Person hat. Diese Transparenzpflichten sollen das Vertrauen stärken und ermöglichen es Betroffenen, Entscheidungen anzufechten oder sich zumindest erklären zu lassen.
Menschliche Aufsicht
Trotz Automatisierung sollen Hochrisiko-KI nicht unbeaufsichtigt wirken. Anbieter müssen Mensch-in-der-Schleife-Funktionen vorsehen (z. B. Eingriffsmöglichkeiten, falls das System fehlerhaft agiert). Betreiber wiederum sind verpflichtet, qualifizierte Personen zu benennen, die diese menschliche Überwachung durchführen. Konkret heißt das: Unternehmen müssen Mitarbeiter schulen und autorisieren, das KI-System zu überwachen und bei Bedarf einzugreifen oder es abzuschalten. Ohne diese menschliche Rückversicherung darf ein Hochrisiko-System nicht betrieben werden.
Genauigkeit, Robustheit, IT-Sicherheit
Hochrisiko-KI-Systeme müssen hohe Anforderungen an Präzision und Ausfallsicherheit erfüllen. Sie sollen auch bei wechselnden Bedingungen zuverlässig funktionieren und gegen Manipulation oder Cyberangriffe geschützt sein. Die Verordnung verlangt ausdrücklich Maßnahmen zur Cybersicherheit der KI-Systeme. Praktisch bedeutet das z. B.: ein Unternehmen muss sicherstellen, dass das KI-Modell und seine Daten vor unbefugtem Zugriff geschützt sind, dass es nicht durch bestimmte Eingaben leicht in schädliches Verhalten gedrängt werden kann und dass Fehlerquoten dokumentiert und minimiert werden. Viele dieser Anforderungen dürften den Entwicklern aus Software-Qualitätssicherung und IT-Security-Standards (wie ISO 27001, siehe unten) bekannt vorkommen.
Konformitätsbewertung und CE-Kennzeichnung
Bevor ein Hochrisiko-KI-System in Verkehr gebracht wird, muss es eine Konformitätsbewertung durchlaufen – je nach Fall als interne Prüfung oder durch eine benannte Stelle (zertifizierende Prüfstelle). Dies ähnelt dem Vorgehen bei klassischen Produkten: Am Ende steht eine EU-Konformitätserklärung und (implizit) eine CE-Kennzeichnung als Zeichen, dass das KI-System die Vorschriften einhält. Für Software ohne physisches Gerät ist diese Kennzeichnung eher metaphorisch, aber rechtlich notwendig. Anbieter müssen also den Nachweis der Einhaltung aller genannten Anforderungen erbringen, bevor sie ihr KI-System anbieten – andernfalls droht ein Vertriebsverbot in der EU.
Zusammenfassung der wichtigsten Auflagen des EU AI Acts
Diese Liste zeigt: Hochrisiko-KI-Entwicklung erfordert interdisziplinäre Anstrengungen. Technische Teams, Datenexperten, Juristen und Ethik-/Compliance-Beauftragte müssen zusammenwirken, um alle Vorgaben zu erfüllen. Insbesondere für KMU kann das anspruchsvoll sein – der AI Act sieht deshalb einige Erleichterungen für kleine Unternehmen vor (z. B. vereinfachte Dokumentation, kostenlose Sandbox-Testumgebungen, siehe unten).
Pflichten der Anbieter, Betreiber und Importeure von KI-Systemen
Der EU AI Act unterscheidet verschiedene Rollen (Akteure) in der KI-Wertschöpfungskette, denen jeweils spezifische Verpflichtungen zugewiesen sind. Wichtig für Unternehmen ist zu verstehen, welche Rolle sie einnehmen – oft kann ein Unternehmen auch mehrere Rollen zugleich innehaben (z. B. Entwickler = Anbieter und zugleich Nutzer = Betreiber). Hier ein kurzer Überblick:
Anbieter (Hersteller/Entwickler)
Das ist die Stelle, die ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen in Verkehr bringt. Anbieter tragen die Hauptverantwortung dafür, dass ein KI-System regelkonform auf den Markt kommt. Sie müssen alle oben genannten Anforderungen für Hochrisiko-Systeme umsetzen (Risikomanagement, Doku, etc.), ggf. eine Konformitätsbewertung durchführen und CE-Konformität erklären. Außerdem müssen Anbieter Vorfälle und Fehlfunktionen melden, eine Betriebsanleitung und erforderliche Informationen bereitstellen und – falls relevant – ihre Systeme im EU-KI-Register eintragen. Softwareunternehmen, die KI-Lösungen entwickeln und anbieten, werden meist als Anbieter gelten. Wichtig: Auch wenn ein Unternehmen eine KI nur für den Eigengebrauch entwickelt, gilt es laut Definition weiterhin als Anbieter mit vollen Pflichten. Die Rolle des Anbieters erlischt also nicht dadurch, dass man das System intern nutzt, solange man es selbst unter eigener Marke betreibt.
Betreiber (Deployers/Nutzer)
Als Betreiber gilt, wer ein KI-System in Betrieb nimmt und für einen bestimmten Zweck einsetzt, ohne es notwendigerweise selbst entwickelt zu habencomputerworld.ch. Praktisch sind das Unternehmen oder Behörden, die KI-Lösungen anwenden, etwa ein Betrieb, der eine zugekaufte KI-Software in seinen Prozessen verwendet. Betreiber müssen sicherstellen, dass sie die Anweisungen des Anbieters befolgen (z. B. Nutzung gemäß Handbuch), und dass das System nur für den vorgesehenen Zweck genutzt wird. Sie haben – wie erwähnt – die Pflicht, ihr Personal zu schulen (KI-Kompetenz, Art. 4).
Bei Hochrisiko-Systemen haben Betreiber weitere Aufgaben
Sie müssen die Eingabedaten auf Eignung prüfen, wenn sie diese kontrollieren können, eine menschliche Aufsicht organisieren (verantwortliche Personen benennen), den Betrieb überwachen und dem Anbieter sowie ggf. Behörden Mängel und Vorfälle melden. Zudem sind Betreiber hochriskanter KI verpflichtet, Logs aufzubewahren und – falls das System personenbezogene Daten verarbeitet – eventuell eine Datenschutz-Folgenabschätzung (DSGVO-DSFA) durchzuführen. Kurz: Ein Betreiber muss ein regelkonformer Anwender sein, der dafür sorgt, dass die KI im täglichen Betrieb die Vorschriften nicht verletzt. Anders als Anbieter muss der Betreiber kein CE-Zeichen anbringen, aber er darf ein KI-System nicht einsetzen, von dem er weiß oder ahnt, dass es nicht konform ist. Für viele IT-Dienstleister und Unternehmensanwender in Österreich wird die Rolle des Betreibers relevant sein – z. B. wenn eine Behörde eine Gesichtserkennungssoftware einsetzt oder ein E-Commerce-Händler eine KI für Empfehlungssysteme nutzt.
Importeur
Wer ein KI-System aus einem Drittstaat in die EU einführt und hier auf den Markt bereitstellt, übernimmt damit die Pflichten eines Importeurs. Der Importeur muss prüfen, ob der ausländische Anbieter sein KI-System konform hergestellt hatcomputerworld.ch. Er darf nur KI-Systeme importieren, die den AI-Act-Vorgaben genügen (z. B. mit CE-Konformität). Falls der ursprüngliche Hersteller außerhalb der EU sitzt und keinen Bevollmächtigten hat, kann der Importeur in bestimmten Fällen sogar als quasi-Anbieter gelten und selbst für die Konformität sorgen müssencomputerworld.ch. Für österreichische Softwarehäuser, die z. B. KI-Tools aus den USA hier vertreiben, ist das wichtig: Man kann nicht einfach ungeprüft KI-Produkte importieren, sondern steht in der Verantwortung, dass diese die EU-Vorgaben erfüllen. Importeuere müssen zudem ihre Kontaktdaten am Produkt anbringen und mit Behörden kooperieren.
Händler/Vertriebspartner
Händler, die KI-Systeme weiterverkaufen, müssen zumindest prüfen, ob das KI-System die erforderlichen Kennzeichnungen und Unterlagen hat (z. B. CE, Konformitätserklärung in der Doku). Sie dürfen keine konformen Produkte verändern. Ihre Rolle ist weniger intensiv als die der Anbieter oder Importeure, aber im Grunde sollen auch Händler dafür sorgen, dass nur regelkonforme KI-Systeme in den Umlauf kommen.
Zusammenfassung der Rollen und Pflichten des EU AI Acts
In der Praxis müssen Unternehmen zunächst analysieren: „Bin ich Anbieter, Betreiber, Importeur oder alles zugleich?“ Ein Software-Startup, das eine KI-Anwendung entwickelt und als Service anbietet, ist Anbieter und gleichzeitig für die eigene Nutzung Betreiber. Ein Industriebetrieb, der eine KI-Lösung von extern bezieht, ist primär Betreiber. Die Unterscheidung ist entscheidend, denn z. B. treffen Anbieter umfangreichere Pflichten (siehe oben) als Betreiber. Wichtig: Art. 4 AI Act zur Schulungspflicht gilt für Anbieter und Betreiber gleichermaßen – jedes Unternehmen, das KI-Systeme entwickelt oder einsetzt, muss ab 2025 sein Personal in KI-Kompetenz fit machen.
Relevanz für österreichische Unternehmen: Branchen und Beispiele
Was bedeutet der EU AI Act ganz konkret in Österreich? Da der Anwendungsbereich sehr breit ist, sind zahlreiche Branchen betroffen. Hier einige praxisnahe Beispiele und Anwendungsbereiche:
Personalwesen und Recruiting
Viele Firmen nutzen Software, um Bewerbungen vorzuselektieren oder Kandidaten-Rankings zu erstellen. Solche KI-gestützten HR-Systeme gelten laut AI Act als Hochrisiko (Anhang III listet KI für Personalentscheidungen explizit). Ein steirisches IT-Unternehmen, das etwa einen Bewerber-Chatbot oder CV-Screener einsetzt, muss künftig sicherstellen, dass dieses Tool die strengen Vorgaben erfüllt – sei es durch den Anbieter oder, falls selbst entwickelt, durch eigene Maßnahmen. Zudem sind Arbeitgeber verpflichtet, den Betriebsrat und die Arbeitnehmervertretung zu informieren, wenn ein hochriskantes KI-System im Personalbereich eingeführt wird.
Gesundheitswesen und Pharma
KI-Systeme zur medizinischen Diagnose (z. B. Hautkrebs-Erkennung per Bildanalyse) oder zur Therapieplanung gelten ebenfalls als hochriskant. Ein Wiener Startup, das eine KI-Diagnose-App entwickelt, muss die Auflagen (z. B. Risikomanagement, CE-Zulassung als Medizinprodukt) beachten. Krankenhäuser in Österreich, die KI zur Befundung einsetzen, müssen als Betreiber sicherstellen, dass Ärzte und Personal im Umgang mit der KI geschult sind und dass das System nur unterstützend, nicht ungeprüft entscheidend eingesetzt wird. Datenschutz spielt hier eine große Rolle – KI-Diagnosesysteme verarbeiten oft sensible Gesundheitsdaten, wo DSGVO und AI Act gleichermaßen strikt sind.
Finanz- und Versicherungssektor
Banken, die KI für Kreditwürdigkeitsprüfungen nutzen, oder Versicherer mit KI-gestützter Schadensbewertung/Risikoprüfung fallen ebenfalls unter Hochrisiko-KI (Anhang III). Viele österreichische Finanzinstitute arbeiten an solchen Systemen. Sie müssen nun ggf. eine Grundrechte-Folgenabschätzung durchführen, bevor sie die KI einsetzen. Diese ist zusätzlich zur DSGVO-Datenschutz-Folgenabschätzung erforderlich, um etwa Diskriminierungsrisiken zu bewerten. Die Finanzbranche muss außerdem bestehende Regulatorik (z. B. Bankwesengesetz, Solvency II) mit dem AI Act in Einklang bringen – eine Herausforderung, auf die Experten wie Prof. Hacker hinweisen. Für Fintech-Startups bietet der AI Act aber auch Chancen: Regulatory Sandboxes (Testumgebungen in Kooperation mit Behörden) können helfen, innovative KI-Produkte unter Aufsicht zu erproben, ohne sofort alle Pflichten 100% erfüllen zu müssen.
Herstellung und Industrie 4.0
Im produzierenden Gewerbe kommen KI-Systeme z. B. zur Qualitätskontrolle via Bildverarbeitung, zur vorausschauenden Wartung (Predictive Maintenance) oder in Robotik-Anwendungen zum Einsatz. Viele solcher Systeme gelten als minimal oder begrenztes Risiko – z. B. eine KI, die Fehler auf dem Fließband erkennt, erfordert primär interne Transparenz. Achtung aber: Einige KI in sicherheitskritischen Anlagen (z. B. Kraftwerke, Aufzüge) könnten unter existierende Produktregeln fallen und somit auch hochriskant sein, besonders wenn sie in die Steuerung kritischer Infrastrukturen eingreifen (Anhang III Kategorie 2). Österreichische Maschinenbauer und Industrieintegratoren sollten genau prüfen, ob ihre KI-Lösungen in regulierte Bereiche (z. B. Maschinenrichtlinie, Autos usw.) fallen – hier ergeben sich oft Überschneidungen mit bestehenden Normen, die harmonisiert werden müssen.
Öffentlicher Sektor und Verwaltung
Österreichs Behörden experimentieren ebenfalls mit KI – etwa in der Justiz (Prädiktionsmodelle), Verwaltung (Chatbots für Bürgeranfragen) oder bei der Polizei (forensische Analysen). Die öffentliche Hand unterliegt dem AI Act genauso. Einsatz von KI bei der Strafverfolgung ist besonders heikel: Der AI Act erlaubt z. B. biometrische Gesichtserkennung nachträglich zur Fahndung, verlangt aber richterliche Genehmigungen binnen 48 Stunden und Dokumentationspflichten jeder Verwendung. Österreichs Polizei und Justiz werden hier sehr sorgfältig vorgehen müssen, um Grundrechte nicht zu verletzen. Verwaltungs-KI (z. B. für Bescheiderstellung) wären hochriskant, wenn sie über Bürgerrechte entscheiden – entsprechende Projekte müssten streng überwacht und vor dem Echtbetrieb einer Grundrechteprüfung unterzogen werden.
KMU und Softwareanbieter
Viele kleine und mittlere Unternehmen (KMU) in Österreich setzen KI vor allem in Form von Cloud-Diensten oder Drittprodukten ein (z. B. einen KI-Service via API). Die gute Nachricht: Häufig handelt es sich um niedriges Risiko (z. B. ein intelligenter E-Mail-Spamfilter) und die Hauptverantwortung für Compliance liegt beim Anbieter des KI-Dienstes. Dennoch müssen KMU als Betreiber auch ihren Pflichten nachkommen (richtig anwenden, Mitarbeiter schulen, auf Warnungen reagieren). Der AI Act schenkt KMU besondere Aufmerksamkeit – 38 Mal werden KMU im Gesetz erwähnt. Es gibt Erleichterungen: KMU erhalten kostenfreien Vorrangzugang zu Testumgebungen (Sandboxes), geringere Gebühren für Zertifizierungen, vereinfachte Dokumentationsvorlagen durch die EU-Kommission und spezielle Schulungsangebote. Diese Maßnahmen sollen sicherstellen, dass auch Startups und kleinere Betriebe die KI-Regeln umsetzen können, ohne übermäßig belastet zu werden. Die WKO und die KI-Servicestelle der RTR bieten hierzulande Info-Material speziell für KMU an, um den Einstieg zu erleichtern.
Unterstützung in Österreich
Um Unternehmen beim AI-Act zu helfen, hat die Regulierungsbehörde RTR eine KI-Servicestelle eingerichtet. Diese fungiert als Ansprechpartner und Info-Hub für das österreichische KI-Ökosystem. Sie bietet leicht zugängliche Informationen, Fachveranstaltungen und Beratung, etwa via Website oder sogar einen AI-Act-Chatbot. Auch die Plattform Digital Austria (Bundeskanzleramt) informiert über den AI Act und hat im November 2024 einen nationalen KI-Umsetzungsplan veröffentlicht. Die Wirtschaftskammer (WKO) stellt praxisorientierte Artikel und Webinare bereit – etwa zum Thema „KI-Kompetenzpflicht“ für Mitarbeiter ab 2025. Diese lokalen Initiativen zielen darauf ab, österreichische Firmen frühzeitig fit für den AI Act zu machen. Nutzen Sie diese Angebote! Etwa unser eigenes Webinar, das wir gemeinsam mit Branchenexperten gestalten – so bleiben Sie up to date und können Fragen direkt klären.
Verbindung zum Informationssicherheits-Management (ISO 27001) und KI-Standards
Viele Anforderungen des AI Act – von Datensicherheit über Risikomanagement bis zur Dokumentation – überschneiden sich mit bewährten Managementsystem-Standards. Insbesondere Unternehmen, die bereits ein ISO 27001-zertifiziertes Informationssicherheits-Managementsystem (ISMS) betreiben, können auf vorhandene Strukturen aufbauen:
Risikobasierter Ansatz
ISO 27001 fordert ein systematisches Bewerten und Behandeln von Risiken für Informationen. Ähnlich verlangt der AI Act ein Risiko-Management für KI-Risiken (z. B. Fehlentscheidungen, Datenlecks). Unternehmen können ihren ISO 27001-Risikoprozess erweitern, um KI-spezifische Risiken zu erfassen. So werden Synergien genutzt und Doppelarbeit vermieden.
Policies und Kontrollen
In einem ISMS hat man klare Sicherheitsrichtlinien, Zugriffssteuerungen und Notfallpläne. Viele dieser Kontrollen kommen auch KI-Systemen zugute – z. B. Zugangskontrollen schützen Trainingsdaten vor unbefugtem Zugriff (DSGVO und AI Act verlangen Schutz sensibler Daten), Incident-Response-Pläne helfen bei KI-Vorfällen etc. Durch eine Integration der KI-Compliance ins bestehende ISMS können Verantwortlichkeiten und Prozesse gebündelt werden.
Dokumentation und Auditierbarkeit
ISO 27001 erfordert umfassende Dokumentation (Risiko-Register, SoA, Berichte). Ähnlich verlangt der AI Act technische Dokumentation, Logging und Nachverfolgbarkeit. Ein dokumentationsaffines ISMS bereitet das Unternehmen kulturell darauf vor, auch KI-Dokumentation gewissenhaft zu führen. Zudem sind ISO-Managementsysteme regelmäßig Audits unterworfen – diese Audit-Erfahrung kann hilfreich sein, wenn zukünftig KI-Audits oder behördliche Prüfungen anstehen.
ISO 42001 und der EU AI Act
Neben ISO 27001 rückt nun ein speziell auf KI zugeschnittener Standard ins Rampenlicht: ISO/IEC 42001:2023, der weltweit erste AI Management System Standard. Dieser Standard – veröffentlicht im Dezember 2023 – legt ein Framework für KI-Governance fest und hilft Organisationen, vertrauenswürdige KI zu etablieren. ISO 42001 fordert u. a. Risikomanagement, KI-Impact-Assessments, Lebenszyklus-Management und Lieferantenkontrolle. Das deckt sich stark mit den Anforderungen des AI Act. KPMG betont, dass ISO 42001 Unternehmen unterstützt, KI-Risiken wie Bias, Datenschutz und Verantwortung systematisch anzugehen. Eine Zertifizierung nach ISO 42001 kann helfen, Compliance-Verpflichtungen wie den EU AI Act zu erfüllen und gegenüber Kunden/Partnern Vertrauenswürdigkeit zu demonstrieren.
ISO 27001 & EU AI Act kombinieren
In Österreich fördert Austrian Standards aktiv solche KI-Normen. Austrian Standards sieht verlässliche Standards als Grundlage für den verantwortungsvollen KI-Einsatz – in Kombination mit dem AI Act ergibt sich ein klarer Handlungsrahmen für Unternehmen. Wir von iso-27001.at unterstützen Sie gerne dabei, ISO 27001 und KI-Compliance zu verzahnen oder Sie auf ISO 42001 vorzubereiten. Mit einem integrierten Managementansatz stärken Sie nicht nur die Erfüllung der gesetzlichen Pflichten, sondern auch die Effizienz und Resilienz Ihrer KI-Prozesse.
AI Act und DSGVO: Zusammenwirken und Zielkonflikte
Ein wichtiger Aspekt für alle, die KI-Systeme mit personenbezogenen Daten betreiben, ist die Schnittstelle zwischen AI Act und DSGVO (Datenschutz-Grundverordnung). Beide Gesetze gelten nebeneinander und verfolgen verwandte Ziele – den Schutz von Individuen und deren Rechten – aber aus unterschiedlichen Blickwinkeln.
Grundsatz des EU AI Acts
Der AI Act lässt die Bestimmungen der DSGVO unberührt. Unternehmen müssen also beide Regime parallel einhalten. Beispielsweise muss ein Anbieter, der sein Hochrisiko-KI-System mit Personendaten trainiert, sowohl die AI-Act-Vorgaben für Daten (Art. 10, Datenqualität) als auch die DSGVO-Regeln für Datenverarbeitung (Rechtsgrundlage, Zweckbindung etc.) erfüllen.
Mögliche Konfliktpunkte
In der Praxis können sich allerdings Zielkonflikte ergeben. Ein Beispiel: Der AI Act fordert, Verzerrungen und Diskriminierung in KI-Modellen zu minimieren. Dazu wäre es hilfreich, das KI-System auch mit sensiblen Daten (z. B. ethnische Herkunft) zu testen, um Bias zu erkennen. Die DSGVO jedoch verbietet oder erschwert die Verarbeitung sensibler Daten ohne ausdrückliche Einwilligung oder speziellen Zweck. Es fehlen derzeit klare Regeln, ob und wie Personendaten für KI-Training wiederverwendet werden dürfen – das macht es schwierig, gleichzeitig DSGVO und AI Act zu erfüllen. Datenschutz-Organisationen warnen schon, dass heutige große KI-Modelle (GPT & Co) möglicherweise auf Basis personenbezogener Infos ohne genügende Rechtsgrundlage trainiert wurden und Betroffenenrechte (z. B. Löschung, Auskunft) nicht einhalten können. Hier prallen Datenschutzprinzipien und KI-Entwicklungspraktiken aufeinander.
Ein weiterer Bereich des EU AI Acts
Der AI Act verlangt das Speichern von Protokolldaten über KI-Vorgänge (z. B. Nutzerinteraktionen, Entscheidungswege). Die DSGVO fordert aber Datenminimierung und begrenzte Speicherfristen. Unternehmen müssen hier genau abwägen: Welche Logdaten sind notwendig zur Erfüllung der AI-Act-Pflichten und wie lange dürfen sie gemäß DSGVO aufbewahrt werden? Möglicherweise sind Anonymisierung oder Pseudonymisierungstechniken ein Schlüssel, um beides zu vereinen (Logdaten für Compliance, aber ohne Personenbezug zur DSGVO-Entschärfung).
Synergien mit dem EU AI Act
Trotz solcher Spannungen verfolgen AI Act und DSGVO auch gemeinsame Ansätze: Beide fordern Transparenz gegenüber Betroffenen (KI-Entscheidungen erklären; über Datenverarbeitung informieren), beide legen Wert auf accountability/Nachweisbarkeit (Verantwortliche müssen die Einhaltung belegen können) und beide können extraterritorial wirken (US-Unternehmen müssen sich an DSGVO halten, ebenso an AI Act, wenn EU-Bürger betroffen sind). Insofern sind Datenschutz- und KI-Compliance-Teams gut beraten, eng zusammenzuarbeiten. Schon bei der Entwicklung sollten Privacy by Design und AI Ethics by Design Hand in Hand gehen.
Die EU hat erkannt, dass es Abstimmungsbedarf gibt: In der finalen AI-Act-Begründung wurde klargestellt, dass Datenschutzrecht weiterhin gilt, aber Leitlinien und Sekundärregeln sollen helfen, Überschneidungen zu klären. Für Unternehmen heißt das vorerst: Doppel-Compliance sicherstellen. Beispielsweise: Wenn Sie eine DSGVO-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen müssen (etwa bei KI, die besondere Daten nutzt), prüfen Sie zugleich, ob auch eine Grundrechte-Folgenabschätzung nach AI Act nötig ist – diese kann teilweise auf der DSFA aufbauen, muss aber zusätzliche Risiken (z. B. Diskriminierung) abdecken. Nutzen Sie die Expertise Ihres Datenschutzbeauftragten und ergänzen Sie sie um KI-spezifisches Know-how. Wo Unsicherheiten bestehen, warten Sie nicht ab, sondern holen Sie rechtliche Beratung oder wenden Sie sich an die zuständigen Behörden (in Österreich etwa die Datenschutzbehörde für DSGVO-Fragen und demnächst KI-Aufsichtsbehörden für AI-Act-Fragen).
Herausforderungen bei der Umsetzung in KMU und IT-Unternehmen
Die praktische Implementierung des AI Act bringt – gerade für kleine und mittlere Unternehmen (KMU) sowie IT-Firmen – einige Hürden und offene Fragen mit sich. Hier die größten Herausforderungen und Tipps, wie man ihnen begegnen kann:
1. Technische Umsetzung
Unternehmen müssen ihre KI-Systeme technisch nachrüsten, um die neuen Anforderungen zu erfüllen. Beispielsweise sind Logging-Funktionen einzubauen, die vielleicht bisher nicht vorgesehen waren. Daten müssen ggf. neu kuratiert oder annotiert werden, um die geforderte Qualität und Dokumentation zu gewährleisten. Auch Sicherheitsmaßnahmen müssen auf KI-Software ausgedehnt werden – etwa Penetrationstests, um Manipulationen vorzubeugen, oder regelmäßige Genauigkeitsprüfungen des Modells. Für KMU ohne großes Entwicklerteam kann es schwierig sein, all dies selbst zu realisieren. Hier hilft es, Standards und bestehende Tools zu nutzen: Viele Cloud-KI-Anbieter (Microsoft, Google, OpenAI etc.) werden vermutlich Compliance-Features bereitstellen (z. B. Logging-APIs). Halten Sie Ausschau nach AI Act konformen Diensten – diese können Ihnen viel Aufwand abnehmen.
2. Personelle und organisatorische Ressourcen
Eine der ersten Pflichten (ab Feb 2025) ist die Schulung des Personals auf KI-Kompetenz. Für KMU bedeutet das, Mitarbeiter aller relevanten Bereiche zumindest grundlegend im KI-Thema fortzubilden – von Entwicklern über Projektmanager bis zu den Anwendern. Das erfordert Zeit und didaktische Ressourcen. Zudem braucht es womöglich neue Rollen im Unternehmen: z. B. einen KI-Verantwortlichen oder ein internes AI Governance Board, das die Umsetzung steuert. Kleine Firmen haben selten eigene Juristen oder Compliance-Manager – sie müssen sich externes Know-how holen oder Mitarbeiter entsprechend weiterbilden. Hier kann man auf Angebote wie WIFI-Kurse (KI-Führerschein) oder WKO-Seminare zurückgreifen. Auch unser Webinar bietet einen Einstieg, und wir stehen für Beratungen bereit, um mit Ihnen einen KI-Compliance-Fahrplan zu entwickeln. Wichtig ist, dass die Geschäftsführung das Thema zur Chefsache macht und eine klare interne Verantwortlichkeit definiert.
3. Governance und Prozesse
Die Einführung des AI Act ist nicht nur ein IT-Projekt, sondern ein Organisationsprojekt. Man sollte interdisziplinäre Teams bilden (IT, Legal, HR, Datenschutz, Security), um alle Aspekte abzudecken – ähnlich wie man es bei der DSGVO-Implementierung getan hat. Neue Prozesse müssen geschaffen werden, z. B. Prozess zur Meldung von KI-Vorfällen (wer informiert den Anbieter/Behörde, wenn ein schwerer Vorfall passiert?), Prozess zur regelmäßigen Überprüfung der KI-Ausgaben (Stichwort Bias Monitoring), Änderungsmanagement, falls das KI-System Updates erfährt (Änderungen könnten neue Konformitätsbewertung auslösen). Für KMU klingt das überwältigend. Ein Ansatz ist, sich an bestehenden Managementsystemen zu orientieren (ISO 42001).
4. Kosten und Aufwand
Neue Compliance-Themen bringen Kosten mit sich – für Schulungen, ggf. neue Mitarbeiter oder Berater, technische Anpassungen und Zertifizierungen. Gerade KMU könnten hier finanziell an Grenzen stoßen. Der AI Act versucht, dem entgegenzuwirken: So sollen Konformitätsprüfungsgebühren proportional zur Unternehmensgröße sein, und es wird evaluiert, wie man Kosten weiter senken kann. Österreich wird bis August 2026 mindestens eine KI-Sandbox einrichten – KMU haben prioritären und kostenlosen Zugang dazu, und die Verfahren sollen einfach sein. Wer also z. B. ein neuartiges KI-Produkt entwickeln will, kann in der Sandbox unter Aufsicht experimentieren, ohne gleich Bußgelder zu riskieren, falls etwas noch nicht perfekt compliant ist. Außerdem werden Standardisierungsorganisationen (wie Austrian Standards) KMU einbinden, etwa im AI Advisory Forum, um ihre Perspektive zu berücksichtigen. All dies mildert die Kosten – ersetzt aber nicht die Notwendigkeit, intern Ressourcen bereitzustellen. Unser Tipp: Frühzeitig planen und ggf. Förderungen prüfen.
5. Unklare Details und Anpassungsbedarf
Noch sind manche Punkte im Fluss. Die Umsetzung (Enforcement) des AI Act hängt von neuen Behörden ab – in der EU wird ein AI Office aufgebaut und in jedem Mitgliedstaat Marktüberwachungsbehörden bestimmt. In Österreich muss z. B. festgelegt werden, welche Behörde KI-Verstöße ahnden wird. Solange das unklar ist, besteht etwas Rechtsunsicherheit. Auch müssen einige Durchführungsverordnungen erst erlassen werden, und harmonisierte Standards (für technische Anforderungen) werden entwickelt. Es ist also möglich, dass in den nächsten 1–2 Jahren Konkretisierungen kommen. Unternehmen sollten sich darauf einstellen, Regelupdates zu verfolgen. Dieses sich bewegende Ziel ist eine Herausforderung, aber auch hier gilt: informiert bleiben (z. B. Newsletter der KI-Servicestelle abonnieren, Branchennews verfolgen). Wir unterstützen unsere Kunden laufend dabei, Compliance-Änderungen in ihre Prozesse einzuarbeiten – sprechen Sie uns gerne an, wenn Sie einen Watchdog für KI-Regularien brauchen.
Compliance mit dem EU AI Act als Wettbewerbsvorteil
Trotz all dieser Herausforderungen sollte man die Chancen nicht vergessen: Wer früh compliant ist, kann das als Wettbewerbsvorteil nutzen. Ein zertifiziert vertrauenswürdiges KI-Produkt „Made in Austria“ könnte international punkten, da die EU-Standards vermutlich global ausstrahlen. Zudem fördert die Auseinandersetzung mit Risiken die Qualität der eigenen KI – was wiederum zu besseren Produkten und zufriedeneren Kunden führt.
Sanktionen bei Verstößen gegen den AI Act
Wie bei der DSGVO setzt die EU auch beim AI Act auf abschreckend hohe Geldbußen für Nichteinhaltung, um die Verordnung durchzusetzen. Die Mitgliedstaaten – in Österreich also die zuständige KI-Aufsichtsbehörde – müssen „wirksame, verhältnismäßige und abschreckende“ Sanktionen verhängen können. Im AI Act selbst sind Bußgeldhöchstbeträge vorgegeben:
Bis zu 35 Millionen € oder 7 % des weltweiten Vorjahres-Umsatzes (je nachdem, welcher Wert höher ist) für schwerste Verstöße, insbesondere den Einsatz verbotener KI-Praktiken oder Verstöße gegen die Datenanforderungen (z. B. grob mangelhafte Datensätze bei Hochrisiko-KI).
Bis zu 15 Millionen € oder 3 % des weltweiten Jahresumsatzes bei Verstößen gegen andere Anforderungen oder Pflichten aus der Verordnung. Darunter fallen z. B. Verletzungen der Transparenzpflichten, Nichterfüllung der Auflagen für Hochrisiko-Systeme, oder Missachtung der neuen Regeln zu Grundmodelle (GPAI).
Bis zu 7,5 Millionen € oder 1,5 % des weltweiten Umsatzes für falsche oder irreführende Auskünfte gegenüber Aufsichtsbehörden oder benannten Stellen. Diese Stufe zielt auf die Kooperation mit den Behörden – wer z. B. in einer Anhörung falsche technische Doku vorlegt oder Informationen verweigert, kann sanktioniert werden.
Besonderheit für KMUs
Für KMU gelten die Prozentgrenzen umgekehrt – d.h. bei ihnen ist der niedrigere der beiden Beträge der Höchstwert. Das mildert den absoluten Betrag (z. B. 7 % von einem kleinen Umsatz ergibt weniger als 35 Mio €). Für Großunternehmen indes können 7 % des globalen Umsatzes enorme Summen bedeuten – im Fall eines Tech-Giganten wären theoretisch Bußgelder im Milliardenbereich möglich. Zum Vergleich: Die DSGVO sieht max. 4 % vom Umsatz vor – der AI Act geht hier also noch darüber hinaus für die gravierendsten Verstöße.
Sonstige Sanktionen des EU AI Acts
Die Behörde kann z. B. die Nutzung oder das Inverkehrbringen eines KI-Systems untersagen, Produkte zurückrufen lassen oder Auflagen erteilen. Zudem wird auf EU-Ebene ein AI Office und Board etabliert, das die einheitliche Durchsetzung koordiniert. Das heißt, ähnlich wie beim Datenschutz der EDPB, wird es beim AI Act eine europäische Abstimmung geben, um z. B. bei Konzernen koordiniert vorzugehen.
Wichtig: Auch EU-Organe und Behörden selbst unterliegen dem AI Act und möglichen Sanktionen – hier kann der Europäische Datenschutzbeauftragte Bußgelder verhängen, damit EU-Institutionen mit gutem Beispiel vorangehen.
Für Unternehmen heißt das: Verstöße lohnen sich nicht. Wer versuchen sollte, die Regeln zu umgehen oder zu ignorieren, riskiert nicht nur hohe Strafzahlungen, sondern auch Reputationsschäden und Rechtsunsicherheit (etwa wenn ein Konkurrent klagt oder ein Kunde einen Vorfall publik macht). Positiv formuliert: Compliance zahlt sich aus, denn sie schützt vor diesen Risiken.
Weitere Aspekte des EU AI Acts
Betroffene Personen (Bürger, Kunden, Wettbewerber) haben das Recht, bei Verstößen Beschwerde bei der nationalen Behörde einzulegen. Das setzt behördliche Prüfverfahren in Gang – ähnlich wie man es von Datenschutz-Aufsichtsbehörden kennt. Zudem ist eine EU-KI-Haftungsrichtlinie in Vorbereitung, die es Geschädigten erleichtern soll, bei Schäden durch KI-Systeme Schadenersatz einzufordern. Diese sieht z. B. vor, dass Gerichte einen Beweisersuch an Unternehmen stellen können, bestimmte Informationen über Hochrisiko-KI offenzulegen, wenn der Verdacht auf Schaden besteht. Ferner wird die Produkthaftungsrichtlinie überarbeitet, um klarzustellen, dass auch KI-Systeme als Produkte gelten und bei Fehlern zu Haftung führen. Alles in allem baut die EU hier ein engmaschiges Netz an Anreizen auf, KI-Systeme sicher und rechtmäßig zu gestalten.
Unser Rat: Besser proaktiv in Compliance investieren als später teuer für Verstöße zu zahlen. Nutzen Sie unsere Beratung und Tools, um frühzeitig Lücken zu schließen – z. B. mittels AI Act Quick-Check (wir prüfen Ihr KI-System auf Schwachstellen) oder durch ISMS-Integration, damit KI-Compliance Teil Ihrer etablierten Prozesse wird. So schlafen Sie ruhiger und können sich auf Ihr Kerngeschäft konzentrieren.
Unterstützungsangebote: Webinar, Beratung und Integration ins ISMS
Die Umsetzung des EU AI Act muss kein isoliertes Mammutprojekt sein – es gibt zahlreiche Unterstützungsangebote, die Sie in Anspruch nehmen können, um den Prozess effizient und mit Expertise zu gestalten. Gerade wir bei iso-27001.at haben uns darauf spezialisiert, Unternehmen auf diesem Weg zu begleiten. Unsere Angebote richten sich gezielt an österreichische IT-Dienstleister, Softwareanbieter und KI-Entwickler:
Kostenloses Webinar
Auf Wunsch geben wir in unserem regelmäßig stattfindenden Webinar einen praxisnahen Überblick über die Pflichten nach dem AI Act, speziell zugeschnitten auf KMU und IT-Unternehmen in Österreich. Sie erfahren aktuelle Fristen, To-Dos und erhalten Tipps aus erster Hand. Melden Sie sich gleich an, um einen der begrenzten Plätze zu sichern – bequem online von Ihrem Schreibtisch aus.
Beratung und AI-Act-Readiness-Check
Wir bieten individuelle Consulting-Leistungen, um Ihr Unternehmen auf AI-Act-Compliance vorzubereiten. Dazu gehören Workshops mit Ihren Teams, in denen wir gemeinsam Ihre eingesetzten KI-Systeme durchgehen und die Risikoeinstufung vornehmen. Anschließend erstellen wir mit Ihnen eine Maßnahmen-Roadmap: Welche Lücken gilt es zu schließen? Welche Dokumente müssen erstellt werden? Wie organisieren wir Schulungen? Dieser AI-Act-Readiness-Check liefert Ihnen eine klare Checkliste. Auf Wunsch unterstützen wir auch bei der Umsetzung – sei es beim Erstellen der technischen Dokumentation, Einführen eines Risk-Managements oder der Kommunikation mit Prüforganen.
Integration in Ihr ISMS (ISO 27001) oder Aufbau eines KI-MS nach ISO 42001
Falls Sie bereits über ein ISO 27001-Informationssicherheitsmanagement verfügen, helfen wir, die KI-spezifischen Kontrollen dort einzubetten. Wir schulen Ihr ISMS-Team zu AI-Act-Themen und erweitern z. B. Ihr Risiko-Register um KI-Risiken, passen Sicherheitsrichtlinien an und implementieren KI-spezifische Prozesse (Incident Response für KI, Änderungsmanagement bei Modell-Updates etc.). Dadurch schlagen Sie zwei Fliegen mit einer Klappe: Ihre InfoSec- und KI-Compliance greifen ineinander. Wenn Sie noch kein Managementsystem haben, aber dies als Chance sehen, systematisch KI-Governance aufzubauen, beraten wir Sie zu ISO 42001 (AI Management System). Dieser neue Standard gibt genau den Rahmen vor, den der AI Act verlangt – von Rechenschaft bis Risikokultur. Wir können Sie bis zur Zertifizierungsreife begleiten, sodass Sie sich vielleicht bald als eines der ersten Unternehmen in Österreich mit einem AIMS-Zertifikat schmücken können.
Vorlagen, Tools und Partnernetzwerk
Profitieren Sie von unseren Best-Practice-Vorlagen – etwa Muster für eine KI-Richtlinie oder Checklisten für Betreiberpflichten. Wir entwickeln zudem einfache Toolboxen (z. B. Excel-Templates für Risikoanalysen, Log-Überwachungstools), die den Einstieg erleichtern. Und wir arbeiten mit einem Netzwerk an Spezialisten zusammen – von Datenschutz-Juristen über zertifizierte Datenethik-Experten bis zu IT-Security-Firmen – um bei Bedarf gezielt Experten hinzuzuziehen. So erhalten Sie alles aus einer Hand, was Sie für eine fundierte AI-Act-Umsetzung brauchen.
Unser Ziel ist, dass Sie den EU AI Act nicht als Bürde, sondern als Wettbewerbsvorteil betrachten. Zeigen Sie Ihren Kunden, dass Sie vertrauenswürdige KI anbieten! Nutzen Sie die Übergangszeit, um intern Know-how aufzubauen – und melden Sie sich gerne bei uns für ein unverbindliches Erstgespräch oder eben direkt fürs Webinar. Gemeinsam machen wir Ihr Unternehmen fit für die KI-Zukunft in Österreich.
Zum Abschluss haben wir für Sie noch häufige Fragen rund um den EU AI Act zusammengestellt.
FAQ – Häufige Fragen zum EU AI Act
Der EU AI Act ist bereits am 1. August 2024 in Kraft getreten, aber seine Regeln greifen gestaffelt. Ab 2. Februar 2025 gelten die ersten Bestimmungen (Verbot bestimmter KI-Praktiken und Schulungspflicht für Personal). Die meisten Vorgaben – insbesondere für Hochrisiko-KI – werden 24 Monate nach Inkrafttreten, also ab 2. August 2026, anwendbar. Bestimmte Teile (etwa für einige Hochrisiko-Systeme in speziellen Sektoren) sogar erst 36 Monate danach, ab August 2027. Unternehmen sollten jedoch sofort beginnen, ihre KI-Anwendungen zu analysieren und Compliance-Maßnahmen einzuplanen, um die Übergangsfristen optimal zu nutzen.
Verboten sind KI-Systeme mit inakzeptablem Risiko. Dazu zählen vor allem: Social Scoring durch Behörden oder Unternehmen (das bewerten von Menschen anhand ihres Verhaltens oder sozioökonomischen Status), Echtzeit-Überwachung im öffentlichen Raum mittels biometrischer Erkennung (Gesichtserkennung), außer in sehr engen Ausnahmen für die Strafverfolgung, sowie KI-Systeme, die Menschen aufgrund sensibler Merkmale wie Religion, politischer Meinung, Gesundheit, sexueller Orientierung oder Ethnie kategorisieren. Ebenfalls untersagt ist manipulative KI, die Menschen unbewusst in schädlicher Weise beeinflusst (z. B. Spielsuchtförderung bei Kindern). Kurz: Alles, was den Grundrechten und der Menschenwürde krass zuwiderläuft, ist im AI Act nicht erlaubt.
„Hochrisiko“-KI-Systeme sind solche, die in sensiblen Bereichen eingesetzt werden und dort erhebliche Auswirkungen haben können. Der AI Act definiert in Anhang III acht große Kategorien, etwa: Biometrische Identifizierung, Bildungs- und Prüfungswesen (z. B. Scoring von Tests), Beschäftigung/Personalverwaltung (z. B. Bewerberauswahl), Zugang zu wesentlichen öffentlichen Dienstleistungen (z. B. Kreditvergabe, Sozialhilfe), Strafverfolgung und Justiz (z. B. Beweisanalyse-Tools, Urteilsfindungshilfen) und kritische Infrastrukturen. Wenn Ihr KI-System in einem dieser Bereiche eingesetzt wird, ist es sehr wahrscheinlich hochriskant. Einige Anwendungen gelten ipso facto als hochriskant – z. B. KI zur Kreditwürdigkeitsprüfung oder zur medizinischen Diagnose. Eine Daumenregel: Beeinflusst Ihre KI Entscheidung über Menschen, die deren Leben wesentlich berühren (Job, Kredit, Gesundheit, Sicherheit)? Dann fällt sie meist unter Hochrisiko. Im Zweifel lohnt ein Blick in Anhang III der Verordnung oder eine Beratung durch Experten, um die Einstufung korrekt vorzunehmen.
In diesem Fall agieren Sie als Betreiber (Nutzer) der KI. Ihre Kernpflicht ist, das System regelkonform zu verwenden. Dazu gehört: Befolgen Sie die Gebrauchsanweisung des Anbieters und verwenden Sie das System nur für den vorgesehenen Zweck. Sorgen Sie dafür, dass Mitarbeiter, die mit der KI arbeiten, ausreichend geschult sind (Stichwort KI-Kompetenzpflicht, Art. 4). Bei Hochrisiko-KI müssen Sie zusätzlich Überwachungsmaßnahmen treffen – ernennen Sie z. B. verantwortliche Personen für die menschliche Aufsicht über die KI.
Verstöße können mit empfindlichen Geldbußen geahndet werden – ähnlich wie bei der DSGVO, teils sogar höher. Je nach Schwere drohen Strafen bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes (für verbotene Handlungen oder krasse Datenverstöße). Für „normale“ Verstöße gegen Auflagen liegen die Maximalstrafen bei 15 Mio. € oder 3 % Umsatz, und für geringere Informationsverstöße bei 7,5 Mio. € bzw. 1,5 %. Bei KMU gelten die niedrigeren Obergrenzen. Neben Bußgeldern können Behörden auch Nachbesserungen anordnen oder den Betrieb eines KI-Systems untersagen, wenn akute Gefahr besteht. Außerdem müssen Sie Reputationsverluste bedenken – ein bekannt gewordener Verstoß könnte Vertrauen von Kunden und Partnern kosten. Es ist daher dringend ratsam, Compliance ernst zu nehmen. Die Behörden werden ab 2026 verstärkt kontrollieren – bis dahin sollte Ihr Unternehmen vorbereitet sein, um keine negativen Beispiele zu liefern.
Haben Sie weitere Fragen? Kontaktieren Sie uns oder nutzen Sie die Ressourcen der KI-Servicestelle der RTR und der WKO. Dieser Leitfaden soll lebendig bleiben – Änderungen im Rechtsrahmen werden wir laufend einarbeiten, damit Sie hier eine verlässliche Anlaufstelle zum Thema „EU AI Act“ haben. Bleiben Sie informiert und gestalten Sie den KI-Einsatz in Ihrem Unternehmen sicher und erfolgreich!