Am 2. August 2026 wird der EU AI Act in wesentlichen Teilen vollständig anwendbar. Dann müssen Unternehmen, die KI-Systeme entwickeln oder einsetzen, eine Reihe konkreter Pflichten erfüllen: Risikoklassifizierung, technische Dokumentation, Konformitätsbewertung, Transparenzkennzeichnung, KI-Kompetenznachweis. Wer dagegen verstößt, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Der Digital Omnibus der EU-Kommission könnte bestimmte Hochrisiko-Fristen auf Dezember 2027 verschieben – doch das ist noch nicht beschlossen, und wesentliche Pflichten gelten bereits jetzt. Dieser Beitrag zeigt konkret, was auf österreichische Unternehmen zukommt, wo die RTR-KI-Servicestelle als Aufsichtsbehörde ins Spiel kommt, und warum ein IT-Sachverständiger bei der Umsetzung den Unterschied zwischen Compliance und Bußgeldbescheid machen kann.
Der AI Act im Zeitraffer: Was bereits gilt und was ab August 2026 kommt
Der EU AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten. Seitdem entfaltet er seine Wirkung in Stufen. Die wichtigsten Stichtage für österreichische Unternehmen:
Seit 2. Februar 2025 gilt die KI-Kompetenzpflicht nach Art. 4 AI Act. Jedes Unternehmen, das KI-Systeme einsetzt – unabhängig von Risikoklasse und Branche –, muss sicherstellen, dass die Mitarbeiter, die mit KI arbeiten, über ausreichende Kompetenzen verfügen. Zusätzlich sind bestimmte KI-Praktiken mit inakzeptablem Risiko verboten: Social Scoring, manipulative Systeme, biometrische Echtzeit-Überwachung im öffentlichen Raum (mit eng begrenzten Ausnahmen für Strafverfolgung).
Seit 2. August 2025 gelten die Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) – also für die Hersteller von Foundation Models wie große Sprachmodelle. Für die meisten österreichischen KMU relevant: Die Strafbestimmungen für verbotene KI-Praktiken sind ab diesem Zeitpunkt durchsetzbar.
Ab 2. August 2026 werden grundsätzlich alle verbleibenden Verpflichtungen anwendbar. Das betrifft insbesondere die Anforderungen an Hochrisiko-KI-Systeme nach Anhang III, die Transparenzpflichten für KI-Systeme mit begrenztem Risiko, die Pflicht zur Einrichtung von KI-Reallaboren (Sandboxes) durch die Mitgliedstaaten und die vollständigen Marktüberwachungs- und Sanktionsbefugnisse der nationalen Aufsichtsbehörden.
Wichtiger Hinweis zum Digital Omnibus: Im November 2025 hat die EU-Kommission das sogenannte Digital-Omnibus-Paket vorgelegt, das unter anderem eine Verschiebung der Hochrisiko-Fristen vorsieht. Für Hochrisiko-KI-Systeme nach Anhang III soll der Stichtag auf spätestens 2. Dezember 2027 verschoben werden, für produktintegrierte Hochrisiko-Systeme nach Anhang I auf 2. August 2028. Der Grund: Die harmonisierten technischen Standards sind noch nicht fertig. Das EU-Parlament hat im Februar 2026 in seinem Berichtsentwurf feste Stichtage (Dezember 2027 bzw. August 2028) vorgeschlagen, anstatt die Wirksamkeit an die Verfügbarkeit von Standards zu koppeln. Das Gesetzgebungsverfahren läuft noch, ein Beschluss vor August 2026 ist unsicher. Die klare Empfehlung lautet daher: Weiterhin mit August 2026 als Zieldatum planen. Wer auf eine Verschiebung wartet und falsch liegt, riskiert unmittelbare Sanktionen.
Was Unternehmen konkret nachweisen müssen: Die fünf Kernpflichten
1. KI-Inventar und Risikoklassifizierung
Bevor ein Unternehmen irgendetwas dokumentieren oder bewerten kann, muss es wissen, welche KI-Systeme es überhaupt einsetzt. Das klingt trivial, ist es in der Praxis aber nicht. Viele Unternehmen nutzen KI-Funktionen, ohne sich dessen bewusst zu sein: ein CRM-System mit KI-gestützter Lead-Bewertung, ein Buchhaltungstool mit automatischer Rechnungsklassifizierung, ein Chatbot im Kundensupport, ein KI-basiertes Bewerbermanagement.
Der erste Schritt ist daher eine vollständige Bestandsaufnahme aller KI-Systeme im Unternehmen – das sogenannte KI-Inventar. Für jedes System muss anschließend die Risikoklassifizierung nach dem risikobasierten Ansatz des AI Act erfolgen:
Inakzeptables Risiko (verboten): Social Scoring, manipulative Systeme, biometrische Kategorisierung nach sensiblen Merkmalen, Emotionserkennung am Arbeitsplatz (mit Ausnahmen). Diese Systeme dürfen nicht betrieben werden.
Hohes Risiko (Anhang III): Der AI Act definiert in Anhang III acht Bereiche, in denen KI-Systeme als hochriskant gelten: Biometrie und biometrische Kategorisierung, kritische Infrastruktur, Bildung und Berufsausbildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen Dienstleistungen (Kreditvergabe, Versicherung), Strafverfolgung, Migration und Grenzkontrolle, Rechtspflege und demokratische Prozesse. Für diese Systeme gelten die strengsten Anforderungen.
Begrenztes Risiko: KI-Systeme, die mit Personen interagieren (Chatbots), Emotionen erkennen, synthetische Inhalte erzeugen (Deepfakes, KI-generierte Texte, Bilder, Audio, Video). Hier gelten Transparenz- und Kennzeichnungspflichten.
Minimales Risiko: Alle übrigen KI-Systeme. Keine spezifischen Pflichten nach dem AI Act, aber die allgemeine KI-Kompetenzpflicht gilt auch hier.
Die Risikoklassifizierung ist nach dem Prinzip der Selbstklassifizierung durchzuführen. Das Unternehmen muss selbst beurteilen, in welche Kategorie seine KI-Systeme fallen. Genau hier liegt das erste große Risiko: Eine falsche Einstufung – etwa ein Hochrisiko-System als „begrenztes Risiko“ einzuordnen – kann im Prüffall zu empfindlichen Sanktionen führen.
2. Technische Dokumentation
Für Hochrisiko-KI-Systeme verlangt Art. 11 AI Act eine umfassende technische Dokumentation, die vor dem Inverkehrbringen oder der Inbetriebnahme erstellt sein muss. Anhang IV konkretisiert, was diese mindestens enthalten muss:
Allgemeine Beschreibung des KI-Systems (Zweckbestimmung, Funktionalitäten, Einsatzbereich). Detaillierte Beschreibung der Komponenten und des Entwicklungsprozesses (Datenverarbeitungsmethoden, Trainings-, Validierungs- und Testdaten, Modellarchitektur). Informationen über Überwachung, Funktionsweise und Kontrolle des Systems. Beschreibung der Leistungsfähigkeit und Grenzen. Beschreibung des Risikomanagementsystems. Beschreibung der Maßnahmen zur menschlichen Aufsicht.
Zusätzlich verlangt Art. 17 ein dokumentiertes Qualitätsmanagementsystem (QMS), das die Einhaltung der Verordnung sicherstellt. Und Art. 18 schreibt vor, dass diese Dokumentation zehn Jahre lang aufbewahrt werden muss.
Für die meisten österreichischen KMU stellt sich die Frage weniger beim Entwickeln eigener Hochrisiko-KI – das tun die wenigsten – als beim Einsatz zugekaufter Systeme. Wer als Betreiber ein Hochrisiko-KI-System eines Drittanbieters nutzt, muss die vom Anbieter bereitgestellte Dokumentation prüfen, die Betriebsanleitung befolgen, die eigenen Nutzung dokumentieren und bei Problemen reagieren (System abschalten, Anbieter und Behörde melden).
3. Konformitätsbewertung und CE-Kennzeichnung
Anbieter von Hochrisiko-KI-Systemen müssen vor dem Inverkehrbringen eine Konformitätsbewertung durchführen. Je nach Systemtyp geschieht das als interne Selbstbewertung (für die meisten Anhang-III-Systeme) oder durch eine externe Prüfstelle (notifizierte Stelle), insbesondere bei biometrischen Systemen.
Nach erfolgreicher Bewertung muss der Anbieter eine EU-Konformitätserklärung ausstellen und das System mit der CE-Kennzeichnung versehen. Ohne CE-Konformität darf das KI-System in der EU weder in Verkehr gebracht noch betrieben werden.
Zusätzlich müssen Hochrisiko-KI-Systeme in der EU-Datenbank registriert werden. Diese Registrierung obliegt dem Anbieter, ist aber auch für Betreiber relevant, da sie dort die Konformitätsinformationen einsehen können.
4. Transparenz- und Kennzeichnungspflichten
Ab August 2026 gelten die Transparenzpflichten nach Art. 50 AI Act. In der Praxis bedeutet das:
Nutzer müssen erkennen können, wenn sie mit einem KI-System interagieren. Das betrifft Chatbots, automatisierte Telefon-Systeme und vergleichbare Anwendungen. KI-generierte Inhalte (synthetische Texte, Bilder, Audio, Video) müssen maschinenlesbar als KI-erzeugt gekennzeichnet werden – etwa durch Wasserzeichen oder Metadaten. Deepfakes – also KI-generierte oder -manipulierte Bild-, Audio- oder Videoinhalte, die realen Personen, Orten oder Ereignissen ähneln – müssen offengelegt werden.
Für viele Unternehmen betrifft das bereits alltägliche Anwendungen: den KI-gestützten Kundenchatbot auf der Website, KI-generierte Marketingtexte, automatisierte Antwort-E-Mails.
5. KI-Kompetenznachweis
Art. 4 AI Act gilt bereits seit Februar 2025 und verpflichtet Anbieter und Betreiber von KI-Systemen, eine ausreichende KI-Kompetenz ihrer Mitarbeiter sicherzustellen. Die Verordnung verlangt keine formale Zertifizierung, aber einen nachweisbaren Kompetenzaufbau.
In der Praxis bedeutet das: Schulungen durchführen und dokumentieren (Datum, Inhalt, Dauer, Teilnehmer). Interne Richtlinien zum Umgang mit KI-Tools einführen. Den Kompetenzaufbau regelmäßig aktualisieren, da sich KI-Technologien und regulatorische Anforderungen weiterentwickeln.
Die RTR-KI-Servicestelle empfiehlt, bestehende Schulungsangebote zu nutzen – etwa den WKO KI-Leitfaden, die WIFI-KI-Führerschein-Programme oder die Schulungstools der KI-Anbieter selbst. Austrian Standards bietet zudem eine Zertifizierung zum „KI-Manager“ an, die als Kompetenznachweis im Sinne des Art. 4 dienen kann.
Die Sanktionen: Kein Papiertiger
Der AI Act sieht ein dreistufiges Sanktionssystem vor, das in seiner Spitze sogar über die DSGVO hinausgeht:
Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei Einsatz verbotener KI-Praktiken. Bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes bei Verstößen gegen die Hochrisiko-Pflichten. Bis zu 7,5 Millionen Euro oder 1,5 Prozent des Umsatzes bei falschen, unvollständigen oder irreführenden Angaben gegenüber Behörden.
Für KMU gilt eine wichtige Einschränkung: Es wird jeweils der niedrigere der beiden Beträge (Prozentsatz oder Fixbetrag) als Obergrenze herangezogen, und die wirtschaftliche Leistungsfähigkeit muss berücksichtigt werden.
Neben Geldbußen können Behörden Nachbesserungen anordnen oder den Betrieb eines KI-Systems untersagen. Die Marktüberwachungs- und Sanktionsbefugnisse werden ab August 2026 vollständig durchsetzbar.
Österreichs Aufsichtsstruktur: Die RTR-KI-Servicestelle
Jeder EU-Mitgliedstaat muss eine nationale Behörde benennen, die den AI Act überwacht und durchsetzt. In Österreich wurde diese Rolle der KI-Servicestelle bei der Rundfunk und Telekom Regulierungs-GmbH (RTR) übertragen, die bereits Anfang 2024 eingerichtet wurde. Österreich gehört damit neben Spanien und den Niederlanden zu den ersten Ländern mit einer operativen KI-Aufsichtsstelle.
Die KI-Servicestelle fungiert derzeit als Informationshub und Anlaufstelle für Unternehmen bei Fragen zur Umsetzung des AI Act. Sie stellt umfangreiche Informationsangebote bereit, betreibt einen eigenen AI-Act-Chatbot und ist per E-Mail (ki@rtr.at) und telefonisch erreichbar. In einem weiteren Ausbauschritt soll sie in eine vollwertige KI-Behörde mit Durchsetzungsbefugnissen übergehen.
Zusätzlich wurde ein elfköpfiger Beirat für Künstliche Intelligenz (AI Advisory Board) eingerichtet, der die Politik in fachlichen, gesellschaftlichen und ethischen KI-Fragen berät und an der Überarbeitung der österreichischen KI-Strategie mitwirkt.
Für Unternehmen bedeutet das konkret: Die RTR ist die Stelle, die im Ernstfall Kontrollen durchführt, Beschwerden entgegennimmt und Sanktionen verhängt. Wer seine Compliance nachweisen muss, tut das gegenüber der RTR-KI-Servicestelle.
Wo der IT-Sachverständige ins Spiel kommt
Die bisherigen Abschnitte zeigen: Der AI Act stellt Anforderungen, die zugleich technisch und rechtlich sind. Die Risikoklassifizierung erfordert ein Verständnis der KI-Technologie. Die technische Dokumentation verlangt präzise Beschreibungen von Systemarchitektur, Datenflüssen und Modellverhalten. Die Konformitätsbewertung setzt voraus, dass man beurteilen kann, ob ein System die Anforderungen tatsächlich erfüllt. Das ist keine juristische Aufgabe – und es ist auch keine Aufgabe, die ein Compliance-Beauftragter ohne technischen Hintergrund allein bewältigen kann.
Genau hier liegt das Tätigkeitsfeld des IT-Sachverständigen. Seine Rolle entfaltet sich in mehreren Szenarien:
Vor dem Stichtag: KI-Audit und Compliance-Vorbereitung
Ein IT-Sachverständiger kann als externer Prüfer die KI-Readiness eines Unternehmens bewerten. Das umfasst die Durchführung eines KI-Inventars (welche Systeme sind im Einsatz, welche Daten fließen wohin), die technische Risikoklassifizierung (ist dieses System tatsächlich Hochrisiko oder nicht?), die Bewertung der vorhandenen Dokumentation (ist die technische Dokumentation des Anbieters vollständig und nachvollziehbar?) und die Identifikation von Compliance-Lücken (wo fehlen Prozesse, Dokumentation, Schulungsnachweise?).
Dieses KI-Audit ist kein formales Konformitätsbewertungsverfahren im Sinne des AI Act, sondern eine freiwillige Bestandsaufnahme, die dem Unternehmen Klarheit über seinen Umsetzungsstand verschafft. Der Sachverständige erstellt einen dokumentierten Bericht, der bei einer späteren Behördenprüfung als Nachweis sorgfältiger Vorbereitung dienen kann.
Im Streitfall: Gutachten zu KI-Compliance
Wenn ein Unternehmen wegen eines mutmaßlichen AI-Act-Verstoßes in ein Verfahren gerät – sei es durch eine Beschwerde bei der RTR, ein Verwaltungsstrafverfahren oder eine zivilrechtliche Klage –, benötigt die entscheidende Stelle eine technische Beurteilung. War das KI-System korrekt klassifiziert? Entspricht die technische Dokumentation den Anforderungen des Anhang IV? Wurde die Konformitätsbewertung methodisch korrekt durchgeführt? Hat das System tatsächlich so funktioniert, wie dokumentiert?
Diese Fragen kann nur ein IT-Sachverständiger mit KI-Expertise beantworten. Das Gutachten bildet dann die Grundlage für die rechtliche Beurteilung durch die Behörde oder das Gericht.
An der Schnittstelle zum Datenschutz: DSGVO trifft AI Act
In der Praxis greifen AI Act und DSGVO bei den meisten KI-Anwendungen ineinander. Ein KI-System, das personenbezogene Daten verarbeitet – etwa im Recruiting, bei der Bonitätsprüfung oder in der Kundenkommunikation –, muss sowohl AI-Act-konform als auch DSGVO-konform sein. Art. 26 AI Act verpflichtet Betreiber von Hochrisiko-KI-Systemen ausdrücklich, eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen.
Ein IT-Sachverständiger mit Fachgebiet 68.60 (IT-Sicherheit, Datenschutz) kann beide Dimensionen in einem integrierten Gutachten abdecken: die technische Bewertung des KI-Systems nach AI Act und die datenschutzrechtliche Bewertung der Datenverarbeitung nach DSGVO.
Als Privatgutachter: Vor der Behörde einen Schritt voraus
Der IT-Sachverständige muss nicht auf eine Bestellung durch ein Gericht oder eine Behörde warten. Als Privatgutachter kann er direkt vom Unternehmen beauftragt werden – und das ist strategisch oft die bessere Variante:
Vor einer angekündigten Prüfung durch die RTR kann ein Privatgutachten den Compliance-Stand dokumentieren und Schwachstellen aufdecken, bevor die Behörde sie findet. Bei einer Beschwerde eines Betroffenen (etwa wegen einer KI-gestützten Kreditentscheidung) kann ein vorbereitetes Gutachten die Nachvollziehbarkeit der Entscheidung belegen. Im Versicherungsfall (wenn ein KI-System einen Schaden verursacht) dokumentiert das Gutachten, ob das Unternehmen die erforderliche Sorgfalt bei Auswahl, Betrieb und Überwachung des Systems eingehalten hat.
Checkliste: Was österreichische Unternehmen jetzt tun sollten
Unabhängig davon, ob die Hochrisiko-Fristen durch den Digital Omnibus verschoben werden oder nicht, gelten bereits jetzt wesentliche Pflichten. Und die Vorbereitung auf August 2026 erfordert Vorlauf. Die folgende Checkliste fasst die dringendsten Maßnahmen zusammen:
Sofort (bereits verpflichtend): KI-Kompetenz nach Art. 4 sicherstellen – Mitarbeiterschulungen durchführen und dokumentieren. Prüfen, ob verbotene KI-Praktiken im Einsatz sind, und diese sofort einstellen. Interne KI-Nutzungsrichtlinie einführen.
Bis Mitte 2026: Vollständiges KI-Inventar erstellen – welche KI-Systeme sind im Einsatz? Risikoklassifizierung für jedes System durchführen. Für Hochrisiko-Systeme: Technische Dokumentation des Anbieters prüfen und eigene Betreiberdokumentation aufbauen. Transparenzpflichten vorbereiten (Chatbot-Hinweise, Kennzeichnung KI-generierter Inhalte). DSFA für KI-Systeme mit personenbezogenen Daten durchführen oder aktualisieren.
Laufend: KI-Governance-Struktur etablieren – klare Zuständigkeiten für AI-Act-Compliance festlegen. Monitoring-Prozesse für KI-Systeme im Betrieb einrichten. Vorfallmeldeprozess definieren (Art. 73 AI Act verlangt die Meldung schwerwiegender Vorfälle). Schulungsnachweise und Dokumentation regelmäßig aktualisieren.
Optional, aber empfehlenswert: KI-Audit durch einen IT-Sachverständigen durchführen lassen. KI-Reallabor (Sandbox) der RTR nutzen – KMU haben prioritären und kostenlosen Zugang.
Fazit
Der EU AI Act ist keine ferne Zukunftsmusik. Wesentliche Pflichten gelten bereits, der nächste große Stichtag am 2. August 2026 rückt näher, und eine mögliche Verschiebung durch den Digital Omnibus betrifft nur die Hochrisiko-Fristen – nicht die Transparenzpflichten, nicht die KI-Kompetenzpflicht, nicht die verbotenen Praktiken und nicht die Sanktionsbefugnisse.
Die Herausforderung liegt dabei weniger im Gesetzestext als in der technischen Umsetzung. Risikoklassifizierung, technische Dokumentation, Konformitätsbewertung, DSFA-Integration – all das erfordert technisches Verständnis von KI-Systemen, Datenflüssen und Systemarchitekturen. Ein IT-Sachverständiger kann diese technische Brücke bauen: zwischen dem, was der AI Act verlangt, und dem, was im Unternehmen tatsächlich passiert.
Wer seine Compliance jetzt vorbereitet und dokumentiert, steht im Prüffall besser da als jemand, der auf Fristverlängerungen gehofft hat. Und wer sich dabei auf einen sachverständigen Blick von außen stützt, erspart sich im Ernstfall deutlich größeren Aufwand – und deutlich höhere Kosten.