EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
Österreich

EU AI Act Österreich 2026: Was KMU jetzt konkret tun müssen

Zuletzt aktualisiert: Mai 2026·12 min Lesezeit
TL;DR

Der EU AI Act gilt in Österreich direkt ohne nationales Umsetzungsgesetz. Die RTR (Rundfunk- und Telekom-Regulierungs-GmbH) wird voraussichtlich zentrale Marktaufsicht. Hochrisiko-Systeme müssen bis 2. August 2026 compliant sein. Dieser Leitfaden zeigt die fünf konkreten Schritte für österreichische KMU.

Der EU AI Act (Verordnung (EU) 2024/1689) ist seit dem 1. August 2024 in Kraft und gilt direkt in jedem EU-Mitgliedstaat — auch in Österreich, ohne dass ein nationales Umsetzungsgesetz nötig wäre. Was viele österreichische Unternehmen jedoch nicht wissen: einzelne Übergangsfristen sind bereits aktiv, und der grosse Stichtag rückt näher.

Gilt der EU AI Act direkt in Österreich?

Ja. Als EU-Verordnung gilt der AI Act unmittelbar in allen 27 Mitgliedstaaten — anders als eine Richtlinie braucht es kein österreichisches Umsetzungsgesetz. Was Österreich allerdings selbst regelt: welche Behörde als Marktaufsicht und notifizierende Stelle fungiert.

Die wichtigsten Daten für Österreich:

  • 2. Februar 2025 — Verbot manipulativer Praktiken (Art. 5) und KI-Literacy-Pflicht (Art. 4) sind bereits in Kraft.
  • 2. August 2025 — GPAI-Pflichten gelten für neue Modelle (z.B. ChatGPT, Copilot, Claude).
  • 2. August 2026 — Hauptdeadline für Hochrisiko-KI nach Annex III. Volle Bussgelder bis 35 Mio. EUR oder 7% Jahresumsatz.
  • 2. August 2027 — Annex-I-Systeme (Sicherheitskomponenten in regulierten Produkten).

RTR und WKO: Wer ist in Österreich zuständig?

RTR (Rundfunk- und Telekom-Regulierungs-GmbH): Voraussichtlich die zentrale Marktaufsichts-Behörde nach Art. 70 EU AI Act. Die RTR wurde gewählt wegen ihrer technischen Erfahrung mit digitalen Diensten (DSA-Aufsicht). Sie wird Audits durchführen, Bussgelder verhängen können und Beschwerden bearbeiten.

WKO (Wirtschaftskammer Österreich): Bietet bereits Ressourcen für Mitglieder — Webinare, Leitfäden, Checklisten. Keine Aufsichtsfunktion, aber wichtige Anlaufstelle für KMU.

DSB (Datenschutzbehörde): Behält ihre Zuständigkeit für DSGVO und österreichisches DSG. Kooperiert mit RTR bei Schnittmengen.

Andere Behörden je nach Sektor: FMA (Finanzmarktaufsicht) für KI in Banken/Versicherungen, BASG (Bundesamt für Sicherheit im Gesundheitswesen) für medizinische KI.

Hochrisiko-KI in Österreich: Konkrete Beispiele

Annex III des EU AI Act listet 8 Kategorien von Hochrisiko-KI. Beispiele aus österreichischer KMU-Praxis:

  • HR-Recruiting: Personio, HireVue, automatisches CV-Screening — Annex III Nr. 4
  • Kreditscoring: Banken-Risikoanalysetools, Bonitätsprüfungen — Annex III Nr. 5
  • Bildung: KI-gestützte Schul-Aufnahmesysteme, Prüfungs-Bewertung — Annex III Nr. 3
  • Kritische Infrastruktur: Energie-Lastprognosen, Wasserversorgung-Monitoring — Annex III Nr. 2
  • Versicherungs-Tarifierung: Risk-Scoring für Lebens- und Krankenversicherung — Annex III Nr. 5

Wichtig: Annex III Nr. 5 hat eine Ausnahme für Betrugserkennung — reines Fraud-Detection ist nicht Hochrisiko.

5 Schritte bis August 2026 für AT-Unternehmen

Schritt 1 — KI-Inventar erstellen: Erfasse alle KI-Systeme in deinem Unternehmen, inkl. SaaS-Tools mit eingebetteter KI (Copilot, HubSpot AI, Salesforce Einstein). Vergiss nicht versteckte KI in ERP/CRM-Software.

Schritt 2 — Risikoklassifikation: Ordne jedem System die Risikoklasse zu (Verboten / Hochrisiko / Begrenzt / Minimal). ai-risk-check.com macht das in 5 Minuten kostenlos.

Schritt 3 — Rolle definieren: Bist du Provider (selbst entwickelt) oder Deployer (eingekauft) oder Importer? Pflichten unterscheiden sich erheblich.

Schritt 4 — KI-Literacy umsetzen: Art. 4 ist seit Februar 2025 aktiv. Alle Mitarbeitenden mit KI-Berührung müssen ausreichende Kompetenz haben — dokumentiert. Eine 2-stündige Schulung mit Test reicht für die meisten Rollen.

Schritt 5 — Hochrisiko-Pflichten erfüllen: Falls du Hochrisiko-Systeme einsetzt: Konformitätserklärung anfordern (Art. 47), Pflichten nach Art. 26 umsetzen (menschliche Aufsicht, Monitoring, Vorfallmeldung).

Österreichisches DSG und EU AI Act

Wo überschneiden sich DSG und AI Act? Bei automatisierten Entscheidungen mit Personenbezug.

  • § 96 DSG entspricht weitgehend Art. 22 DSGVO — Recht auf Nicht-Unterworfen-Sein einer ausschliesslich automatisierten Entscheidung.
  • Art. 26 Abs. 11 EU AI Act ergänzt: Bei Hochrisiko-KI muss der Deployer betroffene Personen über die Nutzung informieren.
  • Synergie: Eine bestehende Datenschutz-Folgenabschätzung (DSFA nach Art. 35 DSGVO) erfüllt Teile der EU AI Act Pflichten — aber nicht die FRIA nach Art. 27.

Wenn du also bereits DSGVO-konform bist, hast du gute Vorarbeit. Aber EU AI Act geht in vielen Punkten darüber hinaus — z.B. technische Dokumentation nach Annex IV, Logging nach Art. 12, Post-Market-Monitoring.

Bussgelder in Österreich

Verstösse gegen den AI Act werden in Österreich von der RTR verhängt. Drei Stufen:

  • Verbotene Praktiken (Art. 5): Bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes
  • Hochrisiko-Compliance-Verstösse: Bis zu 15 Mio. EUR oder 3%
  • Falsche Informationen an Behörden: Bis zu 7,5 Mio. EUR oder 1%

Für KMU gilt: Bussgelder sind proportional — die niedrigere der beiden Zahlen wird angewendet (Art. 99 Abs. 6 EU AI Act).

Was du heute tun kannst

Drei sofort umsetzbare Schritte:

1. Klassifizieren: Mache den kostenlosen Check für deine wichtigsten KI-Systeme. 2. KI-Literacy: Plane eine 2-stündige Mitarbeiterschulung — die Pflicht gilt bereits. 3. Inventarisieren: Wenn nicht vorhanden — KI-Inventar in den nächsten 30 Tagen erstellen.

Häufig gestellte Fragen

Gilt der EU AI Act direkt für österreichische Unternehmen?+

Ja. Der EU AI Act ist eine Verordnung — sie gilt direkt ohne nationales Umsetzungsgesetz. Österreich regelt nur, welche Behörde Marktaufsicht ist (voraussichtlich RTR). Alle Pflichten aus dem Verordnungstext gelten unmittelbar.

Welche Behörde ist in Österreich zuständig?+

Voraussichtlich die RTR (Rundfunk- und Telekom-Regulierungs-GmbH) als zentrale Marktaufsicht. Die Datenschutzbehörde bleibt zuständig für DSGVO/DSG-Aspekte. Sektorale Behörden wie FMA und BASG haben Mitspracherechte für ihre Bereiche.

Was muss ein österreichisches KMU bis August 2026 erledigen?+

Fünf Kernschritte: (1) KI-Inventar erstellen, (2) Risikoklassifikation jedes Systems, (3) Rolle als Provider/Deployer klären, (4) KI-Literacy für Mitarbeitende umsetzen (gilt seit Februar 2025), (5) bei Hochrisiko-Systemen Pflichten nach Art. 26 erfüllen.

Wie hoch sind Bussgelder in Österreich?+

Drei Stufen: bis 35 Mio. EUR (oder 7% Jahresumsatz) für verbotene Praktiken; bis 15 Mio. EUR (3%) für Hochrisiko-Verstösse; bis 7,5 Mio. EUR (1%) für falsche Informationen. Für KMU gilt Proportionalität — der niedrigere Wert wird angewendet.

Welche WKO-Ressourcen sind für EU AI Act relevant?+

Die WKO bietet Webinare und Leitfäden für Mitglieder, hat aber keine Aufsichtsfunktion. Die wichtigsten Anlaufstellen sind die digitale Sparte und sektorspezifische Fachgruppen. Für rechtsverbindliche Auskünfte ist die RTR zuständig.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Consulting GmbH — EU AI Act Compliance

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
EU AI Act Österreich 2026 — Leitfaden für KMU | ai-risk-check.com