Ein Gehirn mit dem Schriftzug we-mak.ai

EU AI Act: Pflichten & Fristen für Unternehmen verständlich erklärt

Risikoklassen, Zeitplan und was der Mittelstand jetzt konkret tun muss

Mit dem AI Act (Verordnung über künstliche Intelligenz) hat die EU das weltweit erste umfassende KI-Gesetz geschaffen. Für Unternehmen im DACH-Raum ist die entscheidende Frage selten die juristische Feinheit, sondern eine sehr praktische: Was muss ich konkret bis wann tun? Diese Seite ordnet den AI Act für den Mittelstand ein – Risikoklassen, Zeitplan und die nächsten sinnvollen Schritte.

Der gestaffelte Zeitplan – was schon gilt und was kommt

Der AI Act ist am 1. August 2024 in Kraft getreten, seine Pflichten greifen aber nicht auf einen Schlag, sondern in Stufen:

Wichtig für die Planung: Diese Verschiebung ist im Frühjahr 2026 politisch vereinbart worden, wird aber erst mit der formellen Veröffentlichung im EU-Amtsblatt rechtsverbindlich. Bis dahin bleibt der ursprüngliche Zeitplan formal in Kraft. Praktisch heißt das: Wer Hochrisiko-KI betreibt, gewinnt voraussichtlich Zeit – sollte sich aber nicht darauf verlassen, bis die Verschiebung amtlich ist.

Die vier Risikoklassen – und wo der Mittelstand meist landet

Der AI Act reguliert nicht „KI” pauschal, sondern stuft Systeme nach ihrem Risiko ein:

  1. Unannehmbares Risiko – verboten. Manipulative Systeme, Social Scoring, bestimmte biometrische Überwachung. Für normale Unternehmen praktisch nie relevant.
  2. Hohes Risiko – streng reguliert. Klar abgegrenzte Bereiche wie KI in der Personalauswahl, bei Kreditentscheidungen, in kritischer Infrastruktur oder als Sicherheitskomponente. Hier gelten Dokumentations-, Transparenz-, Aufsichts- und Qualitätspflichten.
  3. Begrenztes Risiko – Transparenzpflichten. Hierher fallen die meisten KMU-Anwendungen: Chatbots, Textgeneratoren, Assistenzsysteme. Kernpflicht: Nutzer müssen erkennen können, dass sie mit einer KI bzw. mit KI-generierten Inhalten zu tun haben.
  4. Minimales Risiko – frei. Der Großteil alltäglicher KI-Anwendungen, ohne zusätzliche Auflagen.

Die gute Nachricht für viele Betriebe: Ein KI-Chatbot im Kundenservice oder ein interner Dokumentenassistent sind in aller Regel kein Hochrisiko-System. Entscheidend ist eine ehrliche Einstufung jedes Systems – denn dieselbe Technologie kann je nach Einsatzzweck in unterschiedliche Klassen fallen.

Die unterschätzte Sofortpflicht: KI-Kompetenz im Team

Während alle auf die Hochrisiko-Fristen schauen, gilt eine Pflicht bereits heute für nahezu jeden: Artikel 4 verlangt seit Februar 2025, dass Mitarbeiter, die KI einsetzen, über ausreichende KI-Kompetenz verfügen – angemessen zu ihrer Rolle und ihrem Einsatzkontext. Das ist keine Formalie, sondern eine konkrete Organisationspflicht.

Praktisch lässt sie sich mit überschaubarem Aufwand erfüllen: durch gezielte KI-Schulungen, die Mitarbeiter befähigen, KI-Werkzeuge sinnvoll und rechtssicher zu nutzen, und durch eine klare Verantwortlichkeit im Haus. Wie ein KI-Beauftragter diese Aufgaben – von der AI-Literacy bis zur Risikoklassifizierung – bündelt, lesen Sie auf unserer Seite zum KI-Beauftragten.

AI Act und DSGVO – zwei Seiten derselben Medaille

Der AI Act steht nicht für sich, sondern verzahnt sich eng mit der DSGVO. Sobald KI-Systeme personenbezogene Daten verarbeiten, müssen beide Regelwerke zusammen gedacht werden. Wer ohnehin auf Datensouveränität setzt – etwa mit einem in Österreich betriebenen Sprachmodell oder lokaler KI-Infrastruktur – erfüllt viele Anforderungen aus beiden Welten gleichzeitig: Daten bleiben kontrollierbar, Verarbeitung nachvollziehbar.

Zur Robustheit, die der AI Act für hochwertige Systeme verlangt, gehört auch die Absicherung gegen KI-spezifische Angriffe. Welche Risiken hier zu beachten sind – etwa Prompt Injection oder Datenabfluss –, behandeln wir im Bereich KI-Sicherheit.

Was Unternehmen jetzt sinnvoll tun

Statt auf Fristen zu warten, lohnt sich ein pragmatischer Dreischritt:

  1. Inventur: Welche KI-Systeme sind im Einsatz oder geplant – und in welche Risikoklasse fallen sie?
  2. Kompetenz aufbauen: Die AI-Literacy-Pflicht ist bereits aktiv – Schulungen und Verantwortlichkeiten jetzt aufsetzen.
  3. Datensouverän gestalten: Architekturen wählen, die Datenschutz und AI-Act-Anforderungen von vornherein mitdenken.

Für KMU in Oberösterreich sind solche Vorhaben förderbar: Projekte rund um rechtssichere, lokale KI lassen sich über DIGITAL.PLUS 26 mit bis zu € 7.000 unterstützen.

Unsicher, was der AI Act für Ihr Unternehmen bedeutet? In einem kostenlosen Erstgespräch ordnen wir Ihre KI-Systeme ein und zeigen, welche Schritte für Sie wirklich relevant sind. Jetzt unverbindlich Kontakt aufnehmen →

Hinweis: Dieser Beitrag bietet eine allgemeine Orientierung und ersetzt keine Rechtsberatung. Die Fristen des AI Act befinden sich 2026 im Anpassungsprozess (Digital Omnibus) – maßgeblich ist der jeweils im EU-Amtsblatt veröffentlichte Stand.

Häufige Fragen

Gilt der EU AI Act schon – oder erst in Zukunft? +

Beides. Der AI Act ist am 1. August 2024 in Kraft getreten und gilt gestaffelt: Seit 2. Februar 2025 sind verbotene KI-Praktiken untersagt und die KI-Kompetenz-Pflicht (AI Literacy) gilt; seit 2. August 2025 greifen Regeln für allgemeine KI-Modelle (GPAI). Die strengen Pflichten für Hochrisiko-Systeme waren ursprünglich für den 2. August 2026 vorgesehen, werden aber über das sogenannte „Digital Omnibus"-Paket voraussichtlich verschoben (für eigenständige Hochrisiko-Anwendungen auf den 2. Dezember 2027). Diese Verschiebung wird erst mit der formellen Veröffentlichung im EU-Amtsblatt rechtsverbindlich – bis dahin bleibt der ursprüngliche Zeitplan formal gültig.

Ist die KI in meinem Unternehmen „hochriskant"? +

In den meisten KMU: nein. Typische Anwendungen wie ein Kundenservice-Chatbot, Textgenerierung oder Dokumentenanalyse fallen meist in die Kategorie „begrenztes Risiko" und unterliegen vor allem Transparenzpflichten (Nutzer müssen wissen, dass sie mit KI interagieren). Als hochriskant gelten klar abgegrenzte Einsatzbereiche – etwa KI in der Personalauswahl, bei Kreditvergabe, in kritischer Infrastruktur oder im Sicherheitsbereich. Eine saubere Risikoklassifizierung Ihrer Systeme ist der erste Schritt zur Compliance.

Was bedeutet die KI-Kompetenz-Pflicht (AI Literacy) konkret? +

Seit Februar 2025 müssen Unternehmen dafür sorgen, dass Mitarbeiter, die KI-Systeme einsetzen oder betreiben, über ausreichende KI-Kompetenz verfügen – angemessen zu ihrer Rolle und dem Einsatzkontext. In der Praxis heißt das: gezielte KI-Schulungen und idealerweise eine verantwortliche Rolle im Haus. Wie ein KI-Beauftragter diese Aufgaben bündelt, erklären wir auf einer eigenen Seite.

Was kostet ein Verstoß gegen den AI Act? +

Die Bußgelder sind gestaffelt und an der DSGVO orientiert. Für den Einsatz verbotener KI-Praktiken drohen bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für Verstöße gegen andere Pflichten gelten niedrigere Stufen. Schon das macht eine frühzeitige Bestandsaufnahme der eingesetzten KI wirtschaftlich sinnvoll.