Risikoklassen, Zeitplan und was der Mittelstand jetzt konkret tun muss
Mit dem AI Act (Verordnung über künstliche Intelligenz) hat die EU das weltweit erste umfassende KI-Gesetz geschaffen. Für Unternehmen im DACH-Raum ist die entscheidende Frage selten die juristische Feinheit, sondern eine sehr praktische: Was muss ich konkret bis wann tun? Diese Seite ordnet den AI Act für den Mittelstand ein – Risikoklassen, Zeitplan und die nächsten sinnvollen Schritte.
Der AI Act ist am 1. August 2024 in Kraft getreten, seine Pflichten greifen aber nicht auf einen Schlag, sondern in Stufen:
Wichtig für die Planung: Diese Verschiebung ist im Frühjahr 2026 politisch vereinbart worden, wird aber erst mit der formellen Veröffentlichung im EU-Amtsblatt rechtsverbindlich. Bis dahin bleibt der ursprüngliche Zeitplan formal in Kraft. Praktisch heißt das: Wer Hochrisiko-KI betreibt, gewinnt voraussichtlich Zeit – sollte sich aber nicht darauf verlassen, bis die Verschiebung amtlich ist.
Der AI Act reguliert nicht „KI” pauschal, sondern stuft Systeme nach ihrem Risiko ein:
Die gute Nachricht für viele Betriebe: Ein KI-Chatbot im Kundenservice oder ein interner Dokumentenassistent sind in aller Regel kein Hochrisiko-System. Entscheidend ist eine ehrliche Einstufung jedes Systems – denn dieselbe Technologie kann je nach Einsatzzweck in unterschiedliche Klassen fallen.
Während alle auf die Hochrisiko-Fristen schauen, gilt eine Pflicht bereits heute für nahezu jeden: Artikel 4 verlangt seit Februar 2025, dass Mitarbeiter, die KI einsetzen, über ausreichende KI-Kompetenz verfügen – angemessen zu ihrer Rolle und ihrem Einsatzkontext. Das ist keine Formalie, sondern eine konkrete Organisationspflicht.
Praktisch lässt sie sich mit überschaubarem Aufwand erfüllen: durch gezielte KI-Schulungen, die Mitarbeiter befähigen, KI-Werkzeuge sinnvoll und rechtssicher zu nutzen, und durch eine klare Verantwortlichkeit im Haus. Wie ein KI-Beauftragter diese Aufgaben – von der AI-Literacy bis zur Risikoklassifizierung – bündelt, lesen Sie auf unserer Seite zum KI-Beauftragten.
Der AI Act steht nicht für sich, sondern verzahnt sich eng mit der DSGVO. Sobald KI-Systeme personenbezogene Daten verarbeiten, müssen beide Regelwerke zusammen gedacht werden. Wer ohnehin auf Datensouveränität setzt – etwa mit einem in Österreich betriebenen Sprachmodell oder lokaler KI-Infrastruktur – erfüllt viele Anforderungen aus beiden Welten gleichzeitig: Daten bleiben kontrollierbar, Verarbeitung nachvollziehbar.
Zur Robustheit, die der AI Act für hochwertige Systeme verlangt, gehört auch die Absicherung gegen KI-spezifische Angriffe. Welche Risiken hier zu beachten sind – etwa Prompt Injection oder Datenabfluss –, behandeln wir im Bereich KI-Sicherheit.
Statt auf Fristen zu warten, lohnt sich ein pragmatischer Dreischritt:
Für KMU in Oberösterreich sind solche Vorhaben förderbar: Projekte rund um rechtssichere, lokale KI lassen sich über DIGITAL.PLUS 26 mit bis zu € 7.000 unterstützen.
Unsicher, was der AI Act für Ihr Unternehmen bedeutet? In einem kostenlosen Erstgespräch ordnen wir Ihre KI-Systeme ein und zeigen, welche Schritte für Sie wirklich relevant sind. Jetzt unverbindlich Kontakt aufnehmen →
Hinweis: Dieser Beitrag bietet eine allgemeine Orientierung und ersetzt keine Rechtsberatung. Die Fristen des AI Act befinden sich 2026 im Anpassungsprozess (Digital Omnibus) – maßgeblich ist der jeweils im EU-Amtsblatt veröffentlichte Stand.
Beides. Der AI Act ist am 1. August 2024 in Kraft getreten und gilt gestaffelt: Seit 2. Februar 2025 sind verbotene KI-Praktiken untersagt und die KI-Kompetenz-Pflicht (AI Literacy) gilt; seit 2. August 2025 greifen Regeln für allgemeine KI-Modelle (GPAI). Die strengen Pflichten für Hochrisiko-Systeme waren ursprünglich für den 2. August 2026 vorgesehen, werden aber über das sogenannte „Digital Omnibus"-Paket voraussichtlich verschoben (für eigenständige Hochrisiko-Anwendungen auf den 2. Dezember 2027). Diese Verschiebung wird erst mit der formellen Veröffentlichung im EU-Amtsblatt rechtsverbindlich – bis dahin bleibt der ursprüngliche Zeitplan formal gültig.
In den meisten KMU: nein. Typische Anwendungen wie ein Kundenservice-Chatbot, Textgenerierung oder Dokumentenanalyse fallen meist in die Kategorie „begrenztes Risiko" und unterliegen vor allem Transparenzpflichten (Nutzer müssen wissen, dass sie mit KI interagieren). Als hochriskant gelten klar abgegrenzte Einsatzbereiche – etwa KI in der Personalauswahl, bei Kreditvergabe, in kritischer Infrastruktur oder im Sicherheitsbereich. Eine saubere Risikoklassifizierung Ihrer Systeme ist der erste Schritt zur Compliance.
Seit Februar 2025 müssen Unternehmen dafür sorgen, dass Mitarbeiter, die KI-Systeme einsetzen oder betreiben, über ausreichende KI-Kompetenz verfügen – angemessen zu ihrer Rolle und dem Einsatzkontext. In der Praxis heißt das: gezielte KI-Schulungen und idealerweise eine verantwortliche Rolle im Haus. Wie ein KI-Beauftragter diese Aufgaben bündelt, erklären wir auf einer eigenen Seite.
Die Bußgelder sind gestaffelt und an der DSGVO orientiert. Für den Einsatz verbotener KI-Praktiken drohen bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für Verstöße gegen andere Pflichten gelten niedrigere Stufen. Schon das macht eine frühzeitige Bestandsaufnahme der eingesetzten KI wirtschaftlich sinnvoll.