Zum Inhalt springen
Dr. Christine Knecht-Kleber
© Darko Todorovic

AI Act: Was Unternehmen jetzt wissen müssen“

Mit der KI-Verordnung (AI Act) schafft die EU erstmals einen einheitlichen Rechtsrahmen für künstliche Intelligenz. 

Lesedauer: 6 Minuten

Einen Moment bitte. Ladevorgang läuft ...
0:00
Audio konnte nicht geladen werden. Erneut versuchen
0:00
0:00
Aktualisiert am 10.07.2026

Doch wen betrifft sie konkret – und welche Unternehmen müssen sich damit auseinandersetzen?

Die KI-Verordnung ist eine EU-Verordnung – ähnlich wie die DSGVO. Sie gilt daher unmittelbar in der gesamten Europäischen Union und muss nicht erst in nationales Recht umgesetzt werden. Der oft verwendete Begriff „AI Act“ ist die englische Übersetzung für KI-Verordnung. Relevant ist die KI-Verordnung nicht nur für Technologieunternehmen. Sie betrifft alle Betriebe, die KI-Systeme entwickeln, anbieten, importieren, vertreiben oder im eigenen Unternehmen einsetzen. Damit können auch klassische KMU erfasst sein, wenn sie etwa Chatbots, automatisierte Bewerberauswahl, KI-gestützte Bonitätsprüfungen, Prognosetools, Bild-oder Texterstellung oder ander KI-Anwendungen nutzen.  Im Interview erklärt Rechtsanwältin Dr. Christine Knecht-Kleber, was die neuen Vorgaben beinhalten, welche Pflichten bereits in Kraft sind und worauf Unternehmen beim Einsatz von KI künftig besonders achten müssen.

Frau Knecht-Kleber, was ist das Ziel der KI-Verordnung?
Die KI-Verordnung soll einen sicheren, transparenten und grundrechtskonformen Einsatz von KI in der EU gewährleisten. Sie verbietet KI nicht, sondern verfolgt einen risikobasierten Ansatz.

Heißt das konkret, KI soll nicht eingeschränkt, sondern gesteuert werden? 
Genau. Die Verordnung sieht vor: Je höher das Risiko einer KI-Anwendung für Sicherheit, Gesundheit oder Grundrechte, desto strenger sind die Anforderungen. Die KI-Verordnung ist am 1. August 2024 in Kraft getreten und wird nun schrittweise wirksam.

Welche KI-Regelungen gelten bereits jetzt? 
Auch wenn die KI-Verordnung noch nicht vollständig anwendbar ist, gibt es bereits konkrete Verpflichtungen für Unternehmen. Seit 2. Februar 2025 sind bestimmte besonders problematische KI-Anwendungen verboten, etwa manipulative KI-Systeme, Social Scoring oder bestimmte Formen biometrischer Kategorisierung. Ebenfalls seit diesem Zeitpunkt gilt die Pflicht zur KI-Kompetenz. Unternehmen müssen daher dafür sorgen, dass Personen, die mit KI-Systemen arbeiten, ausreichend informiert, geschult und sensibilisiert sind. Seit 2. August 2025 gelten überdies besondere Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, sogenannten GPAI-Modellen. Gemeint sind damit die KI-Modelle, die für viele unterschiedliche Zwecke eingesetzt werden können, etwa zur Erstellung von Texten, Bildern, Programmcodes oder anderen Inhalten. 

Zur Einordnung: Was ist der Unterschied zwischen KI-Modell und KI-System und warum ist das wichtig? 
Das KI-Modell bildet die technische Grundlage, das KI-System ist die konkrete Anwendung im Unternehmen – etwa ein Chatbot, ein Übersetzungstool oder ein Textgenerator. Diese Unterscheidung ist zentral, weil sich daraus unterschiedliche Pflichten ergeben: Anbieter von KI-Modellen unterliegen aber wie bereits erwähnt anderen Anforderungen als Unternehmen, die KI-Systeme lediglich im eigenen Betrieb einsetzen. 
Praktisch relevant bleibt aber, dass Unternehmen Anbieter sorgfältig auswählen sollten – insbesondere im Hinblick auf Transparenz, Dokumentation, Nutzungsbedingungen und zulässige Verwendung.

Was müssen Unternehmen ab 2. August 2026 konkret beachten?
Mit diesem Tag rücken für viele Betriebe vor allem Transparenz- und Offenlegungspflichten in den Vordergrund. Wer ein KI-System einsetzt, das direkt mit Menschen kommuniziert - etwa in einem Chatbot im Kundenservice -, muss grundsätzlich darauf hinweisen, dass die Kommunikation mit KI erfolgt. Auch bei künstlich erzeugten oder manipulierten Inhalten sieht die KI-Verordnung besondere Transparenzpflichten vor. Anbieter von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen grundsätzlich technische Maßnahmen vorsehen, damit solche Inhalte als künstlich erzeugt oder verändert erkennbar sind. 
Betriebe, die solche Systeme verwenden, müssen vor allem bei der Veröffentlichung sorgfältig prüfen, ob ein Hinweis erforderlich ist. 
Besonders relevant sind Deepfakes und bestimmte KI-generierte Texte. Deepfakes sind grundsätzlich offenzulegen. KI-generierte oder KI-veränderte Texte können ebenfalls kennzeichnungspflichtig sein, wenn sie zur Information der Öffentlichkeit über Themen von öffentlichem Interesse dienen.  Eine Ausnahme kann gelten, wenn eine menschliche Prüfung oder redaktionelle Kontrolle erfolgt und eine klare redaktionelle Verantwortung besteht.

Gibt es dazu schon Umsetzungshilfen?
Ja, auf EU-Ebene gibt es Orientierungshilfen, etwa einen freiwilligen Code of Practice zur Kennzeichnung KI-generierter Inhalte sowie einen Leitlinienentwurf der Kommission zu Transparenzpflichten nach Artikel 50 der KI-Verordnung. Diese ersetzen die gesetzlichen Pflichten nicht, helfen aber bei der praktischen Umsetzung.

Und was ist mit Hochrisiko-KI-Systemen?
Die ursprünglich für August 2026 vorgesehenen Pflichten für Hochrisiko-KI-Systeme (z. B. Risikomanagement, Dokumentation, menschliche Aufsicht, Protokollierung) wurden durch den AI Omnibus verschoben.
Sie gelten nun voraussichtlich erst ab:
- 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme sowie ab
- 2. August 2028 für Hochrisiko-KI-Systeme als Sicherheitskomponenten in Produkten
Der AI-Omnibus ist eine EU-Änderungsverordnung zur KI-Verordnung im Rahmen eines breiteren Digitalpakets, die auf Vereinfachung und mehr Rechtssicherheit abzielt. Damit bleibt 2026 vor allem ein Jahr der Transparenz- und Umsetzungspflichten sowie der organisatorischen Vorbereitung.

Wie sollten sich Unternehmen aktuell vorbereiten?

Betriebe sollten zuerst Transparenz im eigenen Haus schaffen. Der erste Schritt ist eine KI-Bestandsaufnahme: Welche KI-Systeme werden bereits eingesetzt, von wem und zu welchem Zweck? Erfasst werden sollten nicht nur zentral eingeführte Systeme, sondern auch im Arbeitsalltag genutzte Anwendungen, die auf KI beruhen oder KI-Funktionen enthalten. Im nächsten Schritt sollte geklärt werden, welche Rolle das Unternehmen nach der KI-Verordnung hat. Ist es Anbieter eines KI-Systems oder Betreiber, verwendet es also ein KI-System in eigener Verantwortung oder nimmt es eine andere Rolle nach der KI-VO ein? Diese Einordnung ist wichtig, weil davon abhängt, welche Pflichten konkret greifen. Darauf aufbauend braucht es eine erste Risikoeinschätzung. Unternehmen sollten prüfen, ob KI in sensiblen Bereichen eingesetzt wird – etwa im Personalwesen, in der Bildung, im Gesundheitsbereich, in kritischer Infrastruktur oder bei Kredit- und Risikobewertungen. In solchen Bereichen kann ein Hochrisiko-KI-System vorliegen. Für Betreiber solcher Hochrisiko-KI-Systeme gelten besondere Pflichten, etwa zur richtigen Verwendung, menschlichen Aufsicht, laufenden Kontrolle und Dokumentation. Praktisch sinnvoll sind interne KI-Richtlinien, Schulungen, klare Freigabeprozesse und eine Dokumentation der verwendeten Systeme. Außerdem sollten Betriebe die Unterlagen und Nutzungsbedingungen ihrer KI-Anbieter prüfen – insbesondere zu Datenschutz, Vertraulichkeit, Transparenz und Kennzeichnung. Wichtig ist außerdem: Die DSGVO gilt neben der KI-Verordnung weiterhin. Sobald personenbezogene Daten verarbeitet werden, müssen auch die datenschutzrechtlichen Vorgaben eingehalten werden.  Wer diese Grundlagen jetzt schafft, reduziert rechtliche Risiken und ist auf die nächsten Stufen der KI-Verordnung deutlich besser vorbereitet.

Was ist organisatorisch wichtig?
Empfohlen werden interne KI-Richtlinien, Schulungen, klare Freigabeprozesse und eine strukturierte Dokumentation der eingesetzten Systeme. Ebenso sollten Unternehmen die Unterlagen und Nutzungsbedingungen der Anbieter sorgfältig prüfen – insbesondere zu Datenschutz, Vertraulichkeit, Transparenz und Kennzeichnung.

Wer überwacht die Einhaltung der KI-Verordnung in Österreich?

Derzeit gibt es in Österreich noch keine allgemein zuständige KI-Behörde. Die KI-Verordnung sieht jedoch vor, dass jeder Mitgliedsstaat eine Marktüberwachungsbehörde benennen oder einrichten muss – diese Benennung hätte bis 2. August 2025 erfolgen sollen. Diese Behörde soll künftig die Einhaltung der KI-Verordnung kontrollieren, Verstöße verfolgen und auch Sanktionen wie Geldbußen verhängen können. Welche konkrete Behörde diese Aufgabe in Österreich übernehmen wird, ist derzeit noch vom Gesetzgeber zu klären.

Gibt es bereits eine Anlaufstelle?
Ja, als vorbereitende Struktur gibt es bereits die KI-Servicestelle der RTR-GmbH.  Sie dient als Ansprechpartnerin zum Thema KI und bietet Unternehmen gebündelte Informationen sowie einen ersten Überblick über die regulatorischen Anforderungen. 

Welche Empfehlung geben Sie Unternehmen?
Betrieben empfehle ich, die Webseite der KI-Servicestelle der RTR zu nutzen: https://short.wkv.at/ki-servicestelle-rtr. Besonders hilfreich ist die dortige Übersicht, welche Pflichten je nach Art und Einsatzbereich eines KI-Systems relevant sein können. 

Vielen Dank für das Gespräch!