News > EU AI Act verpflichtet – wie weit sind Österreichs Unternehmen wirklich?

EU AI Act verpflichtet – wie weit sind Österreichs Unternehmen wirklich?

News – 19.11.2025

EU AI Act LeitnerLeitner

Mit dem Inkrafttreten des EU AI Act am 1. August 2024 gelten neue regulatorische Rahmenbedingungen für den Einsatz von Künstlicher Intelligenz (KI) in der Europäischen Union. Auch österreichische Unternehmen stehen damit vor einer Reihe von umfassenden Pflichten – von Risiko-Klassifizierungen über Schulungsmaßnahmen bis hin zur ausführlichen Dokumentation. Zusätzlich müssen auch Vorgaben aus anderen Rechtsgebieten wie dem Datenschutz und dem Urheberrecht beachtet werden. Doch wie gut sind Unternehmen bereits darauf vorbereitet?

In diesem Artikel werfen wir einen Blick auf die zentralen Anforderungen, analysieren die aktuelle Situation in Österreich und geben praxisnahe Handlungsempfehlungen für den erfolgreichen Umgang mit den neuen Vorgaben.

Was ist der EU AI-Act?

Der AI-Act ist eine EU-Verordnung, die erstmals ein einheitliches Regelwerk für den Markt und den Einsatz von KI-Systemen in der EU schafft.
Zielsetzung ist es, den Schutz von Sicherheit, Grundrechten, demokratischen Werten, Transparenz und Verantwortlichkeit von KI-Systemen festzulegen und Innovation unter klaren Rahmenbedingungen zu fördern.
Der AI-Act folgt einem risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen.

Welche Pflichten gelten für Unternehmen in Österreich?

Wichtige Übergangsfristen

  • Der AI-Act trat am 1. August 2024 in Kraft.
  • Seit 2. Februar 2025: Verbot von KI-Systemen mit „inakzeptablem Risiko“ sowie Pflicht zur Schulung der Mitarbeitenden.
  • Seit 2. August 2025: Weitere Pflichten für KI-Systeme mit allgemeinem Verwendungszweck und Sanktionen.
  • Ab 2. August 2026 (und bei manchen Hochrisiko-KI-Systemen ab 2027): Vollständige Anwendung aller übrigen Bestimmungen.

Risiko-Kategorisierung & Pflichten im Überblick

Risikoklasse Beispiele für Systeme Hauptpflichten
Inakzeptables Risiko Social-Scoring, Emotionserkennung am Arbeitsplatz Verbot der Nutzung
Hochrisiko KI-Systeme im Arbeitnehmermanagement, im Bereich kritischer Infrastrukturen etc Dokumentation- und Meldepflicht, menschliche Aufsicht, ggf. Konformitätsbewertung
Begrenztes Risiko Chatbots, KI zur Erstellung von Bild, Video etc Transparenzpflichten: Nutzer wissen, dass KI im Spiel ist
Minimales Risiko Spamfilter, einfache Spiele Keine speziellen Pflichten

Weitere wichtige Pflichten für Unternehmen

  • Mitarbeiterschulungen und Qualifizierungsnachweise.
  • Transparenzpflicht bei generativen KI-Systemen (zB Hinweis „KI-generiert“).
  • Verknüpfung mit bestehenden Regelungen wie der DSGVO.
  • Risiko analysieren und Governance-Struktur für KI im Unternehmen aufbauen.

Sanktionen bei Verstößen

Verstöße können empfindliche Strafen nach sich ziehen: Bis zu 35 Mio Euro oder 7 % des weltweiten Jahresumsatzes sind bei schweren Verstößen möglich. Bei leichteren Verstößen sind Sanktionen von bis zu 7,5 Mio Euro oder 1 % des Umsatzes vorgesehen.

Wie weit sind Österreichs Unternehmen wirklich?

In Österreich zeigt sich folgende Lage: Die österreichische Bundesregierung hat bereits einen KI-Umsetzungsplan vorgestellt, inklusive einer grundlegenden Struktur für KI-Governance. Fachbeiträge berichten, dass viele Unternehmen zwar das Thema „KI“ auf der Agenda haben, aber eine detaillierte Bestandsaufnahme, Risikoklassifizierung und Compliance-Prozesse in vielen Fällen noch fehlen. Gerade KMU stehen vor Herausforderungen: eingeschränkte Ressourcen, mangelnde interne sowie oft fehlende klare Prozesse für KI-Governance. Einige Unternehmen haben bereits begonnen, Schulungsprogramme für Mitarbeitende einzuführen, doch mangelt es oft noch an der Dokumentation und Integrationsprozessen für eine konsistente KI-Compliance. Viele Verpflichtungen bestehen bereits jetzt, weswegen viele Firmen die Notwendigkeit sehen, jetzt aktiv zu werden, statt weiter abzuwarten.

Insgesamt zeigt sich:
Es gibt bereits spürbare Fortschritte, doch bleibt der Handlungsbedarf groß.
Viele Unternehmen sind sensibilisiert, aber eine vollständige Umsetzung und
nachvollziehbare Dokumentation fehlen nach wie vor – besonders bei komplexeren,
risikoreichen KI-Systemen.

 

Praxisempfehlungen: So kommen Sie ins Tun

Schritt 1: Bestandsaufnahme

  • Ermitteln Sie, welche KI-Systeme in Ihrem Unternehmen eingesetzt werden (intern & extern).
  • Prüfen Sie: Wer ist Anbieter, wer Betreiber? Wer hat welche Rolle?
  • Klassifizieren Sie die KI-Systeme nach Risiko („minimal“, „begrenztes Risiko“, „Hochrisiko“).
  • Erstellen Sie eine Übersicht über Trainingsdaten, Datenherkunft, Nutzungszweck.

Schritt 2: Governance & Verantwortlichkeiten definieren

  • Legen Sie Verantwortliche (zB KI-Compliance-Beauftragter oder KI-Governance-Team) fest.
  • Verankern Sie KI-Richtlinien und Prozesse (zB wann KI eingesetzt werden darf und wie geprüft wird).
  • Schaffen Sie eine Dokumentation und nehmen Sie Risikoabschätzungen vor.

Schritt 3: Mitarbeiterschulung & Kompetenzaufbau

  • Entwickeln Sie Schulungsprogramme für Mitarbeitende, die KI-Tools nutzen oder beaufsichtigen.
  • Dokumentieren Sie die Teilnahme und Inhalte der Schulungen.
  • Sensibilisieren Sie alle relevanten Stakeholder: Entwicklungs-, Betriebs-, HR-, Compliance-Teams etc.

Schritt 4: Transparenz, Dokumentation & Monitoring

  • Legen Sie für jedes KI-System fest: Zweck, Einsatzbereich, menschliche Aufsicht.
  • Als Anbieter eines Hochrisiko-KI-Systems: Risikomanagement-Prozess etablieren, Konformitätsbewertung planen etc.
  • Für generative KI: Kennzeichnen Sie Ausgaben als KI-generiert, wenn erforderlich.
  • Integrieren Sie KI-Compliance in bestehende Datenschutz-, IT-Sicherheits- und Governance-Systeme.

Schritt 5: Umsetzung & kontinuierliche Anpassung

  • Starten Sie jetzt. Die Übergangsfristen lassen wenig Spielraum und wesentliche Verpflichtungen bestehen bereits jetzt.
  • Begleiten Sie Prozesse mit externen Expert:innen, wenn intern die Ressourcen fehlen.
  • Nutzen Sie die Umsetzung als Chance: Vertrauenswürdige KI kann Wettbewerbsvorteil sein.
  • Messen Sie den Fortschritt: Checklisten, Audits, Reviews.

Handeln Sie jetzt!

Prüfen Sie mit Ihrem Team (und ggf externen Partnern) Ihre KI-Anwendungen und definieren Sie die nächsten Schritte, um rechtliche Vorgaben zu erfüllen und gleichzeitig von den Chancen verantwortungsvoller KI zu profitieren.

Kontakt

Fazit

Der EU AI Act stellt einen Meilenstein in der Regulierung von künstlicher Intelligenz dar – mit weitreichenden Folgen für österreichische Unternehmen. Während die gesetzlichen Vorgaben klar sind und einige Übergangsfristen definiert wurden, besteht in der Praxis noch erheblicher Handlungsbedarf. Unternehmen, die frühzeitig KI-Governance aufbauen, Schulungen implementieren und Risiken systematisch managen, schaffen nicht nur Rechtssicherheit, sondern auch einen deutlichen Wettbewerbsvorteil.
Jetzt ist der Zeitpunkt, aktiv zu werden.

Kontaktieren Sie dazu unsere Expert:innen Simone Tober (LeitnerLaw Rechtsanwälte) und Michael Zeppelzauer (LeitnerLeitner).

Autor:innen

  • Michael Zeppelzauer
    Certified Information Systems Auditor | Certified Internal Auditor | Director
    Details zur Person
Artikel drucken Artikel teilen

Weitere News

News — 04.12.2025
Österreichische Spendenbegünstigung: Steuerliche Vorteile für NPOs
News — 25.11.2025
Betrugsbekämpfungsgesetz 2025: Geplante Änderungen bei der NoVA im Überblick
News — 24.11.2025
Gemeinnützigkeit und Umsatzsteuer im Überblick
News — 14.11.2025
VwGH stellt Mantelkauf bereits bei Verkauf von 55 % an GmbH-Anteilen in Aussicht
News — 22.10.2025
LeitnerLeitner Advisory – gebündelte Beratungskompetenz zusätzlich zu Audit und Tax
News — 14.10.2025
Zoll & Steuern im Außenhandel – 3. Quartal 2025
News — 22.09.2025
Von BAO bis EU Data Act: So machen Sie Ihre Archivierung 2025 rechtssicher und zukunftsfähig