Künstliche Intelligenz ist längst kein Zukunftsthema mehr, sondern fester Bestandteil der österreichischen Wirtschaft. Von automatisierten Kundensupport-Systemen in Wien bis hin zu prädiktiven Wartungsalgorithmen in der steirischen Industrie – die Technologie durchdringt alle Sektoren. Doch mit dem Jahr 2025 ändert sich die rechtliche Landschaft grundlegend. Der „EU AI Act“ (Gesetz über künstliche Intelligenz) tritt in seine entscheidende Phase und stellt heimische Unternehmen vor neue Herausforderungen. Viele Geschäftsführer und IT-Verantwortliche in kleinen und mittleren Unternehmen (KMUs) sind verunsichert: Welche Anwendungen sind betroffen? Drohen tatsächlich hohe Strafen?
Der AI Act im Überblick: Neue Spielregeln für Österreichs digitale Wirtschaft
Der AI Act ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Das Ziel der Europäischen Union ist es, vertrauenswürdige KI zu fördern und gleichzeitig Grundrechte und Sicherheit zu schützen. Für österreichische Unternehmen bedeutet dies, dass der Einsatz von Software nicht mehr nur eine Frage der technischen Machbarkeit ist, sondern strengen Compliance-Vorgaben unterliegen muss. Dies betrifft nicht nur Tech-Startups, sondern jeden Betrieb, der KI-Systeme entwickelt, importiert oder nutzt.
Besonders im Bereich der digitalen Dienstleistungen wird Transparenz zum obersten Gebot. Unabhängig davon, ob es sich um komplexe Analyseinstrumente im Finanzsektor oder um Algorithmen in der Unterhaltungsbranche handelt, die beispielsweise von Casinos wie Mr Bet zur Personalisierung des Nutzererlebnisses eingesetzt werden, müssen Unternehmen sicherstellen, dass ihre Systeme transparent arbeiten und keine unzumutbaren Risiken bergen. Der Gesetzgeber fordert eine klare Dokumentation darüber, wie Entscheidungen zustande kommen, was für viele österreichische Betriebe eine Überarbeitung ihrer IT-Dokumentation erforderlich macht.
Um die Tragweite der Verordnung zu verstehen, ist es essenziell, die Einteilung der KI-Systeme in verschiedene Risikokategorien zu kennen, da sich hieraus die konkreten Pflichten ableiten.
Die vier Risikoklassen und ihre Bedeutung für die Praxis
Der Gesetzgeber unterscheidet zwischen vier Stufen, die von „unannehmbarem Risiko“ bis zu „minimalem Risiko“ reichen. Für österreichische KMUs ist vor allem der mittlere Bereich interessant, da hier die meisten Geschäftsanwendungen angesiedelt sind.
- Unannehmbares Risiko (Verboten): Hierzu zählen Systeme zur kognitiven Verhaltensmanipulation oder Social Scoring durch Behörden. Diese Anwendungen sind in der EU gänzlich untersagt.
- Hohes Risiko (Streng reguliert): Darunter fallen KI-Systeme in kritischen Infrastrukturen (z.B. Verkehr, Wasser, Energie), in der Bildung oder im Personalwesen (z.B. CV-Sorting-Software). Hier gelten strenge Auflagen bezüglich Datenqualität, Protokollierung und menschlicher Aufsicht.
- Begrenztes Risiko (Transparenzpflicht): Bei Chatbots oder Deepfakes muss für den Nutzer erkennbar sein, dass er mit einer Maschine interagiert.
- Minimales Risiko (Keine neuen Pflichten): Spam-Filter oder KI-gestützte Videospiele fallen meist in diese Kategorie und können weitgehend frei genutzt werden.
Nachdem wir die Kategorisierung geklärt haben, werfen wir einen Blick darauf, wie sich diese Theorie in der Praxis auf die Ressourcen und Budgets österreichischer KMUs auswirkt.
Finanzielle und operative Auswirkungen auf KMUs in Österreich
Die Umsetzung der neuen Richtlinien ist mit Aufwand verbunden, der gerade kleinere Betriebe in Österreich belasten kann. Es drohen nicht nur Kosten für technische Anpassungen, sondern auch für rechtliche Beratung und Zertifizierungen. Experten der Wirtschaftskammer Österreich (WKO) warnen davor, das Thema auf die lange Bank zu schieben, da die Übergangsfristen schneller verstreichen als erwartet.
Um Ihnen einen besseren Überblick zu verschaffen, haben wir die wichtigsten Pflichten und potenziellen Kostenfaktoren in einer Übersicht zusammengefasst:
| Bereich | Anforderung durch AI Act | Potenzielle Kostenfaktoren für KMUs |
| Datenmanagement | Trainingsdaten müssen fehlerfrei und repräsentativ sein. | Bereinigung von Datensätzen, Lizenzkosten für Qualitätsdaten. |
| Dokumentation | Detaillierte technische Aufzeichnungen über Funktionsweise. | Arbeitszeit für IT-Personal, externe Berater. |
| Menschliche Aufsicht | „Human-in-the-loop“ Prinzip bei Hochrisiko-KI. | Schulung von Mitarbeitern, Anpassung von Workflows. |
| Transparenz | Kennzeichnungspflicht bei Interaktion (z.B. Chatbots). | Anpassung der Benutzeroberflächen (UI/UX). |
| Konformität | Regelmäßige Risikobewertungen und Audits. | Zertifizierungsgebühren, Audit-Kosten. |
Diese Übersicht zeigt deutlich, dass der AI Act nicht nur die IT-Abteilung betrifft, sondern strategische Entscheidungen der Geschäftsführung erfordert. Daher ist ein strukturierter Plan zur Umsetzung unerlässlich.
Checkliste: In 5 Schritten zur AI-Act-Compliance
Damit Sie den Überblick behalten und Ihr Unternehmen sicher durch den Regulierungs-Dschungel navigieren, empfiehlt sich ein schrittweises Vorgehen. Eine strukturierte Herangehensweise minimiert das Risiko, wichtige Details zu übersehen, und schont interne Ressourcen.
Folgende Schritte sollten österreichische Unternehmen jetzt einleiten:
- Bestandsaufnahme (AI Inventory): Erstellen Sie eine lückenlose Liste aller im Unternehmen eingesetzten KI-Systeme. Prüfen Sie dabei auch Software von Drittanbietern, die KI-Komponenten enthalten könnten.
- Risikoklassifizierung: Ordnen Sie jede Anwendung einer der vier Risikoklassen zu. Nutzen Sie hierfür offizielle Leitfäden der EU oder Beratung durch die WKO.
- Lückenanalyse (Gap Analysis): Vergleichen Sie den Ist-Zustand Ihrer Hochrisiko-Systeme mit den Anforderungen des AI Acts. Wo fehlen Dokumentationen? Wo ist die Datenqualität unzureichend?
- Maßnahmenplan erstellen: Definieren Sie Verantwortlichkeiten und Zeitpläne. Priorisieren Sie Systeme mit hohem Risiko, da hier der Anpassungsbedarf am größten ist.
- Schulung und Sensibilisierung: Sorgen Sie dafür, dass Ihre Mitarbeiter verstehen, wie sie KI-Systeme rechtskonform nutzen. Dies gilt insbesondere für Teams, die KI überwachen sollen.
Wer diese Schritte frühzeitig angeht, vermeidet Panikreaktionen kurz vor Ende der Übergangsfristen. Doch Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der technisch begleitet werden muss.
Technische Umsetzung und Monitoring in der Praxis
Die technische Seite der Compliance stellt viele österreichische IT-Abteilungen vor Herausforderungen. Unternehmen müssen Logging-Systeme implementieren, die alle Aktivitäten der KI automatisch aufzeichnen. Diese Logs dienen im Falle einer Prüfung durch die österreichischen Marktaufsichtsbehörden als Beweismittel. Zudem ist ein kontinuierliches Monitoring notwendig, um sicherzustellen, dass die KI im laufenden Betrieb nicht von ihren Parametern abweicht (sogenannter „Model Drift„). In Österreich entstehen derzeit zahlreiche Partnerschaften zwischen etablierten Unternehmen und spezialisierten KI-Startups, um genau diese technischen Hürden gemeinsam zu meistern.
Seien Sie der erste, der einen Kommentar abgibt