Drei Pflichten sind seit 2. Februar 2025 anwendbar: KI-Kompetenz im Team, acht verbotene Praktiken und gestaffelte Transparenzregeln. Die meisten KMU und gemeinnützige Organisationen sind formal schon in der Verantwortung.
Drei weitere Pflichten kommen am 2. August 2026: Kennzeichnung von Chatbots, KI-generierten Inhalten und automatisierten Texten zu öffentlichen Themen. Wer im Sommer 2026 anfängt, ist zu spät.
Warum es jetzt schon relevant ist, nicht erst 2027
Kurz gesagt: Der EU AI Act betrifft die meisten KMU und gemeinnützige Organisationen bereits heute, nicht erst 2027. Seit Februar 2025 gilt die KI-Kompetenzpflicht für alle, die KI im Betrieb nutzen, und acht Praktiken sind EU-weit verboten. Ab August 2026 kommen Transparenzpflichten für Chatbots und KI-generierte Inhalte dazu.
Der häufigste Beratungsauftakt zum AI Act geht so: „Wir wollten uns das anschauen, wenn 2027 die Fristen kommen." Das ist gleich doppelt falsch. Erstens sind die meisten praxisrelevanten Pflichten bereits 2025 in Kraft getreten. Zweitens betrifft 2027 fast ausschließlich Hochrisiko-Systeme in regulierten Produkten: Maschinen, Medizingeräte, Spielzeug. Für klassische KMU und gemeinnützige Organisationen ist die wichtige Frist August 2026, und sie kommt schneller als gedacht.
Konkret: Seit 2. Februar 2025 gilt die KI-Kompetenzpflicht. Jede Organisation, die KI im Betrieb einsetzt, muss sicherstellen, dass die handelnden Personen Grundwissen über Funktionsweise und Risiken haben. Das gilt auch bei sporadischer Nutzung, etwa für ChatGPT bei Mail-Entwürfen. Ebenfalls seit Februar 2025 sind acht verbotene Praktiken EU-weit untersagt.
Wer heute KI nutzt und nichts dokumentiert hat, ist formal bereits in der Verantwortung. Die Schadensbilanz ist überschaubar, weil Behörden in den ersten Monaten kulant umgehen. Aber die Voraussetzung dafür, im Streitfall sauber dazustehen, ist nicht der Vorsatz, sondern eine knappe schriftliche Dokumentation. Wie die in einem halben Tag entsteht, zeigt der Abschnitt weiter unten.
Worum geht es beim AI Act?
Die Verordnung (EU) 2024/1689, kurz AI Act, ist die erste umfassende rechtliche Rahmenordnung für Künstliche Intelligenz weltweit. Sie wurde am 1. August 2024 wirksam und gilt unmittelbar in allen Mitgliedsstaaten. Anders als bei einer Richtlinie braucht Österreich kein eigenes Umsetzungsgesetz, die Vorschriften sind direkt anwendbar.
Das Grundprinzip ist einfach: Je größer das Schadenspotenzial eines KI-Systems, desto strenger die Pflichten. Ein Spamfilter wird anders behandelt als eine Software, die über Kreditvergaben entscheidet. Die Verordnung richtet sich an Anbieter, Betreiber, Importeure und Händler. Wer ChatGPT, Microsoft Copilot oder ein KI-basiertes Mail-Tool im eigenen Betrieb verwendet, ist Betreiber und damit zumindest teilweise erfasst.
Wichtig: Gemeinnützige Organisationen sind nicht ausgenommen. Der AI Act differenziert nach Risiko und Funktion, nicht nach Rechtsform oder Gemeinwohlstatus. Auch Ehrenamtliche und Honorarkräfte sind in der Kompetenzpflicht inbegriffen, sobald sie KI-Tools für die Organisation nutzen.
Die vier Risiko-Stufen
Der AI Act teilt KI-Anwendungen in vier Kategorien. Für die Einschätzung „Was muss ich tun?" ist die Stufe entscheidend, nicht die Branche.
| Stufe | Beispiele | Relevant für KMU/NPOs? |
|---|---|---|
| Inakzeptabel (verboten) | Social Scoring, Emotionserkennung am Arbeitsplatz, manipulative KI, biometrische Massenüberwachung | Nein, praktisch nicht |
| Hochrisiko | Bewerber-Vorauswahl, Bonitätsprüfung, KI in Medizinprodukten, kritische Infrastruktur | Selten. Achtung bei automatischem Bewerber-Screening |
| Transparenz-Risiko | Generative KI (ChatGPT, Bildgeneratoren), Chatbots, Deepfakes | Ja, hier landen die meisten |
| Minimales Risiko | Spamfilter, KI in Videospielen, einfache Empfehlungssysteme | Ja, der größte Anteil. Keine zusätzlichen Pflichten |
Inakzeptables Risiko: acht verbotene Praktiken
Seit 2. Februar 2025 EU-weit untersagt. Dazu zählen Social Scoring durch Behörden, Emotionserkennung in Arbeitsumgebungen und Schulen, manipulative KI mit erheblicher Verhaltensbeeinflussung, ungezieltes Sammeln von Gesichtsbildern aus dem Internet zum Aufbau von Datenbanken und biometrische Echtzeit-Fernidentifikation im öffentlichen Raum. Für nahezu alle KMU und gemeinnützige Organisationen ist diese Kategorie irrelevant.
Hochrisiko: strenge Pflichten, selten erreicht
Diese Stufe trifft KI, die Grundrechte oder Sicherheit erheblich berühren kann. Pflichten umfassen Risikomanagement, Datenqualität, Logging, menschliche Aufsicht und CE-Konformitätsbewertung. Für KMU und gemeinnützige Organisationen selten relevant. Wer aber Bewerber-Lebensläufe automatisch scort oder Kreditentscheidungen per KI trifft, sollte das prüfen.
Transparenz-Risiko: hier landen fast alle
Generative KI wie ChatGPT, Bildgeneratoren, Übersetzungs-KI und Chatbots fallen in diese Stufe. Ab 2. August 2026 gelten Kennzeichnungspflichten: Nutzer müssen erkennen können, dass sie mit einer Maschine kommunizieren. KI-generierte Bilder, Audio und Videos, die echt wirken könnten, sind als solche zu markieren. Auch automatisch erstellte Texte zu öffentlichen Themen brauchen einen Hinweis. Wer wissen will, wie KI-Sichtbarkeit gleichzeitig zur Marketing-Chance wird, findet Hinweise im Beitrag GEO: in ChatGPT und AI Overviews zitiert werden.
Minimales Risiko: der unauffällige Mehrheits-Fall
Spamfilter, KI in Videospielen, einfache Empfehlungssysteme, Rechtschreibhilfen. Keine spezifischen Pflichten. Wer als KMU oder gemeinnützige Organisation nur solche Anwendungen nutzt, ist im Wesentlichen nicht zusätzlich belastet. Die KI-Kompetenzpflicht greift trotzdem, sobald irgendein KI-Tool eingesetzt wird.
Zeitplan und Fristen
Die Verordnung greift gestaffelt, damit Unternehmen und Behörden Zeit für die Umsetzung haben. Zwei Stichtage sind für die meisten KMU und gemeinnützige Organisationen entscheidend.
| Stichtag | Was wirksam wird | Relevant für |
|---|---|---|
| 1. August 2024 | Inkrafttreten der Verordnung | Alle (formal) |
| 2. Februar 2025 | Verbotene Praktiken und KI-Kompetenzpflicht | Alle, die KI nutzen |
| 2. August 2025 | Pflichten für Anbieter von General-Purpose-AI (OpenAI, Anthropic), Governance und Sanktionen | KI-Anbieter, indirekt alle Nutzer |
| 2. August 2026 | Allgemeine Anwendbarkeit inkl. Transparenzpflichten und Hochrisiko-Systeme aus Anhang III | Alle mit Chatbots, KI-Texten, KI-Bildern |
| 2. August 2027 | Hochrisiko-KI in regulierten Produkten (Maschinen, Medizinprodukte, Spielzeug) | Hersteller, kaum Endanwender |
Was bedeutet das für KMU?
Ein typisches kleines Unternehmen in Österreich nutzt KI nicht in spezialisierten Produkten, sondern in Office, Marketing und Kundendienst. Diese Anwendungsfälle fallen meist in die Transparenz- oder die minimale Risikostufe. Praktisch heißt das vier Dinge.
KI-Kompetenz im Team aufbauen
Wer KI im Betrieb einsetzt, muss Mitarbeitenden ein Grundverständnis vermitteln. Das ist keine Zertifizierung, sondern eine dokumentierte Einweisung in Funktionsweise, Grenzen und typische Fehlerquellen der genutzten Werkzeuge. Eine schriftliche Kurzunterlage plus ein 30-Minuten-Briefing genügen in der Regel. Für tiefergehende Schulungen lohnt sich ein Blick auf unsere Workshops.
Chatbots auf der Webseite kennzeichnen
Wenn auf der Website ein automatisierter Assistent läuft, braucht es ab August 2026 einen klaren Hinweis, dass der Nutzer nicht mit einem Menschen schreibt. Eine kurze Einleitungsnachricht des Bots reicht in den meisten Fällen.
KI-generierte Inhalte markieren
Werbebilder aus Midjourney, Produkttexte aus ChatGPT, AI-Avatare in Videos: ab August 2026 sollten diese als KI-erzeugt erkennbar sein. Bei klassischen Marketingbildern reicht oft ein dezenter Hinweis in der Bildunterschrift. Wer KI als Erstentwurf nutzt und händisch finalisiert, hat mehr Spielraum.
Achtung bei Bewerberauswahl und Bonitätsprüfung
Wer KI für Lebenslauf-Scoring, automatisches Filtern von Bewerbungen oder Bonitätsentscheidungen einsetzt, kommt schnell in die Hochrisiko-Kategorie. Hier lohnt sich vor der Einführung eine rechtliche Einschätzung. Die Verordnung sieht für KMU vereinfachte Dokumentationspflichten und bevorzugten Zugang zu Reallaboren (Regulatory Sandboxes) vor.
Tipp: Schulungen und externe Beratung zum AI Act sind häufig förderfähig. WKO Coaching OÖ und KMU.DIGITAL bezuschussen unter bestimmten Voraussetzungen externe Beratungsleistungen, darunter auch KI-Compliance-Themen.
Was bedeutet das für gemeinnützige Organisationen?
Ein verbreiteter Irrtum: Gemeinnützige Organisationen seien als nicht-kommerzielle Akteure ausgenommen. Sie sind es nicht. Ein Tierschutzverein, der mit ChatGPT Spendenaufrufe formuliert, ist genauso Betreiber wie ein produzierendes KMU. Das gilt für Vereine, Stiftungen, gGmbHs und Verbände gleichermaßen. Die gute Nachricht: Auch für gemeinnützige Organisationen gilt fast immer die niedrigste oder die Transparenzstufe.
Kompetenzpflicht umfasst Ehrenamtliche
Wenn freiwillige Helfer im Auftrag der Organisation ChatGPT, Canva-KI oder andere generative Tools nutzen, müssen auch sie eine grundlegende Einweisung bekommen. Eine schriftliche Kurzunterlage und ein internes Briefing reichen in der Regel. Das Vorstands-Protokoll sollte einmalig festhalten, wie die Einweisung erfolgt ist.
Fundraising-Texte und Spendenbriefe
KI-generierte Spendenbriefe, Newsletter-Inhalte oder Kampagnen-Visuals sind ab August 2026 zu kennzeichnen, wenn sie ungeprüft veröffentlicht werden. Wer KI als Erstentwurf nutzt und händisch finalisiert, bleibt flexibler. Bei Bildern reicht eine kleine Bildunterschrift, bei Newslettern ein dezenter Hinweis im Footer.
DSGVO bleibt davon getrennt
AI Act und DSGVO sind zwei separate Regelwerke. Ein KI-Tool kann AI-Act-konform sein und trotzdem DSGVO-Probleme verursachen, etwa wenn Klientendaten in einem US-Modell verarbeitet werden. Beide Regelwerke parallel prüfen. Wer ohnehin schon DSGVO-Dokumentation pflegt, kann den AI-Act-Teil dort anhängen.
Achtung: Für gemeinnützige Organisationen, die Google Ad Grants nutzen, bringt der AI Act keine zusätzliche Hürde. Google selbst verantwortet die Compliance seiner Werbeplattform. Wer aber Landingpage-Inhalte automatisch generieren lässt, sollte die Transparenzregeln im Blick behalten.
Drei häufige Irrtümer
Irrtum 1: „Wir nutzen nur ChatGPT, das betrifft uns nicht"
Doch. Sobald ein Tool für betriebliche Zwecke eingesetzt wird, gilt die Organisation als Betreiber. Die Kompetenzpflicht ist seit Februar 2025 anwendbar und greift auch bei sporadischer Nutzung. Privates Schreiben im Home-Office ist nicht erfasst, professionelle Inhalte sehr wohl. Wer einen einzigen ChatGPT-generierten Newsletter rausschickt, ist im Anwendungsbereich.
Irrtum 2: „Bis 2027 haben wir genug Zeit"
Die 2027-Frist betrifft fast ausschließlich Hochrisiko-Systeme, die in regulierte Produkte integriert sind. Für die große Mehrheit der KMU und gemeinnützige Organisationen sind zwei Stichtage relevant: Februar 2025 ist bereits vergangen (Kompetenz und Verbote), August 2026 kommt schneller als gedacht (Transparenz und Kennzeichnung).
Irrtum 3: „Die DSGVO regelt das doch schon"
Nein, die beiden Regelwerke ergänzen sich. Die DSGVO schützt personenbezogene Daten. Der AI Act adressiert Funktionsweise, Risiken und Transparenz von KI-Systemen unabhängig von den verarbeiteten Daten. Ein lokal laufendes Bildgenerierungs-Tool ohne Personenbezug ist DSGVO-irrelevant, aber sehr wohl AI-Act-relevant, sobald die Outputs öffentlich werden.
Was du diese Woche tun kannst
Die Pflichten klingen umfangreich, sind aber für die meisten Organisationen in einem halben Tag abgehakt. Vier konkrete Schritte:
1. KI-Inventur machen
Welche KI-Tools werden tatsächlich genutzt? Office-365-Copilot, ChatGPT, Canva-Magic, DeepL, automatisierte Mail-Antworten, eingebettete Chatbots. Eine einfache Liste mit Tool, Zweck und Nutzerkreis reicht. Diese Inventur ist gleichzeitig die Basis für jedes weitere Dokument.
2. Kompetenz aufbauen und nachweisbar dokumentieren
Die Kompetenzpflicht hat drei Teile. Erstens identifizieren, wer welche KI nutzt und welches Wissen fehlt. Zweitens gezielt schulen und einweisen, von der Funktionsweise über typische Fehler wie Halluzinationen und Bias bis zu den Datenschutz-Grenzen. Drittens das Ganze dokumentieren, idealerweise mit einer Teilnahmebestätigung pro Person. Genau diese Bestätigung ist im Streitfall dein Nachweis gegenüber der Behörde.
Wer das nicht selbst aufsetzen will: Wir übernehmen die Bedarfsanalyse, die Schulung samt Einweisung und die prüffähige, nachvollziehbare Dokumentation mit Teilnahmebestätigung als Paket. Mehr dazu unter Workshops.
Hinweis: Das ist organisatorische Vorbereitung, keine Rechtsberatung. Die juristische Auslegung im Einzelfall übernimmt dein eigener Rechtsbeistand, etwa Rechtsanwalt oder WKO-Rechtsberatung.
3. Sensible Anwendungen extra prüfen
Bewerber-Screening, automatische Entscheidungen über Förderwürdigkeit, Bonitätsbewertung, biometrische Analyse: Hier vor dem Rollout eine externe Einschätzung einholen. Im Zweifelsfall die KI-Servicestelle der RTR kontaktieren. Die Anfrage ist kostenlos.
4. Kennzeichnungs-Logik bis August 2026 festlegen
Wo entstehen KI-generierte Inhalte für die Außenkommunikation? Wie werden sie markiert? Eine schlichte Konvention ist meist ausreichend, etwa ein Hinweis in der Bildunterschrift oder ein Vermerk in Newslettern. Im Zweifel lieber kennzeichnen als nicht. Für eine systematische Beratung dazu siehe Beratung & Strategie.
Schluss: Der AI Act ist sperriger als nötig, aber für die meisten KMU und gemeinnützige Organisationen kein Hexenwerk. Wer die KI-Inventur jetzt macht und bis Sommer 2026 eine Kennzeichnungs-Konvention etabliert, hat die wichtigsten Pflichten ohne Stress abgedeckt. Und nebenbei wahrscheinlich bessere Texte, bessere Bilder und weniger böse Überraschungen.
Quellen und weiterführende Stellen
Stand dieses Beitrags: Mai 2026. Der AI Act wird laufend durch Leitlinien und Sekundärrechtsakte konkretisiert. Bei Detailfragen lohnt der Blick auf die offiziellen Stellen:
- EU-Kommission, Regulatory Framework on Artificial Intelligence: Verordnungstext, Fristen, Risiko-Kategorien
- KI-Servicestelle der RTR GmbH: zentrale Anlaufstelle für Österreich, kostenlose Erstauskünfte
- WKO, AI Act für Unternehmen: Informationsangebot für Mitgliedsbetriebe
