Blog EU AI Act für KMU und NPOs
Erstgespräch buchen

EU AI Act für KMU und gemeinnützige Organisationen

Der häufigste Gedanke zur KI-Verordnung der EU lautet „Das betrifft uns nicht". In den meisten Fällen ist das falsch. Gleichzeitig ist die Verordnung deutlich weniger dramatisch, als die Schlagzeilen vermuten lassen. Ab dem 2. August 2026 gilt die Kennzeichnungspflicht für KI-Inhalte nach Artikel 50, und die wurde trotz der jüngsten Aufweichungen ausdrücklich nicht verschoben. Was du seit Februar 2025 erfüllen musst, was am 2. August dazukommt, was du kennzeichnen musst und was ausdrücklich nicht.

27. Mai 2026, aktualisiert 16. Juli 2026 10 Min. Lesezeit Lukas Tröls

Drei Pflichten sind seit 2. Februar 2025 anwendbar: KI-Kompetenz im Team, acht verbotene Praktiken und gestaffelte Transparenzregeln. Die meisten KMU und gemeinnützige Organisationen sind formal schon in der Verantwortung.

Drei weitere Pflichten kommen am 2. August 2026: Kennzeichnung von Chatbots, KI-generierten Inhalten und automatisierten Texten zu öffentlichen Themen. Wer im Sommer 2026 anfängt, ist zu spät.

Nicht verschoben: Die Aufweichung der Verordnung im Frühjahr 2026 („Digital Omnibus") hat die strengen Hochrisiko-Regeln nach hinten geschoben, die Transparenz- und Kennzeichnungspflichten aus Artikel 50 aber ausdrücklich stehen gelassen. Sie gelten ab dem 2. August 2026. Der Bußgeldrahmen liegt bei bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.

Warum es jetzt schon relevant ist, nicht erst 2027

Kurz gesagt: Der EU AI Act betrifft die meisten KMU und gemeinnützige Organisationen bereits heute, nicht erst 2027. Seit Februar 2025 gilt die KI-Kompetenzpflicht für alle, die KI im Betrieb nutzen, und acht Praktiken sind EU-weit verboten. Ab August 2026 kommen Transparenzpflichten für Chatbots und KI-generierte Inhalte dazu.

Der häufigste Beratungsauftakt zum AI Act geht so: „Wir wollten uns das anschauen, wenn 2027 die Fristen kommen." Das ist gleich doppelt falsch. Erstens sind die meisten praxisrelevanten Pflichten bereits 2025 in Kraft getreten. Zweitens betrifft 2027 fast ausschließlich Hochrisiko-Systeme in regulierten Produkten: Maschinen, Medizingeräte, Spielzeug. Für klassische KMU und gemeinnützige Organisationen ist die wichtige Frist August 2026, und sie kommt schneller als gedacht.

Konkret: Seit 2. Februar 2025 gilt die KI-Kompetenzpflicht. Jede Organisation, die KI im Betrieb einsetzt, muss sicherstellen, dass die handelnden Personen Grundwissen über Funktionsweise und Risiken haben. Das gilt auch bei sporadischer Nutzung, etwa für ChatGPT bei Mail-Entwürfen. Ebenfalls seit Februar 2025 sind acht verbotene Praktiken EU-weit untersagt.

Wer heute KI nutzt und nichts dokumentiert hat, ist formal bereits in der Verantwortung. Die Schadensbilanz ist überschaubar, weil Behörden in den ersten Monaten kulant umgehen. Aber die Voraussetzung dafür, im Streitfall sauber dazustehen, ist nicht der Vorsatz, sondern eine knappe schriftliche Dokumentation. Wie die in einem halben Tag entsteht, zeigt der Abschnitt weiter unten.

Worum geht es beim AI Act?

Die Verordnung (EU) 2024/1689, kurz AI Act, ist die erste umfassende rechtliche Rahmenordnung für Künstliche Intelligenz weltweit. Sie wurde am 1. August 2024 wirksam und gilt unmittelbar in allen Mitgliedsstaaten. Anders als bei einer Richtlinie braucht Österreich kein eigenes Umsetzungsgesetz, die Vorschriften sind direkt anwendbar.

Das Grundprinzip ist einfach: Je größer das Schadenspotenzial eines KI-Systems, desto strenger die Pflichten. Ein Spamfilter wird anders behandelt als eine Software, die über Kreditvergaben entscheidet. Die Verordnung richtet sich an Anbieter, Betreiber, Importeure und Händler. Wer ChatGPT, Microsoft Copilot oder ein KI-basiertes Mail-Tool im eigenen Betrieb verwendet, ist Betreiber und damit zumindest teilweise erfasst.

Wichtig: Gemeinnützige Organisationen sind nicht ausgenommen. Der AI Act differenziert nach Risiko und Funktion, nicht nach Rechtsform oder Gemeinwohlstatus. Auch Ehrenamtliche und Honorarkräfte sind in der Kompetenzpflicht inbegriffen, sobald sie KI-Tools für die Organisation nutzen.

Die vier Risiko-Stufen

Der AI Act teilt KI-Anwendungen in vier Kategorien. Für die Einschätzung „Was muss ich tun?" ist die Stufe entscheidend, nicht die Branche.

StufeBeispieleRelevant für KMU/NPOs?
Inakzeptabel (verboten) Social Scoring, Emotionserkennung am Arbeitsplatz, manipulative KI, biometrische Massenüberwachung Nein, praktisch nicht
Hochrisiko Bewerber-Vorauswahl, Bonitätsprüfung, KI in Medizinprodukten, kritische Infrastruktur Selten. Achtung bei automatischem Bewerber-Screening
Transparenz-Risiko Generative KI (ChatGPT, Bildgeneratoren), Chatbots, Deepfakes Ja, hier landen die meisten
Minimales Risiko Spamfilter, KI in Videospielen, einfache Empfehlungssysteme Ja, der größte Anteil. Keine zusätzlichen Pflichten

Inakzeptables Risiko: acht verbotene Praktiken

Seit 2. Februar 2025 EU-weit untersagt. Dazu zählen Social Scoring durch Behörden, Emotionserkennung in Arbeitsumgebungen und Schulen, manipulative KI mit erheblicher Verhaltensbeeinflussung, ungezieltes Sammeln von Gesichtsbildern aus dem Internet zum Aufbau von Datenbanken und biometrische Echtzeit-Fernidentifikation im öffentlichen Raum. Für nahezu alle KMU und gemeinnützige Organisationen ist diese Kategorie irrelevant.

Hochrisiko: strenge Pflichten, selten erreicht

Diese Stufe trifft KI, die Grundrechte oder Sicherheit erheblich berühren kann. Pflichten umfassen Risikomanagement, Datenqualität, Logging, menschliche Aufsicht und CE-Konformitätsbewertung. Für KMU und gemeinnützige Organisationen selten relevant. Wer aber Bewerber-Lebensläufe automatisch scort oder Kreditentscheidungen per KI trifft, sollte das prüfen.

Transparenz-Risiko: hier landen fast alle

Generative KI wie ChatGPT, Bildgeneratoren, Übersetzungs-KI und Chatbots fallen in diese Stufe. Ab 2. August 2026 gelten Kennzeichnungspflichten: Nutzer müssen erkennen können, dass sie mit einer Maschine kommunizieren. KI-generierte Bilder, Audio und Videos, die echt wirken könnten, sind als solche zu markieren. Auch automatisch erstellte Texte zu öffentlichen Themen brauchen einen Hinweis. Wer wissen will, wie KI-Sichtbarkeit gleichzeitig zur Marketing-Chance wird, findet Hinweise im Beitrag GEO: in ChatGPT und AI Overviews zitiert werden.

Minimales Risiko: der unauffällige Mehrheits-Fall

Spamfilter, KI in Videospielen, einfache Empfehlungssysteme, Rechtschreibhilfen. Keine spezifischen Pflichten. Wer als KMU oder gemeinnützige Organisation nur solche Anwendungen nutzt, ist im Wesentlichen nicht zusätzlich belastet. Die KI-Kompetenzpflicht greift trotzdem, sobald irgendein KI-Tool eingesetzt wird.

Zeitplan und Fristen

Die Verordnung greift gestaffelt, damit Unternehmen und Behörden Zeit für die Umsetzung haben. Zwei Stichtage sind für die meisten KMU und gemeinnützige Organisationen entscheidend.

StichtagWas wirksam wirdRelevant für
1. August 2024Inkrafttreten der VerordnungAlle (formal)
2. Februar 2025Verbotene Praktiken und KI-KompetenzpflichtAlle, die KI nutzen
2. August 2025Pflichten für Anbieter von General-Purpose-AI (OpenAI, Anthropic), Governance und SanktionenKI-Anbieter, indirekt alle Nutzer
2. August 2026Transparenz- und Kennzeichnungspflichten nach Artikel 50 (Chatbots, KI-Bilder und -Videos, KI-Texte zu öffentlichen Themen)Alle mit Chatbots, KI-Texten, KI-Bildern
2. Dezember 2026Wasserzeichen-Pflicht (Art. 50 Abs. 2) auch für KI-Systeme, die schon vor dem 2. August 2026 im Markt warenVor allem KI-Anbieter
2. August 2027 / 2028Hochrisiko-KI in regulierten Produkten (Maschinen, Medizinprodukte, Spielzeug), durch den „Digital Omnibus" nach hinten verschobenHersteller, kaum Endanwender

Wichtig für die Einordnung: Im Frühjahr 2026 haben sich die EU-Institutionen im sogenannten „Digital Omnibus" darauf geeinigt, große Teile der Verordnung nach hinten zu schieben, vor allem die strengen Hochrisiko-Regeln. Die Transparenzpflichten aus Artikel 50 wurden davon ausdrücklich ausgenommen. Sie gelten unverändert ab dem 2. August 2026. Eine einzige Ausnahme: für Systeme, die schon vor diesem Stichtag im Markt waren, greift die reine Wasserzeichen-Pflicht erst ab dem 2. Dezember 2026. Für eine kleine Organisation, die KI als Betreiberin nutzt, ändert das nichts am wichtigen Datum: 2. August 2026.

Was bedeutet das für KMU?

Ein typisches kleines Unternehmen in Österreich nutzt KI nicht in spezialisierten Produkten, sondern in Office, Marketing und Kundendienst. Diese Anwendungsfälle fallen meist in die Transparenz- oder die minimale Risikostufe. Praktisch heißt das vier Dinge.

KI-Kompetenz im Team aufbauen

Wer KI im Betrieb einsetzt, muss Mitarbeitenden ein Grundverständnis vermitteln. Das ist keine Zertifizierung, sondern eine dokumentierte Einweisung in Funktionsweise, Grenzen und typische Fehlerquellen der genutzten Werkzeuge. Eine schriftliche Kurzunterlage plus ein 30-Minuten-Briefing genügen in der Regel. Für tiefergehende Schulungen lohnt sich ein Blick auf unsere Workshops.

Chatbots auf der Webseite kennzeichnen

Wenn auf der Website ein automatisierter Assistent läuft, braucht es ab August 2026 einen klaren Hinweis, dass der Nutzer nicht mit einem Menschen schreibt. Eine kurze Einleitungsnachricht des Bots reicht in den meisten Fällen.

KI-generierte Inhalte markieren

Werbebilder aus Midjourney, Produkttexte aus ChatGPT, AI-Avatare in Videos: ab August 2026 sollten diese als KI-erzeugt erkennbar sein. Bei klassischen Marketingbildern reicht oft ein dezenter Hinweis in der Bildunterschrift. Wer KI als Erstentwurf nutzt und händisch finalisiert, hat mehr Spielraum.

Achtung bei Bewerberauswahl und Bonitätsprüfung

Wer KI für Lebenslauf-Scoring, automatisches Filtern von Bewerbungen oder Bonitätsentscheidungen einsetzt, kommt schnell in die Hochrisiko-Kategorie. Hier lohnt sich vor der Einführung eine rechtliche Einschätzung. Die Verordnung sieht für KMU vereinfachte Dokumentationspflichten und bevorzugten Zugang zu Reallaboren (Regulatory Sandboxes) vor.

Tipp: Schulungen und externe Beratung zum AI Act sind häufig förderfähig. WKO Coaching OÖ und KMU.DIGITAL bezuschussen unter bestimmten Voraussetzungen externe Beratungsleistungen, darunter auch KI-Compliance-Themen.

Was bedeutet das für gemeinnützige Organisationen?

Ein verbreiteter Irrtum: Gemeinnützige Organisationen seien als nicht-kommerzielle Akteure ausgenommen. Sie sind es nicht. Ein gemeinnütziger Verein, der mit ChatGPT Spendenaufrufe formuliert, ist genauso Betreiber wie ein produzierendes KMU. Das gilt für Vereine, Stiftungen, gGmbHs und Verbände gleichermaßen. Die gute Nachricht: Auch für gemeinnützige Organisationen gilt fast immer die niedrigste oder die Transparenzstufe.

Der Grund liegt in der eng gefassten Ausnahme: Befreit ist nur, wer KI als natürliche Person in einer ausschließlich persönlichen, nicht beruflichen Tätigkeit nutzt. Ein Verein ist eine juristische Person, kein Privatmensch. Wer als ehrenamtliche Person ein Plakat für den Verein gestaltet, handelt für den Verein, nicht privat. Damit ist der Verein Betreiber. Bei Texten kommt zusätzlich das Thema ins Spiel: Eine Einladung zum Vereinsfest oder eine Terminankündigung ist keine Information der Öffentlichkeit über ein Thema von öffentlichem Interesse, hier greift die Text-Kennzeichnung nicht. Anders, sobald sich ein Verein zu gesellschaftlichen oder lokalpolitischen Fragen äußert, etwa als Bürgerinitiative: Dann muss ein Mensch den Text inhaltlich prüfen und die redaktionelle Verantwortung tragen. Fotorealistische KI-Bilder und synthetische Stimmen sind davon unabhängig immer zu kennzeichnen.

Kompetenzpflicht umfasst Ehrenamtliche

Wenn freiwillige Helfer im Auftrag der Organisation ChatGPT, Canva-KI oder andere generative Tools nutzen, müssen auch sie eine grundlegende Einweisung bekommen. Eine schriftliche Kurzunterlage und ein internes Briefing reichen in der Regel. Das Vorstands-Protokoll sollte einmalig festhalten, wie die Einweisung erfolgt ist.

Fundraising-Texte und Spendenbriefe

KI-generierte Spendenbriefe, Newsletter-Inhalte oder Kampagnen-Visuals sind ab August 2026 zu kennzeichnen, wenn sie ungeprüft veröffentlicht werden. Wer KI als Erstentwurf nutzt und händisch finalisiert, bleibt flexibler. Bei Bildern reicht eine kleine Bildunterschrift, bei Newslettern ein dezenter Hinweis im Footer.

DSGVO bleibt davon getrennt

AI Act und DSGVO sind zwei separate Regelwerke. Ein KI-Tool kann AI-Act-konform sein und trotzdem DSGVO-Probleme verursachen, etwa wenn Klientendaten in einem US-Modell verarbeitet werden. Beide Regelwerke parallel prüfen. Wer ohnehin schon DSGVO-Dokumentation pflegt, kann den AI-Act-Teil dort anhängen.

Achtung: Für gemeinnützige Organisationen, die Google Ad Grants nutzen, bringt der AI Act keine zusätzliche Hürde. Google selbst verantwortet die Compliance seiner Werbeplattform. Wer aber Landingpage-Inhalte automatisch generieren lässt, sollte die Transparenzregeln im Blick behalten.

Drei häufige Irrtümer

Irrtum 1: „Wir nutzen nur ChatGPT, das betrifft uns nicht"

Doch. Sobald ein Tool für betriebliche Zwecke eingesetzt wird, gilt die Organisation als Betreiber. Die Kompetenzpflicht ist seit Februar 2025 anwendbar und greift auch bei sporadischer Nutzung. Privates Schreiben im Home-Office ist nicht erfasst, professionelle Inhalte sehr wohl. Wer einen einzigen ChatGPT-generierten Newsletter rausschickt, ist im Anwendungsbereich.

Irrtum 2: „Bis 2027 haben wir genug Zeit"

Die 2027-Frist betrifft fast ausschließlich Hochrisiko-Systeme, die in regulierte Produkte integriert sind. Für die große Mehrheit der KMU und gemeinnützige Organisationen sind zwei Stichtage relevant: Februar 2025 ist bereits vergangen (Kompetenz und Verbote), August 2026 kommt schneller als gedacht (Transparenz und Kennzeichnung).

Irrtum 3: „Die DSGVO regelt das doch schon"

Nein, die beiden Regelwerke ergänzen sich. Die DSGVO schützt personenbezogene Daten. Der AI Act adressiert Funktionsweise, Risiken und Transparenz von KI-Systemen unabhängig von den verarbeiteten Daten. Ein lokal laufendes Bildgenerierungs-Tool ohne Personenbezug ist DSGVO-irrelevant, aber sehr wohl AI-Act-relevant, sobald die Outputs öffentlich werden.

Was du diese Woche tun kannst

Die Pflichten klingen umfangreich, sind aber für die meisten Organisationen in einem halben Tag abgehakt. Fünf konkrete Schritte:

1. KI-Inventur machen

Welche KI-Tools werden tatsächlich genutzt? Office-365-Copilot, ChatGPT, Canva-Magic, DeepL, automatisierte Mail-Antworten, eingebettete Chatbots. Eine einfache Liste mit Tool, Zweck und Nutzerkreis reicht. Diese Inventur ist gleichzeitig die Basis für jedes weitere Dokument.

2. Kompetenz aufbauen und nachweisbar dokumentieren

Die Kompetenzpflicht hat drei Teile. Erstens identifizieren, wer welche KI nutzt und welches Wissen fehlt. Zweitens gezielt schulen und einweisen, von der Funktionsweise über typische Fehler wie Halluzinationen und Bias bis zu den Datenschutz-Grenzen. Drittens das Ganze dokumentieren, idealerweise mit einer Teilnahmebestätigung pro Person. Genau diese Bestätigung ist im Streitfall dein Nachweis gegenüber der Behörde.

Wer das nicht selbst aufsetzen will: Wir übernehmen die Bedarfsanalyse, die Schulung samt Einweisung und die prüffähige, nachvollziehbare Dokumentation mit Teilnahmebestätigung als Paket. Mehr dazu unter Workshops.

Hinweis: Das ist organisatorische Vorbereitung, keine Rechtsberatung. Die juristische Auslegung im Einzelfall übernimmt dein eigener Rechtsbeistand, etwa Rechtsanwalt oder WKO-Rechtsberatung.

3. Sensible Anwendungen extra prüfen

Bewerber-Screening, automatische Entscheidungen über Förderwürdigkeit, Bonitätsbewertung, biometrische Analyse: Hier vor dem Rollout eine externe Einschätzung einholen. Im Zweifelsfall die KI-Servicestelle der RTR kontaktieren. Die Anfrage ist kostenlos.

4. Kennzeichnungs-Logik bis August 2026 festlegen

Wo entstehen KI-generierte Inhalte für die Außenkommunikation? Wie werden sie markiert? Eine schlichte Konvention ist meist ausreichend, etwa ein Hinweis in der Bildunterschrift oder ein Vermerk in Newslettern. Im Zweifel lieber kennzeichnen als nicht. Für eine systematische Beratung dazu siehe Beratung & Strategie.

5. Verträge mit Dienstleistern klären

Arbeitest du mit einer Agentur, mit Freelancern oder einer Grafikerin zusammen? Dann klärt einmal, wer den KI-Einsatz offenlegt und wer die Kennzeichnung verantwortet. Als Betreiberin bleibt die Pflicht bei der Organisation, die veröffentlicht. Du musst also wissen, wo im gelieferten Material KI im Spiel war. Ein Satz in der Auftragsvereinbarung genügt.

Deine Checkliste bis 2. August 2026

  • KI-Inventur: welche Tools erzeugen bei uns veröffentlichte Inhalte?
  • KI-Kompetenz aufbauen und dokumentieren, mit Teilnahmebestätigung pro Person.
  • Redaktionsprozess festhalten: wer prüft Texte inhaltlich, wer verantwortet die Veröffentlichung. Das sichert die Text-Ausnahme.
  • Kennzeichnungs-Standard je Format festlegen: fotorealistische KI-Bilder ja, stilisierte Grafiken nein, Chatbot ja.
  • Verträge mit Dienstleistern klären: wer legt KI-Einsatz offen, wer kennzeichnet.

Schluss: Der AI Act ist sperriger als nötig, aber für die meisten KMU und gemeinnützige Organisationen kein Hexenwerk. Wer die KI-Inventur jetzt macht und bis Sommer 2026 eine Kennzeichnungs-Konvention etabliert, hat die wichtigsten Pflichten ohne Stress abgedeckt. Und nebenbei wahrscheinlich bessere Texte, bessere Bilder und weniger böse Überraschungen.

Die offiziellen EU-Kennzeichnungs-Icons

Seit dem 10. Juni 2026 stellt die EU-Kommission einheitliche Icons zur Kennzeichnung KI-generierter Inhalte bereit. Sie sind kostenlos und ohne Namensnennung nutzbar und decken drei Fälle ab. Die Nutzung der Icons ist freiwillig, die Kennzeichnungspflicht selbst ist es nicht. Und ein Icon allein begründet keine Rechtskonformität: Entscheidend bleibt, dass die Kennzeichnung für Menschen klar sichtbar ist, direkt beim Inhalt, nicht versteckt im Alt-Text oder im Impressum.

AI

Basis-Symbol

Zeigt an, dass KI am Inhalt beteiligt war.

AI GENERATED

Vollständig KI-generiert

Der Inhalt wurde komplett von KI erzeugt.

AI MODIFIED

Per KI verändert

Ein bestehendes Foto oder Video wurde mit KI bearbeitet.

Für die meisten kleinen Betriebe sind zwei Fälle praktisch relevant. „AI GENERATED" gehört zu einem fotorealistischen KI-Bild, das eine echte Szene nur vortäuscht. „AI MODIFIED" gehört zu einem echten Foto, in das per KI etwas hineingerechnet wurde, etwa ein Produkt oder ein Schriftzug auf einem gehaltenen Objekt. Stilisierte Grafiken, Logos oder Diagramme brauchen kein Icon, weil hier keine Verwechslung mit der Realität droht. Zeigt eine Bildunterschrift wie „Bild KI-generiert" reicht ebenfalls, das Icon ist die visuelle Kurzform davon.

Zum Nachnutzen: Die drei Varianten gibt es als SVG und PNG, jeweils in Schwarz, Weiß und mit halber Transparenz, direkt bei der EU-Kommission unter EU icons for labelling AI-generated content. Die Badges oben sind eine Veranschaulichung, das verbindliche Original liegt bei der Kommission.

Quellen und weiterführende Stellen

Stand dieses Beitrags: Juli 2026. Der AI Act wird laufend durch Leitlinien und Sekundärrechtsakte konkretisiert. Bei Detailfragen lohnt der Blick auf die offiziellen Stellen:

Transparenzhinweis: Dieser Beitrag wurde KI-unterstützt erstellt und vor Veröffentlichung inhaltlich geprüft, überarbeitet und redaktionell verantwortet von Lukas Tröls, Digitalisierungswerkstatt.at.
Rechtlicher Hinweis: Recherchiert nach bestem Wissen (Stand Juli 2026), stellt jedoch keine Rechtsberatung dar. Die Leitlinien der EU-Kommission zu Artikel 50 sind teilweise noch in Finalisierung, Details können sich ändern. Für verbindliche Auskünfte zu deinem Fall wende dich an eine Rechtsanwältin oder die WKO-Rechtsberatung.

Lukas Tröls, Berater für digitales Marketing

Lukas Tröls

Inhaber & Berater für digitales Marketing

Lukas begleitet KMU und gemeinnützige Organisationen in Österreich bei der digitalen Aufstellung. Beim AI Act unterstützt er bei der schlanken Kompetenz-Dokumentation, der Inventur eingesetzter Tools und der Erstellung verständlicher interner Richtlinien ohne Compliance-Theatralik.

Auf LinkedIn verbinden
Häufige Fragen

Fragen zum EU AI Act für KMU und NPOs

Ja. Der AI Act unterscheidet nach Risiko und Funktion, nicht nach Rechtsform oder Gemeinwohlstatus. Vereine, Stiftungen und gGmbHs, die KI-Werkzeuge wie ChatGPT oder Canva-KI im operativen Betrieb einsetzen, gelten als Betreiber und müssen seit Februar 2025 KI-Kompetenz im Team sicherstellen. Das gilt auch für ehrenamtliche Helfer.
Die Verordnung verlangt kein Zertifikat. Erwartet wird dokumentierte Grundkenntnis über Funktionsweise, typische Fehler, Datenschutz-Implikationen und Quellenprüfung der eingesetzten Tools. In der Praxis genügen eine schriftliche Kurzunterlage und ein internes Briefing für alle, die KI im Betrieb nutzen.
Ab 2. August 2026 ja, wenn der Text ungeprüft veröffentlicht wird und Aussagen über die Wirklichkeit macht. Wer KI als Erstentwurf nutzt und händisch redigiert, hat mehr Spielraum. Für Chatbots, Deepfakes und automatisierte Nachrichtenbeiträge ist die Kennzeichnung in jedem Fall verpflichtend.
Bei verbotenen Praktiken bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Bei anderen Verstößen bis zu 15 Millionen Euro oder 3 Prozent. Die Verordnung enthält ausdrücklich eine Verhältnismäßigkeits-Klausel für KMU, die Größe und wirtschaftliche Lage bei der Strafzumessung berücksichtigt.
Die KI-Servicestelle bei der RTR GmbH ist die zentrale Anlaufstelle für Österreich. Sie wurde Anfang 2024 eingerichtet und stellt Informationen und Erstauskünfte bereit. Die EU-Kommission betreibt zusätzlich einen AI Act Service Desk mit Leitlinien. Die WKO bietet ein eigenes Informationsangebot für Mitgliedsbetriebe.
Jetzt. Die Kompetenzpflicht ist seit 2. Februar 2025 anwendbar. Die Transparenzpflichten greifen ab 2. August 2026, also weniger als 15 Monate Vorlauf. Die häufigste Falle ist, bis zur Frist zu warten und dann unter Zeitdruck pauschale Lösungen einzukaufen. Eine eigene schlanke Konvention ist meist robuster.
Acht Praktiken sind seit Februar 2025 EU-weit untersagt, darunter Social Scoring durch Behörden, Emotionserkennung am Arbeitsplatz und in Schulen, manipulative KI mit erheblicher Verhaltensbeeinflussung, ungezieltes Sammeln von Gesichtsbildern aus dem Internet und biometrische Echtzeit-Fernidentifikation im öffentlichen Raum. Für klassische KMU und gemeinnützige Organisationen ist diese Kategorie praktisch nie relevant.
Die Pflicht verlangt kein teures Zertifikat. Eine schriftliche Kurzunterlage plus internes Briefing lässt sich in einem halben Tag erstellen. Wer externe Beratung einkauft, kann diese häufig über WKO Coaching OÖ oder KMU.DIGITAL fördern lassen. Die eigentlichen Kosten liegen meist im internen Zeitaufwand, nicht in Lizenzgebühren.
Nein. Der Digital Omnibus vom Frühjahr 2026 hat die strengen Hochrisiko-Regeln auf 2027 und 2028 verschoben, die Transparenz- und Kennzeichnungspflichten aus Artikel 50 aber ausdrücklich stehen gelassen. Sie gelten ab dem 2. August 2026. Nur die reine Wasserzeichen-Pflicht für Systeme, die schon vorher im Markt waren, startet vier Monate später, am 2. Dezember 2026.
Weiterlesen

Das könnte dich auch interessieren

Beratung & Strategie

Digital Readiness Check, Tool-Inventur und schlanke interne Richtlinien. Wir bringen Ordnung in eure KI-Landschaft.

Mehr zur Beratung

GEO: in ChatGPT und AI Overviews zitiert werden

Wie du deine Inhalte so aufbaust, dass generative KI-Systeme sie als Quelle erkennen und zitieren.

Artikel lesen

Förderberatung

WKO Coaching OÖ, KMU.DIGITAL und weitere Schienen für Beratung, Digitalisierung und Schulungen.

Förderungen prüfen
Bereit?

KI-Inventur jetzt machen, August 2026 ohne Stress hinter sich bringen.

In 30 Minuten klären wir, welche KI-Tools eure Organisation einsetzt, welche Pflichten daraus folgen und wie die schlanke Dokumentation aussieht. Ohne Buzzwords, ohne überflüssige Compliance-Theatralik.