Drei Pflichten sind seit 2. Februar 2025 anwendbar: KI-Kompetenz im Team, acht verbotene Praktiken und gestaffelte Transparenzregeln. Die meisten KMU und gemeinnützige Organisationen sind formal schon in der Verantwortung.
Drei weitere Pflichten kommen am 2. August 2026: Kennzeichnung von Chatbots, KI-generierten Inhalten und automatisierten Texten zu öffentlichen Themen. Wer im Sommer 2026 anfängt, ist zu spät.
Nicht verschoben: Die Aufweichung der Verordnung im Frühjahr 2026 („Digital Omnibus") hat die strengen Hochrisiko-Regeln nach hinten geschoben, die Transparenz- und Kennzeichnungspflichten aus Artikel 50 aber ausdrücklich stehen gelassen. Sie gelten ab dem 2. August 2026. Der Bußgeldrahmen liegt bei bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.
Warum es jetzt schon relevant ist, nicht erst 2027
Kurz gesagt: Der EU AI Act betrifft die meisten KMU und gemeinnützige Organisationen bereits heute, nicht erst 2027. Seit Februar 2025 gilt die KI-Kompetenzpflicht für alle, die KI im Betrieb nutzen, und acht Praktiken sind EU-weit verboten. Ab August 2026 kommen Transparenzpflichten für Chatbots und KI-generierte Inhalte dazu.
Der häufigste Beratungsauftakt zum AI Act geht so: „Wir wollten uns das anschauen, wenn 2027 die Fristen kommen." Das ist gleich doppelt falsch. Erstens sind die meisten praxisrelevanten Pflichten bereits 2025 in Kraft getreten. Zweitens betrifft 2027 fast ausschließlich Hochrisiko-Systeme in regulierten Produkten: Maschinen, Medizingeräte, Spielzeug. Für klassische KMU und gemeinnützige Organisationen ist die wichtige Frist August 2026, und sie kommt schneller als gedacht.
Konkret: Seit 2. Februar 2025 gilt die KI-Kompetenzpflicht. Jede Organisation, die KI im Betrieb einsetzt, muss sicherstellen, dass die handelnden Personen Grundwissen über Funktionsweise und Risiken haben. Das gilt auch bei sporadischer Nutzung, etwa für ChatGPT bei Mail-Entwürfen. Ebenfalls seit Februar 2025 sind acht verbotene Praktiken EU-weit untersagt.
Wer heute KI nutzt und nichts dokumentiert hat, ist formal bereits in der Verantwortung. Die Schadensbilanz ist überschaubar, weil Behörden in den ersten Monaten kulant umgehen. Aber die Voraussetzung dafür, im Streitfall sauber dazustehen, ist nicht der Vorsatz, sondern eine knappe schriftliche Dokumentation. Wie die in einem halben Tag entsteht, zeigt der Abschnitt weiter unten.
Worum geht es beim AI Act?
Die Verordnung (EU) 2024/1689, kurz AI Act, ist die erste umfassende rechtliche Rahmenordnung für Künstliche Intelligenz weltweit. Sie wurde am 1. August 2024 wirksam und gilt unmittelbar in allen Mitgliedsstaaten. Anders als bei einer Richtlinie braucht Österreich kein eigenes Umsetzungsgesetz, die Vorschriften sind direkt anwendbar.
Das Grundprinzip ist einfach: Je größer das Schadenspotenzial eines KI-Systems, desto strenger die Pflichten. Ein Spamfilter wird anders behandelt als eine Software, die über Kreditvergaben entscheidet. Die Verordnung richtet sich an Anbieter, Betreiber, Importeure und Händler. Wer ChatGPT, Microsoft Copilot oder ein KI-basiertes Mail-Tool im eigenen Betrieb verwendet, ist Betreiber und damit zumindest teilweise erfasst.
Wichtig: Gemeinnützige Organisationen sind nicht ausgenommen. Der AI Act differenziert nach Risiko und Funktion, nicht nach Rechtsform oder Gemeinwohlstatus. Auch Ehrenamtliche und Honorarkräfte sind in der Kompetenzpflicht inbegriffen, sobald sie KI-Tools für die Organisation nutzen.
Die vier Risiko-Stufen
Der AI Act teilt KI-Anwendungen in vier Kategorien. Für die Einschätzung „Was muss ich tun?" ist die Stufe entscheidend, nicht die Branche.
| Stufe | Beispiele | Relevant für KMU/NPOs? |
|---|---|---|
| Inakzeptabel (verboten) | Social Scoring, Emotionserkennung am Arbeitsplatz, manipulative KI, biometrische Massenüberwachung | Nein, praktisch nicht |
| Hochrisiko | Bewerber-Vorauswahl, Bonitätsprüfung, KI in Medizinprodukten, kritische Infrastruktur | Selten. Achtung bei automatischem Bewerber-Screening |
| Transparenz-Risiko | Generative KI (ChatGPT, Bildgeneratoren), Chatbots, Deepfakes | Ja, hier landen die meisten |
| Minimales Risiko | Spamfilter, KI in Videospielen, einfache Empfehlungssysteme | Ja, der größte Anteil. Keine zusätzlichen Pflichten |
Inakzeptables Risiko: acht verbotene Praktiken
Seit 2. Februar 2025 EU-weit untersagt. Dazu zählen Social Scoring durch Behörden, Emotionserkennung in Arbeitsumgebungen und Schulen, manipulative KI mit erheblicher Verhaltensbeeinflussung, ungezieltes Sammeln von Gesichtsbildern aus dem Internet zum Aufbau von Datenbanken und biometrische Echtzeit-Fernidentifikation im öffentlichen Raum. Für nahezu alle KMU und gemeinnützige Organisationen ist diese Kategorie irrelevant.
Hochrisiko: strenge Pflichten, selten erreicht
Diese Stufe trifft KI, die Grundrechte oder Sicherheit erheblich berühren kann. Pflichten umfassen Risikomanagement, Datenqualität, Logging, menschliche Aufsicht und CE-Konformitätsbewertung. Für KMU und gemeinnützige Organisationen selten relevant. Wer aber Bewerber-Lebensläufe automatisch scort oder Kreditentscheidungen per KI trifft, sollte das prüfen.
Transparenz-Risiko: hier landen fast alle
Generative KI wie ChatGPT, Bildgeneratoren, Übersetzungs-KI und Chatbots fallen in diese Stufe. Ab 2. August 2026 gelten Kennzeichnungspflichten: Nutzer müssen erkennen können, dass sie mit einer Maschine kommunizieren. KI-generierte Bilder, Audio und Videos, die echt wirken könnten, sind als solche zu markieren. Auch automatisch erstellte Texte zu öffentlichen Themen brauchen einen Hinweis. Wer wissen will, wie KI-Sichtbarkeit gleichzeitig zur Marketing-Chance wird, findet Hinweise im Beitrag GEO: in ChatGPT und AI Overviews zitiert werden.
Minimales Risiko: der unauffällige Mehrheits-Fall
Spamfilter, KI in Videospielen, einfache Empfehlungssysteme, Rechtschreibhilfen. Keine spezifischen Pflichten. Wer als KMU oder gemeinnützige Organisation nur solche Anwendungen nutzt, ist im Wesentlichen nicht zusätzlich belastet. Die KI-Kompetenzpflicht greift trotzdem, sobald irgendein KI-Tool eingesetzt wird.
Zeitplan und Fristen
Die Verordnung greift gestaffelt, damit Unternehmen und Behörden Zeit für die Umsetzung haben. Zwei Stichtage sind für die meisten KMU und gemeinnützige Organisationen entscheidend.
| Stichtag | Was wirksam wird | Relevant für |
|---|---|---|
| 1. August 2024 | Inkrafttreten der Verordnung | Alle (formal) |
| 2. Februar 2025 | Verbotene Praktiken und KI-Kompetenzpflicht | Alle, die KI nutzen |
| 2. August 2025 | Pflichten für Anbieter von General-Purpose-AI (OpenAI, Anthropic), Governance und Sanktionen | KI-Anbieter, indirekt alle Nutzer |
| 2. August 2026 | Transparenz- und Kennzeichnungspflichten nach Artikel 50 (Chatbots, KI-Bilder und -Videos, KI-Texte zu öffentlichen Themen) | Alle mit Chatbots, KI-Texten, KI-Bildern |
| 2. Dezember 2026 | Wasserzeichen-Pflicht (Art. 50 Abs. 2) auch für KI-Systeme, die schon vor dem 2. August 2026 im Markt waren | Vor allem KI-Anbieter |
| 2. August 2027 / 2028 | Hochrisiko-KI in regulierten Produkten (Maschinen, Medizinprodukte, Spielzeug), durch den „Digital Omnibus" nach hinten verschoben | Hersteller, kaum Endanwender |
Wichtig für die Einordnung: Im Frühjahr 2026 haben sich die EU-Institutionen im sogenannten „Digital Omnibus" darauf geeinigt, große Teile der Verordnung nach hinten zu schieben, vor allem die strengen Hochrisiko-Regeln. Die Transparenzpflichten aus Artikel 50 wurden davon ausdrücklich ausgenommen. Sie gelten unverändert ab dem 2. August 2026. Eine einzige Ausnahme: für Systeme, die schon vor diesem Stichtag im Markt waren, greift die reine Wasserzeichen-Pflicht erst ab dem 2. Dezember 2026. Für eine kleine Organisation, die KI als Betreiberin nutzt, ändert das nichts am wichtigen Datum: 2. August 2026.
Was bedeutet das für KMU?
Ein typisches kleines Unternehmen in Österreich nutzt KI nicht in spezialisierten Produkten, sondern in Office, Marketing und Kundendienst. Diese Anwendungsfälle fallen meist in die Transparenz- oder die minimale Risikostufe. Praktisch heißt das vier Dinge.
KI-Kompetenz im Team aufbauen
Wer KI im Betrieb einsetzt, muss Mitarbeitenden ein Grundverständnis vermitteln. Das ist keine Zertifizierung, sondern eine dokumentierte Einweisung in Funktionsweise, Grenzen und typische Fehlerquellen der genutzten Werkzeuge. Eine schriftliche Kurzunterlage plus ein 30-Minuten-Briefing genügen in der Regel. Für tiefergehende Schulungen lohnt sich ein Blick auf unsere Workshops.
Chatbots auf der Webseite kennzeichnen
Wenn auf der Website ein automatisierter Assistent läuft, braucht es ab August 2026 einen klaren Hinweis, dass der Nutzer nicht mit einem Menschen schreibt. Eine kurze Einleitungsnachricht des Bots reicht in den meisten Fällen.
KI-generierte Inhalte markieren
Werbebilder aus Midjourney, Produkttexte aus ChatGPT, AI-Avatare in Videos: ab August 2026 sollten diese als KI-erzeugt erkennbar sein. Bei klassischen Marketingbildern reicht oft ein dezenter Hinweis in der Bildunterschrift. Wer KI als Erstentwurf nutzt und händisch finalisiert, hat mehr Spielraum.
Achtung bei Bewerberauswahl und Bonitätsprüfung
Wer KI für Lebenslauf-Scoring, automatisches Filtern von Bewerbungen oder Bonitätsentscheidungen einsetzt, kommt schnell in die Hochrisiko-Kategorie. Hier lohnt sich vor der Einführung eine rechtliche Einschätzung. Die Verordnung sieht für KMU vereinfachte Dokumentationspflichten und bevorzugten Zugang zu Reallaboren (Regulatory Sandboxes) vor.
Tipp: Schulungen und externe Beratung zum AI Act sind häufig förderfähig. WKO Coaching OÖ und KMU.DIGITAL bezuschussen unter bestimmten Voraussetzungen externe Beratungsleistungen, darunter auch KI-Compliance-Themen.
Was bedeutet das für gemeinnützige Organisationen?
Ein verbreiteter Irrtum: Gemeinnützige Organisationen seien als nicht-kommerzielle Akteure ausgenommen. Sie sind es nicht. Ein gemeinnütziger Verein, der mit ChatGPT Spendenaufrufe formuliert, ist genauso Betreiber wie ein produzierendes KMU. Das gilt für Vereine, Stiftungen, gGmbHs und Verbände gleichermaßen. Die gute Nachricht: Auch für gemeinnützige Organisationen gilt fast immer die niedrigste oder die Transparenzstufe.
Der Grund liegt in der eng gefassten Ausnahme: Befreit ist nur, wer KI als natürliche Person in einer ausschließlich persönlichen, nicht beruflichen Tätigkeit nutzt. Ein Verein ist eine juristische Person, kein Privatmensch. Wer als ehrenamtliche Person ein Plakat für den Verein gestaltet, handelt für den Verein, nicht privat. Damit ist der Verein Betreiber. Bei Texten kommt zusätzlich das Thema ins Spiel: Eine Einladung zum Vereinsfest oder eine Terminankündigung ist keine Information der Öffentlichkeit über ein Thema von öffentlichem Interesse, hier greift die Text-Kennzeichnung nicht. Anders, sobald sich ein Verein zu gesellschaftlichen oder lokalpolitischen Fragen äußert, etwa als Bürgerinitiative: Dann muss ein Mensch den Text inhaltlich prüfen und die redaktionelle Verantwortung tragen. Fotorealistische KI-Bilder und synthetische Stimmen sind davon unabhängig immer zu kennzeichnen.
Kompetenzpflicht umfasst Ehrenamtliche
Wenn freiwillige Helfer im Auftrag der Organisation ChatGPT, Canva-KI oder andere generative Tools nutzen, müssen auch sie eine grundlegende Einweisung bekommen. Eine schriftliche Kurzunterlage und ein internes Briefing reichen in der Regel. Das Vorstands-Protokoll sollte einmalig festhalten, wie die Einweisung erfolgt ist.
Fundraising-Texte und Spendenbriefe
KI-generierte Spendenbriefe, Newsletter-Inhalte oder Kampagnen-Visuals sind ab August 2026 zu kennzeichnen, wenn sie ungeprüft veröffentlicht werden. Wer KI als Erstentwurf nutzt und händisch finalisiert, bleibt flexibler. Bei Bildern reicht eine kleine Bildunterschrift, bei Newslettern ein dezenter Hinweis im Footer.
DSGVO bleibt davon getrennt
AI Act und DSGVO sind zwei separate Regelwerke. Ein KI-Tool kann AI-Act-konform sein und trotzdem DSGVO-Probleme verursachen, etwa wenn Klientendaten in einem US-Modell verarbeitet werden. Beide Regelwerke parallel prüfen. Wer ohnehin schon DSGVO-Dokumentation pflegt, kann den AI-Act-Teil dort anhängen.
Achtung: Für gemeinnützige Organisationen, die Google Ad Grants nutzen, bringt der AI Act keine zusätzliche Hürde. Google selbst verantwortet die Compliance seiner Werbeplattform. Wer aber Landingpage-Inhalte automatisch generieren lässt, sollte die Transparenzregeln im Blick behalten.
Drei häufige Irrtümer
Irrtum 1: „Wir nutzen nur ChatGPT, das betrifft uns nicht"
Doch. Sobald ein Tool für betriebliche Zwecke eingesetzt wird, gilt die Organisation als Betreiber. Die Kompetenzpflicht ist seit Februar 2025 anwendbar und greift auch bei sporadischer Nutzung. Privates Schreiben im Home-Office ist nicht erfasst, professionelle Inhalte sehr wohl. Wer einen einzigen ChatGPT-generierten Newsletter rausschickt, ist im Anwendungsbereich.
Irrtum 2: „Bis 2027 haben wir genug Zeit"
Die 2027-Frist betrifft fast ausschließlich Hochrisiko-Systeme, die in regulierte Produkte integriert sind. Für die große Mehrheit der KMU und gemeinnützige Organisationen sind zwei Stichtage relevant: Februar 2025 ist bereits vergangen (Kompetenz und Verbote), August 2026 kommt schneller als gedacht (Transparenz und Kennzeichnung).
Irrtum 3: „Die DSGVO regelt das doch schon"
Nein, die beiden Regelwerke ergänzen sich. Die DSGVO schützt personenbezogene Daten. Der AI Act adressiert Funktionsweise, Risiken und Transparenz von KI-Systemen unabhängig von den verarbeiteten Daten. Ein lokal laufendes Bildgenerierungs-Tool ohne Personenbezug ist DSGVO-irrelevant, aber sehr wohl AI-Act-relevant, sobald die Outputs öffentlich werden.
Was du diese Woche tun kannst
Die Pflichten klingen umfangreich, sind aber für die meisten Organisationen in einem halben Tag abgehakt. Fünf konkrete Schritte:
1. KI-Inventur machen
Welche KI-Tools werden tatsächlich genutzt? Office-365-Copilot, ChatGPT, Canva-Magic, DeepL, automatisierte Mail-Antworten, eingebettete Chatbots. Eine einfache Liste mit Tool, Zweck und Nutzerkreis reicht. Diese Inventur ist gleichzeitig die Basis für jedes weitere Dokument.
2. Kompetenz aufbauen und nachweisbar dokumentieren
Die Kompetenzpflicht hat drei Teile. Erstens identifizieren, wer welche KI nutzt und welches Wissen fehlt. Zweitens gezielt schulen und einweisen, von der Funktionsweise über typische Fehler wie Halluzinationen und Bias bis zu den Datenschutz-Grenzen. Drittens das Ganze dokumentieren, idealerweise mit einer Teilnahmebestätigung pro Person. Genau diese Bestätigung ist im Streitfall dein Nachweis gegenüber der Behörde.
Wer das nicht selbst aufsetzen will: Wir übernehmen die Bedarfsanalyse, die Schulung samt Einweisung und die prüffähige, nachvollziehbare Dokumentation mit Teilnahmebestätigung als Paket. Mehr dazu unter Workshops.
Hinweis: Das ist organisatorische Vorbereitung, keine Rechtsberatung. Die juristische Auslegung im Einzelfall übernimmt dein eigener Rechtsbeistand, etwa Rechtsanwalt oder WKO-Rechtsberatung.
3. Sensible Anwendungen extra prüfen
Bewerber-Screening, automatische Entscheidungen über Förderwürdigkeit, Bonitätsbewertung, biometrische Analyse: Hier vor dem Rollout eine externe Einschätzung einholen. Im Zweifelsfall die KI-Servicestelle der RTR kontaktieren. Die Anfrage ist kostenlos.
4. Kennzeichnungs-Logik bis August 2026 festlegen
Wo entstehen KI-generierte Inhalte für die Außenkommunikation? Wie werden sie markiert? Eine schlichte Konvention ist meist ausreichend, etwa ein Hinweis in der Bildunterschrift oder ein Vermerk in Newslettern. Im Zweifel lieber kennzeichnen als nicht. Für eine systematische Beratung dazu siehe Beratung & Strategie.
5. Verträge mit Dienstleistern klären
Arbeitest du mit einer Agentur, mit Freelancern oder einer Grafikerin zusammen? Dann klärt einmal, wer den KI-Einsatz offenlegt und wer die Kennzeichnung verantwortet. Als Betreiberin bleibt die Pflicht bei der Organisation, die veröffentlicht. Du musst also wissen, wo im gelieferten Material KI im Spiel war. Ein Satz in der Auftragsvereinbarung genügt.
Deine Checkliste bis 2. August 2026
- KI-Inventur: welche Tools erzeugen bei uns veröffentlichte Inhalte?
- KI-Kompetenz aufbauen und dokumentieren, mit Teilnahmebestätigung pro Person.
- Redaktionsprozess festhalten: wer prüft Texte inhaltlich, wer verantwortet die Veröffentlichung. Das sichert die Text-Ausnahme.
- Kennzeichnungs-Standard je Format festlegen: fotorealistische KI-Bilder ja, stilisierte Grafiken nein, Chatbot ja.
- Verträge mit Dienstleistern klären: wer legt KI-Einsatz offen, wer kennzeichnet.
Schluss: Der AI Act ist sperriger als nötig, aber für die meisten KMU und gemeinnützige Organisationen kein Hexenwerk. Wer die KI-Inventur jetzt macht und bis Sommer 2026 eine Kennzeichnungs-Konvention etabliert, hat die wichtigsten Pflichten ohne Stress abgedeckt. Und nebenbei wahrscheinlich bessere Texte, bessere Bilder und weniger böse Überraschungen.
Die offiziellen EU-Kennzeichnungs-Icons
Seit dem 10. Juni 2026 stellt die EU-Kommission einheitliche Icons zur Kennzeichnung KI-generierter Inhalte bereit. Sie sind kostenlos und ohne Namensnennung nutzbar und decken drei Fälle ab. Die Nutzung der Icons ist freiwillig, die Kennzeichnungspflicht selbst ist es nicht. Und ein Icon allein begründet keine Rechtskonformität: Entscheidend bleibt, dass die Kennzeichnung für Menschen klar sichtbar ist, direkt beim Inhalt, nicht versteckt im Alt-Text oder im Impressum.
Basis-Symbol
Zeigt an, dass KI am Inhalt beteiligt war.
Vollständig KI-generiert
Der Inhalt wurde komplett von KI erzeugt.
Per KI verändert
Ein bestehendes Foto oder Video wurde mit KI bearbeitet.
Für die meisten kleinen Betriebe sind zwei Fälle praktisch relevant. „AI GENERATED" gehört zu einem fotorealistischen KI-Bild, das eine echte Szene nur vortäuscht. „AI MODIFIED" gehört zu einem echten Foto, in das per KI etwas hineingerechnet wurde, etwa ein Produkt oder ein Schriftzug auf einem gehaltenen Objekt. Stilisierte Grafiken, Logos oder Diagramme brauchen kein Icon, weil hier keine Verwechslung mit der Realität droht. Zeigt eine Bildunterschrift wie „Bild KI-generiert" reicht ebenfalls, das Icon ist die visuelle Kurzform davon.
Zum Nachnutzen: Die drei Varianten gibt es als SVG und PNG, jeweils in Schwarz, Weiß und mit halber Transparenz, direkt bei der EU-Kommission unter EU icons for labelling AI-generated content. Die Badges oben sind eine Veranschaulichung, das verbindliche Original liegt bei der Kommission.
Quellen und weiterführende Stellen
Stand dieses Beitrags: Juli 2026. Der AI Act wird laufend durch Leitlinien und Sekundärrechtsakte konkretisiert. Bei Detailfragen lohnt der Blick auf die offiziellen Stellen:
- EU-Kommission, Regulatory Framework on Artificial Intelligence: Verordnungstext, Fristen, Risiko-Kategorien
- EU-Kommission, Icons zur Kennzeichnung KI-generierter Inhalte: die drei offiziellen Icon-Varianten zum kostenlosen Download
- KI-Servicestelle der RTR GmbH: zentrale Anlaufstelle für Österreich, kostenlose Erstauskünfte
- WKO, AI Act für Unternehmen: Informationsangebot für Mitgliedsbetriebe
Transparenzhinweis: Dieser Beitrag wurde KI-unterstützt erstellt und vor Veröffentlichung inhaltlich geprüft, überarbeitet und redaktionell verantwortet von Lukas Tröls, Digitalisierungswerkstatt.at.
Rechtlicher Hinweis: Recherchiert nach bestem Wissen (Stand Juli 2026), stellt jedoch keine Rechtsberatung dar. Die Leitlinien der EU-Kommission zu Artikel 50 sind teilweise noch in Finalisierung, Details können sich ändern. Für verbindliche Auskünfte zu deinem Fall wende dich an eine Rechtsanwältin oder die WKO-Rechtsberatung.