Der EU AI Act ist da: Was KMU in Vorarlberg jetzt tun müssen

Der EU AI Act ist da: Was KMU in Vorarlberg jetzt tun müssen

KI-Strategie & Management
August 29, 202512 min read

Der Europäische AI Act ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Nach der Verabschiedung durch das EU-Parlament am 13. März 2024 und der Veröffentlichung im Amtsblatt der Europäischen Union am 12. Juli 2024, ist das Gesetz am 1. August 2024 in Kraft getreten. Damit beginnt eine gestaffelte Übergangsphase, die für Unternehmen – und insbesondere für kleine und mittlere Unternehmen (KMU) in Vorarlberg – unmittelbaren Handlungsbedarf schafft.

Dieses Regelwerk betrifft nicht nur globale Technologiekonzerne, sondern jedes Unternehmen, das KI-Systeme entwickelt, anbietet oder in seinen Geschäftsprozessen einsetzt. Das zentrale Prinzip des Gesetzes ist ein risikobasierter Ansatz: Je höher das potenzielle Risiko eines KI-Systems für die Gesundheit, die Sicherheit oder die Grundrechte von Personen, desto strenger sind die regulatorischen Auflagen. Dies bedeutet, dass die meisten alltäglichen KI-Anwendungen, wie beispielsweise ein einfacher Spam-Filter, von den strengsten Vorschriften ausgenommen sind, während sensible Systeme, wie sie im Personalwesen oder in sicherheitsrelevanten Infrastrukturen zum Einsatz kommen, umfassend reguliert werden.

Dieser Artikel dient als praxisorientierter Leitfaden, der KMU in Vorarlberg dabei unterstützt, die neuen Vorschriften zu verstehen und proaktiv die notwendigen Schritte zur Einhaltung der gesetzlichen Vorgaben einzuleiten. Dabei werden nicht nur die drohenden Risiken bei Nichteinhaltung aufgezeigt, sondern auch die für KMU vorgesehenen Erleichterungen sowie die verfügbaren Unterstützungsangebote in Österreich beleuchtet.

Der EU AI Act: Warum er nicht nur für Tech-Giganten relevant ist

Der AI Act ist mehr als nur ein weiteres Gesetz; er ist ein grundlegender Bestandteil der digitalen Strategie der Europäischen Union. Als EU-Verordnung ist er unmittelbar und ohne weitere nationale Umsetzungsgesetze in allen Mitgliedsstaaten, also auch in Österreich, anwendbar. Dies verschafft allen Marktteilnehmern in der EU Rechts- und Planungssicherheit und fördert gleichzeitig die Entwicklung vertrauenswürdiger, auf den Menschen ausgerichteter KI-Systeme.

Das Gesetz ergänzt bestehende rechtliche Rahmenwerke wie

  • die Datenschutz-Grundverordnung (DSGVO) und

  • den Digital Services Act (DSA).

Für viele Unternehmen in Vorarlberg, die bereits robuste Governance- und Compliance-Strukturen im Bereich des Datenschutzes aufgebaut haben, kann dies als Vorteil betrachtet werden. Der AI Act baut auf diesen Fundamenten auf und erweitert sie um spezifische Anforderungen für KI-Technologien. Die Auseinandersetzung mit dem AI Act sollte somit nicht als isolierte, überwältigende Aufgabe betrachtet werden, sondern als eine logische Fortführung der bereits bestehenden digitalen Compliance-Bemühungen. Dies macht das Unterfangen strategisch handhabbar und vermeidet unnötige Doppelarbeit.

Das Herzstück des Gesetzes ist sein risikobasierter Ansatz. Dieser ermöglicht es, die Regulierung auf jene Anwendungsfälle zu konzentrieren, die das größte Gefahrenpotenzial bergen, während die meisten alltäglichen KI-Systeme von den strengsten Auflagen ausgenommen bleiben. Die Regulierung ist somit gezielt und verhältnismäßig, was für die Innovationskraft kleinerer Unternehmen entscheidend ist.

Die Grundfeste: Die 4 Risikokategorien im Überblick

Um die eigenen Verpflichtungen zu ermitteln, ist der erste Schritt für jedes Unternehmen in Vorarlberg, die von ihm genutzten oder angebotenen KI-Systeme in die vier Risikokategorien des EU AI Acts einzuordnen.

  • Inakzeptables Risiko (Unacceptable Risk): KI-Systeme, die ein klares und inakzeptables Risiko für die Sicherheit, die Lebensgrundlagen und die Grundrechte von Menschen darstellen, sind strikt verboten. Der Einsatz solcher Systeme kann zu den höchsten Bußgeldern führen. Beispiele für diese verbotenen Praktiken sind staatlich betriebenes "Social Scoring", das Personen basierend auf ihrem Verhalten bewertet, das ungezielte Auslesen von Gesichtern aus dem Internet zur Erstellung von Datenbanken oder die Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen.

  • Hohes Risiko (High Risk): Diese Systeme können ernsthafte Risiken für Gesundheit, Sicherheit oder Grundrechte darstellen und unterliegen daher den strengsten Auflagen. Die hierfür geltenden Pflichten sind umfangreich und betreffen sowohl Anbieter als auch Betreiber. Für KMU sind insbesondere Systeme in den folgenden Bereichen relevant:

  • Personalwesen, wie KI-gestützte Tools zum Scannen und Filtern von Lebensläufen oder zur Bewertung von Bewerbern.

  • Kritische Infrastrukturen, deren Ausfall Leben und Gesundheit gefährden könnte, beispielsweise in der Verkehrs- oder Energieversorgung.

  • Bildungseinrichtungen, wie Systeme, die über den Zugang zur Bildung oder das berufliche Leben entscheiden können.

  • Finanzwesen, wie Kredit-Scoring-Anwendungen, die den Zugang zu wesentlichen Dienstleistungen beeinflussen.

  • Begrenztes Risiko (Limited Risk): Bei diesen Systemen liegt der Fokus auf der Transparenz. Die einzige Verpflichtung besteht darin, die Nutzer darüber zu informieren, dass sie mit einem KI-System interagieren, damit diese eine fundierte Entscheidung treffen können. Typische Beispiele hierfür sind Chatbots oder Systeme zur Erstellung von Deepfakes. Anbieter generativer KI müssen sicherstellen, dass KI-generierte Inhalte als solche erkennbar sind.

  • Minimales oder kein Risiko (Minimal or No Risk): Die überwiegende Mehrheit der im Geschäftsalltag genutzten KI-Anwendungen, die weder verboten noch als risikoreich eingestuft werden, fällt in diese Kategorie. Für sie gelten keine spezifischen rechtlichen Verpflichtungen im Rahmen des AI Acts. Dazu gehören beispielsweise Spam-Filter, Empfehlungssysteme in Onlineshops oder Tools für die Verwaltung interner Abläufe wie die Lagerverwaltung oder Buchhaltung.

Eine entscheidende Frage: Bin ich Anbieter oder Betreiber von KI?

Die Pflichten aus dem AI Act unterscheiden sich fundamental, je nachdem, ob ein Unternehmen die Rolle eines „Anbieters“ oder eines „Betreibers“ einnimmt. Ein klares Verständnis dieser Rollen ist für KMU in Vorarlberg unerlässlich, um die eigenen Verpflichtungen richtig einzuschätzen.

  • Anbieter (Provider): Ein Anbieter ist jede natürliche oder juristische Person, die ein KI-System unter ihrem eigenen Namen oder ihrer Marke entwickelt und auf den Markt bringt oder in Betrieb nimmt. Anbieter von Hochrisiko-KI-Systemen haben die weitreichendsten Pflichten, einschließlich der Etablierung eines Qualitätsmanagementsystems, der Erstellung technischer Dokumentationen und der Durchführung einer Konformitätsbewertung.

  • Betreiber (Deployer): Ein Betreiber ist jede natürliche oder juristische Person, die ein KI-System im Rahmen ihrer beruflichen Tätigkeit nutzt. Dies trifft auf die meisten KMU zu, die standardmäßige KI-Anwendungen von Drittanbietern einsetzen. Die Pflichten der Betreiber sind im Vergleich zu den Anbietern weniger umfangreich, konzentrieren sich aber auf die korrekte und sichere Nutzung des Systems.

Eine der größten Fallstricke für KMU ist das unbeabsichtigte Eingehen der Anbieterrolle. Ein Unternehmen, das ein Hochrisiko-KI-System kauft und nutzt (also als Betreiber agiert), kann selbst zum Anbieter werden, wenn es das System wesentlich modifiziert oder dessen ursprünglichen Verwendungszweck ändert. Eine solche „wesentliche Änderung“ könnte beispielsweise die technische Modifikation von Systemkomponenten oder die Nutzung des Systems für einen anderen, sensibleren Anwendungsfall sein, als vom Hersteller vorgesehen. Dies würde die Übernahme aller umfangreichen Anbieterpflichten nach sich ziehen, was für ein kleines Unternehmen finanziell und personell eine erhebliche Belastung darstellen kann.

Um diese Unterscheidung zu verdeutlichen, fasst die folgende Tabelle die Hauptmerkmale und Pflichten beider Rollen zusammen:

Benutzerdefiniert HTML/CSS/ JAVASCRIPT

Ihr Aktionsplan: Die gestaffelten Fristen und was sie bedeuten

Der EU AI Act sieht einen gestuften Übergangszeitraum vor, was bedeutet, dass die Pflichten nicht über Nacht, sondern schrittweise in Kraft treten. Eine vorausschauende Planung ist für KMU daher von größter Bedeutung, um die Einhaltung der Vorschriften fristgerecht zu gewährleisten.

Benutzerdefiniert HTML/CSS/ JAVASCRIPT

Die schrittweise Anwendbarkeit des Gesetzes gibt Unternehmen wertvolle Zeit, sich vorzubereiten. Der Gesetzgeber legt dabei einen Schwerpunkt auf den sogenannten "Compliance-by-Design"-Ansatz. Dies bedeutet, dass die Anforderungen des AI Acts nicht erst nachträglich durch einen Audit erfüllt werden sollen, sondern dass Hochrisiko-KI-Systeme von Beginn an so konzipiert und entwickelt werden müssen, dass sie den strengen Vorgaben entsprechen. Für Unternehmen in Vorarlberg, die selbst KI-Anwendungen entwickeln, ist dies ein klarer Aufruf, die Compliance-Anforderungen bereits in der Konzeptionsphase zu verankern. Für Betreiber ist es ein starkes Signal, bei der Auswahl von KI-Lösungen auf Anbieter zu achten, die nachweislich konforme Systeme bereitstellen.

Die Kernpflichten im Detail: Ein umfassender Leitfaden für Anbieter und Betreiber

Unabhängig von der Größe des Unternehmens sind die Pflichten für Hochrisiko-KI-Systeme umfassend und erfordern eine systematische Herangehensweise.

Pflichten für Anbieter von Hochrisiko-KI-Systemen

  1. Risikomanagement- und Qualitätsmanagementsysteme: Anbieter müssen ein Risikomanagementsystem als kontinuierlichen Prozess über den gesamten Lebenszyklus des KI-Systems hinweg etablieren. Dieses System muss potenzielle Risiken identifizieren und entsprechende Minderungsmaßnahmen festlegen. Parallel dazu ist ein Qualitätsmanagementsystem zu implementieren, das sicherstellt, dass das System den Anforderungen des AI Acts entspricht.

  2. Daten und Datenverwaltung: Es ist sicherzustellen, dass die zum Trainieren des KI-Systems verwendeten Datensätze von hoher Qualität und frei von Diskriminierung sind. Eine detaillierte Dokumentation über die Qualität und Verteilung der Daten, einschließlich Tests zur Erkennung von Voreingenommenheit, ist erforderlich.

  3. Technische Dokumentation: Anbieter müssen eine umfassende technische Dokumentation erstellen und diese für mindestens zehn Jahre aufbewahren. Diese Dokumentation dient als Grundlage für Audits und muss alle notwendigen Informationen über das System und dessen Entwicklung enthalten.

  4. Konformitätsbewertung und Registrierung: Vor dem Inverkehrbringen muss eine Konformitätsbewertung durchgeführt werden. Nach erfolgreicher Bewertung muss der Anbieter sein System in der EU-Datenbank registrieren.

  5. Transparenz und menschliche Aufsicht: Das System muss so konzipiert sein, dass es eine angemessene menschliche Aufsicht ermöglicht. Dazu gehören die Bereitstellung klarer Informationen über die Leistungsmerkmale, Grenzen und Funktionsweise des Systems.

  6. Cybersecurity und Genauigkeit: Es müssen geeignete Maßnahmen zur Gewährleistung der Robustheit, Genauigkeit und Cybersicherheit des Systems implementiert werden, um Ausfälle oder unvorhersehbare Ergebnisse zu verhindern.

Pflichten für Betreiber von Hochrisiko-KI-Systemen

  • Nutzung nach Anweisung: Betreiber sind verpflichtet, Hochrisiko-KI-Systeme ausschließlich in Übereinstimmung mit den beigefügten Gebrauchsanweisungen des Anbieters zu verwenden. Eine Abweichung kann, wie beschrieben, zur Übernahme der weitreichenden Anbieterpflichten führen.  

  • Menschliche Aufsicht: Betreiber müssen dafür Sorge tragen, dass eine natürliche Person mit der notwendigen Kompetenz, Ausbildung und Befugnis das KI-System überwacht und bei Bedarf eingreifen kann.  

  • Qualität der Eingabedaten: Soweit ein Betreiber die Kontrolle über die Eingabedaten ausübt, muss er sicherstellen, dass diese relevant und ausreichend repräsentativ für den vorgesehenen Zweck des Systems sind.  

  • Überwachung und Meldepflicht: Der Betrieb des Systems muss kontinuierlich überwacht werden. Bei Verdacht auf ein Risiko oder bei einem schwerwiegenden Vorfall ist der Anbieter und die zuständige Marktüberwachungsbehörde unverzüglich zu informieren und das System im Zweifel vorübergehend außer Betrieb zu nehmen.  

  • Aufbewahrung von Protokollen: Die vom System automatisch generierten Protokolle müssen vom Betreiber für mindestens sechs Monate aufbewahrt werden, um die Nachvollziehbarkeit der Ergebnisse zu gewährleisten.  

  • Informationspflicht gegenüber Mitarbeitern: Vor der Inbetriebnahme eines Hochrisiko-KI-Systems am Arbeitsplatz müssen Arbeitgeber die betroffenen Arbeitnehmer und deren Vertreter über dessen Einsatz informieren.  

  • Überprüfung der Konformität: Betreiber müssen vor dem Einsatz eines Hochrisiko-KI-Systems überprüfen, ob der Anbieter eine gültige EU-Konformitätserklärung erstellt und das System in der EU-Datenbank registriert hat.  

Risiken bei Nichteinhaltung: Was bei Verstößen droht

Verstöße gegen die Bestimmungen des EU AI Acts können schwerwiegende Konsequenzen haben, die von empfindlichen Bußgeldern bis hin zu zivilrechtlicher Haftung und Reputationsverlust reichen.

Das gestaffelte Bußgeldsystem

Der AI Act sieht ein gestaffeltes Bußgeldsystem vor, das sich am weltweiten Jahresumsatz orientiert, ähnlich der DSGVO.

Benutzerdefiniert HTML/CSS/ JAVASCRIPT

Eine genaue Betrachtung der Regelungen offenbart eine wesentliche Abweichung für KMU. Während die allgemeinen Sanktionen auf dem höheren der beiden Werte basieren, sehen die gesetzlichen Bestimmungen ausdrücklich vor, dass bei KMU die Bußgelder reduziert werden, um ihre wirtschaftliche Lebensfähigkeit zu berücksichtigen. In vielen Fällen wird der jeweils niedrigere Betrag angesetzt, was eine deutliche Erleichterung darstellt.

Zusätzliche Risiken

Neben den finanziellen Strafen können Verstöße auch andere weitreichende Konsequenzen haben :

  1. Zivilrechtliche Haftung: Unternehmen haften für Schäden, die durch fehlerhafte oder unzulässige KI-Systeme entstehen.  

  2. Reputationsschäden: Die öffentliche Bekanntmachung von Verstößen kann zu einem massiven Vertrauensverlust bei Kunden, Investoren und Partnern führen, was langfristige Markenschäden verursacht.  

  3. Ausschluss von Ausschreibungen: Unternehmen, die als nicht konform angesehen werden, könnten von öffentlichen Ausschreibungen ausgeschlossen werden.  

Eine proaktive Compliance ist daher nicht nur eine gesetzliche Pflicht, sondern eine strategische Entscheidung, um Risiken zu minimieren und sich als vertrauenswürdiger Akteur im Markt zu positionieren.

Chancen und Erleichterungen: Der AI Act als Sprungbrett für KMU

Auch wenn die Regelungen umfassend erscheinen, wurden die Bedürfnisse von KMU bei der Ausgestaltung des Gesetzes explizit berücksichtigt. Es gibt zwar keine generellen Ausnahmen von der Regulierung, aber eine Reihe von Erleichterungen, die den Marktzugang erleichtern und die bürokratischen Hürden reduzieren sollen.

  1. Die KI-Reallabore (Regulatory Sandboxes): Jeder EU-Mitgliedstaat, so auch Österreich, muss bis zum 2. August 2026 mindestens ein KI-Reallabor einrichten. Diese Reallabore bieten einen geschützten, kontrollierten Rahmen, in dem innovative KI-Systeme unter realen Bedingungen getestet werden können, ohne sofort alle strengen Vorschriften erfüllen zu müssen. Der AI Act sieht vor, dass KMU kostenlosen und priorisierten Zugang zu diesen Reallaboren erhalten. Die hierbei gesammelte Dokumentation kann zudem als Nachweis für die Konformität der Anwendung dienen.  

  2. Vereinfachte Dokumentation und Kostenreduktion: Die EU-Kommission hat die Möglichkeit, vereinfachte Formulare für die technische Dokumentation von Hochrisiko-KI-Systemen für KMU bereitzustellen. Darüber hinaus ist gesetzlich vorgeschrieben, dass die Gebühren für Konformitätsbewertungen die Bedürfnisse von KMU berücksichtigen und proportional zur Unternehmensgröße sein müssen.  

  3. Aktive Einbindung in die Normung: Der AI Act fördert die Teilhabe von KMU an Normungsprozessen. Dies stellt sicher, dass die technischen Standards nicht nur von Großkonzernen geprägt werden, sondern auch die Interessen und die Praktikabilität für kleinere Akteure widerspiegeln.

Praktische Unterstützung in Vorarlberg und Österreich

Die österreichische Regierung und verschiedene Interessensvertretungen haben die Umsetzung des EU AI Acts aktiv in Angriff genommen und bieten Ihnen als KMU konkrete Unterstützung. Es ist wichtig, diese Anlaufstellen zu kennen, um die neuen Anforderungen reibungslos umsetzen zu können.

KI-Beratung Vorarlberg: Ihr erster Ansprechpartner vor Ort

Wir als KI-Beratung Vorarlberg sind Ihr spezialisierter Partner direkt in der Region. Wir helfen Ihnen dabei, die Risiken Ihrer KI-Systeme zu bewerten, Ihre Pflichten als Betreiber zu erfüllen und vertrauenswürdige KI-Lösungen zu schaffen, die zu Ihrem Geschäftsmodell passen. Unser regional verankertes Angebot stellt sicher, dass Sie gezielte und praxisnahe Unterstützung erhalten, um die neuen Vorschriften effektiv zu navigieren.

Die Wirtschaftskammer Österreich (WKÖ)

Die WKÖ spielt eine aktive Rolle bei der Aufklärung und Unterstützung von Unternehmen. Sie bietet Einblicke in die operative Umsetzung des AI Acts, beispielsweise durch Fach Webinare, und fungiert als wichtiger Informationskanal, um KMU bei der Navigation der neuen Vorschriften zu helfen.

Fazit und Ihre 5-Schritte-Checkliste für den Start

Der EU AI Act ist eine wegweisende Regulierung, die Künstliche Intelligenz in der EU in einen klaren rechtlichen Rahmen einbettet. Für KMU in Vorarlberg bedeutet dies vor allem die Notwendigkeit, proaktiv zu handeln und die gestaffelten Fristen zu nutzen, um die Compliance-Anforderungen schrittweise zu erfüllen. Anstatt das Gesetz als reine Bürde zu betrachten, bietet es die Gelegenheit, sich durch den Aufbau vertrauenswürdiger und sicherer KI-Prozesse als zukunftsfähiger und verantwortungsbewusster Marktteilnehmer zu positionieren.

Die folgenden fünf Schritte dienen als konkrete Checkliste für den sofortigen Start der Compliance-Reise:

  1. KI-Inventur durchführen: Erstellen Sie eine vollständige Liste aller KI-Systeme und -Anwendungen, die in Ihrem Unternehmen genutzt werden, sei es als Anbieter oder Betreiber.

  2. Risikoklassifizierung vornehmen: Ordnen Sie jedes identifizierte System einer der vier Risikokategorien zu: inakzeptabel, hoch, begrenzt oder minimal.

  3. Rollenbestimmung: Klären Sie für jedes System, ob Sie die Rolle des Anbieters oder des Betreibers einnehmen. Prüfen Sie insbesondere, ob durch technische Änderungen die Anbieterpflichten ausgelöst werden könnten.

  4. Aktionsplan erstellen: Entwickeln Sie einen gestuften Plan, der die Fristen des AI Acts berücksichtigt. Priorisieren Sie dabei die sofortigen Pflichten, wie das Einstellen verbotener Systeme und die Schulung der Mitarbeiter.

  5. Unterstützung suchen: Kontaktieren Sie frühzeitig die KI-Servicestelle oder die Wirtschaftskammer, um kostenlose Beratung und Zugang zu unterstützenden Ressourcen zu erhalten.

Zögern Sie nicht, aktiv zu werden. Starten Sie mit der Klassifizierung Ihrer KI-Systeme und prüfen Sie, ob sie unter die neuen Vorschriften fallen.

Wir möchten Sie dabei unterstützen. Für eine erste Orientierung und um Ihre individuellen Fragen zu klären, bieten wir Ihnen ein kostenloses 60-minütiges Erstgespräch an. Darüber hinaus beraten wir Sie gerne umfassend, um Ihr Unternehmen auf die Anforderungen des EU AI Act vorzubereiten.

Benutzerdefiniert HTML/CSS/ JAVASCRIPT

EU AI ActKI für KMUDatenschutzKI für GeschäftsführerRecht & RegulierungKI-EthikTipps & Tricks
Back to Blog

Ressourcen

Angebot

KI Beratung & Workshop

Kontakt

Newsletter-Anmeldung

Copyrights 2025 | KI-Beratung Vorarlberg | Impressum