aistack Compliance Deep Dive

EU AI Act erklärt
Für Unternehmen in Österreich und Deutschland

Der EU AI Act schafft einen einheitlichen Rechtsrahmen für künstliche Intelligenz in Europa. Für Unternehmen ist vor allem wichtig: Nicht jede KI ist automatisch Hochrisiko-KI. Entscheidend sind Zweck, Einsatzkontext und die eigene Rolle als Anbieter, Betreiber oder Integrator.

Für wen der EU AI Act relevant ist

Die konkrete Pflicht hängt von Rolle, Zweckbestimmung und Risikoklasse ab. Ein interner Wissensassistent ist anders zu bewerten als ein System für Bewerberauswahl, Kreditbewertung oder sicherheitskritische Entscheidungen.

Anbieter

Entwickeln oder lassen ein KI-System entwickeln und bringen es unter eigenem Namen in Verkehr oder in Betrieb.

Betreiber

Setzen ein KI-System beruflich ein, etwa in internen Prozessen, Support, Wissensarbeit oder Kundenkommunikation.

Importeure und Händler

Bringen KI-Systeme aus Drittstaaten in den EU-Markt oder stellen sie in der Lieferkette bereit.

GPAI-Modellanbieter

Stellen Modelle mit allgemeinem Verwendungszweck bereit, die Grundlage vieler nachgelagerter KI-Systeme sein können.

Die vier Risikostufen

Der EU AI Act folgt einem risikobasierten Ansatz. Für Unternehmen bedeutet das: Nicht der Begriff "KI" allein entscheidet, sondern der konkrete Einsatz.

01

Verbotenes Risiko

Nicht einsetzen

Bestimmte manipulative, ausnutzende, biometrische oder Social-Scoring-Praktiken

Typische Folge

Grundsätzlich untersagt

02

Hochrisiko

Streng nachweisen

Systeme in sensiblen Bereichen oder als Sicherheitskomponente regulierter Produkte

Typische Folge

Strenge Anforderungen, Dokumentation, Aufsicht und Konformitätsbewertung

03

Begrenztes Risiko

Transparent machen

Zum Beispiel bestimmte Chatbots, Deepfakes oder KI-generierte Inhalte

Typische Folge

Transparenz- und Kennzeichnungspflichten

04

Minimales Risiko

Normal betreiben

Viele normale Unternehmensanwendungen außerhalb sensibler Zwecke

Typische Folge

Meist keine speziellen AI-Act-Pflichten, aber andere Gesetze bleiben relevant

Wichtig für Chatbots: Sie sind nicht automatisch Hochrisiko-KI. Sie können Transparenzpflichten auslösen; Hochrisiko hängt vom Zweck, den betroffenen Personen und der rechtlichen Kategorie ab.

Die Europäische Kommission hat im Mai 2026 Entwurfsleitlinien zur Einstufung von Hochrisiko-KI-Systemen veröffentlicht. Sie helfen bei der Abgrenzung nach Zweck und Einsatzkontext, sind aber bis zur finalen Fassung und verbindlichen Auslegung weiterhin sorgfältig zu prüfen.

Was Anbieter und Betreiber praktisch beachten müssen

Basis für viele Unternehmens-Use-Cases

  • KI-Kompetenz für Personen sicherstellen, die mit KI-Systemen arbeiten.
  • Verbotene Praktiken ausschließen, bevor ein Use Case produktiv wird.
  • Transparenzpflichten prüfen, etwa bei Chatbots, Deepfakes oder KI-generierten Inhalten; bei generativer KI auch den EU-Code of Practice zu Kennzeichnung und Markierung beobachten.
  • Datenschutz, Rechtsgrundlage, Datenminimierung und Auftragsverarbeitung klären.
  • Rollen, Zweckbestimmung, Verantwortlichkeiten und Modell-/Vendor-Abhängigkeiten dokumentieren.

Zusatzanforderungen bei Hochrisiko

Wenn ein System tatsächlich als Hochrisiko einzustufen ist, kommen deutlich strengere Nachweise und Prozesse hinzu.

  • Risikomanagement und Qualitätsmanagement aufsetzen
  • Technische Dokumentation und Gebrauchsinformationen pflegen
  • Logging, Nachvollziehbarkeit und Marktbeobachtung einplanen
  • Menschliche Aufsicht, Robustheit, Genauigkeit und Cybersicherheit sicherstellen
  • Konformitätsbewertung und Registrierungspflichten prüfen

Was jetzt konkret akut ist

  • Verbotene KI-Praktiken und KI-Kompetenz gelten bereits.
  • GPAI-Pflichten gelten seit 2. August 2025 für danach in Verkehr gebrachte Modelle am EU-Markt.
  • Transparenzpflichten nach Art. 50 werden ab 2. August 2026 praktisch relevant.
  • Hochrisiko-Fristen sollen sich nach der politischen Einigung zum AI Omnibus verschieben, aber Klassifikation und Dokumentation sollten früh beginnen.

Wichtige Fristen

Die Anwendung des EU AI Act erfolgt stufenweise. Fristen und nationale Zuständigkeiten können durch Gesetzgebung, Leitlinien oder Durchführungsakte weiter konkretisiert werden.

Hinweis zum Stand 10. Juni 2026: Nach der politischen Einigung zum AI Omnibus vom 7. Mai 2026 sollen sich die Anwendungszeitpunkte bestimmter Hochrisiko-Regeln verschieben. Die Kommission nennt derzeit den 2. Dezember 2027 für viele Hochrisiko-Systeme in Anhang III und den 2. August 2028 für KI-Systeme in regulierten Produkten. Andere Pflichten, insbesondere Transparenzpflichten nach Art. 50, bleiben ab 2. August 2026 relevant. Wenn unterstützende Instrumente wie harmonisierte Standards früher verfügbar sind, kann die Kommission einzelne Hochrisiko-Fristen früher ansetzen.

Wichtige Fristen des EU AI Act
Datum Bedeutung
1. August 2024 Inkrafttreten des EU AI Act
2. Februar 2025 Verbotene KI-Praktiken und Pflicht zur KI-Kompetenz gelten. Die Aufsicht und Durchsetzung erfolgt national und wird weiter konkretisiert.
2. August 2025 Governance-Regeln und Pflichten für Anbieter von General-Purpose-AI-Modellen gelten.
2. August 2026 Viele Regelungen und die Durchsetzung starten, darunter Transparenzpflichten nach Art. 50, Innovationsmaßnahmen und nationale Aufsicht. Hochrisiko-Fristen sollten wegen der politischen Einigung zum AI Omnibus gesondert geprüft werden.
2. August 2027 Anbieter von GPAI-Modellen, die vor dem 2. August 2025 in Verkehr gebracht wurden, müssen nach der Übergangsregelung bis dahin die einschlägigen Pflichten erfüllen.
2. Dezember 2027 Nach der politischen Einigung zum AI Omnibus sollen Hochrisiko-Regeln für bestimmte Bereiche aus Anhang III gelten, etwa Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrolle.
2. August 2028 Nach der politischen Einigung zum AI Omnibus sollen Hochrisiko-Regeln für KI-Systeme gelten, die in regulierte Produkte integriert sind, etwa Aufzüge, Spielzeug, Robotik oder industrielle Maschinen.

Stand der Seite: 10. Juni 2026.

Österreich und Deutschland

Österreich

Digital Austria und die RTR-KI-Servicestelle sind wichtige offizielle Informationsquellen. Für Datenschutzfragen bleibt die Datenschutzbehörde relevant. Nach Informationen der Datenschutzbehörde ist noch nicht fixiert, wer in Österreich allgemein als Marktüberwachungsbehörde für alle KI-Bereiche zuständig sein wird; für bestimmte Hochrisiko-KI-Systeme in Bereichen wie Strafverfolgung, Grenzverwaltung, Justiz und Demokratie kommt ihr nach aktueller Rechtslage eine besondere Rolle zu.

Deutschland

Die Bundesnetzagentur betreibt einen KI-Service Desk und soll nach dem Entwurf zum Durchführungsgesetz eine zentrale Rolle übernehmen, soweit keine spezialisierten Fachbehörden zuständig sind. Das Gesetzgebungsverfahren ist noch zu beobachten; Datenschutzaufsichtsbehörden bleiben relevant, wenn personenbezogene Daten verarbeitet werden.

Was das für typische aistack-Projekte bedeutet

Für RAG-Systeme, Chatbots und Wissensassistenten ist die technische Architektur eng mit Compliance verbunden. Gute Entscheidungen am Anfang reduzieren spätere Nacharbeit.

RAG-Systeme und Wissensassistenten

Nicht automatisch Hochrisiko. Entscheidend ist, welche Daten genutzt werden, wer Zugriff hat und ob Antworten rechtliche, finanzielle, arbeitsbezogene oder ähnlich sensible Entscheidungen beeinflussen.

Chatbots und Support-Automation

Können Transparenzpflichten auslösen, weil Menschen erkennen sollen, dass sie mit KI interagieren. Für generative KI und KI-generierte Inhalte ist zusätzlich der neue EU-Code of Practice relevant. Hochrisiko wird daraus erst durch Zweck und Einsatzkontext.

KI-Integrationen in Prozesse

Frühe Architekturentscheidungen zu Datenminimierung, Berechtigungen, Logging, Quelltransparenz, menschlicher Prüfung und Modellwahl reduzieren spätere Umbaurisiken.

Mehr zur technischen Abgrenzung von Wissensassistenten lesen Sie im Deep Dive zu RAG vs. Long Context. Eine Übersicht der Leistungen finden Sie unter Unsere KI-Dienstleistungen.

Praktische erste Schritte

Ein schlanker Startpunkt reicht oft aus, um blinde Flecken sichtbar zu machen und technische Entscheidungen belastbar zu dokumentieren.

  1. Schritt 1

    KI-Systeme, Modelle und Integrationen inventarisieren

  2. Schritt 2

    Rolle pro Use Case klären: Anbieter, Betreiber, Integrator oder Modellanbieter

  3. Schritt 3

    Verbotene Praktiken ausschließen

  4. Schritt 4

    Risikoklasse anhand von Zweck, Kontext und betroffenen Personen bewerten

  5. Schritt 5

    DSGVO, Rechtsgrundlage und mögliche Datenschutz-Folgenabschätzung prüfen

  6. Schritt 6

    KI-Kompetenz dokumentieren

  7. Schritt 7

    Transparenzhinweise und menschliche Aufsicht einplanen

  8. Schritt 8

    Vendor-, Modell- und Datenabhängigkeiten dokumentieren

FAQ

Gilt der EU AI Act auch, wenn wir nur fertige KI-Tools einsetzen?

Ja. Unternehmen können auch als Betreiber betroffen sein, wenn sie KI-Systeme beruflich einsetzen. Welche Pflichten entstehen, hängt von Rolle, Zweckbestimmung und Risikoklasse ab.

Ist jeder Chatbot automatisch Hochrisiko-KI?

Nein. Hochrisiko hängt vom vorgesehenen Zweck und der rechtlichen Kategorie ab. Chatbots können aber Transparenzpflichten auslösen, weil Nutzerinnen und Nutzer erkennen sollen, dass sie mit einem KI-System interagieren.

Gilt die DSGVO neben dem EU AI Act weiterhin?

Ja. Wenn personenbezogene Daten verarbeitet werden, bleiben DSGVO und nationale Datenschutzregeln parallel anwendbar. Der EU AI Act ersetzt den Datenschutz nicht.

Was sollten Unternehmen jetzt als Erstes tun?

Sinnvoll ist eine knappe Inventur: Welche KI-Systeme werden genutzt, welche Rolle hat das Unternehmen, sind verbotene Praktiken ausgeschlossen, welche Risikoklasse ist plausibel, und welche Nachweise zu KI-Kompetenz, Datenschutz, Transparenz und Vendor-Abhängigkeiten liegen vor?

Kann aistack bei der technischen Umsetzung unterstützen?

Ja. aistack unterstützt bei Architektur, Umsetzung und Integration von KI-Systemen, etwa für RAG, Wissensassistenten und sichere Prozessautomatisierung. Die rechtliche Einordnung sollte bei Bedarf mit qualifizierter Rechtsberatung geprüft werden.

Nächster Schritt

KI-Systeme sauber planen statt später nachbessern

Wir unterstützen Unternehmen bei der technischen Konzeption und Umsetzung von KI-Anwendungen - von RAG-Systemen und Wissensassistenten bis zu sicheren Integrationen in bestehende Prozesse.