Anbieter
Entwickeln oder lassen ein KI-System entwickeln und bringen es unter eigenem Namen in Verkehr oder in Betrieb.
aistack Compliance Deep Dive
Der EU AI Act schafft einen einheitlichen Rechtsrahmen für künstliche Intelligenz in Europa. Für Unternehmen ist vor allem wichtig: Nicht jede KI ist automatisch Hochrisiko-KI. Entscheidend sind Zweck, Einsatzkontext und die eigene Rolle als Anbieter, Betreiber oder Integrator.
Die konkrete Pflicht hängt von Rolle, Zweckbestimmung und Risikoklasse ab. Ein interner Wissensassistent ist anders zu bewerten als ein System für Bewerberauswahl, Kreditbewertung oder sicherheitskritische Entscheidungen.
Entwickeln oder lassen ein KI-System entwickeln und bringen es unter eigenem Namen in Verkehr oder in Betrieb.
Setzen ein KI-System beruflich ein, etwa in internen Prozessen, Support, Wissensarbeit oder Kundenkommunikation.
Bringen KI-Systeme aus Drittstaaten in den EU-Markt oder stellen sie in der Lieferkette bereit.
Stellen Modelle mit allgemeinem Verwendungszweck bereit, die Grundlage vieler nachgelagerter KI-Systeme sein können.
Der EU AI Act folgt einem risikobasierten Ansatz. Für Unternehmen bedeutet das: Nicht der Begriff "KI" allein entscheidet, sondern der konkrete Einsatz.
Bestimmte manipulative, ausnutzende, biometrische oder Social-Scoring-Praktiken
Typische Folge
Grundsätzlich untersagt
Systeme in sensiblen Bereichen oder als Sicherheitskomponente regulierter Produkte
Typische Folge
Strenge Anforderungen, Dokumentation, Aufsicht und Konformitätsbewertung
Zum Beispiel bestimmte Chatbots, Deepfakes oder KI-generierte Inhalte
Typische Folge
Transparenz- und Kennzeichnungspflichten
Viele normale Unternehmensanwendungen außerhalb sensibler Zwecke
Typische Folge
Meist keine speziellen AI-Act-Pflichten, aber andere Gesetze bleiben relevant
Wichtig für Chatbots: Sie sind nicht automatisch Hochrisiko-KI. Sie können Transparenzpflichten auslösen; Hochrisiko hängt vom Zweck, den betroffenen Personen und der rechtlichen Kategorie ab.
Die Europäische Kommission hat im Mai 2026 Entwurfsleitlinien zur Einstufung von Hochrisiko-KI-Systemen veröffentlicht. Sie helfen bei der Abgrenzung nach Zweck und Einsatzkontext, sind aber bis zur finalen Fassung und verbindlichen Auslegung weiterhin sorgfältig zu prüfen.
Wenn ein System tatsächlich als Hochrisiko einzustufen ist, kommen deutlich strengere Nachweise und Prozesse hinzu.
Die Anwendung des EU AI Act erfolgt stufenweise. Fristen und nationale Zuständigkeiten können durch Gesetzgebung, Leitlinien oder Durchführungsakte weiter konkretisiert werden.
Hinweis zum Stand 10. Juni 2026: Nach der politischen Einigung zum AI Omnibus vom 7. Mai 2026 sollen sich die Anwendungszeitpunkte bestimmter Hochrisiko-Regeln verschieben. Die Kommission nennt derzeit den 2. Dezember 2027 für viele Hochrisiko-Systeme in Anhang III und den 2. August 2028 für KI-Systeme in regulierten Produkten. Andere Pflichten, insbesondere Transparenzpflichten nach Art. 50, bleiben ab 2. August 2026 relevant. Wenn unterstützende Instrumente wie harmonisierte Standards früher verfügbar sind, kann die Kommission einzelne Hochrisiko-Fristen früher ansetzen.
| Datum | Bedeutung |
|---|---|
| 1. August 2024 | Inkrafttreten des EU AI Act |
| 2. Februar 2025 | Verbotene KI-Praktiken und Pflicht zur KI-Kompetenz gelten. Die Aufsicht und Durchsetzung erfolgt national und wird weiter konkretisiert. |
| 2. August 2025 | Governance-Regeln und Pflichten für Anbieter von General-Purpose-AI-Modellen gelten. |
| 2. August 2026 | Viele Regelungen und die Durchsetzung starten, darunter Transparenzpflichten nach Art. 50, Innovationsmaßnahmen und nationale Aufsicht. Hochrisiko-Fristen sollten wegen der politischen Einigung zum AI Omnibus gesondert geprüft werden. |
| 2. August 2027 | Anbieter von GPAI-Modellen, die vor dem 2. August 2025 in Verkehr gebracht wurden, müssen nach der Übergangsregelung bis dahin die einschlägigen Pflichten erfüllen. |
| 2. Dezember 2027 | Nach der politischen Einigung zum AI Omnibus sollen Hochrisiko-Regeln für bestimmte Bereiche aus Anhang III gelten, etwa Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrolle. |
| 2. August 2028 | Nach der politischen Einigung zum AI Omnibus sollen Hochrisiko-Regeln für KI-Systeme gelten, die in regulierte Produkte integriert sind, etwa Aufzüge, Spielzeug, Robotik oder industrielle Maschinen. |
Stand der Seite: 10. Juni 2026.
Digital Austria und die RTR-KI-Servicestelle sind wichtige offizielle Informationsquellen. Für Datenschutzfragen bleibt die Datenschutzbehörde relevant. Nach Informationen der Datenschutzbehörde ist noch nicht fixiert, wer in Österreich allgemein als Marktüberwachungsbehörde für alle KI-Bereiche zuständig sein wird; für bestimmte Hochrisiko-KI-Systeme in Bereichen wie Strafverfolgung, Grenzverwaltung, Justiz und Demokratie kommt ihr nach aktueller Rechtslage eine besondere Rolle zu.
Die Bundesnetzagentur betreibt einen KI-Service Desk und soll nach dem Entwurf zum Durchführungsgesetz eine zentrale Rolle übernehmen, soweit keine spezialisierten Fachbehörden zuständig sind. Das Gesetzgebungsverfahren ist noch zu beobachten; Datenschutzaufsichtsbehörden bleiben relevant, wenn personenbezogene Daten verarbeitet werden.
Für RAG-Systeme, Chatbots und Wissensassistenten ist die technische Architektur eng mit Compliance verbunden. Gute Entscheidungen am Anfang reduzieren spätere Nacharbeit.
Nicht automatisch Hochrisiko. Entscheidend ist, welche Daten genutzt werden, wer Zugriff hat und ob Antworten rechtliche, finanzielle, arbeitsbezogene oder ähnlich sensible Entscheidungen beeinflussen.
Können Transparenzpflichten auslösen, weil Menschen erkennen sollen, dass sie mit KI interagieren. Für generative KI und KI-generierte Inhalte ist zusätzlich der neue EU-Code of Practice relevant. Hochrisiko wird daraus erst durch Zweck und Einsatzkontext.
Frühe Architekturentscheidungen zu Datenminimierung, Berechtigungen, Logging, Quelltransparenz, menschlicher Prüfung und Modellwahl reduzieren spätere Umbaurisiken.
Mehr zur technischen Abgrenzung von Wissensassistenten lesen Sie im Deep Dive zu RAG vs. Long Context. Eine Übersicht der Leistungen finden Sie unter Unsere KI-Dienstleistungen.
Ein schlanker Startpunkt reicht oft aus, um blinde Flecken sichtbar zu machen und technische Entscheidungen belastbar zu dokumentieren.
Schritt 1
KI-Systeme, Modelle und Integrationen inventarisieren
Schritt 2
Rolle pro Use Case klären: Anbieter, Betreiber, Integrator oder Modellanbieter
Schritt 3
Verbotene Praktiken ausschließen
Schritt 4
Risikoklasse anhand von Zweck, Kontext und betroffenen Personen bewerten
Schritt 5
DSGVO, Rechtsgrundlage und mögliche Datenschutz-Folgenabschätzung prüfen
Schritt 6
KI-Kompetenz dokumentieren
Schritt 7
Transparenzhinweise und menschliche Aufsicht einplanen
Schritt 8
Vendor-, Modell- und Datenabhängigkeiten dokumentieren
Ja. Unternehmen können auch als Betreiber betroffen sein, wenn sie KI-Systeme beruflich einsetzen. Welche Pflichten entstehen, hängt von Rolle, Zweckbestimmung und Risikoklasse ab.
Nein. Hochrisiko hängt vom vorgesehenen Zweck und der rechtlichen Kategorie ab. Chatbots können aber Transparenzpflichten auslösen, weil Nutzerinnen und Nutzer erkennen sollen, dass sie mit einem KI-System interagieren.
Ja. Wenn personenbezogene Daten verarbeitet werden, bleiben DSGVO und nationale Datenschutzregeln parallel anwendbar. Der EU AI Act ersetzt den Datenschutz nicht.
Sinnvoll ist eine knappe Inventur: Welche KI-Systeme werden genutzt, welche Rolle hat das Unternehmen, sind verbotene Praktiken ausgeschlossen, welche Risikoklasse ist plausibel, und welche Nachweise zu KI-Kompetenz, Datenschutz, Transparenz und Vendor-Abhängigkeiten liegen vor?
Ja. aistack unterstützt bei Architektur, Umsetzung und Integration von KI-Systemen, etwa für RAG, Wissensassistenten und sichere Prozessautomatisierung. Die rechtliche Einordnung sollte bei Bedarf mit qualifizierter Rechtsberatung geprüft werden.
Nächster Schritt
Wir unterstützen Unternehmen bei der technischen Konzeption und Umsetzung von KI-Anwendungen - von RAG-Systemen und Wissensassistenten bis zu sicheren Integrationen in bestehende Prozesse.