aistack Compliance Deep Dive

EU AI Act erklärt
Für Unternehmen in Österreich und Deutschland

Der EU AI Act schafft einen einheitlichen Rechtsrahmen für künstliche Intelligenz in Europa. Für Unternehmen ist vor allem wichtig: Nicht jede KI ist automatisch Hochrisiko-KI. Entscheidend sind Zweck, Einsatzkontext und die eigene Rolle als Anbieter, Betreiber oder Integrator.

KI-Projekt besprechen RAG vs. Long Context lesen

Für wen der EU AI Act relevant ist

Die konkrete Pflicht hängt von Rolle, Zweckbestimmung und Risikoklasse ab. Ein interner Wissensassistent ist anders zu bewerten als ein System für Bewerberauswahl, Kreditbewertung oder sicherheitskritische Entscheidungen.

Anbieter

Entwickeln oder lassen ein KI-System entwickeln und bringen es unter eigenem Namen in Verkehr oder in Betrieb.

Betreiber

Setzen ein KI-System beruflich ein, etwa in internen Prozessen, Support, Wissensarbeit oder Kundenkommunikation.

Importeure und Händler

Bringen KI-Systeme aus Drittstaaten in den EU-Markt oder stellen sie in der Lieferkette bereit.

GPAI-Modellanbieter

Stellen Modelle mit allgemeinem Verwendungszweck bereit, die Grundlage vieler nachgelagerter KI-Systeme sein können.

Die vier Risikostufen

Der EU AI Act folgt einem risikobasierten Ansatz. Für Unternehmen bedeutet das: Nicht der Begriff "KI" allein entscheidet, sondern der konkrete Einsatz.

01

Verbotenes Risiko

Nicht einsetzen

Bestimmte manipulative, ausnutzende, biometrische oder Social-Scoring-Praktiken

Typische Folge

Grundsätzlich untersagt

02

Hochrisiko

Streng nachweisen

Systeme in sensiblen Bereichen oder als Sicherheitskomponente regulierter Produkte

Typische Folge

Strenge Anforderungen, Dokumentation, Aufsicht und Konformitätsbewertung

03

Begrenztes Risiko

Transparent machen

Zum Beispiel bestimmte Chatbots, Deepfakes oder KI-generierte Inhalte

Typische Folge

Transparenz- und Kennzeichnungspflichten

04

Minimales Risiko

Normal betreiben

Viele normale Unternehmensanwendungen außerhalb sensibler Zwecke

Typische Folge

Meist keine speziellen AI-Act-Pflichten, aber andere Gesetze bleiben relevant

Wichtig für Chatbots: Sie sind nicht automatisch Hochrisiko-KI. Sie können Transparenzpflichten auslösen; Hochrisiko hängt vom Zweck, den betroffenen Personen und der rechtlichen Kategorie ab.

Was Anbieter und Betreiber praktisch beachten müssen

Basis für viele Unternehmens-Use-Cases

  • KI-Kompetenz für Personen sicherstellen, die mit KI-Systemen arbeiten.
  • Verbotene Praktiken ausschließen, bevor ein Use Case produktiv wird.
  • Transparenzpflichten prüfen, etwa bei Chatbots oder KI-generierten Inhalten.
  • Datenschutz, Rechtsgrundlage, Datenminimierung und Auftragsverarbeitung klären.
  • Rollen, Zweckbestimmung, Verantwortlichkeiten und Modell-/Vendor-Abhängigkeiten dokumentieren.

Zusatzanforderungen bei Hochrisiko

Wenn ein System tatsächlich als Hochrisiko einzustufen ist, kommen deutlich strengere Nachweise und Prozesse hinzu.

  • Risikomanagement und Qualitätsmanagement aufsetzen
  • Technische Dokumentation und Gebrauchsinformationen pflegen
  • Logging, Nachvollziehbarkeit und Marktbeobachtung einplanen
  • Menschliche Aufsicht, Robustheit, Genauigkeit und Cybersicherheit sicherstellen
  • Konformitätsbewertung und Registrierungspflichten prüfen

Wichtige Fristen

Die Anwendung des EU AI Act erfolgt stufenweise. Fristen und nationale Zuständigkeiten können durch Gesetzgebung, Leitlinien oder Durchführungsakte weiter konkretisiert werden.

Hinweis zum Stand 29. April 2026: Die folgenden Fristen entsprechen der derzeitigen Grundstruktur des EU AI Act. Im Rahmen des Digital Omnibus werden auf EU-Ebene Änderungen an einzelnen Anwendungsfristen diskutiert, insbesondere für bestimmte Hochrisiko-KI-Systeme. Solange diese Änderungen nicht endgültig beschlossen und veröffentlicht sind, sollten Unternehmen die geltende Rechtslage prüfen und die Entwicklung weiter beobachten.

Wichtige Fristen des EU AI Act
Datum Bedeutung
1. August 2024 Inkrafttreten des EU AI Act
2. Februar 2025 Verbotene KI-Praktiken und Pflicht zur KI-Kompetenz
2. August 2025 Governance-Regeln und Pflichten für General-Purpose-AI-Modelle
2. August 2026 Grundsätzlicher Anwendungszeitpunkt vieler Regelungen, darunter Transparenzpflichten und nach derzeitiger Grundstruktur auch viele Hochrisiko-Regeln. Für bestimmte Hochrisiko-Regeln werden auf EU-Ebene Änderungen diskutiert.
2. August 2027 Nach der bisherigen Grundstruktur gelten weitere Übergangsfristen, unter anderem für bestimmte Hochrisiko-Systeme in regulierten Produkten und für bestimmte bereits vermarktete GPAI-Modelle. Diese Frist kann sich durch das laufende Digital-Omnibus-Verfahren ändern.

Stand der Seite: 29. April 2026.

Österreich und Deutschland

Österreich

Digital Austria und die RTR-KI-Servicestelle sind wichtige offizielle Informationsquellen. Für Datenschutzfragen bleibt die Datenschutzbehörde relevant. Nach Informationen der Datenschutzbehörde ist noch nicht fixiert, wer in Österreich allgemein als Marktüberwachungsbehörde für alle KI-Bereiche zuständig sein wird.

Deutschland

Die Bundesnetzagentur betreibt einen KI-Service Desk und soll nach bisherigen Plänen eine zentrale Rolle bei der Umsetzung in Deutschland übernehmen. Datenschutzaufsichtsbehörden bleiben zuständig, wenn personenbezogene Daten verarbeitet werden.

Was das für typische aistack-Projekte bedeutet

Für RAG-Systeme, Chatbots und Wissensassistenten ist die technische Architektur eng mit Compliance verbunden. Gute Entscheidungen am Anfang reduzieren spätere Nacharbeit.

RAG-Systeme und Wissensassistenten

Nicht automatisch Hochrisiko. Entscheidend ist, welche Daten genutzt werden, wer Zugriff hat und ob Antworten rechtliche, finanzielle, arbeitsbezogene oder ähnlich sensible Entscheidungen beeinflussen.

Chatbots und Support-Automation

Können Transparenzpflichten auslösen, weil Menschen erkennen sollen, dass sie mit KI interagieren. Hochrisiko wird daraus erst durch Zweck und Einsatzkontext.

KI-Integrationen in Prozesse

Frühe Architekturentscheidungen zu Datenminimierung, Berechtigungen, Logging, Quelltransparenz, menschlicher Prüfung und Modellwahl reduzieren spätere Umbaurisiken.

Mehr zur technischen Abgrenzung von Wissensassistenten lesen Sie im Deep Dive zu RAG vs. Long Context. Eine Übersicht der Leistungen finden Sie unter Unsere KI-Dienstleistungen.

Praktische erste Schritte

Ein schlanker Startpunkt reicht oft aus, um blinde Flecken sichtbar zu machen und technische Entscheidungen belastbar zu dokumentieren.

  1. Schritt 1

    KI-Systeme, Modelle und Integrationen inventarisieren

  2. Schritt 2

    Rolle pro Use Case klären: Anbieter, Betreiber, Integrator oder Modellanbieter

  3. Schritt 3

    Verbotene Praktiken ausschließen

  4. Schritt 4

    Risikoklasse anhand von Zweck, Kontext und betroffenen Personen bewerten

  5. Schritt 5

    DSGVO, Rechtsgrundlage und mögliche Datenschutz-Folgenabschätzung prüfen

  6. Schritt 6

    KI-Kompetenz dokumentieren

  7. Schritt 7

    Transparenzhinweise und menschliche Aufsicht einplanen

  8. Schritt 8

    Vendor-, Modell- und Datenabhängigkeiten dokumentieren

FAQ

Gilt der EU AI Act auch, wenn wir nur fertige KI-Tools einsetzen?

Ja. Unternehmen können auch als Betreiber betroffen sein, wenn sie KI-Systeme beruflich einsetzen. Welche Pflichten entstehen, hängt von Rolle, Zweckbestimmung und Risikoklasse ab.

Ist jeder Chatbot automatisch Hochrisiko-KI?

Nein. Hochrisiko hängt vom vorgesehenen Zweck und der rechtlichen Kategorie ab. Chatbots können aber Transparenzpflichten auslösen, weil Nutzerinnen und Nutzer erkennen sollen, dass sie mit einem KI-System interagieren.

Gilt die DSGVO neben dem EU AI Act weiterhin?

Ja. Wenn personenbezogene Daten verarbeitet werden, bleiben DSGVO und nationale Datenschutzregeln parallel anwendbar. Der EU AI Act ersetzt den Datenschutz nicht.

Was sollten Unternehmen jetzt als Erstes tun?

Sinnvoll ist eine knappe Inventur: Welche KI-Systeme werden genutzt, welche Rolle hat das Unternehmen, sind verbotene Praktiken ausgeschlossen, welche Risikoklasse ist plausibel, und welche Nachweise zu KI-Kompetenz, Datenschutz und Transparenz liegen vor?

Kann aistack bei der technischen Umsetzung unterstützen?

Ja. aistack unterstützt bei Architektur, Umsetzung und Integration von KI-Systemen, etwa für RAG, Wissensassistenten und sichere Prozessautomatisierung. Die rechtliche Einordnung sollte bei Bedarf mit qualifizierter Rechtsberatung geprüft werden.

Nächster Schritt

KI-Systeme sauber planen statt später nachbessern

Wir unterstützen Unternehmen bei der technischen Konzeption und Umsetzung von KI-Anwendungen - von RAG-Systemen und Wissensassistenten bis zu sicheren Integrationen in bestehende Prozesse.

Projekt besprechen