KI Graz
Datenschutz und KI in Österreich: Der EU AI Act einfach erklärt
Datenschutz & Recht

Datenschutz und KI in Österreich: Der EU AI Act einfach erklärt

KI Graz Redaktion10. Mai 202410 Min. Lesezeit
Zurück zum Blog

Der EU AI Act ist in Kraft – was bedeutet das konkret für Ihr Unternehmen in Graz und der Steiermark?

Was ist der EU AI Act – und warum betrifft er Ihr Unternehmen?

Am 1. August 2024 trat der EU AI Act (Verordnung (EU) 2024/1689 über Künstliche Intelligenz) offiziell in Kraft. Es ist das weltweit erste umfassende Gesetz zur Regulierung von KI-Systemen – und es gilt für jedes Unternehmen in der EU, das KI-Systeme einsetzt, entwickelt oder in Verkehr bringt. Das betrifft auch österreichische KMUs in Graz, Wien oder Innsbruck, die ChatGPT, Chatbots, KI-basierte Recruiting-Tools oder automatisierte Entscheidungssysteme nutzen.

Die gute Nachricht: Die meisten KMUs sind von den strengsten Anforderungen nicht betroffen. Die schlechte Nachricht: Vollständige Unwissenheit ist keine Entschuldigung. Wer jetzt handelt, ist auf der sicheren Seite.

Das Risikoklassen-Modell des EU AI Act

Der AI Act teilt KI-Systeme in vier Risikoklassen ein, die unterschiedliche Anforderungen mit sich bringen:

Klasse 1: Inakzeptables Risiko (verboten)

Diese KI-Anwendungen sind seit Februar 2025 vollständig verboten:

  • Social Scoring durch öffentliche Behörden (Bewertung von Bürgern)
  • Manipulative KI, die unbewusste Verhaltenssteuerung ausnutzt
  • Biometrische Identifizierung in Echtzeit im öffentlichen Raum (mit engen Ausnahmen für die Strafverfolgung)
  • KI zur Ausnutzung von Schwächen gefährdeter Personengruppen

Relevanz für KMUs: Gering – diese Anwendungen sind für normale Unternehmen nicht relevant.

Klasse 2: Hohes Risiko

KI-Systeme mit erheblichem Einfluss auf Grundrechte oder kritische Bereiche:

  • Kritische Infrastruktur (Energie, Wasser, Verkehr)
  • Bildungsentscheidungen (z. B. Zulassungssysteme)
  • Personalentscheidungen (Bewerbungsscreening, Leistungsbewertung) – hier sind viele KMUs betroffen!
  • Kreditvergabe und Versicherungsrisikobewertung
  • Strafverfolgung und Grenzkontrolle

Anforderungen für Hochrisiko-KI: Risikomanagement-System, technische Dokumentation, Datenverwaltungskonzept, Transparenz gegenüber Behörden, menschliche Aufsicht, Genauigkeit und Robustheit.

Relevanz für KMUs: Mittel – Unternehmen, die KI im HR-Bereich oder für Kreditentscheidungen einsetzen, müssen diese Anforderungen erfüllen.

Klasse 3: Begrenztes Risiko (Transparenzpflichten)

Diese Klasse ist für die meisten KMUs die relevanteste:

  • Chatbots und virtuelle Assistenten: Nutzer müssen informiert werden, dass sie mit KI interagieren
  • KI-generierte Inhalte (Texte, Bilder, Videos): müssen als KI-generiert gekennzeichnet werden (Deepfakes)
  • Emotionserkennungssysteme: Transparenzpflicht gegenüber Betroffenen

Konkrete Maßnahmen für Ihr Unternehmen:

  • Chatbot auf Ihrer Website klar als „KI-Assistent" kennzeichnen
  • KI-generierte Marketingtexte oder Bilder entsprechend markieren (sofern täuschungsrelevant)
  • Datenschutzerklärung um KI-Nutzung ergänzen

Klasse 4: Minimales Risiko

KI-Anwendungen ohne besondere Anforderungen: Spamfilter, KI in Videospielen, einfache Empfehlungssysteme. Hier gelten keine besonderen Pflichten, Freiwillige Verhaltenskodizes sind möglich.

Zeitplan: Wann gelten welche Regeln?

  • Februar 2025: Verbot von KI-Praktiken mit inakzeptablem Risiko tritt in Kraft
  • August 2025: Regeln für allgemeine KI-Modelle (General Purpose AI, z. B. GPT-4) gelten
  • August 2026: Vollständige Geltung aller Anforderungen für Hochrisiko-KI
  • August 2027: Anforderungen für bestimmte eingebettete KI-Systeme (z. B. in Maschinen)

Was muss Ihr Unternehmen konkret tun?

Schritt 1: KI-Inventar erstellen

Listen Sie alle KI-Systeme auf, die Ihr Unternehmen einsetzt oder entwickelt. Dazu zählen: Chatbots, KI-gestützte E-Mail-Tools (Copilot, Gemini), KI-basiertes Recruiting-Software, automatisierte Entscheidungssysteme, Machine-Learning-Modelle in eigenen Anwendungen.

Schritt 2: Risikoklasse bestimmen

Prüfen Sie für jedes System, in welche Risikoklasse es fällt. Bei Unsicherheit: konservativ einschätzen oder rechtliche Beratung einholen.

Schritt 3: Transparenzmaßnahmen umsetzen

Für die meisten KMUs reicht es, Chatbots zu kennzeichnen, KI-generierte Inhalte zu markieren und die Datenschutzerklärung zu aktualisieren.

Schritt 4: HR-KI besonders prüfen

Wenn Sie KI-Tools im Recruiting oder Performance-Management einsetzen, sind diese als Hochrisiko-KI einzustufen. Stellen Sie sicher, dass Sie die Anforderungen an Transparenz, Dokumentation und menschliche Aufsicht erfüllen.

DSGVO und EU AI Act: Was ist der Unterschied?

Oft werden DSGVO und EU AI Act verwechselt. Sie ergänzen sich, aber regeln verschiedene Aspekte:

  • DSGVO: Regelt den Umgang mit personenbezogenen Daten – inklusive der Daten, die von KI-Systemen verarbeitet werden
  • EU AI Act: Regelt das KI-System selbst – seine Eigenschaften, Risiken und Anforderungen

Ein Chatbot kann DSGVO-konform sein, aber trotzdem gegen den AI Act verstoßen (z. B. wenn er sich nicht als KI ausgibt). Beide Regelwerke müssen gleichzeitig eingehalten werden.

Strafen und Durchsetzung

Die Bußgelder des EU AI Act sind erheblich:

  • Verstöße gegen das Verbot von KI mit inakzeptablem Risiko: bis zu € 35 Millionen oder 7 % des weltweiten Jahresumsatzes
  • Verstöße gegen sonstige Anforderungen: bis zu € 15 Millionen oder 3 % des Jahresumsatzes
  • Falsche Informationen gegenüber Behörden: bis zu € 7,5 Millionen oder 1,5 % des Jahresumsatzes

Für KMUs gelten verhältnismäßigere Bußgelder – aber Compliance ist trotzdem Pflicht.

Häufig gestellte Fragen (FAQ)

Gilt der EU AI Act auch, wenn ich nur ChatGPT für interne Zwecke nutze?

Ja, aber die Anforderungen sind minimal. OpenAI als Anbieter trägt die Hauptverantwortung als Hersteller eines General Purpose AI-Modells. Für Sie als Nutzer reicht es, ChatGPT nicht in einem Hochrisiko-Kontext einzusetzen und die Transparenzpflichten zu erfüllen.

Muss ich meinen KI-Chatbot beim Staat registrieren?

Für einfache Chatbots im Niedrig-Risiko-Bereich ist keine Registrierung erforderlich. Hochrisiko-KI-Systeme müssen in einer EU-Datenbank registriert werden.

Wo finde ich offizielle Informationen zum EU AI Act?

Die offizielle Verordnung ist im EU-Amtsblatt verfügbar. Praxisorientierte Leitfäden bietet die Wirtschaftskammer Österreich (WKO) sowie die Austrian Data Protection Authority (DSB).

Fazit: Jetzt handeln, bevor es teuer wird

Der EU AI Act ist keine abstrakte Bürokratie – er ist ein klarer Rechtsrahmen, der Vertrauen in KI aufbaut und Missbrauch verhindert. Für die meisten steirischen KMUs sind die Anforderungen überschaubar: Chatbots kennzeichnen, Datenschutzerklärung aktualisieren, HR-KI auf Compliance prüfen.

Handeln Sie jetzt – nicht erst wenn die Fristen ablaufen. Kontaktieren Sie uns, wenn Sie Unterstützung bei der KI-Compliance benötigen oder wissen möchten, welche konkreten Maßnahmen Ihr Unternehmen treffen muss.

Kostenloses KI-Beratungsgespräch

Haben Sie Fragen zu KI in Ihrem Unternehmen? Unsere Experten beraten Sie unverbindlich und kostenlos.

Jetzt anfragen
K

KI Graz Redaktion

KI-Experte bei KI Graz. Wir helfen österreichischen Unternehmen, Künstliche Intelligenz sicher, gefördert und mit messbarem ROI einzuführen.

Mehr über uns →
Teilen:LinkedInX / Twitter

Weitere Artikel

75% Förderung für KI-Projekte: So beantragst du die Fördermittel
Förderungen

75% Förderung für KI-Projekte: So beantragst du die Fördermittel

9 Min.

Wie du deinen ersten KI-Chatbot für deine Website baust
Praxis-Guide

Wie du deinen ersten KI-Chatbot für deine Website baust

10 Min.

KI in der steirischen Industrie: 5 Erfolgsgeschichten
Erfolgsgeschichten

KI in der steirischen Industrie: 5 Erfolgsgeschichten

12 Min.

Bereit für Ihre KI-Transformation?

Lassen Sie sich kostenlos beraten — von verifizierten KI-Experten aus ganz Österreich. Förderungen bis zu 75% möglich.

Kostenlos beraten lassen KI-Anbieter finden