Gilt der EU AI Act auch für mein kleines Unternehmen?

Ja, der EU AI Act gilt für jeden Betrieb, der KI einsetzt — auch für Einzelunternehmen. Für die meisten KMU bedeutet das aber nur geringe Pflichten: ein KI-Inventar, eine kurze Mitarbeiterschulung (KI-Kompetenzpflicht seit 2. Februar 2025) und eine Kennzeichnung dort, wo KI mit Kunden interagiert. Verbotene oder Hochrisiko-Anwendungen betreffen typische Handwerks- und Dienstleistungsbetriebe in der Regel nicht.

Welche Fristen muss ich beim EU AI Act beachten?

Drei Stichtage sind für KMU relevant: Seit 2. Februar 2025 sind verbotene KI-Praktiken untersagt und die KI-Kompetenzpflicht für Mitarbeitende gilt. Seit August 2025 greifen Pflichten für Anbieter allgemeiner KI-Modelle. Ab 2. August 2026 werden die Transparenzpflichten verbindlich — etwa die Kennzeichnung von Chatbots und KI-generierten Inhalten.

Was ist die österreichische KI-Sandbox?

Die KI-Regulatory-Sandbox ist eine geschützte Testumgebung, die Österreich wie jeder EU-Mitgliedstaat einrichtet, koordiniert über die nationale KI-Servicestelle (RTR/TKK). Dort können auch KMU und Start-ups innovative KI-Anwendungen unter behördlicher Aufsicht erproben, bevor sie auf den Markt kommen. Der Zugang soll für kleine Unternehmen bevorzugt und kostenfrei sein.

Muss ich meinen Website-Chatbot kennzeichnen?

Ja. Chatbots fallen unter die Kategorie begrenztes Risiko und sind transparenzpflichtig. Spätestens ab 2. August 2026 muss für Besucher erkennbar sein, dass sie mit einem KI-Assistenten und nicht mit einem Menschen schreiben. Ein schlichter Hinweis wie 'Sie chatten mit einem KI-Assistenten' genügt. Gleiches gilt für KI-generierte Bilder oder Videos, die entsprechend markiert werden müssen.

EU AI Act fürs KMU einfach erklärt (2026)

Q: Wie hoch sind die Strafen für KMU beim EU AI Act?

Die allgemeinen Höchststrafen liegen bei bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes. Für KMU und Start-ups gilt jedoch eine Erleichterung: Es wird der jeweils niedrigere der beiden Beträge angesetzt, also der prozentuale Anteil am Umsatz. Zusätzlich müssen Behörden die Unternehmensgröße und wirtschaftliche Lage berücksichtigen — die Strafen sind für kleine Betriebe also gedeckelt und verhältnismäßig.

Der EU AI Act ist die erste umfassende KI-Verordnung der Welt und gilt seit August 2024 schrittweise auch in Österreich. Für ein typisches KMU bedeutet er kein bürokratisches Großprojekt: Die meisten alltäglichen Werkzeuge wie ChatGPT, ein E-Mail-Assistent oder ein Chatbot fallen unter „minimales" oder „begrenztes Risiko". Konkret heißt das: ein kurzes KI-Inventar, eine Mitarbeiterschulung und eine Kennzeichnung dort, wo KI mit Kunden spricht. Mehr braucht es für die meisten Betriebe nicht.

Trotzdem lohnt es sich, das Thema einmal sauber zu durchdenken — schon weil die KI-Kompetenzpflicht seit Februar 2025 für alle gilt und weitere Transparenzpflichten im August 2026 greifen. Wir gehen das hier in einfacher Sprache durch, ohne Paragrafen-Dschungel.

Die vier Risikoklassen — und wo Ihr Betrieb landet

Das Herzstück des EU AI Act ist ein risikobasierter Ansatz. Nicht die Technologie an sich wird reguliert, sondern wofür Sie KI einsetzen. Es gibt vier Stufen:

Verbotenes Risiko: Diese KI-Anwendungen sind seit 2. Februar 2025 in der gesamten EU untersagt. Dazu gehören Social Scoring von Menschen, manipulatives Verhalten zum Schaden von Personen oder das wahllose Auslesen von Gesichtsbildern aus dem Internet. Für ein normales KMU praktisch nie ein Thema.
Hochrisiko: KI, die über Menschen entscheidet — etwa beim Bewerber-Screening, bei Kreditvergabe, in kritischer Infrastruktur oder bei bestimmten Medizinprodukten. Hier gelten strenge Pflichten (Risikomanagement, Dokumentation, menschliche Aufsicht). Die meisten Handwerks- und Dienstleistungsbetriebe betreiben keine Hochrisiko-KI — aber wenn Sie ein automatisiertes Tool zur Personalauswahl nutzen, sollten Sie genau hinsehen.
Begrenztes Risiko: Hier liegt der typische KMU-Fall. Chatbots, KI-generierte Texte und Bilder, Deepfakes — alles erlaubt, aber kennzeichnungspflichtig. Der Kunde muss erkennen können, dass er mit einer Maschine spricht oder einen KI-Inhalt vor sich hat.
Minimales Risiko: Spamfilter, Rechtschreibhilfen, Produktempfehlungen im Webshop. Keine besonderen Pflichten. Der Großteil der Alltags-KI fällt genau hierher.

Schätzungen der EU-Kommission gehen davon aus, dass über 80 Prozent der eingesetzten KI-Systeme in die unteren beiden Kategorien fallen. Wenn Sie wissen wollen, wo Ihre konkreten Werkzeuge stehen, beantwortet unser EU-AI-Act-Selbstcheck die Einordnung in wenigen Minuten — kostenlos und ohne Anmeldung.

KI-Kompetenzpflicht: seit 2. Februar 2025 für alle

Das ist die Pflicht, die am häufigsten übersehen wird, weil sie so unscheinbar klingt. Seit 2. Februar 2025 gilt: Jeder Betrieb, der KI einsetzt, muss sicherstellen, dass die Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Das betrifft auch den Einmann-Betrieb und die Tischlerei mit drei Angestellten.

Was bedeutet „ausreichende Kompetenz" praktisch? Keine teure Zertifizierung. Es reicht, wenn die Menschen, die mit KI arbeiten, verstehen:

was das Werkzeug kann und wo seine Grenzen liegen (Stichwort: KI „halluziniert" manchmal),
dass keine sensiblen Kunden- oder Personaldaten unbedacht in fremde Systeme kopiert werden,
dass KI-Ergebnisse vor dem Versand an Kunden geprüft werden.

Eine kurze, dokumentierte Schulung — etwa eine Stunde plus eine knappe interne Richtlinie — erfüllt diese Pflicht für die meisten KMU bereits. Wichtig ist, dass Sie es einmal sauber festhalten. Wie das mit DSGVO und AI Act zusammenspielt, vertiefen wir in unserer Leistung EU AI Act und DSGVO.

Transparenzpflichten ab 2. August 2026

Der nächste große Stichtag ist der 2. August 2026. Ab dann greifen die Transparenzpflichten für KI mit begrenztem Risiko verbindlich. Für Ihren Betrieb heißt das konkret:

Chatbots kennzeichnen: Wenn auf Ihrer Website ein KI-Assistent antwortet, muss der Besucher das erkennen können. Ein schlichter Hinweis „Sie chatten mit einem KI-Assistenten" genügt.
KI-Inhalte markieren: Künstlich erzeugte oder bearbeitete Bilder, Audios und Videos (Deepfakes) müssen als solche gekennzeichnet werden — etwa unter einem KI-generierten Beitragsbild.
Maschinenlesbarkeit: Anbieter generativer KI müssen ihre Ausgaben technisch markierbar machen. Als Anwender betrifft Sie vor allem die sichtbare Kennzeichnung.

Das ist überschaubar. Ein, zwei Sätze auf der Website und ein Hinweis unter KI-Bildern decken den Alltag eines KMU weitgehend ab. Bei der praktischen Umsetzung auf Ihrer Seite helfen wir im Rahmen unserer Leistung Websites bauen mit.

Gute Nachrichten für KMU: Sandbox und gedeckelte Strafen

Der EU AI Act ist ausdrücklich nicht darauf ausgelegt, kleine Betriebe zu erdrücken. Zwei Punkte sind dabei besonders wichtig:

Österreichische KI-Sandbox. Österreich richtet — wie jeder EU-Mitgliedstaat — eine KI-Regulatory-Sandbox ein, koordiniert über die zuständige nationale Behörde (RTR/Telekom-Control-Kommission als KI-Servicestelle). In dieser geschützten Testumgebung können auch KMU innovative KI-Anwendungen unter Aufsicht erproben, bevor sie auf den Markt kommen — mit fachlicher Begleitung statt sofortiger Sanktion. Der Zugang soll für kleine Unternehmen und Start-ups bevorzugt und kostenfrei sein.

Gedeckelte Bußgelder. Die Strafen klingen zunächst dramatisch: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei verbotenen Praktiken. Für KMU und Start-ups gilt jedoch eine wichtige Erleichterung: Bei ihnen wird der jeweils niedrigere der beiden Beträge angesetzt — also der prozentuale Anteil am Umsatz statt der Millionensumme. Für einen kleinen Betrieb bedeutet das eine deutlich verhältnismäßigere Obergrenze. Außerdem sollen Behörden die Unternehmensgröße und die wirtschaftliche Lebensfähigkeit bei jeder Strafe berücksichtigen.

Was ein kleiner Betrieb jetzt konkret tun sollte

Genug Theorie. Hier ist die werkstattgeprüfte Liste, die Sie an einem Vormittag abarbeiten können:

1. KI-Inventar erstellen. Schreiben Sie auf, welche KI-Werkzeuge im Betrieb tatsächlich laufen — ChatGPT, ein Website-Chatbot, ein KI-Texttool im Marketing, eine Buchhaltungs-Automatisierung. Eine einfache Tabelle reicht völlig. Wo eine saubere Excel-Liste genügt, sagen wir Ihnen das auch.
2. Risikoklasse zuordnen. Gehen Sie jedes Werkzeug durch und prüfen Sie: minimal, begrenzt oder eventuell doch Hochrisiko? In 95 Prozent der Fälle landen Sie bei den unteren Stufen.
3. Mitarbeitende schulen. Eine kurze, dokumentierte Einweisung plus eine einseitige interne KI-Richtlinie. Damit erfüllen Sie die Kompetenzpflicht.
4. Kennzeichnung vorbereiten. Chatbot-Hinweis und KI-Bild-Markierung schon jetzt einbauen, damit Sie vor August 2026 fertig sind.
5. Datenschutz mitdenken. Achten Sie darauf, dass keine personenbezogenen Daten ungeschützt in fremde KI-Systeme wandern — hier greifen AI Act und DSGVO ineinander.

Damit ist der EU AI Act für die allermeisten KMU erledigt. Es ist weniger Aufwand, als die Schlagzeilen vermuten lassen — vorausgesetzt, man geht es einmal strukturiert an, statt es vor sich herzuschieben.

Wo Sie weiterlesen oder anfangen können

Wenn Sie unsicher sind, ob ein einzelnes Werkzeug betroffen ist, nutzen Sie zuerst den EU-AI-Act-Selbstcheck. Er führt Sie Schritt für Schritt durch die Einordnung. Wer grundsätzlich wissen will, wo der eigene Betrieb beim Thema Digitalisierung und KI steht, findet im Potenzial-Check in fünf Minuten eine ehrliche Standortbestimmung. Und wenn Sie sehen wollen, wo KI im Betriebsalltag wirklich Stunden spart, lohnt ein Blick auf KI im Handwerk — Beispiele.

Wir sind keine Anwaltskanzlei und ersetzen keine Rechtsabteilung. Was wir können: das Thema so übersetzen, dass es am Montagmorgen umsetzbar ist — Inventar, Schulung, Kennzeichnung, fertig. Wenn Sie das einmal in Ruhe mit jemandem durchgehen möchten, der KI im Betrieb täglich einbaut, schreiben Sie uns einfach über Kontakt. Kein Verkaufsgespräch, sondern ein ehrlicher Blick auf das, was Sie tatsächlich brauchen — und das, was Sie sich sparen können.

EU AI Act fürs KMU — einfach erklärt (mit Selbstcheck)