Seit dem 2. August 2025 gelten weitere zentrale neue Bestimmungen des AI Act. Unternehmer können bei KI unterstützten Systemen auch Meldepflichten unterliegen.

Mit dem AI Act hat die Europäische Union eine umfassende Regulierung für Künstliche Intelligenz geschaffen, die auch direkt in Österreich anwendbar ist. Grundsätzliches Ziel des AI Act ist es, Innovation zu ermöglichen und gleichzeitig Risiken für Gesellschaft und Grundrechte zu minimieren. Die Verordnung ist am 1. August 2024 in Kraft getreten und wird schrittweise umgesetzt. Wesentliche weitere Regelungen sind seit 2. August 2025 in Kraft.

Wer ist vom AI Act betroffen?

Vom AI Act betroffen sind grundsätzlich Unternehmen, die KI-Systeme entwickeln, vertreiben oder einsetzen, unabhängig davon, ob sie in der EU ansässig sind. Darunter fallen Anbieter sogenannter General-Purpose AI (GPAI), also von KI-Modelle mit breitem Anwendungsspektrum (beispielsweise große Sprachmodelle) und Betreiber von KI-Anwendungen in sensiblen Bereichen wie Gesundheit, Justiz, Bildung oder öffentliche Verwaltung.

Vier Risikoklassen für KI-Systeme

Der AI Act unterscheidet dabei zwischen vier grundlegenden Risikokategorien:

(i)          Verbotene KI-Systeme – etwa Social Scoring oder manipulative Technologien,

(ii)         Hochrisiko-Systeme – beispielsweise KI in Medizin oder Personalrekrutierung, mit strengen Anforderungen an Sicherheit, Transparenz und Dokumentation,

(iii)        Systeme mit begrenztem Risiko – etwa Chatbots, die klar als solche erkennbar sein müssen und

(iv)        Systeme mit minimalem Risiko – wie Spamfilter, die kaum reguliert werden.

Unternehmen müssen je nach Risikoklasse technische Dokumentationen erstellen, Transparenz gegenüber Nutzern sicherstellen, interne Kompetenzen aufbauen und Risiken systematisch bewerten.

Pflichten der GPAI-Anbieter

Seit 2. August 2025 müssen GPAI-Anbieter offenlegen, wie ihre Modelle trainiert wurden, welche Inhalte verwendet wurden und wie Urheberrechte gewahrt bleiben. Die EU-Kommission hat am 10. Juli 2025 darüber hinaus einen offiziellen Kodex veröffentlicht, der als Leitlinie für verantwortungsvolle Entwicklung und Nutzung dient.

Zuständige Behörde in Österreich

Die RTR (Rundfunk und Telekom Regulierungs-GmbH) ist für Österreich die zentrale Melde- und Regulierungsbehörde für den AI Act und kann bei Verstößen gegen den AI Act auch empfindliche Geldbußen verhängen. Die Höhe von Geldbußen richtet sich nach dem Schweregrad des Verstoßes und kann – ähnlich wie bei der DSGVO – mehrere Millionen Euro betragen bzw. einen Prozentsatz des weltweiten Jahresumsatzes ausmachen.

Praxisbeispiel

Wie praxisrelevant der KI-Act für Unternehmen bereits sein kann, zeigt folgendes Beispiel: Ein österreichisches Unternehmen in Österreich setzt ein KI-System zur automatisierten Vorauswahl von Bewerber:innen ein. Da es sich um eine Anwendung im Personalbereich handelt, fällt das System unter die Kategorie „hohes Risiko“. Seit dem 2. August 2025 muss das Unternehmen nunmehr (a) eine Risikobewertung durchführen und dokumentieren, (b) sicherstellen, dass die KI nicht diskriminiert (z. B. nach Geschlecht oder Herkunft), (c) die Entscheidungslogik gegenüber Bewerber:innen transparent machen, (d) und die Anwendung bei der zuständigen nationalen Aufsichtsbehörde registrieren.

Fazit

Der AI Act verändert den Umgang mit KI grundlegend, sowohl für Anbieter als auch Anwender und spätestens mit Scharfschaltung der weiteren Regelungen mit 2. August 2025 sollte jedes Unternehmen prüfen, ob es im Einklang mit den Regelungen des KI-Act tätig ist.