Datenschutz & Compliance

Veröffentlicht am 18. Mai 202618. Mai 2026 von Christian Schwarz — Kommentar hinterlassen

EU AI Act 2026: Neue Fristen, echte Hilfestellung für österreichische KMU

Christian Schwarz, KI-Berater für österreichische KMU

Während Beratungsgesprächen hört man diesen Satz häufig: „Wir bauen keine KI, also gilt das Gesetz doch nicht für uns.“ Gemeint ist der EU AI Act, das europäische KI-Gesetz, das seit August 2024 in Kraft ist. Das Missverständnis ist verbreitet und nachvollziehbar. Es hat aber praktische Konsequenzen, denn die erste konkrete Pflicht aus diesem Gesetz gilt bereits seit 15 Monaten.

Dieser Beitrag klärt, welche Anforderungen für österreichische KMU tatsächlich relevant sind, was eine politische Einigung der EU vom 7. Mai 2026 konkret verändert hat und warum sich die notwendigen Hausaufgaben für Ihren Betrieb doppelt auszahlen.

Was die meisten Betriebe übersehen: KI-Kompetenz ist längst Pflicht

Der EU AI Act unterscheidet zwischen Anbietern, die KI-Systeme entwickeln und vermarkten, und Anwendern, die bestehende Systeme in ihrem Betrieb nutzen. Die überwiegende Mehrheit der österreichischen KMU fällt in die zweite Kategorie. Wer KI-Assistenten wie ChatGPT für Angebote, E-Mails oder Marketingtexte einsetzt, seinen Kundenservice über ein KI-gestütztes Chat-System abwickelt oder Buchhaltungsprozesse mit automatisierten Tools unterstützt, ist als Anwender tätig. Im Gesetz heißt das „Deployer“.

Was viele dabei nicht auf dem Radar haben: Die Pflicht zur KI-Kompetenz (Artikel 4 des AI Act) gilt bereits seit dem 2. Februar 2025. Betriebe müssen sicherstellen, dass Mitarbeiterinnen und Mitarbeiter, die KI-Systeme im Arbeitsalltag nutzen, ein grundlegendes Verständnis der eingesetzten Systeme mitbringen, also ein Bewusstsein für deren Möglichkeiten, Grenzen und Risiken. Es geht dabei nicht um technische Ausbildung, sondern um praxisnahes Grundwissen: Wann liefert ein KI-System verlässliche Ergebnisse? Wann braucht es menschliche Kontrolle? Welche Daten dürfen in ein externes Tool eingespeist werden?

Für viele Betriebe ist das der erste konkrete Handlungsbedarf aus dem EU AI Act. Gleichzeitig gilt: Mitarbeitende, die ein echtes Verständnis der eingesetzten Systeme mitbringen, nutzen diese auch besser. Compliance und Effizienzgewinn gehen hier Hand in Hand.

EU AI Act Risikostufen und neue Fristen: Was jetzt für KMU gilt

Das EU AI Act unterscheidet mehrere Risikostufen. Verbotene Systeme — Manipulation, soziale Scores, biometrische Massüberwachung — betreffen österreichische KMU in der Praxis kaum. Für die meisten Betriebe ist die Hochrisiko-Kategorie die relevante Grenze: KI-Systeme, die sensible Entscheidungen über Menschen beeinflussen, etwa in der Personalauswahl, bei Kreditbewertungen oder im Kundenscoring. Entscheidend ist dabei nicht das verwendete Modell, sondern der Einsatzzweck. Auch Automatisierungs-Tools wie Zapier oder Make können unbemerkt in diese Kategorie fallen, sobald sie Entscheidungslogiken übernehmen.

Am 7. Mai 2026 einigte sich die EU auf den sogenannten „Digital Omnibus“, ein Gesetzespaket zur Vereinfachung digitaler Regulierungen, und verschob damit die Hauptfristen für Hochrisiko-Systeme. Die vollständigen Anforderungen gelten erst ab Dezember 2027, für produktintegrierte Systeme sogar erst ab August 2028. Was trotzdem bereits jetzt gilt: KI-Kompetenz nach Artikel 4 seit Februar 2025, Transparenzpflichten für Chatbots ab August 2026 und die Verbote aus Artikel 5.

Für KMU bedeutet das im Wesentlichen: Wer weiß, ob er ein Hochrisiko-System betreibt, ist gut aufgestellt. Die Zeit für die vollständige Umsetzung ist vorhanden.

Was die EU-Kommission für KMU vorbereitet hat

In der öffentlichen Diskussion geht oft unter, dass das Gesetz bewusst Hilfestellungen für kleinere Betriebe vorsieht. Die Europäische Kommission entwickelt vereinfachte Dokumentationsvorlagen für Hochrisiko-Systeme, die von nationalen Behörden für Konformitätsbewertungen akzeptiert werden. Gebühren für Konformitätsbewertungen müssen die Größe und den Marktanteil von KMU berücksichtigen. Für Tests und Pilotprojekte gibt es Regulierungs-Sandboxen, die für KMU kostenlos und mit vereinfachtem Zugang ausgestaltet sind.

In Österreich hat die Rundfunk- und Telekom Regulierungs-GmbH (RTR) bereits eine KI-Servicestelle eingerichtet, die österreichische Betriebe bei der Einordnung ihrer Systeme unterstützt. Es gibt also eine erste Anlaufstelle, bevor rechtliche Beratung notwendig wird.

Warum sich die KI-Compliance für KMU doppelt auszahlt

Die Anforderungen aus dem EU AI Act klingen auf den ersten Blick nach zusätzlicher Bürokratie. In der Praxis zeigt sich schnell ein anderes Bild.

Betriebe, die ihre KI-Systeme erstmals systematisch erfassen, entdecken regelmäßig Tool-Doppelungen, Abonnements, die niemand mehr aktiv nutzt, und Automatisierungen, die seit Monaten unbemerkt laufen. Die Compliance-Arbeit ist damit gleichzeitig eine betriebswirtschaftliche Aufräumaktion, die Klarheit schafft und oft konkrete Einsparungen bringt. Ein Wiener Dienstleistungsbetrieb mit 22 Mitarbeitenden entdeckte bei der Bestandsaufnahme drei SaaS-Abonnements, die seit über einem Jahr ungenutzt liefen, und konnte dadurch knapp 4.000 Euro Jahreskosten einsparen.

Hinzu kommt der Effekt auf der Teamebene: Mitarbeitende, die KI-Systeme wirklich verstehen, setzen sie gezielter ein. Sie wissen, welche Anfragen sinnvoll sind, wann Ergebnisse kritisch geprüft werden müssen und wo KI echte Zeitersparnis bringt. Was als regulatorische Pflicht beginnt, mündet in einem Team, das Technologie als Werkzeug beherrscht statt als Black Box toleriert.

Und schließlich: Betriebe, die heute eine klare KI-Governance aufbauen, entscheiden bei künftigen Investitionen fundierter. Wer seinen bestehenden KI-Einsatz kennt, weiß, welche neuen Tools wirklich Sinn ergeben und welche nicht.

Drei Schritte, die Ihr Betrieb jetzt angehen kann

Bestandsaufnahme machen. Welche KI-Systeme werden im Betrieb eingesetzt? Das umfasst nicht nur explizit als „KI“ vermarktete Produkte, sondern auch Automatisierungstools mit Entscheidungslogiken sowie KI-Module, die als Teil größerer Software laufen. Ein einfaches Register mit Tool-Name, Einsatzzweck, verarbeiteten Daten und zuständiger Person reicht als Ausgangspunkt. Viele Betriebe entdecken dabei auch Tools, die kaum noch genutzt werden, aber weiterhin Kosten verursachen.
Risikostufe einschätzen. Für jeden identifizierten Einsatz prüfen, ob er in einen Hochrisiko-Bereich fällt: HR-Entscheidungen, Kreditbewertungen, Kundenscoring, sicherheitskritische Anwendungen. Die RTR-Servicestelle und der Compliance-Checker auf der EU-Plattform artificialintelligenceact.eu sind gute erste Orientierungspunkte. Wer den eigenen KI-Einsatz klar beschreiben kann, führt auch bessere Gespräche mit Softwareanbietern und stellt die richtigen Fragen bei neuen Anschaffungen.
KI-Kompetenz dokumentieren und aufbauen. Da Artikel 4 bereits gilt, ist es sinnvoll, nachzuweisen, dass Mitarbeitende mit einem grundlegenden Verständnis des eingesetzten Systems arbeiten. Das muss kein aufwändiges Schulungsprogramm sein. Ein internes Gespräch mit Protokoll, klare Nutzungsregeln und ein kurzer Hinweis auf erlaubte und nicht erlaubte Dateneingaben schaffen die notwendige Grundlage. Schulungen, die über das Minimum hinausgehen, zahlen sich doppelt aus: Sie erfüllen die regulatorischen Anforderungen und helfen dem Team, KI-Systeme effizienter einzusetzen.

Sobald ein System als Hochrisiko eingestuft werden könnte oder sensible Daten von Kunden, Bewerbern oder Mitarbeitenden verarbeitet werden, ist rechtliche Beratung sinnvoll. Das Gesetz selbst empfiehlt bei Unsicherheit den Weg über spezialisierte Berater, genau so, wie Steuer- und Finanzberatung nicht durch Eigenrecherche ersetzt wird.

Häufige Fragen zum EU AI Act

Gilt der EU AI Act auch für uns, wenn wir nur ChatGPT nutzen?

Ja. Wer KI-Systeme im Betrieb nutzt, auch fertige Tools wie ChatGPT, gilt im Sinne des Gesetzes als „Deployer“ und unterliegt den Anwenderpflichten. Die wichtigste davon ist die KI-Kompetenzpflicht nach Artikel 4, die seit Februar 2025 gilt. Wer sicherstellt, dass Mitarbeitende grundlegende Kenntnisse über die eingesetzten Tools mitbringen, erfüllt diese Anforderung bereits.

Was bedeutet Artikel 4 konkret für unsere Mitarbeitenden?

Artikel 4 verpflichtet Betriebe sicherzustellen, dass Mitarbeitende, die KI-Systeme einsetzen, ein grundlegendes Verständnis dieser Systeme mitbringen. Sie sollen wissen, wann ein Tool verlässliche Ergebnisse liefert, wann menschliche Kontrolle notwendig ist und welche Daten nicht in externe Systeme eingegeben werden dürfen. Ein dokumentiertes internes Gespräch mit klaren Nutzungsregeln reicht als erste Grundlage.

Unser HR-Tool filtert Bewerbungen automatisch. Gilt das als Hochrisiko?

Sehr wahrscheinlich ja. KI-Systeme, die automatisch Bewerbungen bewerten oder Kandidaten vorauswählen, fallen in die Hochrisiko-Kategorie des EU AI Acts. Das gilt unabhängig davon, welches KI-Modell das Tool im Hintergrund nutzt, entscheidend ist der Einsatzzweck. Für eine verbindliche Einschätzung empfiehlt sich ein Gespräch mit der RTR-KI-Servicestelle oder einem spezialisierten Rechtsberater.

Was hat der Digital Omnibus vom Mai 2026 für unseren Betrieb verändert?

Die politische Einigung vom 7. Mai 2026 hat die Hauptfristen für Hochrisiko-Systeme verschoben: Die vollständigen Anforderungen gelten erst ab Dezember 2027 statt August 2026. Für KMU mit bis zu 750 Mitarbeitenden wurden außerdem die vereinfachten Dokumentationsregeln ausgeweitet. Was sich nicht geändert hat: Die Kompetenzpflicht nach Artikel 4 und die Transparenzpflichten für Chatbots bleiben zu ihren ursprünglichen Terminen in Kraft.

Brauchen wir als KMU rechtliche Beratung für den EU AI Act?

Das hängt davon ab, welche Systeme Sie einsetzen. Für die meisten KMU, die Standardtools wie ChatGPT oder Office-Automatisierungen nutzen, reichen operative Schritte, also Bestandsaufnahme, Governance-Dokumentation und KI-Kompetenz, ohne Rechtsberatung aus. Sobald ein System als Hochrisiko eingestuft werden könnte oder sensible Personendaten verarbeitet werden, ist spezialisierte Rechtsberatung sinnvoll.

Was Büroteam für Ihren Betrieb tun kann

Die Umsetzung der ersten Compliance-Schritte bleibt im Tagesgeschäft häufig liegen. Büroteam unterstützt österreichische KMU konkret dabei, die Hausaufgaben aus dem EU AI Act anzugehen.

KI-Bestandsaufnahme und Risikoeinstufung: Büroteam erfasst alle eingesetzten Systeme und Automatisierungstools und ordnet sie nach Risikostufe ein, einschließlich jener, die als Standardsoftware laufen und dennoch Entscheidungslogiken enthalten.

DSGVO-Check für KI-Anwendungen: Büroteam prüft, ob Auftragsverarbeitungsverträge mit externen KI-Anbietern vorhanden und aktuell sind und ob die technischen Schutzmaßnahmen für verarbeitete Daten dem aktuellen Stand entsprechen.

Governance-Dokumentation für Artikel 4: Büroteam unterstützt beim Aufbau interner Nutzungsregeln und eines einfachen Protokollrahmens, den Ihr Team selbst befüllen kann.

Mitarbeiterschulungen für KI-Kompetenz: Büroteam bietet praxisnahe Schulungen, die KI-Kompetenz im Betriebsalltag aufbauen. Der Fokus liegt nicht nur auf der regulatorischen Anforderung aus Artikel 4. Im Mittelpunkt steht, dass Ihr Team KI-Systeme sinnvoll und effizient einsetzt: Welche Möglichkeiten bietet ein Tool konkret? Wann sind Ergebnisse verlässlich, wann braucht es kritische Überprüfung? Und wo lassen sich mit den bereits eingesetzten Systemen echte Effizienzgewinne erzielen?

Rechtliche Fragen gehören zu spezialisierten Anwälten. Den Rest übernehmen wir. Sprechen Sie uns an, ein erstes Gespräch reicht, um zu wissen, wo Ihr Betrieb steht und was als nächstes Sinn macht.

Veröffentlicht am 27. April 2026 von Christian Schwarz — Kommentar hinterlassen

KI ist längst in Ihrem Betrieb. So schaffen Sie Überblick und Rechtssicherheit.

Während Beratungen hört man diesen Satz häufig: „Ich glaube, manche im Team nutzen schon KI-Tools, aber genau weiß ich das ehrlich gesagt nicht.“ Dieser Satz klingt beiläufig. Er beschreibt in vielen österreichischen Betrieben jedoch eine Situation, die seit 2026 handfeste rechtliche Konsequenzen haben kann — sowohl aus der DSGVO als auch aus dem EU AI Act.

Was Schatten-KI ist und warum sie entsteht

Wenn Mitarbeiter KI-Anwendungen für ihre Arbeit nutzen, ohne dass die Geschäftsführung davon weiß, sprechen Datenschutzexperten von Schatten-KI. Meistens handelt es sich um einen Mitarbeiter im Vertrieb, der ChatGPT für Angebote nutzt, eine Assistentin, die Gesprächsnotizen zusammenfassen lässt, oder eine Teamleitung, die Microsoft Copilot ausprobiert hat und dabei geblieben ist.

Das geschieht nicht aus böser Absicht. Es geschieht, weil die Tools verfügbar, einfach zu bedienen und nützlich sind. Die meisten Betriebe haben dafür bisher keine interne Regelung gehabt — und genau das ist das Problem.

Warum fehlende Regelung zum DSGVO-Problem wird

Die DSGVO schreibt vor, dass personenbezogene Daten nur unter bestimmten Voraussetzungen an externe Dienste übermittelt werden dürfen. Wenn Ihre Mitarbeiter Kundennamen, Projektdetails oder Preiskalkulationen in ein KI-Tool eingeben, verlassen diese Daten das Unternehmen. Lokale KI-Modelle sind eine datenschutzkonforme Alternative, bei der Daten das Unternehmen nie verlassen.

Für diese Übermittlung braucht es eine Rechtsgrundlage: einen Auftragsverarbeitungsvertrag mit dem Tool-Anbieter (kurz AVV — ein Standardvertrag, der regelt, wie externe Dienstleister mit Ihren Daten umgehen dürfen) und eine interne Freigabe. Das Problem liegt nicht im Werkzeug selbst, sondern in der fehlenden Dokumentation. Wer nicht weiß, welche Tools im Betrieb genutzt werden, kann diese Voraussetzungen nicht erfüllen.

Ein konkretes Beispiel aus der Praxis

Ein Wiener Dienstleistungsbetrieb mit 22 Mitarbeitenden machte im Zuge einer internen Bestandsaufnahme eine unerwartete Entdeckung: Vier Teammitglieder nutzten seit mehreren Monaten ChatGPT für die Erstellung von Kundenangeboten. Kundennamen, Projektbeschreibungen und Preiskalkulationen waren dabei eingegeben worden. Ein AVV mit OpenAI existierte nicht.

Die Mitarbeiter hatten sich nichts dabei gedacht. Für das Unternehmen bedeutete die Bestandsaufnahme ein rasches Aufholen: die kostenlosen Accounts auf ein Business-Abo umstellen, einen AVV mit OpenAI abschließen, das Verarbeitungsverzeichnis nachziehen und eine interne Richtlinie erstellen. Das ist schnell gemacht und beseitigt die Datenschutzbedenken.

Die österreichische Datenschutzbehörde prüft 2026 aktiv

Die österreichische Datenschutzbehörde (DSB) hat für 2026 Schwerpunktprüfungen angekündigt und bereits im März erste Verfahren eingeleitet. Geprüft wird, ob AVVs mit externen Anwendungen vorhanden sind, ob technische und organisatorische Schutzmaßnahmen dokumentiert sind und wer im Betrieb auf welche Daten Zugriff hat.

Das bedeutet: „Wir wussten nicht, wer welche Tools nutzt“ reicht als Antwort auf eine Prüfung nicht aus. Der Aufwand für eine funktionierende Grundstruktur ist deutlich geringer als der Aufwand für die nachträgliche Regulierung.

Was Sie jetzt konkret tun können

Der erste Schritt ist keine rechtliche Großaktion, sondern eine interne Frage: Welche KI-Tools werden in Ihrem Betrieb von wem für welche Aufgaben verwendet? Ein kurzes Teamgespräch reicht. Ziel ist Transparenz, nicht Sanktionierung.

Darauf aufbauend empfehlen sich vier Maßnahmen:

1. Auftragsverarbeitungsverträge prüfen. Für jedes Tool, das personenbezogene Daten verarbeiten kann, sollte ein AVV vorhanden sein. Kostenlose oder private Accounts bieten in der Regel keinen AVV an und sind für die Verarbeitung personenbezogener Daten nicht vorgesehen. Für die geschäftliche Nutzung sind Business- oder Enterprise-Versionen erforderlich.

2. Verarbeitungsverzeichnis aktualisieren. Jeder KI-Tool-Einsatz mit personenbezogenen Daten muss im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert sein: Zweck der Verarbeitung, Datenkategorien, Rechtsgrundlage und AVV-Partner.

3. KI-Policy einführen. Halten Sie schriftlich fest, welche Tools im Betrieb erlaubt sind, welche Daten damit verarbeitet werden dürfen und wer die Verantwortung trägt. Die WKO stellt dafür fertige Vorlagen für österreichische KMU zur Verfügung.

4. Mitarbeiter informieren. Nicht sanktionieren, sondern erklären: Was darf verwendet werden, was nicht, und warum. Das verhindert, dass neue Schatten-KI entsteht, während die alte gerade geregelt wird.

Häufige Fragen

Was ist Schatten-KI und warum ist sie ein DSGVO-Risiko?

Schatten-KI bezeichnet KI-Tools, die Mitarbeiter eigenständig für ihre Arbeit nutzen, ohne dass die Geschäftsführung davon weiß. Das DSGVO-Risiko entsteht, weil dabei personenbezogene Daten an externe Server übermittelt werden — ohne die erforderliche Rechtsgrundlage und Dokumentation.

Brauche ich für jeden KI-Tool-Einsatz einen AVV?

Ja, wenn personenbezogene Daten in das Tool eingegeben werden. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist dann Pflicht. Kostenlose oder private Accounts bieten in der Regel keinen AVV. Für die geschäftliche Nutzung sind Business- oder Enterprise-Versionen erforderlich.

Dürfen meine Mitarbeiter ChatGPT oder Gemini im Büro nutzen?

Mit einem kostenlosen oder privaten Account nicht für die Verarbeitung personenbezogener Daten. Business- und Enterprise-Versionen bieten AVVs und sind DSGVO-konform einsetzbar, wenn sie intern freigegeben und im Verarbeitungsverzeichnis dokumentiert sind.

Was muss in eine KI-Policy für KMU?

Eine KI-Policy sollte festhalten: welche Tools im Betrieb erlaubt sind, welche Daten damit verarbeitet werden dürfen, wer die Verantwortung trägt und was bei Unklarheiten zu tun ist. Die WKO stellt fertige Vorlagen für österreichische KMU zur Verfügung.

Veröffentlicht am 27. April 2026 von Christian Schwarz — 1 Kommentar

KI-Kompetenz ist jetzt Pflicht — wie Betriebe daraus mehr machen als ein Pflichtprogramm

Ob im Betrieb bereits KI-Tools genutzt werden oder nicht — seit dem 2. Februar 2025 gilt in beiden Fällen dieselbe gesetzliche Anforderung. Artikel 4 des EU AI Acts verpflichtet Unternehmen, ihre Mitarbeitenden mit ausreichender KI-Kompetenz auszustatten. Wer davon noch nicht gehört hat, ist in guter Gesellschaft — die Regelung ist relativ neu.

Was Artikel 4 EU AI Act von Ihrem Betrieb tatsächlich verlangt

Die Schulungspflicht klingt nach Bürokratie. In der Praxis ist sie das nicht. Artikel 4 schreibt weder eine Mindestanzahl an Schulungsstunden vor noch ein starres Schulungsprogramm. Die Anforderung lautet: Mitarbeitende, die KI-Systeme nutzen, entwickeln oder beaufsichtigen, sollen ein ihrem Aufgabenbereich angemessenes Verständnis davon mitbringen.

Für wen das gilt, ist breiter als viele erwarten. Das Gesetz unterscheidet zwischen Anbietern — Unternehmen, die KI-Systeme entwickeln — und Betreibern, also Unternehmen, die KI-Systeme im eigenen Betrieb einsetzen. Wer mit ChatGPT Angebote schreibt, wer Microsoft Copilot in der Büroarbeit nutzt oder wer eine Branchensoftware mit eingebetteten KI-Funktionen verwendet, gilt als Betreiber und ist damit verpflichtet. Das betrifft einen Großteil der österreichischen KMUs.

Was „ausreichende KI-Kompetenz“ bedeutet, hängt von der Rolle ab. Für eine Mitarbeiterin im Kundenservice, die KI-gestützte Textvorschläge nutzt, sind andere Kenntnisse relevant als für einen IT-Verantwortlichen, der eine KI-Lösung einführt. Diese Rollenspezifik hat der Gesetzgeber bewusst offen gelassen.

Wichtig ist die Dokumentation: wer hat wann was gelernt, in welchem Format. Eine feste Aufbewahrungsfrist schreibt Artikel 4 nicht vor — in der Praxis empfehlen Fachleute fünf bis zehn Jahre. Direkte Bußgelder für Verstöße gegen Artikel 4 kennt das Gesetz nicht; das eigentliche Risiko liegt im Zivilrecht. Wer durch fehlende Schulung einen Schaden verursacht, kann nach österreichischem Recht haftbar gemacht werden.

Für Betriebe, die noch nicht angefangen haben: warum das ein guter Einstieg ist

Eine Schulungspflicht klingt für Betriebe, die KI bisher noch gar nicht einsetzen, wie ein schlechter Einstieg in das Thema. Die Erfahrung zeigt das Gegenteil. Mitarbeitende, die verstehen wie ein Tool funktioniert, entwickeln rasch Ideen für den eigenen Einsatz. Als erster strukturierter Kontakt mit KI hat eine gut gestaltete Schulung damit einen konkreten praktischen Wert, der — richtig eingebettet — echten Change Management-Mehrwert schafft, der über die Compliance-Erfüllung hinausgeht.

Für Betriebe, die KI bereits nutzen: was jetzt zu tun ist

Wer im Betrieb bereits KI-Tools nutzt, steht vor einer anderen Frage: nicht ob die Schulungspflicht gilt, sondern ob sie bereits erfüllt ist. In den meisten Fällen lässt sich das mit einer kurzen Bestandsaufnahme klären: Welche Tools werden von wem für welche Aufgaben verwendet? Das deckt auch DSGVO-relevante Schatten-KI auf. Wer hat welche Kenntnisse darüber? Was fehlt?

Aus dieser Bestandsaufnahme ergibt sich der konkrete Schulungsbedarf. Für viele Betriebe reicht eine kompakte Einheit, um das nötige Grundverständnis zu schaffen, zu dokumentieren und damit die gesetzliche Anforderung nachweisbar zu erfüllen.

Konkrete Möglichkeiten zur Umsetzung in Österreich

Österreichische KMUs haben mehrere direkt nutzbare Optionen:

Das BFI Wien bietet ein „KI-Kompetenztraining nach Art. 4 AI Act inkl. Nachweis“ an, das mit einem dokumentierbaren Zertifikat abschließt. Wer eine zertifizierte Lösung mit klarem Compliance-Nachweis sucht, findet hier eine fertige Option.

Die WKO bietet über das WIFI-Netzwerk den „KI-Führerschein“ an — ein praxisnahes Training mit Grundlagen, rechtlichem Rahmen und konkreten Anwendungsbeispielen. Die Kurse sind in allen Bundesländern verfügbar und richten sich an Mitarbeitende ohne technischen Hintergrund.

Die RTR KI-Servicestelle ist die offizielle österreichische Anlaufstelle für Fragen rund um den EU AI Act und bietet kostenlose FAQ, Leitfäden und Orientierung zu den Anforderungen aus Artikel 4.

Für Betriebe, die eine Schulung direkt im eigenen Betriebskontext durchführen möchten, bietet Büroteam maßgeschneiderte Workshops und Schulungen an — besonders sinnvoll, wenn die Schulung nicht nur die Compliance-Anforderung erfüllen, sondern gleichzeitig den Einstieg in konkrete KI-Anwendungen schaffen soll.

Häufige Fragen

Gilt die Schulungspflicht auch für kleine Betriebe mit weniger als zehn Mitarbeitenden?

Artikel 4 enthält keine Ausnahmeregelung für Kleinstbetriebe. Wer KI-Systeme im Betrieb einsetzt, gilt als Betreiber und ist verpflichtet, unabhängig von der Unternehmensgröße. Der Umfang der Schulung kann jedoch dem tatsächlichen Einsatz angepasst werden.

Was zählt als ausreichende KI-Kompetenz?

Das Gesetz schreibt keine Stundenzahl und kein Format vor. Ausreichend ist, was dem jeweiligen Aufgabenbereich entspricht. Für Mitarbeitende, die KI-Tools täglich nutzen, sind Grundkenntnisse über Funktionsweise, Grenzen und Datenschutzaspekte der eingesetzten Tools ein sinnvoller Ausgangspunkt.

Was muss dokumentiert werden?

Festgehalten werden sollte, welche Inhalte geschult wurden, in welchem Format und wann, sowie welche Mitarbeitenden teilgenommen haben. Ein einfaches Teilnahmeprotokoll oder ein Kursnachweis reicht als Grundlage.

Welche Konsequenzen drohen bei Nichterfüllung?

Artikel 4 ist nicht mit direkten Bußgeldern verknüpft. Das Risiko liegt im Zivilrecht: Wenn fehlendes KI-Wissen nachweislich zu einem Schaden führt, kann das nach österreichischem Recht haftungsrelevant werden.

Der nächste Schritt

Die RTR KI-Servicestelle ist eine gute erste Anlaufstelle, um den eigenen Schulungsbedarf zu orientieren. Wer darüber hinaus einen Workshop sucht, der Compliance und einen konkreten KI-Einstieg im eigenen Betrieb verbindet, kann sich direkt an Büroteam wenden Schulungskosten können zudem über österreichische Förderprogramme teilfinanziert werden.. Ein Gespräch reicht, um den richtigen Umfang festzulegen.