Die Verordnung (EU) 2024/1689, meist als AI Act bezeichnet, ist das zentrale unionsrechtliche Regelwerk für Künstliche Intelligenz in der Europäischen Union. Als Verordnung gilt sie grundsätzlich unmittelbar in allen Mitgliedstaaten, also auch in Österreich, und schafft ein risikobasiertes System für Entwicklung, Bereitstellung, Inverkehrbringen und Verwendung von KI-Systemen.
Was regelt Verordnung (EU) 2024/1689?
Der AI Act legt unionsweit einheitliche Vorgaben für Künstliche Intelligenz fest. Ziel ist, Innovation zu ermöglichen und zugleich Grundrechte, Sicherheit, Gesundheit und demokratische Werte zu schützen. Die Verordnung arbeitet dabei mit einem risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger sind die rechtlichen Anforderungen.
Im Kern unterscheidet die Verordnung zwischen verbotenen KI-Praktiken, Hochrisiko-KI-Systemen, bestimmten Transparenzpflichten für einzelne KI-Anwendungen sowie besonderen Regeln für allgemeine KI-Modelle. Verboten sind bestimmte Anwendungen, die mit den Grundwerten der Union unvereinbar sind. Für Hochrisiko-KI gelten insbesondere Anforderungen an Risikomanagement, Daten-Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit. Zusätzlich sieht die Verordnung Pflichten für verschiedene Rollen in der Liefer- und Nutzungskette vor, etwa für Anbieter, Einführer, Händler, Betreiber und unter bestimmten Voraussetzungen auch Bevollmächtigte.
Ein weiterer Schwerpunkt betrifft allgemeine KI-Modelle, also Modelle mit breiter Einsetzbarkeit. Für diese gelten je nach Ausgestaltung und Risiko eigene Dokumentations-, Informations- und gegebenenfalls weitergehende Sicherheits- und Governancepflichten. Zudem enthält der AI Act Transparenzvorgaben für bestimmte KI-Systeme, etwa wenn Personen mit einer Maschine interagieren oder wenn synthetische Inhalte erzeugt werden.
Wichtig ist der unionsrechtliche Charakter: Anders als eine Richtlinie bedarf eine Verordnung grundsätzlich keiner Umsetzung in nationales Recht, um verbindlich zu sein. Nationale Regelungen können aber erforderlich oder sinnvoll sein, um Zuständigkeiten, Aufsicht, Verfahren und Sanktionen innerstaatlich auszugestalten. Gerade für Österreich ist diese organisatorische Seite von großer praktischer Bedeutung.
Warum ist der Rechtsakt wichtig?
Der AI Act ist einer der ersten umfassenden Rechtsakte weltweit, der Künstliche Intelligenz horizontal reguliert. Er betrifft nicht nur klassische Softwareanbieter, sondern auch Unternehmen, Behörden und sonstige Stellen, die KI-Systeme beschaffen, integrieren oder einsetzen. Damit wird KI-Recht von einem Spezialthema zu einem Querschnittsmaterienrecht, das Digitales Recht, Datenschutz, Produktsicherheit, Verbraucherrecht, Arbeitsrecht, Verwaltungsrecht und Grundrechtsschutz berührt.
Besonders wichtig ist die Verordnung, weil KI-Systeme tief in sensible Lebensbereiche eingreifen können: Personalentscheidungen, Kreditwürdigkeitsprüfungen, Bildung, Gesundheit, kritische Infrastrukturen, Strafverfolgung oder Verwaltung. Fehlerhafte oder intransparente KI kann Diskriminierung verstärken, Sicherheitsrisiken erhöhen oder Rechtsschutz erschweren. Der AI Act versucht daher, Vertrauen in zulässige KI-Anwendungen zu schaffen und zugleich missbräuchliche oder besonders gefährliche Praktiken zu begrenzen.
Für Unternehmen ist der Rechtsakt außerdem wirtschaftlich relevant. Wer KI in der EU anbietet oder nutzt, muss frühzeitig prüfen, ob ein System als Hochrisiko-KI einzustufen ist, ob Transparenzpflichten bestehen oder ob Regeln für allgemeine KI-Modelle einschlägig sind. Die Verordnung ist damit nicht bloß ein Compliance-Thema, sondern beeinflusst Produktentwicklung, Einkauf, Vertragsgestaltung, interne Governance und Haftungsrisiken.
Bedeutung für Österreich
Für Österreich bedeutet der AI Act zunächst, dass die materiellen Vorgaben des Unionsrechts unmittelbar zu beachten sind. Österreichische Unternehmen, Start-ups, Softwarehäuser, Industrieunternehmen, Krankenanstalten, Bildungseinrichtungen und öffentliche Stellen können daher unmittelbar Adressaten der Verordnung sein, wenn sie KI-Systeme entwickeln, in Verkehr bringen oder verwenden.
Daneben braucht es auf nationaler Ebene vor allem organisatorische und verfahrensrechtliche Klärungen. Dazu gehören insbesondere die Benennung oder Schaffung zuständiger Behörden, Fragen der Marktüberwachung, allfällige Sanktionsmechanismen sowie die Einbindung bestehender Aufsichtsstrukturen. Welche Stellen in Österreich im Detail zuständig sind, kann sich aus späteren österreichischen Begleitregelungen oder Zuständigkeitsnormen ergeben. Gerade in einem Bereich mit Überschneidungen zu Datenschutz, Produktsicherheit, Telekommunikation, Medizinprodukterecht oder Konsumentenschutz ist eine klare Behördenzuständigkeit praktisch besonders wichtig.
Für die österreichische Verwaltung ist die Verordnung ebenfalls bedeutsam. Wenn Behörden KI-Systeme einsetzen, etwa zur Unterstützung von Entscheidungsprozessen oder bei der Risikoanalyse, müssen neben dem AI Act auch verfassungsrechtliche Vorgaben, Grundrechte, das Datenschutzrecht und die allgemeinen Grundsätze des Verwaltungsrechts beachtet werden. Der Einsatz von KI darf rechtsstaatliche Garantien wie Nachvollziehbarkeit, Gleichbehandlung und effektiven Rechtsschutz nicht unterlaufen.
Auch für den Wirtschaftsstandort Österreich ist der AI Act ambivalent, aber insgesamt sehr relevant. Einerseits erhöht er den regulatorischen Aufwand. Andererseits schafft er unionsweit einheitlichere Spielregeln und kann dadurch Rechtssicherheit fördern. Gerade für österreichische Anbieter, die in mehreren Mitgliedstaaten tätig sind, ist ein einheitlicher europäischer Rahmen oft günstiger als ein Flickenteppich nationaler Sonderregeln.
Wer ist davon betroffen?
- Unternehmen und Start-ups in Österreich, die KI-Systeme oder allgemeine KI-Modelle entwickeln, vertreiben, importieren, in Produkte integrieren oder unter eigenem Namen anbieten.
- Öffentliche Stellen, Behörden, Bildungseinrichtungen, Gesundheits- und Sozialbereich, wenn KI-Systeme für Verwaltung, Auswahl, Bewertung, Prognose oder Überwachung eingesetzt werden.
- Nutzerinnen und Nutzer, Arbeitnehmerinnen und Arbeitnehmer, Verbraucherinnen und Verbraucher sowie sonstige betroffene Personen, deren Rechte, Sicherheit oder Chancen durch KI-Anwendungen beeinflusst werden können.
Praktische Bedeutung
In der Praxis stellt sich meist zuerst die Frage, ob überhaupt ein KI-System im Sinn der Verordnung vorliegt und welche Rolle ein Unternehmen oder eine Einrichtung einnimmt. Davon hängen die Pflichten wesentlich ab. Ein österreichischer Betrieb kann etwa Anbieter sein, wenn er ein System selbst entwickelt oder unter eigenem Namen auf den Markt bringt. Er kann aber auch bloß Betreiber sein, wenn er ein externes KI-System intern einsetzt. Für jede Rolle gelten andere Anforderungen.
Praktisch bedeutsam ist vor allem die Einstufung als Hochrisiko-KI. Diese kann etwa bei Anwendungen in Beschäftigung, Bildung, kritischen Infrastrukturen, biometrischen Bereichen oder beim Zugang zu wesentlichen Leistungen relevant werden. Dann reichen allgemeine Datenschutz- oder IT-Sicherheitsmaßnahmen regelmäßig nicht aus. Erforderlich sind vielmehr strukturierte Prozesse zur Risikobewertung, Dokumentation, Qualitätskontrolle und menschlichen Aufsicht. Unternehmen in Österreich werden daher ihre Beschaffungsprozesse, Vertragsmuster und internen Freigaben anpassen müssen.
Ein weiterer Praxisbereich betrifft Transparenz. Wenn KI mit Menschen interagiert oder Inhalte künstlich erzeugt oder verändert werden, können Kennzeichnungs- oder Informationspflichten bestehen. Das ist etwa für Chatbots, automatisierte Kommunikationssysteme oder generative KI in Marketing, Medien, Kundenservice und internen Anwendungen relevant. Wer in Österreich solche Systeme einsetzt, sollte klare Nutzungsregeln, Prüfprozesse und Verantwortlichkeiten festlegen.
Wesentlich ist auch das Zusammenspiel mit dem Datenschutzrecht, insbesondere mit der Datenschutz-Grundverordnung. Der AI Act ersetzt die DSGVO nicht. Vielmehr können beide Regelwerke nebeneinander anwendbar sein. Wer etwa personenbezogene Daten mit KI verarbeitet, muss weiterhin eine datenschutzrechtliche Rechtsgrundlage haben, Transparenzpflichten einhalten und gegebenenfalls Datenschutz-Folgenabschätzungen prüfen. In Österreich bleibt daher die datenschutzrechtliche Perspektive ein zentraler Teil jeder KI-Compliance.
Zu beachten ist außerdem, dass nicht alle Bestimmungen des AI Act zum selben Zeitpunkt praktisch wirksam werden. Die Verordnung sieht gestaffelte Anwendungszeitpunkte vor. Für österreichische Unternehmen und öffentliche Stellen bedeutet das: Eine frühzeitige Vorbereitung ist notwendig, auch wenn einzelne Pflichten erst später voll anwendbar werden. Wer erst bei behördlicher Prüfung oder bei einem Beschaffungsvorgang reagiert, ist meist zu spät.
Abgrenzung zu anderen Regelungen
Der AI Act ist kein Ersatz für bestehende Rechtsmaterien. Er ergänzt vor allem das Datenschutzrecht, das Produktsicherheitsrecht, sektorale Sicherheitsregeln und gegebenenfalls das Verbraucherrecht. In Österreich sind daher regelmäßig mehrere Rechtsquellen parallel zu prüfen. Ein KI-System im Medizinbereich kann etwa zusätzlich medizinprodukterechtlichen Vorgaben unterliegen; ein KI-gestützter Dienst mit personenbezogenen Daten zusätzlich der DSGVO und dem österreichischen Datenschutzrecht; ein KI-Produkt für Verbraucher zusätzlich konsumentenschutzrechtlichen Anforderungen.
Vom Urheberrecht ist der AI Act ebenfalls zu unterscheiden. Fragen der Nutzung geschützter Inhalte zum Training von Modellen oder der rechtlichen Einordnung erzeugter Inhalte werden nicht abschließend durch den AI Act gelöst. Ebenso wenig regelt die Verordnung allgemein jede zivilrechtliche Haftung. Sie setzt vor allem aufsichtsrechtliche und marktbezogene Rahmenbedingungen. Schadenersatzfragen sind daher weiterhin nach den jeweils anwendbaren unionsrechtlichen und österreichischen Regeln zu beurteilen.
Abzugrenzen ist der AI Act auch von bloßen Ethik-Leitlinien. Während frühere KI-Governance häufig auf freiwilligen Standards beruhte, enthält die Verordnung verbindliche Pflichten. Für Österreich heißt das: KI-Compliance ist nicht mehr nur Good Practice, sondern je nach Einsatzbereich eine rechtliche Notwendigkeit.
Schließlich ist wichtig, begriffliche Unschärfen zu vermeiden. Der in der öffentlichen Diskussion gelegentlich verwendete Ausdruck eines allgemeinen „KI-Zulassungsrechts“ beschreibt das unionsrechtliche System nur ungenau. Der AI Act arbeitet vielmehr mit abgestuften Anforderungen, Konformitätsbewertungen und Marktüberwachungsmechanismen. Nationale Sonderbegriffe aus anderen Rechtsordnungen, insbesondere aus Deutschland, sind für österreichische Rechtsanwendung nicht ohne Weiteres übertragbar.
Quellen
- Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz
- EUR-Lex
- Relevante österreichische Umsetzungsgesetze und Materialien, soweit anwendbar
- Text- und Informationssammlung zum AI Act mit Verweisen auf den offiziellen Rechtsakt
