Mitte Juli 2024 wurde die EU-Verordnung 2024/1689 über künstliche Intelligenz veröffentlicht. 

Die KI-VO ist das weltweit erste Gesetz zur Regulierung von künstlicher Intelligenz. Er tritt gestaffelt in Kraft und verfolgt einen risikobasierten Ansatz:

Zeitplan für Inkrafttreten

• 01.08.2024: formelles Inkrafttreten des AI Acts = KI-VO

• ab 02.02.2025: Verbot inakzeptabler KI-Systeme (= KI-Systeme, die menschliches Verhalten manipulieren oder Schwächen ausnutzen können, wie zB. „KI zur sozialen Bewertung“, welche Menschen aufgrund ihres sozialen Verhaltens bewerten und klassifizieren kann) und Schulungspflicht für Mitarbeiter:innen über im Unternehmen eingesetzte KI.

• ab 02.08.2026: alle weiteren Pflichten, wie zB. Transparenzpflichten 

• bis 02.8.2027 besteht eine Übergangsfrist für die Anwendung der Sonderregeln für bestimmte „Hochrisiko-KI-Systeme“ (= KI-Systeme in bestimmten Produkten und Bereichen laut Anhang I und III der VO, wzB. Spielzeug, Zivilluftfahrt, Biometrik, kritische Infrastruktur)

Bei all den folgenden Themen können Ziviltechniker:innen aus dem Fachbereich der Informationstechnologie mit ihrer technischen, rechtlichen und organisatorischen Fachkenntnis maßgeblich unterstützen – von der Risikobewertung über die Dokumentation bis hin zur Implementierung sicherer und regelkonformer KI-Systeme.

Bitte beachten Sie, dass sich die im Folgenden aufbereitenden Themen sowohl rechtlich als auch technisch sehr rasch weiterentwickeln und sich die Prämissen daher stetig ändern können. In diesem Sinne ist die Bundeskammer um eine laufende Aktualisierung der folgenden Informationen bemüht.

l. Anwendungsbereich

I.1.    Persönlicher Anwendungsbereich:

Die KI-VO weist einen weiten persönlichen Anwendungsbereich auf und gilt für alle, die Produkte oder Dienstleistungen auf der Grundlage von künstlicher Intelligenz anbieten (vgl. „Anbieter:innen“ iSd Art 3 Z 3 KI VO) und sieht auch Regelungen für jene vor, die KI-Systeme in ihrem Unternehmen nutzen (vgl. „Betreiber“ iSd Art 3 Z 4 KI VO).

Gemäß Art 3 Z 3 KI-VO gelten natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen als Anbieter:innen, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickeln oder entwickeln lassen und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringen oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nehmen, sei es entgeltlich oder unentgeltlich.

Als Betreiber:innen gelten gemäß Art 3 Z 4 KI-VO natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System in eigener Verantwortung verwenden, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet (Beispiel für eine Verwendung im privaten Bereich – Erstellung eines persönlichen Fitnessplans zur Eigengewichtsreduktion). 

I.2.    Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich umfasst alle Anwendungen, die Inhalte, Vorhersagen und Empfehlungen bereitstellen oder die Entscheidungsfindung der Nutzer:innen beeinflussen. Er schließt dabei neben kommerziellen Angeboten auch die Nutzung von KI im öffentlichen Sektor wie z.B. bei der Strafverfolgung mit ein. Dabei soll die KI-VO bestehende Rechtsakte, wie insbesondere die EU-Datenschutz-Grundverordnung (DSGVO) nicht ersetzen, sondern vielmehr ergänzen. 

In den sachlichen Anwendungsbereich fällt demnach ein KI-System im Sinne des Art 3 Z 1 KI VO, welches sich durch folgende Merkmale auszeichnen soll:

• ein maschinengestütztes System 

• das für einen in unterschiedlichem Grad autonomen Betrieb ausgelegt ist und

• das nach seiner Betriebsaufnahme anpassungsfähig sein kann und 

• die aus den erhaltenen Eingaben für explizite oder implizite Ziele 

• ableitet,

• wie Ausgaben, wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen, erstellt werden, 

• und die physischen oder virtuellen Umgebungen beeinflussen können.

II.      Risikobasierter Regelungsansatz 

KI-Systeme werden grundsätzlich unterschiedlichen Risiko-Kategorien zugeordnet – von "minimal" über "hoch" bis "inakzeptabel". Je nach Einstufung, welche die Anbieter:innen und Betreiber:innen von KI-Systemen nach Vorgaben der KI-VO selbst vorzunehmen haben, haben diese bestimmte Sicherheits- und Transparenz-Anforderungen einzuhalten. 

Um feststellen zu können, welche Verpflichtungen sich aus der Anwendung eines KI-Systems ergeben, empfiehlt es sich, jede Anwendung im eigenen Unternehmen zu dokumentieren und einer Risikokategorie zuordnen. In einem so genannten „KI-Register“ dokumentiert werden sollten zentrale Informationen wie beispielsweise: 

• der Zweck des verwendeten KI-Systems (Wo wird es eingesetzt? Wofür wird es verwendet?): zB. automatische Vorauswahl von Bewerber:innen; Terminkoordination; Textgenerierung

• die Funktionsweise (Was kann es? Wie funktioniert es?): 

• die verwendeten Daten (Welche Daten werden verarbeitet?): zB. Kund:innen-, Bewerber:innen-, Mitarbeiter:innendaten (vgl. auch Verarbeitungsverzeichnis DSGVO)

• die Risikokategorie der KI-Systeme (Welcher Risikoklasse muss das KI-System zugeordnet werden?): vgl. unten Tabelle 1

Die folgende Tabelle soll diese Einteilung veranschaulichen:

Tabelle 1: Risikoklassen von KI-Systemen

III.    Die wichtigsten Pflichten für Ziviltechniker:innen ab 2025:

Neben dem Verbot der Anwendung inakzeptabler KI-Systeme (siehe Tabelle 1: Risikoklassen von KI-Systemen) ist seit Februar 2025 für viele Unternehmen die wichtigste rechtliche Vorgabe, KI-Kompetenz aufzubauen, also Mitarbeiter:innen entsprechende Kompetenz im Umgang mit den eingesetzten KI-Systemen vermitteln zu müssen. Art 4 KI VO verpflichtet Anbieter:innen und Betreiber:innen „nach besten Kräften“ sicherzustellen, dass ihr Personal und ihre Auftragnehmer:innen, die mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Die Sicherstellung zum kompetenten Umgang mit KI-Systemen betrifft damit nicht nur das eigene Personal, sondern grundsätzlich auch Vertragspartner:innen/Subunternehmer:innen, sodass KI-Kompetenz auch Einzug in die Verträge mit externen Dienstleister:innen finden sollte. 

Auch wenn die KI-VO hinsichtlich der Verpflichtung zur Vermittlung von KI-Kompetenz keine Sanktionen vorsieht und es bisher auch keine Strafbestimmungen auf nationaler Ebene gibt, so empfiehlt sich, nicht zuletzt aus Gründen der Wettbewerbsfähigkeit, eine zielgerichtete Auseinandersetzung mit dem Thema KI. Die bei der RTR eingerichtete, österreichische Servicestelle für künstliche Intelligenz, welche für die Unterstützung bei der Umsetzung der KI-VO zuständig ist, führt zur KI-Kompetenz auf ihrer Homepage näher aus:

https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/ki-kompetenz.de.html 
 

IV. Zusammengefasst ist daher derzeit Folgendes zu empfehlen: 

1. Schulung von mit KI-Systemen befassten Mitarbeiter:innen und entsprechende Dokumentation durchgeführter Schulungen (vgl. oben Punkt III.): 

Informieren Sie sich dazu auch bei Ihren Länderkammern über die Fortbildungsmöglichkeiten, welche in den jeweiligen Fortbildungsstätten angeboten werden. 

2. Aufnahme von KI-Kompetenz-Schulungs-/Fortbildungsverpflichtungen in Verträgen mit Vertragspartner:innen, die KI-Systeme im Rahmen ihrer Dienstleistungen für das Ziviltechniker:innenbüro nutzen. (vgl. oben Punkt III.)

Sprechen Sie im Zuge der Erteilung eines Auftrags mit Ihren Subunternehmer:innen/Dienstleister:innen über die Anwendung von KI-Systemen in deren Unternehmen und berücksichtigen Sie diesen Punkt gegebenenfalls im jeweiligen Auftragsvertrag.

3. Vornahme einer Risikoeinschätzung zu in Ihrem Unternehmen angewendeten KI-Systemen und Dokumentation der Ergebnisse in einem „KI-Register“ (vgl. oben Punkt II.)

4. Einführung allgemeiner Regelungen zum Umgang mit KI-Systemen im Ziviltechniker:innenbüro – Erstellung einer „KI-Richtlinie“

Nutzen Sie unseren KI-Leitfaden für Ziviltechniker:innen, welcher eine mögliche Hilfestellung im Umgang mit künstlicher Intelligenz und zur Erstellung einer KI-Richtlinie für Ihr Unternehmen bieten kann: 

KI-Leitfaden

V.       Sanktionen

Die Strafen für Regelverstöße, beispielweise im Zusammenhang mit der Transparenzpflicht bei bestimmten KI-Systemen, richten sich gemäß Art 99ff KI-VO nach der Schwere des Regelverstoßes und der Größe des betroffenen Unternehmens. Sie beginnen bei 7,5 Mio. EUR oder 1,5 Prozent des weltweiten Jahresumsatzes eines Unternehmens und können bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes erreichen. Da national die Behördenkompetenzen und begleitenden Straf- und Verfahrensbestimmungen noch nicht gesetzlich festgelegt worden sind, können derzeit in Österreich keine Strafen wegen Verletzung der KI-VO, verhängt werden. Allerdings ist das kein Freifahrtschein: Die standesrechtliche Verpflichtung zur Einhaltung von Gesetzen, Verordnungen und Richtlinien sowie die Gefahr zivilrechtlicher Haftung bei Verletzung von gesetzlichen Verpflichtungen bleibt unberührt. 

VII.    Nationale Umsetzung der KI-VO Vorgaben

Jeder Mitgliedstaat soll eine oder mehrere zuständige nationale Behörden ernennen, die das Land im Europäischen Ausschuss für künstliche Intelligenz vertritt bzw. vertreten. Auf Ebene der EU-Kommission wurde das Europäische Amt für künstliche Intelligenz („KI-Büro“) eingerichtet, das KI-Modelle mit allgemeinem Verwendungszweck überwacht. 

Die nationalen Behördenkompetenzen, insbesondere die Strafbestimmungen, wurden in Österreich bisher noch nicht gesetzlich geregelt. Anfang 2024 wurde aber bereits die KI-Servicestelle bei der Regulierungsbehörde RTR GmbH eingerichtet. Sie stellt auf ihrer Website ein umfassendes Informationsangebot zur Verfügung: www.ki.rtr.at 

Stand, November 2025