Der AI Act wird konkret: Warum KMU jetzt ein KI-Inventar brauchen
7. Juni 20267 Min. LesezeitKI-Governance für KMU

Der AI Act wird konkret: Warum KMU jetzt ein KI-Inventar brauchen

Neue High-Risk-Leitlinien und der Digital Omnibus machen den EU AI Act praktischer. Warum österreichische KMU jetzt ein KI-Inventar brauchen, bevor Tools produktiv wachsen.

#EU AI Act#KI-Governance#KI-Automatisierung#KMU Österreich#AI Agent Entwicklung#Digital Omnibus#RTR KI-Servicestelle#KI-Inventar#High-Risk AI
Inhaltsverzeichnis

KI-Projekte scheitern selten am ersten Prompt. Sie scheitern daran, dass niemand mehr sauber sagen kann, welches Tool welche Daten nutzt, welche Entscheidung vorbereitet wird, wer freigibt und ob aus einem harmlosen Assistenten plötzlich ein System mit rechtlicher Relevanz geworden ist. Genau deshalb ist die aktuelle Entwicklung rund um den EU AI Act für österreichische KMU wichtig: Die Fristen werden präziser, die Leitlinien konkreter, aber der praktische Auftrag bleibt gleich. Unternehmen brauchen ein belastbares KI-Inventar und klare Regeln für jeden produktiven Einsatz.

Am 7. Mai 2026 meldeten EU-Kommission, Rat und Parlament eine politische Einigung zum Digital Omnibus on AI. Damit sollen Teile der AI-Act-Umsetzung vereinfacht und High-Risk-Fristen neu geordnet werden. Am 19. Mai 2026 veröffentlichte die Europäische Kommission zusätzlich Entwürfe für Leitlinien zur Einstufung von Hochrisiko-KI-Systemen; die Konsultation läuft bis 23. Juni 2026, 22:00 Uhr MEZ. Für KMU heißt das nicht: abwarten. Es heißt: jetzt die eigenen KI-Anwendungen so dokumentieren, dass spätere Einstufungen, Kundenfragen und interne Freigaben nicht jedes Mal bei null beginnen.

Was im Mai 2026 neu wurde

Der AI Act ist bereits seit 2024 beschlossen und wird stufenweise anwendbar. Neu ist im Mai 2026 vor allem die operative Schärfung. Die Kommission beschreibt die High-Risk-Leitlinien als Unterstützung für Anbieter, Betreiber und andere Beteiligte, um zu prüfen, ob ein KI-System in die Hochrisiko-Kategorie fällt. Die Entwürfe enthalten praktische Beispiele und beziehen sich auf zwei große Gruppen: KI-Systeme, die in regulierte Produkte eingebettet sind, und KI-Systeme, die in bestimmten Einsatzbereichen Gesundheit, Sicherheit oder Grundrechte erheblich beeinflussen können.

Parallel dazu soll der Digital Omnibus on AI den Zeitplan ändern. Nach der politischen Einigung vom 7. Mai 2026 sollen Regeln für bestimmte eigenständige Hochrisiko-Systeme, etwa in Bereichen wie Beschäftigung, Bildung, kritische Infrastruktur oder Migration, ab 2. Dezember 2027 gelten. Für Hochrisiko-KI in regulierten Produkten wie Maschinen, Aufzügen oder Spielzeug ist 2. August 2028 vorgesehen. Gleichzeitig sollen Transparenzlösungen für künstlich erzeugte Inhalte nach der Einigung bis 2. Dezember 2026 umgesetzt werden.

Wichtig ist die Einordnung: Das ist eine politische Einigung und braucht noch formale Annahme. Außerdem verschiebt sie nicht alles. Laut AI Act Service Desk gelten seit 2. Februar 2025 bereits allgemeine Bestimmungen wie Definitionen, KI-Kompetenz und Verbote unzulässiger Praktiken. Am 2. August 2026 werden weitere Teile relevant, darunter Transparenzpflichten nach Artikel 50 und die Durchsetzung auf nationaler und EU-Ebene. Für General-Purpose-AI-Modelle gelten eigene Regeln bereits seit 2. August 2025, mit Durchsetzungskompetenzen ab 2. August 2026.

Warum das für österreichische KMU kein reines Juristenthema ist

Viele KMU nutzen KI nicht als eigenes Produkt, sondern als Werkzeug: ChatGPT für Textentwürfe, Copilot in Office, Gemini in Google Workspace, Bildmodelle für Marketing, Support-Bots, KI-gestützte Lead-Scorings, Bewerber-Vorselektion, automatische E-Mail-Antworten oder Auswertungen aus Excel und CRM. Genau diese Alltagsnähe macht die Sache anspruchsvoll. Die Frage lautet nicht nur: „Ist unser Modell reguliert?“ Sondern: „Welche Funktion erfüllt das System in unserem Prozess?“

Ein Textassistent für interne Ideensammlung ist anders zu bewerten als ein Tool, das Bewerbungen vorsortiert. Ein Chatbot auf einer Website ist anders als ein Agent, der Kundendaten abruft, Rabatte berechnet oder Tickets schließt. Eine KI-Auswertung in einem Vertriebsteam ist anders als ein System, das Menschen anhand sensibler Kriterien bewertet. Der AI Act denkt stark über Rollen, Zweck, Risiko und Verantwortung. Deshalb reicht eine Tool-Liste allein nicht aus.

Für Österreich kommt hinzu, dass die RTR-KI-Servicestelle als Informationshub dient und laut RTR bei der Vorbereitung auf den europäischen AI Act unterstützt. Gleichzeitig weist die RTR in ihren FAQ darauf hin, dass die nationale Umsetzung der Zuständigkeiten in Österreich noch nicht abgeschlossen ist. Das ist für Unternehmen unangenehm, aber kein Grund für Stillstand. Gerade wenn Aufsichtsstrukturen, Leitlinien und Standards noch reifen, ist eine eigene, nachvollziehbare Dokumentation der beste Schutz gegen Aktionismus.

Der Unterschied zwischen KI-Liste und KI-Inventar

Eine KI-Liste beantwortet: Welche Tools nutzen wir?

Ein KI-Inventar beantwortet zusätzlich:

  • Wofür wird das System konkret eingesetzt?
  • Welche Daten gehen hinein und welche Ergebnisse kommen heraus?
  • Betrifft der Output Kunden, Mitarbeitende, Bewerber, Lieferanten oder nur interne Entwürfe?
  • Gibt es automatisierte Entscheidungen oder nur Vorschläge?
  • Wer prüft, korrigiert und gibt frei?
  • Welche Anbieter, Modelle, Schnittstellen und Speicherorte sind beteiligt?
  • Welche Risiken bestehen bei Fehlern, Halluzinationen, Diskriminierung, Datenschutz oder falscher Kennzeichnung?
  • Welche interne Regel sagt, wann das System genutzt werden darf und wann nicht?

Der Unterschied klingt administrativ, ist aber praktisch. Ohne Inventar lassen sich keine sinnvollen Freigaben definieren. Niemand kann einschätzen, ob ein neuer KI-Agent nur eine Recherche beschleunigt oder schon in einen sensiblen Geschäftsprozess eingreift. Niemand sieht, ob dieselben Kundendaten über drei verschiedene Tools laufen. Und niemand kann bei Kundenanfragen glaubwürdig erklären, wie KI im Unternehmen tatsächlich kontrolliert wird.

Wo Ostheimer praktisch ansetzt

Für Ostheimer ist dieses Thema primär Teil der Leistung Künstliche Intelligenz für Unternehmen, weil es nicht um abstrakte Compliance-Dokumente geht, sondern um die sichere Einführung produktiver KI-Prozesse. Ein guter KI-Workshop beginnt deshalb nicht mit der Frage, welches Modell gerade am stärksten ist. Er beginnt mit Prozessen: Wo entsteht Arbeit? Wo gibt es wiederholbare Entscheidungen? Wo werden personenbezogene Daten verarbeitet? Wo wäre ein Fehler teuer, peinlich oder rechtlich problematisch?

Daraus entsteht eine pragmatische Roadmap:

  1. KI-Nutzung im Unternehmen erfassen.
  2. Prozesse nach Daten, Risiko und Business-Nutzen priorisieren.
  3. Rollen klären: Anbieter, Betreiber, Nutzer, Freigabeverantwortliche.
  4. Für jeden Pilot einen klaren Zweck, Datensatz, Prüfpunkt und Abbruchkriterium definieren.
  5. Ergebnisse dokumentieren, bevor aus dem Pilot ein Dauerprozess wird.

Wenn daraus ein Agent entsteht, der Tools bedient, CRM-Daten liest oder interne Aufgaben ausführt, wird die Leistung AI Agent Entwicklung relevant. Dort ist Governance keine nachträgliche Hülle, sondern Teil der Architektur: Berechtigungen, Protokolle, Human-in-the-loop, Testfälle und Rollback müssen von Beginn an mitgedacht werden.

Bei Website- und Marketingprojekten berührt das Thema zusätzlich Webdesign, weil Transparenz, Kontaktprozesse, Formularlogik, Chatbots, strukturierte Inhalte und maschinenlesbare Signale auf der Website sichtbar werden. Wer KI auf der eigenen Website einsetzt, muss Nutzer verständlich informieren, ohne jede Seite mit juristischem Ballast zu überfrachten.

Chancen: weniger Blindflug, bessere KI-Projekte

Die naheliegende Reaktion auf Regulierung ist Frust. Verständlich, aber zu kurz gedacht. Ein KI-Inventar ist nicht nur Pflichtvorbereitung, sondern ein Management-Werkzeug. Es zeigt, wo KI bereits Wert schafft, wo Tools doppelt bezahlt werden, wo Daten unkontrolliert wandern und wo kleine Automatisierungen besonders schnell entlasten könnten.

Gerade KMU profitieren davon, wenn KI nicht als Sammlung einzelner Experimente läuft. Ein sauberer Überblick macht Entscheidungen einfacher:

  • Welche Tools dürfen Mitarbeitende offiziell nutzen?
  • Wo braucht es Schulung statt Verbote?
  • Welche Prozesse eignen sich für Automatisierung?
  • Welche Anwendungen bleiben bewusst beim Menschen?
  • Welche Kunden- oder Mitarbeiterdaten dürfen niemals in externe Systeme?
  • Wo lohnt sich eine Schnittstelle statt Copy-and-paste?

Das ist auch wirtschaftlich relevant. Viele KI-Projekte versprechen Produktivität, liefern aber nur verstreute Einzelgewinne. Wenn Nutzung, Risiko und Prozessnutzen gemeinsam betrachtet werden, entstehen bessere Prioritäten. Statt zehn Tools halb zu testen, kann ein Unternehmen zwei wirklich produktive Abläufe bauen.

Grenzen: keine Scheinsicherheit durch Checklisten

Der AI Act macht KI nicht automatisch sicher, und eine Checkliste macht ein Unternehmen nicht automatisch compliant. Besonders riskant sind drei Fehleinschätzungen.

Erstens: „Wir nutzen nur Standardtools, also betrifft uns das nicht.“ Das stimmt oft nicht. Auch der Einsatz fertiger KI-Systeme kann Pflichten auslösen, besonders wenn sie in sensible Prozesse eingebunden werden oder Kunden direkt mit ihnen interagieren.

Zweitens: „Ein Mensch schaut ohnehin drüber, also ist alles unkritisch.“ Menschliche Kontrolle hilft nur, wenn sie fachlich möglich, zeitlich realistisch und im Prozess tatsächlich vorgesehen ist. Ein Freigabekästchen ersetzt keine nachvollziehbare Prüfung.

Drittens: „Wir warten, bis alles endgültig ist.“ Bei Regulierung ist Abwarten manchmal sinnvoll; bei Prozessdokumentation selten. Die Unternehmen, die heute ihre KI-Nutzung sauber erfassen, können später Leitlinien schneller anwenden. Wer nichts dokumentiert hat, muss unter Zeitdruck nachträglich rekonstruieren, welche Tools seit Monaten produktiv laufen.

Ein sinnvoller 30-Tage-Start für KMU

Ein österreichisches KMU muss nicht sofort ein großes Governance-Programm starten. Sinnvoller ist ein enger, belastbarer Einstieg.

In der ersten Woche wird erhoben, welche KI-Tools tatsächlich genutzt werden: offiziell, in Abteilungen, in Browsern, in SaaS-Produkten, in Office-Tools und auf der Website. Wichtig ist, nicht nur Lizenzen zu zählen, sondern reale Arbeitsabläufe zu erfassen.

In der zweiten Woche werden die Anwendungen grob klassifiziert: rein interne Entwürfe, Kundenkommunikation, personenbezogene Daten, automatisierte Empfehlungen, HR, Finanzen, Marketing, Support, Website, Vertrieb. Schon diese einfache Matrix zeigt, welche Themen zuerst geprüft werden müssen.

In der dritten Woche werden Regeln formuliert: Was ist erlaubt? Was braucht Freigabe? Welche Daten dürfen nicht eingegeben werden? Wann muss KI-Nutzung offengelegt werden? Wo ist menschliche Kontrolle verpflichtend?

In der vierten Woche wird ein Pilot sauber aufgesetzt. Nicht der spektakulärste Use Case, sondern ein häufiger, begrenzter Prozess mit messbarem Nutzen: zum Beispiel Angebotsvorbereitung, Support-Triage, Content-Briefings, Reporting-Zusammenfassungen oder interne Wissenssuche. Der Pilot erhält Ziel, Datenquellen, Verantwortliche, Testfälle, Freigaben und eine Entscheidung, ob er produktiv wird.

Fazit: Der AI Act macht KI erwachsener

Die Entwicklung im Mai 2026 zeigt: KI-Regulierung wird nicht einfach verschwinden, aber sie wird praktischer. Die EU versucht, Fristen, Leitlinien und Belastung für Unternehmen besser zu ordnen. Für österreichische KMU ist das eine Chance, KI-Projekte vom Experiment in einen beherrschbaren Betrieb zu bringen.

Wer heute ein KI-Inventar aufbaut, kauft sich keine Bürokratie ein. Er schafft die Grundlage für bessere Automatisierung, klarere Verantwortlichkeiten und weniger Risiko. Genau dort liegt der praktische Wert: KI wird nicht dadurch professionell, dass sie mehr kann. Sie wird professionell, wenn Unternehmen wissen, wo sie wirkt, wer sie kontrolliert und welche Entscheidungen sie beeinflusst.

Quellen

Teilen:

Artikel hilfreich?

Wenn du ähnliche Themen für dein Business strukturieren willst, unterstütze ich dich gerne bei Content-Strategie, SEO und KI-Workflow.

Vorheriger Artikel

KI verlässt das Chatfenster: Was Claude for Small Business für KMU verändert

Verwandte Artikel

KI in Excel und Sheets: Warum Tabellen jetzt zum Automatisierungsprozess werden

KI-Automatisierung

KI in Excel und Sheets: Warum Tabellen jetzt zum Automatisierungsprozess werden

KI zieht direkt in Excel und Google Sheets ein. Warum ChatGPT, Copilot und Gemini Tabellenarbeit vom Hilfstool zum prüfbaren Unternehmensprozess machen und was österreichische KMU jetzt vorbereiten sollten.

Weiterlesen
Computer-using Agents für KMU: KI automatisiert alte Software ohne API

Automatisierung

Computer-using Agents für KMU: KI automatisiert alte Software ohne API

Computer-using Agents machen KI-Automatisierung dort spannend, wo APIs fehlen: Was Microsofts neue Copilot-Studio-Funktionen, OpenAI-Computer-Use und der EU AI Act für österreichische KMU bedeuten.

Weiterlesen
Wenn KI auf Ihrer Website klickt: Webdesign für die Agenten-Ära

Agententaugliches Webdesign

Wenn KI auf Ihrer Website klickt: Webdesign für die Agenten-Ära

KI-Agenten beginnen, Websites nicht nur zu lesen, sondern zu bedienen. Was österreichische KMU jetzt bei Webdesign, Formularen, Sicherheit und KI-Sichtbarkeit beachten sollten.

Weiterlesen
KI verlässt das Chatfenster: Was Claude for Small Business für KMU verändert

KI-Workflow-Automatisierung

KI verlässt das Chatfenster: Was Claude for Small Business für KMU verändert

Mit Claude for Small Business rücken KI-Konnektoren, Freigaben und echte Arbeitsabläufe in den Mittelpunkt. Warum österreichische KMU jetzt Prozesse statt einzelner Prompts planen sollten.

Weiterlesen