Zum Hauptmenü Zum Inhalt

Falsche Infos, echte Folgen?

Autor:innen: Mathis Fister und Julia Ruiter

Die KI-Verordnung und ihre Bedeutung für österreichische Unternehmen

Anfang Oktober 2025 sorgte der Fall einer großen Beratungsfirma, die Künstliche Intelligenz („KI“) bei der Erstellung eines Berichts genutzt und darüber nicht informiert haben soll, für Aufsehen. Der Standard schreibt dazu, „[l]aut dem Wissenschaftler könne den Empfehlungen des Berichts nun nicht mehr vertraut werden“.

Dieser Vorfall zeigt deutlich, dass aufgrund des technologischen Fortschritts (zB Copilot, ChatGPT, Gemini) auf den ersten Blick oftmals nicht mehr erkennbar ist, was von Menschen erstellt oder KI-generiert ist. Das sorgt sowohl in der Bevölkerung als auch in der Wirtschaft für Verunsicherung.

Genau hier setzt die KI-VO[1] an: KI soll sicher(er) und transparent(er) werden, was auch Verpflichtungen für Unternehmen mit sich bringt.

Welche Bedeutung hat die KI-Verordnung für österreichische Unternehmen?

1. KI-Risikomanagement

KI ist längst kein Zukunftsthema mehr. Ob Chatbots, die Unternehmen zur automatisierten Beantwortung von (Kunden-)Anfragen einsetzen, KI-gestützte Bewerberauswahl und Personalentscheidungen oder KI-Systeme zur Bewertung von Kundenprofilen: Unternehmen, die KI-Systeme einsetzen, müssen sich Gedanken machen, welche Verpflichtungen das nach sich zieht.

Die Verpflichtungen nach der KI-VO basieren auf einer Risikoklassifizierung der KI-Systeme. Dabei bilden Transparenzanforderungen sowie die Information der Nutzer:innen einen zentralen Aspekt. Ebenso verpflichtet die KI-VO Unternehmen dafür zu sorgen, dass alle Mitarbeiter:innen, die KI-Systeme nutzen, über ausreichende KI-Kompetenz verfügen.

Um alle diese Verpflichtungen der KI-VO einzuhalten, ist ein unternehmensindividuelles KI-Risikomanagement notwendig. Je nach Unternehmensgröße und Tätigkeitsbereich ist es empfehlenswert, eine/n KI-Verantwortliche:n zu benennen (auch ein Team von mehreren Personen kann zielführend sein). Weiters sollten die Zuständigkeiten für KI-Bereiche innerhalb des Unternehmens klar definiert werden (wer ist für die Auswahl, die Risikobewertung, den Einsatz und die Überwachung eines KI-Systems verantwortlich?). Für den KI-Einsatz können Richtlinien für die Mitarbeiter:innen hilfreich sein.

2. Risikoklassifizierung

Die sich aus der Risikoklassifizierung ergebenden individuellen Verpflichtungen sind im Wesentlichen folgende:[2]

  • KI mit unannehmbarem Risiko: Solche KI-Systeme sind grundsätzlich verboten.
  • KI mit hohem Risiko: Diese KI-Systeme unterliegen strengen Anforderungen. Die KI-VO normiert dahingehend umfassende Pflichten für Anbieter (Konformitätsbewertung und allenfalls Korrekturmaßnahmen erforderlich, Dokumentations-, Aufbewahrungs- und Informationspflichten) und Betreiber (vorschriftsmäßige Nutzung des KI-Systems, menschliche Aufsicht, Dokumentations-, Informations-, Aufbewahrungs- und Registrierungspflichten) und enthält insbesondere auch Verantwortlichkeiten entlang der Lieferkette (zB Produkthersteller oder Händler)[3].
  • KI mit begrenztem Risiko: Für diese KI-Systeme gelten (geringere) Transparenz- und Informationspflichten.
  • KI mit minimalem Risiko: Diese KI-Systeme werden durch die KI-VO nicht im eigentlichen Sinn beschränkt. Es werden jedoch freiwillige Verhaltenskodizes empfohlen.

Für Unternehmen bedeutet das zunächst zu identifizieren, welche KI-Systeme sie einsetzen, und diese in weiterer Folge zu kategorisieren.

3. Informationspflichten: Wer KI einsetzt, muss darüber informieren

Bei den Informationspflichten ist zwischen Hochrisiko-KI-Systemen und anderen KI-Systemen, insbesondere KI-Systemen mit begrenztem Risiko zu unterschieden:

Der Einsatz eines Hochrisiko-KI-Systems muss dann den Betroffenen gegenüber offengelegt werden, wenn die KI Entscheidungen trifft oder bei Entscheidungen unterstützt[4] sowie gegenüber Mitarbeiter:innen eingesetzt wird. Diese Information muss vor Inbetriebnahme oder Verwendung des Hochrisiko-KI-Systems erfolgen.

KI-Systeme mit begrenztem Risiko unterliegen Informationspflichten[5], wenn Nutzer:innen direkt mit einem KI-System interagieren (zB Chatbots). Eine Kennzeichnungspflicht gilt auch für synthetisch erzeugte Inhalte oder Deepfakes; dabei muss offengelegt werden, dass die Inhalte künstlich erzeugt oder manipuliert wurden. Kommt ein Emotionserkennungssystem zum Einsatz – sofern dies nach der KI-VO erlaubt ist –, sind Betroffene darüber zu informieren.

4. Kompetenzpflichten: KI braucht Know-How

Unabhängig von der Risikoklassifizierung sieht Art 4 der KI-VO sog Kompetenzpflichten vor. Diese richten sich an Anbieter und Betreiber von KI-Systemen und beinhalten Anforderungen an Fachwissen, Qualifikation sowie Schulungen im Umgang mit KI.

Damit KI nicht nur effizient, sondern auch verantwortungsvoll eingesetzt wird, verpflichtet die KI-VO Unternehmen dazu, gezielt KI-Know-How aufzubauen. Unabhängig davon, ob ein KI-System als risikoarm oder hochriskant eingestuft wird, müssen Anbieter und Betreiber sicherstellen, dass Mitarbeiter:innen über das nötige Fachwissen verfügen. Dabei reicht technisches Verständnis allein oftmals nicht aus. Auch rechtliche und ethische Aspekte spielen eine zentrale Rolle. Nur wer die Chancen und Risiken von KI-Systemen frühzeitig erkennt und kompetent damit umgeht, kann deren gesamtes Potenzial verantwortungsvoll nutzen – und gleichzeitig den Anforderungen der KI-VO gerecht werden.

Handlungsbedarf bei Unternehmen

Unternehmen kommen nicht umhin, sich zeitgerecht mit den sie jeweils treffenden Anforderungen der KI-VO auseinanderzusetzen, KI-Kompetenz bei Mitarbeiter:innen aufzubauen und ein entsprechendes Compliance- und Risikomanagement zu etablieren, um die Grundlage für eine verordnungskonforme und zukunftsfähige KI-Strategie zu schaffen. Wer sich rechtzeitig mit der neuen Rechtslage befasst, kann interne Abläufe sowie Verpflichtungen wie Informations- und Transparenzpflichten harmonisch in den Unternehmensalltag integrieren. Die Nutzung von KI soll nicht zur rechtlichen Falle werden, sondern den Unternehmen zukunftsweisende Potenziale bieten.

Disclaimer

Dieser Beitrag stellt lediglich eine allgemeine Information dar und ersetzt keine Rechtsberatung. Die Haslinger / Nagele Rechtsanwälte GmbH übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieses Beitrages.

[1] VO (EU) 2024/1689.

[2] Die Verpflichtungen sind nicht abschließend aufgezählt.

[3] Art 25 KI-VO.

[4] Art 26 Abs 11 KI-VO. Nach Art 86 KI-VO haben Personen, die von einer solchen Entscheidung betroffen sind, das Recht, vom Betreiber eine Erläuterung zur Rolle des KI-Systems im Entscheidungsprozess zu erhalten.

[5] Art 50 KI-V.

Weitere Informationen zum Rechtsgebiet

Künstliche Intelligenz und Digitalisierung

Autor:innen

Porträtfoto Mathis Fister, Rechtsanwalt Haslinger/Nagele, Portrait von Julia Spicker

Mathis Fister

Rechtsanwalt
Porträtfoto Julia Ruiter, Rechtsanwaltsanwärterin Haslinger/Nagele, Portrait von Julia Spicker

Julia Ruiter

Rechtsanwaltsanwärterin
 

3. November 2025

 
Zurück zur Übersicht
  • Referenz | Haslinger / Nagele, Logo: JUVE Awards
  • JUVE Top 20 Wirtschaftskanzlei-Oesterreich
  • Chambers Europe Top Ranked 2025 Logo
  • Legal500 EMEA Ranking Logo 2025
  • Promoting the best. Women in Law Award