KI-Verordnung: Was Website-Betreiber tun müssen

Am 2. August 2026 gelten die Transparenzregeln der KI-Verordnung. Wenn Ihre Website einen Chatbot hat oder Sie KI für Blogbeiträge oder Marketingbilder einsetzen, erklärt dieser Artikel, was sich ändert und was nicht. Die Kurzfassung: für die meisten österreichischen KMU-Websites ändert sich kaum etwas, und das Wenige ist eng umrissen.

<figure className="my-8"> <svg role="img" aria-labelledby="art50-flow-at-title" aria-describedby="art50-flow-at-desc" viewBox="0 0 1200 800" xmlns="http://www.w3.org/2000/svg" style={{ maxWidth: '100%', height: 'auto' }}> <title id="art50-flow-at-title">Entscheidungsbaum, ob Art. 50 KI-VO Pflichten für eine österreichische Website auslöst.</title> <desc id="art50-flow-at-desc">Top-Down-Entscheidungsbaum mit vier Eingängen für die vier Absätze von Art. 50. Pfad eins für Chatbots führt zu "keine Handlung erforderlich", wenn ein gängiger Anbieter die Offenlegung übernimmt. Pfad zwei für KI-Texte zu Themen öffentlichen Interesses führt zur Redaktions-Ausnahme, wenn der Betreiber prüft und freigibt. Pfad drei für KI-Bilder realer Personen oder Ereignisse führt zur Deepfake-Kennzeichnungspflicht, wenn das Bild echt wirken würde. Pfad vier für Emotions- oder Biometrie-Kategorisierungssysteme führt zur Hinweispflicht. Ein Übersichtsfeld weist darauf hin, dass die meisten KMU-Websites auf allen vier Pfaden zu grünen Ergebnissen kommen.</desc> <rect x="0" y="0" width="1200" height="800" fill="#FFFFFF"/> <text x="600" y="35" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="20" fontWeight="600" fill="#1A1A1A">Gilt Art. 50 für Ihre österreichische Website?</text> <rect x="40" y="80" width="260" height="65" rx="8" fill="#FFFFFF" stroke="#1A1A1A" strokeWidth="2"/> <text x="170" y="108" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="14" fontWeight="600" fill="#1A1A1A">1. Chatbot auf der Seite?</text> <text x="170" y="128" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">(Art. 50(1))</text> <rect x="320" y="80" width="260" height="65" rx="8" fill="#FFFFFF" stroke="#1A1A1A" strokeWidth="2"/> <text x="450" y="108" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="14" fontWeight="600" fill="#1A1A1A">2. KI-Text öffentlichen Interesses?</text> <text x="450" y="128" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">(Art. 50(4) Text)</text> <rect x="600" y="80" width="260" height="65" rx="8" fill="#FFFFFF" stroke="#1A1A1A" strokeWidth="2"/> <text x="730" y="108" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="14" fontWeight="600" fill="#1A1A1A">3. KI-Bild realer Personen?</text> <text x="730" y="128" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">(Art. 50(4) Deepfake)</text> <rect x="880" y="80" width="260" height="65" rx="8" fill="#FFFFFF" stroke="#1A1A1A" strokeWidth="2"/> <text x="1010" y="108" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="14" fontWeight="600" fill="#1A1A1A">4. Emotion / Biometrie System?</text> <text x="1010" y="128" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">(Art. 50(3))</text> <path d="M 170 145 L 170 195" stroke="#525252" strokeWidth="1.5" fill="none"/> <polygon points="170,200 165,190 175,190" fill="#525252"/> <path d="M 450 145 L 450 195" stroke="#525252" strokeWidth="1.5" fill="none"/> <polygon points="450,200 445,190 455,190" fill="#525252"/> <path d="M 730 145 L 730 195" stroke="#525252" strokeWidth="1.5" fill="none"/> <polygon points="730,200 725,190 735,190" fill="#525252"/> <path d="M 1010 145 L 1010 195" stroke="#525252" strokeWidth="1.5" fill="none"/> <polygon points="1010,200 1005,190 1015,190" fill="#525252"/> <rect x="40" y="210" width="260" height="80" rx="8" fill="#FEF3C7" stroke="#D97706" strokeWidth="1.5"/> <text x="170" y="240" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fontWeight="500" fill="#1A1A1A">Gängiger Anbieter</text> <text x="170" y="258" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fontWeight="500" fill="#1A1A1A">übernimmt Offenlegung?</text> <text x="170" y="278" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">(Anbieter-Doku prüfen)</text> <rect x="320" y="210" width="260" height="80" rx="8" fill="#FEF3C7" stroke="#D97706" strokeWidth="1.5"/> <text x="450" y="240" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fontWeight="500" fill="#1A1A1A">Sie prüfen und geben</text> <text x="450" y="258" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fontWeight="500" fill="#1A1A1A">redaktionell frei?</text> <text x="450" y="278" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">(Redaktions-Ausnahme)</text> <rect x="600" y="210" width="260" height="80" rx="8" fill="#FEF3C7" stroke="#D97706" strokeWidth="1.5"/> <text x="730" y="240" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fontWeight="500" fill="#1A1A1A">Würde es echt wirken</text> <text x="730" y="258" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fontWeight="500" fill="#1A1A1A">für eine Person?</text> <text x="730" y="278" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">(Art. 3 Nr. 60 Test)</text> <rect x="880" y="210" width="260" height="80" rx="8" fill="#FEE2E2" stroke="#B91C1C" strokeWidth="1.5"/> <text x="1010" y="245" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="500" fill="#1A1A1A">Hinweispflicht</text> <text x="1010" y="265" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">an betroffene Personen</text> <path d="M 170 290 L 170 340" stroke="#525252" strokeWidth="1.5" fill="none"/> <polygon points="170,345 165,335 175,335" fill="#525252"/> <path d="M 450 290 L 450 340" stroke="#525252" strokeWidth="1.5" fill="none"/> <polygon points="450,345 445,335 455,335" fill="#525252"/> <path d="M 730 290 L 730 340" stroke="#525252" strokeWidth="1.5" fill="none"/> <polygon points="730,345 725,335 735,335" fill="#525252"/> <rect x="40" y="355" width="260" height="75" rx="8" fill="#DCFCE7" stroke="#1B7D56" strokeWidth="1.5"/> <text x="170" y="385" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="600" fill="#145E40">Keine Handlung</text> <text x="170" y="405" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#145E40">Anbieter erfüllt Art. 50(1)</text> <rect x="320" y="355" width="260" height="75" rx="8" fill="#DCFCE7" stroke="#1B7D56" strokeWidth="1.5"/> <text x="450" y="385" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="600" fill="#145E40">Redaktions-Ausnahme</text> <text x="450" y="405" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="600" fill="#145E40">greift</text> <rect x="600" y="355" width="260" height="75" rx="8" fill="#FEE2E2" stroke="#B91C1C" strokeWidth="1.5"/> <text x="730" y="385" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="600" fill="#B91C1C">Deepfake-Kennzeichnung</text> <text x="730" y="405" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="600" fill="#B91C1C">ab 2. Aug. 2026</text> <rect x="100" y="490" width="1000" height="220" rx="12" fill="#F0FDF4" stroke="#1B7D56" strokeWidth="2"/> <text x="600" y="535" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="22" fontWeight="600" fill="#145E40">Die meisten österreichischen KMU-Sites kommen ins Grün</text> <text x="600" y="568" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="14" fill="#1A1A1A">auf allen vier Pfaden. Die KI-Verordnung reguliert vor allem KI-Anbieter,</text> <text x="600" y="590" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="14" fill="#1A1A1A">nicht die Unternehmen, die KI-Werkzeuge auf ihrer Website einsetzen.</text> <text x="600" y="640" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="13" fontWeight="500" fill="#525252">Ein gelber oder roter Pfad? Die Pflicht ist enger, als die Schlagzeilen vermuten lassen.</text> <text x="600" y="765" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">Quelle: Verordnung (EU) 2024/1689, Art. 50, 3 Nr. 60, 99. Anwendbar ab 2. August 2026.</text> </svg> <figcaption>Vier Eingänge, vier Ergebnisse. Die meisten Pfade führen für eine typische österreichische KMU-Site zu "keine neue Pflicht".</figcaption> </figure>

Die ehrliche Antwort vorweg

Für die meisten österreichischen KMU-Websites bringt die KI-Verordnung kaum neue Pflichten. Die schweren Pflichten unter Art. 50 liegen bei den KI-Anbietern, also bei OpenAI, Anthropic, Midjourney, Cursor und den anderen. Die schmalen Pflichten, die beim Website-Betreiber landen, betreffen Deepfakes und Emotionserkennungssysteme, die die meisten österreichischen KMU nicht einsetzen. Dieser Artikel zeigt, wann Sie handeln müssen und, wichtiger, wann nicht.

Wer die breitere Frage stellen will, nämlich wer zahlt, wenn KI Ihre Website mitbaut, findet das eigene Thema dort.

Was Art. 50 tatsächlich verlangt

Art. 50 der Verordnung (EU) 2024/1689 hat vier Absätze, und jeder Absatz verteilt die Pflicht auf eine andere Partei. Als ein Block gelesen entsteht Panik. Absatz für Absatz gelesen entsteht Klarheit.

Art. 50(1): Chatbots müssen sich als KI zu erkennen geben

Anbieter von KI-Systemen, die unmittelbar mit natürlichen Personen interagieren, müssen ihre Systeme so gestalten, dass Nutzer darüber informiert werden, dass sie mit einer KI sprechen, sofern dies nicht aus dem Kontext für einen verständigen Durchschnittsverbraucher offensichtlich ist.

• Wer ist verantwortlich: der KI-Anbieter, nicht das einsetzende Unternehmen.
• Was bedeutet das für ein österreichisches KMU: praktisch nichts, wenn Sie einen gängigen Chatbot nutzen. Der Anbieter baut den Hinweis ein. Ihre einzige Prüfung ist, ob der Chatbot sich beim ersten Kontakt tatsächlich als KI ausweist.
• Sonderfall: wenn Sie den Chatbot selbst gebaut oder erheblich angepasst haben, werden Sie für diesen Chatbot zum Anbieter und übernehmen die Pflicht.

Art. 50(2): Output generativer KI muss maschinenlesbar markiert sein

Anbieter generativer KI-Systeme müssen die Outputs auf maschinenlesbare Weise als künstlich erzeugt markieren, durch Wasserzeichen oder Metadaten, die eine spätere Erkennung ermöglichen.

• Wer ist verantwortlich: der KI-Anbieter.
• Was bedeutet das für ein österreichisches KMU: unmittelbar nichts. Das Wasserzeichen ist Aufgabe des Anbieters. Wenn Sie einen ChatGPT-Text oder ein Midjourney-Bild veröffentlichen, müssen Sie kein kryptografisches Wasserzeichen ergänzen. Der Anbieter sollte das bereits getan haben.
• Eine Einschränkung: entfernen Sie Anbieter-Wasserzeichen nicht absichtlich. Das wirkt wie böser Glaube.

Art. 50(3): Emotionserkennung und biometrische Kategorisierung

Wer Systeme zur Emotionserkennung oder biometrischen Kategorisierung einsetzt, muss die betroffenen natürlichen Personen darüber informieren.

• Wer ist verantwortlich: der Anwender, also Sie, wenn Sie ein solches System einsetzen.
• Was bedeutet das für ein österreichisches KMU: sehr wenig, weil kaum ein KMU solche Systeme einsetzt. Emotionserkennungs-Tools für HR-Analyse, Sentiment-Kameras in Geschäften, Aufmerksamkeitstracking auf Webseiten, das sind die realistischen Fälle. Eine Wiener Konditorei, ein Restaurant oder ein Friseur setzt sie nicht ein.
• DSGVO-Schicht: verarbeitet ein solches System biometrische oder besondere Datenkategorien, gilt Art. 9 DSGVO zusätzlich. Das ist in der Praxis meist die bindende Pflicht, an der sich die DSB orientiert.

Art. 50(4): Deepfakes und KI-generierte Texte im öffentlichen Interesse

Wer KI-Systeme zur Erzeugung oder Bearbeitung von Deepfake-Inhalten einsetzt, muss deren künstliche Herkunft offenlegen. Ein zweiter Absatz erweitert dies auf KI-generierte Texte, die zur Information der Öffentlichkeit über Angelegenheiten von öffentlichem Interesse veröffentlicht werden.

• Wer ist verantwortlich: der Anwender, also Sie.
• Was ist ein Deepfake: Art. 3 Nr. 60 definiert ihn eng. Durch KI erzeugte oder bearbeitete Bilder, Audio oder Video, die bestehende Personen, Objekte, Orte, Einrichtungen oder Ereignisse darstellen und einer Person fälschlich als echt erscheinen würden. Schlüsselwörter sind "bestehend" und "fälschlich als echt erscheinen". Generische KI-Marketingbilder ohne erkennbare Personen oder reale Ereignisse fallen nicht darunter.
• Was bedeutet das für ein österreichisches KMU: schmal. Ein Immobilienmakler, der mit KI eine reale Wohnung fotorealistisch zeigt, fällt darunter. Ein Friseur, der mit KI abstrakte Instagram-Grafiken macht, nicht.
• Die Redaktions-Ausnahme: für KI-Texte unter Art. 50(4) zweiter Absatz entfällt die Kennzeichnungspflicht, wenn "der KI-generierte Inhalt einem Prozess menschlicher Prüfung oder redaktioneller Kontrolle unterzogen wurde und eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung trägt". Das ist die wichtigste Ausnahme für KMU-Blogcontent. Wer KI-Texte als Redakteur prüft und freigibt, fällt aus der Kennzeichnungspflicht des Art. 50(4) Text.

Drei KMU-Szenarien

Sie haben einen Chatbot zur Website Ihrer Zahnarztpraxis in Wien hinzugefügt. Art. 50(1) liegt beim Chatbot-Anbieter. Solange der Bot sich als KI zu erkennen gibt oder das aus dem Kontext klar ist, sind Sie konform. Prüfen Sie die Dokumentation des Anbieters einmal, dann sind Sie fertig.

Sie nutzen ChatGPT für Blogbeiträge Ihrer Beratungsfirma in Graz und redigieren sie vor der Veröffentlichung. Die Kennzeichnungspflicht aus Art. 50(4) Text greift nicht. Die Redaktions-Ausnahme passt, weil Sie die redaktionelle Verantwortung getragen haben. Die Redaktion darf schlank sein, aber Sie müssen die Verantwortung tatsächlich übernehmen. Ein "Geprüft von"-Hinweis oder eine interne Notiz reicht.

Sie sind Immobilienmakler in Salzburg und erzeugen mit KI Bilder von virtuell ausgestatteten leeren Zimmern. Zwei Pfade. Zeigt das Bild das tatsächliche Zimmer der konkreten Immobilie auf eine Weise, die ein Betrachter als Fotografie auffassen würde, ist es ein Deepfake nach Art. 3 Nr. 60 und braucht die Kennzeichnung "KI-erzeugt". Ist das Bild ein Konzept-Rendering im Sinne von "so könnte der Raum aussehen" ohne Anspruch, das echte Zimmer zu zeigen, fällt es aus Art. 50(4). Der vorsichtige Weg ist, alle virtuell ausgestatteten Bilder zu kennzeichnen und nichts dabei zu verlieren.

Wann dieser Artikel nicht für Sie geschrieben ist

Wenn Ihr österreichisches Unternehmen KI für Einstellungsentscheidungen, Kreditscores, Versicherungs-Underwriting, biometrische Identifikation, Bildungszugang oder Aufgaben in Nähe zur Strafverfolgung einsetzt, befinden Sie sich im Hochrisikobereich nach Anhang III. Diese Pflichten gelten ab 2. August 2027, sind anders und schwerer als Art. 50, und die DSB sowie die zuständigen Marktüberwachungsbehörden behandeln sie in einem eigenen Regime. Das realistische KMU fällt nicht in diese Kategorie. Erkennen Sie sich darin, sprechen Sie mit einem Spezialisten. Dieser Artikel ist nicht für diesen Fall geschrieben.

Hat Ihre Seite keinen Chatbot, keine KI-Bilder realer Personen oder Orte und keine KI-Texte zu Themen öffentlichen Interesses, dann betrifft Art. 50 Sie praktisch nicht. Die DSGVO-Bußgelder, die die DSB anwendet, das österreichische TKG 2021 mit § 165 zur Cookie-Einwilligung und das BaFG bleiben in eigenem Zeitplan gültig. Die KI-Verordnung ändert daran nichts.

Vollziehung: DSB und KommAustria

<figure className="my-8"> <svg role="img" aria-labelledby="art99-tiers-at-title" aria-describedby="art99-tiers-at-desc" viewBox="0 0 900 480" xmlns="http://www.w3.org/2000/svg" style={{ maxWidth: '100%', height: 'auto' }}> <title id="art99-tiers-at-title">Drei Strafstufen der KI-VO nach Art. 99.</title> <desc id="art99-tiers-at-desc">Drei Strafstufen nach Art. 99 der KI-Verordnung. Stufe eins für verbotene Praktiken nach Art. 5 erreicht bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Stufe zwei für die meisten Pflichten einschließlich Art. 50 erreicht bis zu 15 Millionen Euro oder 3 Prozent. Stufe drei für falsche Auskünfte gegenüber den Behörden erreicht bis zu 7,5 Millionen Euro oder 1,5 Prozent. Eine Fußnote weist darauf hin, dass die Mitgliedstaaten nach Art. 99 Abs. 6 niedrigere Strafen für KMU anwenden können und dass die realistische Belastung eines österreichischen KMU weit unter den Maxima liegt.</desc> <rect x="0" y="0" width="900" height="480" fill="#FFFFFF"/> <text x="450" y="40" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="20" fontWeight="600" fill="#1A1A1A">KI-VO Strafen nach Art. 99</text> <rect x="60" y="80" width="780" height="90" rx="10" fill="#FEE2E2" stroke="#B91C1C" strokeWidth="2"/> <text x="80" y="115" fontFamily="Instrument Serif, serif" fontSize="16" fontWeight="600" fill="#B91C1C">Stufe 1: Verbotene Praktiken (Art. 5)</text> <text x="80" y="138" fontFamily="DM Sans, sans-serif" fontSize="13" fill="#1A1A1A">Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes (der höhere).</text> <text x="80" y="158" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#525252">Social Scoring, manipulative KI, ungezielte Gesichtsbild-Sammlung.</text> <rect x="60" y="190" width="780" height="90" rx="10" fill="#FEF3C7" stroke="#D97706" strokeWidth="2"/> <text x="80" y="225" fontFamily="Instrument Serif, serif" fontSize="16" fontWeight="600" fill="#D97706">Stufe 2: Die meisten Pflichten einschließlich Art. 50</text> <text x="80" y="248" fontFamily="DM Sans, sans-serif" fontSize="13" fill="#1A1A1A">Bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes (der höhere).</text> <text x="80" y="268" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#525252">Transparenzverstöße, Verletzungen bei Hochrisikosystemen.</text> <rect x="60" y="300" width="780" height="90" rx="10" fill="#F5F5F5" stroke="#525252" strokeWidth="1.5"/> <text x="80" y="335" fontFamily="Instrument Serif, serif" fontSize="16" fontWeight="600" fill="#525252">Stufe 3: Falsche Auskünfte an Behörden</text> <text x="80" y="358" fontFamily="DM Sans, sans-serif" fontSize="13" fill="#1A1A1A">Bis zu 7,5 Millionen Euro oder 1,5% des weltweiten Jahresumsatzes (der höhere).</text> <text x="80" y="378" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#525252">Irreführende Antworten an Aufsichtsbehörden.</text> <rect x="60" y="410" width="780" height="50" rx="6" fill="#F0FDF4" stroke="#1B7D56" strokeWidth="1"/> <text x="450" y="432" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fontWeight="500" fill="#145E40">Art. 99(6): Mitgliedstaaten können niedrigere Strafen für KMU und Start-ups anwenden.</text> <text x="450" y="448" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">Realistische KMU-Belastung liegt weit unter den Maxima.</text> </svg> <figcaption>Die Höchstbeträge nach Art. 99. Für ein österreichisches KMU bleibt die realistische Belastung im Verhältnis zu Umsatz und tatsächlichem Schaden.</figcaption> </figure>

Österreich hat die DSB (Datenschutzbehörde) als nationale zuständige Behörde für die KI-VO benannt, zusammen mit der KommAustria für die Deepfake-Dimension nach Art. 50(4). Prüfen Sie die aktuelle Benennung im Art. 70-Register der Kommission, bevor Sie sich darauf verlassen, weil die österreichische Position seit Sommer 2025 mehrfach geschärft wurde.

Für ein realistisches österreichisches KMU beginnt ein Vollzug nach Art. 50 typischerweise mit einer Beschwerde zu einem konkreten Fall, etwa einem nicht gekennzeichneten Deepfake einer realen Person oder einer Emotionserkennungs-CCTV-Anlage ohne Hinweis. Es folgt eine Mahnung oder ein Bescheid zur Herstellung der Konformität, bevor eine Strafe in den Raum kommt. Art. 99(6) trägt den Mitgliedstaaten auf, für KMU und Start-ups niedrigere Strafen zu erwägen, und die österreichische Verwaltungspraxis bei der DSGVO bestätigt diese Linie. Die 15 Millionen Euro oder 3% sind die Schlagzeile, nicht die Belastung, mit der eine Wiener Zahnarztpraxis bei einem versäumten Deepfake-Label zu rechnen hat.

Anwendungsdaten: Was gilt wann

<figure className="my-8"> <svg role="img" aria-labelledby="ai-act-timeline-at-title" aria-describedby="ai-act-timeline-at-desc" viewBox="0 0 1100 320" xmlns="http://www.w3.org/2000/svg" style={{ maxWidth: '100%', height: 'auto' }}> <title id="ai-act-timeline-at-title">KI-Verordnung gestufte Anwendung von August 2024 bis August 2027.</title> <desc id="ai-act-timeline-at-desc">Waagrechte Zeitachse mit sechs Meilensteinen von August 2024 bis August 2027. Inkrafttreten am 1. August 2024. Verbotene Praktiken anwendbar ab 2. Februar 2025. GPAI-Pflichten und nationale Behördenbenennung am 2. August 2025. Transparenzpflichten nach Art. 50 ab 2. August 2026, hervorgehoben als wichtigster Termin für Website-Betreiber. Eine vorläufige Digital-Omnibus-Übergangsfrist 2. Dezember 2026. Hochrisikopflichten ab 2. August 2027.</desc> <rect x="0" y="0" width="1100" height="320" fill="#FFFFFF"/> <text x="550" y="30" textAnchor="middle" fontFamily="Instrument Serif, serif" fontSize="18" fontWeight="600" fill="#1A1A1A">KI-VO gestufte Anwendung (Art. 113)</text> <line x1="80" y1="120" x2="1040" y2="120" stroke="#1A1A1A" strokeWidth="2"/> <circle cx="120" cy="120" r="6" fill="#525252"/> <text x="120" y="146" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#525252">1. Aug. 2024</text> <text x="120" y="162" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#525252">Inkrafttreten</text> <circle cx="270" cy="120" r="6" fill="#D97706"/> <text x="270" y="146" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#D97706">2. Feb. 2025</text> <text x="270" y="162" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#D97706">Verbotene Praktiken (Art. 5)</text> <circle cx="450" cy="120" r="6" fill="#D97706"/> <text x="450" y="146" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#D97706">2. Aug. 2025</text> <text x="450" y="162" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#D97706">GPAI-Pflichten; Art. 70-Benennungen</text> <circle cx="680" cy="120" r="10" fill="#1B7D56"/> <text x="680" y="146" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fontWeight="700" fill="#1B7D56">2. Aug. 2026</text> <text x="680" y="162" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="10" fontWeight="600" fill="#1B7D56">Art. 50 anwendbar (Ihr Termin)</text> <circle cx="810" cy="120" r="5" fill="#A3A3A3"/> <text x="810" y="146" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#525252">2. Dez. 2026</text> <text x="810" y="162" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#525252">Digital Omnibus Übergang (falls beschlossen)</text> <circle cx="1000" cy="120" r="6" fill="#525252"/> <text x="1000" y="146" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fontWeight="500" fill="#525252">2. Aug. 2027</text> <text x="1000" y="162" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="10" fill="#525252">Hochrisikopflichten</text> <text x="550" y="240" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#525252">Die Daten aus Art. 113. Die Übergangsfrist 2. Dezember 2026 hängt</text> <text x="550" y="258" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="12" fill="#525252">vom Digital Omnibus ab (vorläufige Einigung 7. Mai 2026). Vor Veröffentlichung prüfen.</text> <text x="550" y="295" textAnchor="middle" fontFamily="DM Sans, sans-serif" fontSize="11" fill="#525252">Quelle: Verordnung (EU) 2024/1689, Art. 113.</text> </svg> <figcaption>Die Termine aus Art. 113. Die Übergangsfrist 2. Dezember 2026 hängt vom Digital Omnibus ab. Vor Veröffentlichung prüfen.</figcaption> </figure>

Was die KI-VO nicht ändert

Die KI-Verordnung tritt zusätzlich zu bestehenden Regeln. Sie ersetzt nichts. Die DSGVO gilt weiter für jedes KI-System, das auf Ihrer österreichischen Website personenbezogene Daten verarbeitet, und die EDSA-Stellungnahme 28/2024 zu KI-Modellen ist die maßgebliche Auslegung dafür. Das TKG 2021 mit § 165 regelt weiter die Cookie-Einwilligung. Das BaFG regelt weiter die Barrierefreiheit. Wer das breitere DSGVO- und EAA-Haftungsbild für KI-gebaute österreichische Websites sucht, findet das im Hub-Artikel des Clusters.

Die KI-Verordnung legt schmale Transparenzpflichten auf einen schmalen Kreis von KI-Anwendungen. Sie verändert nicht, was Ihre Website insgesamt zu tun hat.

Der Digital Omnibus und der bewegliche Zeitplan

Am 7. Mai 2026 haben Rat und Parlament eine vorläufige Einigung zu einem Digital Omnibus über KI erzielt, die unter anderem Anbietern generativer KI-Systeme, die vor dem 2. August 2026 auf dem EU-Markt waren, eine Übergangsfrist bis zum 2. Dezember 2026 für die Anpassung an Art. 50(2) gewähren würde. Der Stichtag 2. August 2026 für Art. 50 selbst bleibt. Die Übergangsdetails für bereits platzierte Systeme können sich noch verschieben. Die Produkthaftungsrichtlinie, die wenige Monate später am 9. Dezember 2026 anwendbar wird, ist ein eigener Strang. <!-- TODO: ersetzen durch /at/de/guides/produkthaftungsrichtlinie-2026 wenn Cluster #5 erscheint --> Prüfen Sie den Status des Digital Omnibus zum Zeitpunkt Ihrer Maßnahme.

Die Kommission hat zudem Entwurfsleitlinien zu Art. 50 am 8. Mai 2026 veröffentlicht, Konsultation am 3. Juni 2026 abgeschlossen. Die Leitlinien sind das interpretative Instrument der Kommission und derzeit die aktuellste maßgebliche Quelle zu dem, was die vier Absätze von Art. 50 in der Praxis verlangen. Der freiwillige Code of Practice on AI-Generated Content ist das parallele Industrieinstrument, finale Fassung für Juni 2026 erwartet. Keines ist verbindliches Recht. Beide sind maßgebliche Auslegung.

Fünf Prüfungen vor dem 2. August 2026

1. Ihr Chatbot, falls vorhanden, weist sich beim ersten Kontakt als KI aus oder das ergibt sich klar aus dem Kontext. Anbieter-Doku prüfen.
2. Jedes Bild auf Ihrer Seite, das eine reale Person, einen realen Ort oder ein reales Ereignis in echt wirkender Weise zeigt, ist als KI-erzeugt gekennzeichnet.
3. Jeder KI-erstellte Blogbeitrag hat eine klare menschliche Redaktion auf der Seite oder in der internen Dokumentation. Ein "Geprüft von"-Hinweis genügt.
4. Jedes Emotionserkennungs- oder Biometrie-Kategorisierungssystem, das Sie einsetzen (Sentiment-Kameras, In-Store-Aufmerksamkeitstracking, KI-gestützte HR-Vorselektion), wird den exponierten Personen offengelegt.
5. Keine Urheber- oder Persönlichkeitsrechte-Probleme in KI-Inhalten auf Ihrer Seite. Die Kennzeichnungsfrage ist von der Lizenzfrage getrennt, und beide können dasselbe Bild betreffen.

Unser kostenloser Compliance-Scan prüft DSGVO, Cookies, Barrierefreiheit und Bildrechte. KI-VO-Kennzeichnungschecks stehen auf der Roadmap. Der Scan kann noch nicht prüfen, ob Ihr Chatbot Art. 50(1)-Offenlegung erfüllt, aber er sagt Ihnen, ob der Rest Ihrer österreichischen Website auf festem Grund steht.

Häufige Fragen

Muss ich jeden mit KI geschriebenen Blogbeitrag kennzeichnen?

Nein. Art. 50(4) sieht eine Ausnahme für menschliche redaktionelle Kontrolle vor. Wenn Sie als Redakteur den KI-Text prüfen und freigeben, entfällt die Kennzeichnungspflicht. Die DSB kommt nicht wegen hand-redigierter Blogbeiträge.

Muss ich darauf hinweisen, dass mein Chatbot eine KI ist?

Art. 50(1) legt diese Pflicht auf den Anbieter des KI-Systems, nicht auf Sie als einsetzendes Unternehmen. Gängige Chatbot-Anbieter bauen den Hinweis serienmäßig ein. Ihre Aufgabe ist die Kontrolle, ob der Anbieter das tatsächlich tut.

Was ist ein Deepfake im Sinne der KI-Verordnung?

Art. 3 Nr. 60 definiert ihn eng: durch KI erzeugte oder bearbeitete Bilder, Audio oder Video, die bestehende Personen, Objekte, Orte, Einrichtungen oder Ereignisse darstellen und einer Person fälschlich als echt erscheinen würden. Generische KI-Marketingbilder ohne reale Personen oder Ereignisse fallen nicht darunter.

Welche Strafen kann die DSB bei einem Art. 50-Verstoß verhängen?

Art. 99 sieht bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes vor. Art. 99(6) erlaubt den Mitgliedstaaten, niedrigere Strafen auf KMU und Start-ups anzuwenden. Die realistische Belastung eines österreichischen KMU liegt weit unter den Maxima.

Gilt das auch, wenn ich von Österreich aus an britische Kunden verkaufe?

Ja. Die KI-Verordnung bindet Sie als österreichischen Betreiber unabhängig vom Sitz Ihrer Kunden. Umgekehrt: ein britischer Betreiber, der an österreichische Kunden verkauft, fällt für diese Tätigkeit unter Art. 2 der KI-VO mit extraterritorialer Reichweite.

Weiterlesen

Cluster-Stücke, die zu diesem hier passen:

• Wer zahlt, wenn KI Ihre Website mitbaut. Das Hub-Stück zur DSGVO-, EAA- und Cookie-Haftung für KI-gebaute österreichische Sites.
• KI-generierte Bilder auf Ihrer Website und Art. 50(4)-Deepfake-Kennzeichnung in der Praxis. <!-- TODO: ersetzen durch /at/de/guides/ki-generierte-bilder wenn Cluster #3 erscheint -->
• Produkthaftungsrichtlinie 2024/2853, anwendbar ab 9. Dezember 2026, vier Monate nach Art. 50. <!-- TODO: ersetzen durch /at/de/guides/produkthaftungsrichtlinie-2026 wenn Cluster #5 erscheint -->
• KI-generierter Code und Urheberrecht, unabhängig von der Art. 50-Transparenz. Dort geht es um Open-Source-Lizenzen. <!-- TODO: ersetzen durch /at/de/guides/ki-generierter-code-urheberrecht wenn veröffentlicht -->
• DSGVO-Website-Audit-Checkliste. Der Vollzugskontext, neben dem die KI-VO steht.

Dieser Artikel ist technische Analyse, keine Rechtsberatung. Der Autor ist nicht Ihr Anwalt und nicht der Verantwortliche für Ihre Website. Für eine verbindliche Einschätzung sprechen Sie mit einem der beiden.