nextera.partners
EU AI Act · Board Briefing · April 2026
Board Briefing — April 2026
EU AI Act.
Ein Leitfaden für sichere
KI-Innovation.
Strategische Orientierung für das Management Board — rechtlich geprüft gegen VO (EU) 2024/1689, ABl. 12.07.2024.
Österreich / EU-27
2025 — 2027
In Kraft seit 01.08.2024
Management Board
02 / 11
02
Die Uhr tickt — laut.
Warum jetzt handeln
< 4 Monate

Bis zur Hauptanwendbarkeit

Bis zum 2. August 2026 greifen Hochrisiko-Pflichten, Transparenzpflichten und Governance­strukturen vollständig — Inventare und Schulungen müssen heute stehen.

Seit 02.02.2025

Bereits verbindlich

Verbot inakzeptabler KI-Praktiken & AI-Literacy-Pflicht (Art. 4) für KI-nutzende Mitarbeitende — als Best-Efforts-Pflicht. Verstöße sind bereits sanktionsfähig.

€35 Mio.
Maximale Geldbuße
bei verbotenen Praktiken
7 %
Weltweiter Jahresumsatz
als Alternativbetrag
KMU · Art. 99 Abs. 6

Für KMU & Start-ups gilt der jeweils niedrigere Betrag aus Prozentsatz oder Absolutbetrag — nicht der höhere. Die genannten Maxima gelten für Großunternehmen.

03 / 11
03
Weltweit erster umfassender Rechtsrahmen für KI.
Risikobasiert, stufenweise anwendbar, EU-weit einheitlich. Nationale Aufsichtsstruktur in Österreich noch in Ausgestaltung.
Ansatz
4
Risikoklassen
Von verboten bis minimal — mit abgestuften Pflichten je Risikoklasse.
Zeitraum
3 J.
Gestaffelt
Inkrafttreten 01.08.2024, erste Pflichten 02.02.2025, Hauptanwendung 02.08.2026.
Betroffene Rollen
2
Anbieter & Betreiber
Provider und Deployer — die meisten Unternehmen operieren als Deployer.
Sanktionen
€35M
Maximum
Oder 7% des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist (KMU: niedrigerer).
04 / 11
04
Die Pflichten skalieren mit dem Risiko.
Vier Risikoklassen
Klasse 01
Unannehmbares Risiko
Verboten
Social Scoring, manipulative Systeme, Emotionserkennung am Arbeitsplatz & in Bildungseinrichtungen — seit 2. Februar 2025 untersagt.
Klasse 02
Hohes Risiko
Streng reguliert
Kritische Infrastruktur, HR-Recruiting, Bildung, Kreditvergabe — umfassendes Risikomanagement ab August 2026.
Klasse 03
Begrenztes Risiko
Transparenz
Chatbots, Deepfakes — Nutzer müssen erkennen, dass sie mit KI interagieren oder KI-Inhalte konsumieren.
Klasse 04
Minimales Risiko
Keine Pflichten
Spamfilter, KI-gestützte Videospiele — keine gesetzlichen Vorgaben, freiwillige Verhaltenskodizes empfohlen.
05 / 11
05
Fünf Stichtage — gestaffelt, nicht „alles 2026".
Seit 1. August 2024 in Kraft. Jeder Stichtag verschiebt den Compliance-Umfang spürbar nach oben.
01 · 08 · 2024
Inkraft­treten
Verordnung im EU-Amtsblatt; Beginn der gestaffelten Anwendung.
02 · 02 · 2025
Verbote & AI Literacy
Art. 5-Verbote und Art. 4 AI-Literacy (Best-Efforts) anwendbar.
02 · 08 · 2025
GPAI & Sanktionen
Kap. V (GPAI), Kap. VII (Governance), Kap. XII (Sanktionen, ohne Art. 101).
02 · 08 · 2026
Haupt­anwendung
Hochrisiko-Systeme (Anhang III), Transparenzpflichten & Betreiberpflichten.
02 · 08 · 2027
Produkt­sicherheit
Hochrisiko-KI in regulierten Produkten — Anhang I (Maschinen, Medizin).
06 / 11
06
Provider oder Deployer — die Rolle bestimmt die Pflicht.
Rollen & Verantwortlichkeiten
Rolle A
Anbieter (Provider)
Entwickelt oder lässt ein KI-System entwickeln und bringt es unter eigenem Namen in Verkehr.
  • CE-Kennzeichnung
  • Konformitätsbewertung
  • Technische Dokumentation
  • Meldepflicht bei Vorfällen
Rolle B · Für uns relevant
Betreiber (Deployer)
Nutzt ein KI-System im beruflichen Kontext — die Standardrolle für die meisten Unternehmen.
  • Ordnungsgemäße Nutzung nach Anleitung
  • Menschliche Aufsicht sicherstellen
  • Logging, Monitoring & Post-Market-Beobachtung
  • Schwere Vorfälle: Anbieter informieren, ggf. direkte Meldung (Art. 26 Abs. 5 / Art. 73)
  • FRIA für regulierte Sektoren (Art. 27)

Rollenwechsel & FRIA: Wer ein KI-System wesentlich verändert oder unter eigenem Namen vermarktet, wird rechtlich zum Anbieter. Öffentliche Stellen und private Einrichtungen mit öffentlichem Versorgungsauftrag sowie Betreiber von KI-Systemen in Kredit- und Lebensversicherungsbewertung (Anh. III Nr. 5b/c) müssen vor Inbetriebnahme eine FRIA durchführen und das Ergebnis der Marktüberwachungsbehörde melden (Art. 27 Abs. 3).

07 / 11
07
Bußgelder bis 7% Jahresumsatz.
Sanktionen bei Nicht-Compliance
VerstoßMax. GeldbußeOder % des Umsatzes
Verbotene Praktiken
Art. 5 — höchste Schwere
 €35M 7% weltweiter Jahresumsatz
Hochrisiko-Pflichten
Risikomgmt., Doku, Aufsicht
 €15M 3% weltweiter Jahresumsatz
Falsche Angaben gegenüber Behörden
Gegenüber zuständigen Marktaufsichten
 €7,5M 1% weltweiter Jahresumsatz
KMU & Start-ups — Art. 99 Abs. 6

Maßgeblich ist der jeweils niedrigere Betrag aus Prozentsatz oder Absolutbetrag. Die Tabelle zeigt Maxima für Großunternehmen.

Sektorale Aufsicht AT (in Ausgestaltung)

FMA — Finanz & Kredit · DSB — datenschutzrelevante KI · BASG — Medizinprodukte. RTR als übergeordnete Koordinierungsstelle benannt. Nationale Umsetzung noch nicht final.

08 / 11
08
Von der Bestandsaufnahme zur laufenden Aufsicht.
5-Schritte-Roadmap — ein wiederholbares Vorgehen. Schritt 1 & 2 unmittelbar starten; Schritt 3 ist seit 02.02.2025 gesetzliche Pflicht.
01
KI-Inventur & Rollenklärung
Erfassung aller KI-Systeme, inkl. Schatten-KI, und Festlegung der Rolle je System.
02
Risikoklassifizierung
Jedes System gegen die Risikoklassen prüfen; bei Unsicherheit fachliche Rechtsberatung einholen.
03
Gesetzliche Pflicht
KI-Kompetenz (AI Literacy, Art. 4)
Best-Efforts-Schulung für KI-nutzende Mitarbeitende, inkl. Dokumentation — anwendbar seit 02.02.2025.
04
Governance & Integration
Einbettung in DSGVO, ISMS und Compliance-Prozesse; interne KI-Richtlinien; FRIA prüfen.
05
Transparenz, Aufsicht & Incident-Response
Kennzeichnung, menschliche Aufsicht, Logging und Meldepflicht für schwere Vorfälle (Art. 73).
09 / 11
09
Vier Entscheidungen — diese Sitzung.
Empfehlung an das Board
01
KI-Inventur beauftragen
Cross-funktionale Erfassung aller produktiven und in Pilotierung befindlichen KI-Systeme binnen 60 Tagen.
02
AI-Literacy-Programm freigeben (Art. 4)
Best-Efforts-Schulung für KI-nutzende Mitarbeitende — Pflicht seit 02.02.2025, dokumentieren.
03
FRIA-Pflicht prüfen (Art. 27)
Fallen wir unter öffentliche Stellen oder regulierte Sektoren (auch private Einrichtungen, die öffentliche Dienste erbringen)? Dann Grundrechte-Folgenabschätzung vor Inbetriebnahme.
04
Ownership im C-Level benennen
KI-Compliance als Board-Verantwortung, integriert mit DSGVO/ISMS. Vorschlag: CIO oder CFO als Sponsor.

Wer heute nicht startet, steht am 2. August 2026 ohne belastbare Evidenz unter Auditdruck.

Risk Assessment · Board Briefing
10 / 11
10
90 Tage. Drei Horizonte.
Nächste Schritte
HorizontAktionOwnership
0 – 30 Tage KI-Inventur & Erstklassifizierung Task Force · CIO-Office, Legal, Fachbereiche
30 – 60 Tage AI-Literacy-Curriculum live schalten HR · Learning & Development
60 – 90 Tage Governance, KI-Richtlinie & Incident-Response (Art. 73) Legal & Compliance · mit CISO
Q3 2026 Readiness-Review Hochrisiko-Systeme Board-Report durch CIO
€0
Kosten des Nicht-Handelns heute — steigend mit jedem Quartal
60T
Bis erster Board-Report — Inventur & Ownership klar
Aug '26
Hauptanwendung — der entscheidende Stichtag
11 / 11
11
Hinweise zu Geltung & Verbindlichkeit.
01 · Zweck & Stand

Zweck & Stand

Diese Präsentation bietet eine vereinfachte, managementorientierte Übersicht des EU AI Act (Verordnung (EU) 2024/1689) mit Stand April 2026. Sie dient ausschließlich der strategischen Einordnung und erhebt keinen Anspruch auf Vollständigkeit oder rechtliche Verbindlichkeit.

02 · Dynamischer Rahmen

Dynamischer Rechtsrahmen

Die konkrete Einordnung von KI-Systemen, regulatorische Anforderungen sowie deren Umsetzung sind kontextabhängig und können sich durch regulatorische Weiterentwicklungen, Leitlinien oder behördliche Auslegung verändern.

03 · Keine Rechtsberatung

Keine Rechtsberatung

Für verbindliche Bewertungen und operative Entscheidungen ist eine individuelle rechtliche und regulatorische Prüfung erforderlich.

RechtsquelleVO (EU) 2024/1689 · ABl. 12.07.2024
StandApril 2026
KlassifikationManagement Briefing