Drei Compliance-Schichten, ein Stichtag im August
Wer 2026 in Österreich KI-Tools im Unternehmen einsetzt, hat es nicht mit einem, sondern mit drei aufeinander aufbauenden Regelwerken zu tun. DSGVO und österreichisches DSG bilden das Fundament, dazu kommt das TKG 2021 für Cookies und Tracking, und seit August 2024 staffelt sich der EU AI Act in mehreren Etappen darüber. Aktuell läuft die heißeste Phase: Seit dem 2. Februar 2025 gilt die KI-Kompetenzpflicht für alle Unternehmen, am 2. August 2026 werden Hochrisiko-Pflichten und Strafbestimmungen scharfgestellt.
Die Datenschutzbehörde Wien zeigt 2024 und 2025, dass sie bei groben Verstößen nicht zaudert: 1,5 Millionen Euro Strafe gegen IKEA Österreich (BVwG-Bestätigung 25. Juli 2025) und 16 Millionen Euro gegen die Österreichische Post (BVwG 27. Dezember 2024). Beide Fälle hatten zwar nichts direkt mit KI zu tun, zeigen aber wie ernst es die DSB mit der DSGVO meint.
Was dieser Guide liefert: einen praxisnahen Überblick über alle drei Compliance-Schichten, die KI-Kompetenzpflicht im Detail, branchenspezifische Anforderungen für sechs österreichische Berufsgruppen, eine Pflichtkriterien-Liste für die Tool-Auswahl, konkrete Empfehlungen mit Hosting-Land und AVV-Status, ein durchgerechnetes Praxisbeispiel und die aktuellen AT-Förderungen, mit denen sich KI-Projekte 2026 zwischen 30 und 80 Prozent fördern lassen.
Hinweis: Dieser Artikel ist keine Rechtsberatung. Bei sensiblen Fällen — etwa Steuerberatungsmandate, Patientendaten, automatisierte Personalentscheidungen — gehört der Fall vor den Datenschutzbeauftragten oder Anwalt.
Layer 1: DSGVO und österreichisches DSG
Die DSGVO gilt als EU-Verordnung unmittelbar in jedem Mitgliedstaat. Das österreichische Datenschutzgesetz (DSG) stockt sie um nationale Spezifika auf: Verschwiegenheitspflicht der DSB-Mitarbeiter, Vorrang der Verwarnung nach § 11 DSG, eigenes Strafverfolgungs-Datenschutzregime. Die DSG-Novelle vom 10. April 2025 hat die Anforderungen an technische und organisatorische Maßnahmen präzisiert.
Die Datenschutzbehörde (DSB) sitzt in der Barichgasse 40-42, 1030 Wien, und ist die zentrale Aufsicht. Bei KI-Anwendungen bleibt sie zuständig — Art. 2 Abs. 7 KI-VO bestätigt das ausdrücklich. Für Hochrisiko-KI in Strafverfolgung, Justiz, Demokratie und Grenzverwaltung ist die DSB nach Art. 74 Abs. 8 KI-VO ab August 2026 zusätzlich Marktüberwachungsbehörde.
Bußgeldpraxis 2024 und 2025: IKEA Österreich erhielt 1,5 Millionen Euro Strafe wegen unzulässiger Videoüberwachung am Wiener Westbahnhof (BVwG-Bestätigung 25. Juli 2025). Die Österreichische Post wurde mit 16 Millionen Euro für die Verarbeitung politischer Affinitäten belegt (BVwG 27. Dezember 2024). Auf der anderen Seite des Spektrums: 400 Euro gegen einen Wiener Anwalt für unzureichende Auskunftserteilung (BVwG 27. Februar 2025). Stand Mai 2026 sind in Österreich keine öffentlich bekannten Bußgelder verhängt worden, die explizit den Einsatz von KI-Tools wie ChatGPT betrafen — die italienische Garante hat aber im Dezember 2024 mit 15 Millionen Euro gegen OpenAI vorgelegt und damit die Richtung vorgegeben.
Pflichten beim KI-Tool-Einsatz: Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist mit jedem Anbieter zwingend, der personenbezogene Daten verarbeitet — auch bei ChatGPT Team, Microsoft Copilot, Finmatics oder fonio.ai. Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 ist unter 250 Mitarbeitern grundsätzlich nicht zwingend, aber sobald regelmäßig Kunden- oder Mitarbeiterdaten in KI-Tools fließen, schon. Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 ist bei voraussichtlich hohem Risiko Pflicht — bei KI-gestütztem Recruiting, Bewerber-Matching oder Sentiment-Analyse praktisch immer.
Datenschutzbeauftragter: In Österreich für die meisten KMU nicht zwingend. Anders als in Deutschland, wo ab 20 Mitarbeitern Pflicht herrscht, gilt in AT nur Art. 37 DSGVO unverändert. Pflicht bei Behörden, „umfangreicher regelmäßiger systematischer Überwachung" oder „umfangreicher Verarbeitung sensibler Daten" nach Art. 9. Steuerberater mit Mandanten-Gesundheitsdaten sind ein potenzieller Grenzfall, hier lohnt eine Einzelfallprüfung.
Schrems-II und das EU-US Data Privacy Framework (DPF): Aktuell gültig nach Bestätigung des EuG vom 3. September 2025 (Rs. T-553/23 Latombe), aber beim EuGH unter Berufung seit 30. Oktober 2025. Politisch fragil durch US-Executive-Order 14215 und Eingriffe in das PCLOB. Empfehlung: zweigleisig fahren. Beim US-Tool prüfen, ob es DPF-zertifiziert ist UND zusätzlich Standardvertragsklauseln (SCCs) als Backup vereinbaren. Eine Transfer Impact Assessment (TIA) gehört bei jedem Drittland-Transfer in den Compliance-Ordner.
Für die DACH-allgemeine Sicht ohne AT-Schwerpunkt empfiehlt sich unsere DSGVO-Checkliste für KI-Tools als 10-Punkte-Praxisleitfaden.
Layer 2: TKG 2021 und ECG
§ 165 Abs 3 TKG 2021 verpflichtet zur aktiven Einwilligung für jedes Cookie und jedes Tracking-Element, das nicht „technisch unbedingt erforderlich" ist. Warenkorb und Spracheinstellung sind erforderlich, alles darüber hinaus — Analytics, Werbe-Pixel, A/B-Testing — braucht eine Opt-in-Einwilligung mit gleichwertigem Ablehn-Button. Vollzug formal bei den Fernmeldebehörden (BMK, Post-Telekom-Bezirke), Strafrahmen bis 50.000 Euro für Informationspflicht-Verstöße.
In der Praxis tritt aber meistens die DSB auf den Plan, sobald durch das Cookie personenbezogene Daten verarbeitet werden — was bei Online-Kennungen praktisch immer der Fall ist. Für KI-Tool-Anbieter mit Webfrontend (Chatbots, KI-Suche, KI-generierte Landingpages) ist das relevant: Tracking auf der Marketingseite muss sauber consent-gated sein, sonst droht eine doppelte Aufsicht aus DSB und Fernmeldebehörde.
Das E-Commerce-Gesetz (ECG) regelt Impressumspflicht (§ 5) und Werbe-Kennzeichnung (§ 6) technologieneutral. Bei KI-generierten Inhalten kommt ab 2. August 2026 die Kennzeichnungspflicht aus Art. 50 AI Act dazu — dazu mehr im AI-Act-Abschnitt.
FAGG und KSchG bleiben für KI-Anwendungen vor allem im E-Commerce relevant. Webshop-Pflichten zu Telefonnummer, E-Mail-Adresse, Widerrufsbelehrung und vorvertraglichen Informationen gelten unverändert. KI-Chatbots im Kundenservice müssen ab 2. August 2026 transparent offenlegen, dass mit einem KI-System interagiert wird.
Layer 3: EU AI Act in Österreich
Der EU AI Act ist eine Verordnung und gilt damit unmittelbar in allen Mitgliedstaaten. Die Stichtage staffeln sich:
| Datum | Was gilt |
|---|---|
| 1.8.2024 | AI Act in Kraft |
| 2.2.2025 | Verbotene Praktiken (Art. 5) und KI-Kompetenzpflicht (Art. 4) |
| 2.8.2025 | Pflichten für GPAI-Modelle (Art. 53–55) |
| 2.8.2026 | Hochrisiko-KI Anhang III, Transparenzpflichten Art. 50, Strafbestimmungen |
| 2.8.2027 | Hochrisiko Anhang I (Produktsicherheit), volle GPAI-Strafen |
Bußgeldhöhen ab 2. August 2026: Für verbotene KI-Praktiken bis 35 Millionen Euro oder 7 Prozent des weltweiten Konzernumsatzes (Art. 99 AI Act). Für Hochrisiko-Verstöße bis 15 Millionen Euro oder 3 Prozent. Für GPAI-Pflichtverletzungen bis 7,5 Millionen Euro oder 1,5 Prozent. KMU-Erleichterungen: reduzierte Höchststrafen und kostenfreier Sandbox-Zugang über die KI-Servicestelle bei der RTR-GmbH.
AT-Vollzug: Die KI-Servicestelle ist seit 1. September 2024 operativ. Rechtsgrundlage ist das KI-Servicestelle-Gesetz (KISG) über § 20c KOG und § 194a TKG 2021 (BGBl. I Nr. 6/2024). Aufgaben sind Information, Beratung und der Aufbau einer regulatorischen Sandbox für KMU. Bis Mai 2026 hat Österreich aber noch kein nationales KI-Vollzugsgesetz beschlossen. Nach geltender Rechtsmeinung — etwa der Bundeskammer der ZiviltechnikerInnen — können in Österreich derzeit keine Strafen wegen Verletzung der KI-VO verhängt werden, weil Behördenkompetenzen und nationale Strafbestimmungen fehlen. Das wird sich bis spätestens Sommer 2026 ändern müssen.
Sektorale Marktüberwachung ab 2. August 2026: BASG für Medizinprodukte, FMA für Finanzdienstleistungen, Arbeitsinspektion für Beschäftigung. Für Strafverfolgung im Datenschutzkontext bleibt die DSB.
Auch ohne aktuelle AT-Strafverfahren ist die zivilrechtliche Haftung im Schadensfall bereits jetzt voll relevant. Wer 2026 ohne Compliance arbeitet, sammelt Beweislast-Probleme für künftige Streitfälle. Beispiel: Ein Mitarbeiter leakt Mandantendaten in ChatGPT Free, weil keine Schulung dokumentiert war. Der Mandant klagt auf Schadenersatz. Ohne Schulungsnachweis kehrt sich die Beweislast praktisch um.
KI-Kompetenzpflicht nach Art. 4: das Kapitel, das jeden trifft
Art. 4 AI Act ist der Paragraf, der 2026 jedes österreichische KMU direkt betrifft. Wortlaut: „Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal […] über ein ausreichendes Maß an KI-Kompetenz verfügt."
Wer ist Betreiber? Jeder Steuerberater, Makler, Architekt, Handwerker, Fotograf, E-Commerce-Händler, der ChatGPT, Microsoft Copilot, eine Branchen-KI oder ein Tool wie Finmatics, fonio.ai, plancraft oder onpreo einsetzt. Es gibt keine KMU-Ausnahme, keine Übergangsfrist. Pflicht seit 2. Februar 2025.
Was „ausreichendes Maß an KI-Kompetenz" praktisch bedeutet, lässt sich nach RTR, WKO und juristischen Praxiskommentaren auf fünf Bausteine herunterbrechen:
- KI-Inventar: Liste aller im Unternehmen genutzten KI-Tools mit Anbieter, Hosting-Land, AVV-Status und Anwendungsfällen
- KI-Richtlinie oder Guideline: Schriftliche Regeln, was Mitarbeiter mit KI dürfen und nicht dürfen. Die WKO bietet eine Vorlage „KI-Guidelines für KMU" zum Download
- Dokumentierte Schulung: Eine Basis-Schulung von rund zwei Stunden gilt nach aktueller Praxis als ausreichendes Mindestmaß
- Rollenbezogene Vertiefung: Power-User wie eine Buchhalterin, die täglich mit Finmatics arbeitet, brauchen mehr als zwei Stunden
- Schulungsnachweise: Teilnehmerlisten, Datum, Inhalte, Trainerunterlagen — alles in den Compliance-Ordner
Sanktionen: Direkte EU-Bußgelder für reine Art. 4-Verstöße gibt es nicht. Aber die zivilrechtliche Haftung im Schadensfall ist real, und fehlende Schulungsdokumentation kehrt die Beweislast bei Streitfällen um. Bei Konzern-Auditierung, Procurement-Prüfung oder Versicherungsschadensfall wird die fehlende Schulung sofort zum Showstopper.
Praktischer Vier-Wochen-Plan zum Einstieg:
Woche 1: KI-Inventar erstellen. Alle Tools erfassen, die personenbezogene Daten verarbeiten — auch die scheinbar harmlosen wie Outlook-Copilot, Grammarly, ChatGPT Free im Browser.
Woche 2: KI-Richtlinie aufsetzen mit der WKO-Vorlage als Basis, AVV-Liste prüfen, Lücken dokumentieren.
Woche 3: Schulung organisieren. Entweder externer Trainer (auch über die KMU.DIGITAL-Beratungsförderung kofinanzierbar) oder selbst gemacht mit WKO-Material. Zwei Stunden Live-Webinar oder Selbstlernmodul mit Wissensabfrage genügen für die Grundschulung.
Woche 4: Rollenbezogene Vertiefung für Power-User, Schulungsnachweise dokumentieren, Compliance-Ordner anlegen. Wir bereiten einen detaillierten Folgeguide zur Umsetzung der KI-Kompetenzpflicht vor — bis dahin sind die genannten Bausteine die Mindestbasis.
Sektor-spezifische Compliance: sechs Berufsgruppen im Vergleich
Steuerberater
§ 80 WTBG 2017 (Wirtschaftstreuhandberufsgesetz): strenge berufsrechtliche Verschwiegenheitspflicht. Anders als § 203 dStGB ist die Sanktion in AT primär disziplinarrechtlich und zivilrechtlich (Schadenersatz, Standesgericht), die KSW (Kammer der Steuerberater und Wirtschaftsprüfer) kann nach §§ 102, 105 WTBG Maßnahmen setzen. Konsequenz für KI-Tools: Mandantendaten dürfen nur in AVV-gesicherte, EU-gehostete und vertraglich vom KI-Training ausgeschlossene Systeme. Finmatics (Wien, ISO 27001) und das DATEV/BMD/RZL-Anbindungs-Modell sind hier Goldstandard. Dazu im Bedarfsfall Taxy.io Answers für Recherchezwecke ohne Mandantendaten-Upload, oder Lexware Office für die vorbereitende Buchhaltung.
Immobilienmakler
Maklergesetz (MaklerG), Konsumentenschutzgesetz §§ 30a, 30b, Standes- und Ausübungsregeln (Stand 10. Juni 2024). Seit 1. Juli 2023 gilt das Bestellerprinzip durch das MaklerG-ÄndG. DSGVO bereits jetzt zentrale Hürde: Datenminimierung bei Bonitätsabfragen, AVV mit jedem CRM-Anbieter. Tool-Empfehlung: onpreo (Schweiz, DSG- und DSGVO-konform), onOffice (Aachen, AVV nach Art. 28; Routing über internationale CDNs ist ein TIA-Punkt, aktuell durch DPF abgedeckt), PriceHubble (Schweiz). Zur Vertiefung: onOffice vs onpreo.
Handwerker
Gewerbeordnung (GewO), Kleinunternehmergrenze seit 1. Januar 2025: 55.000 EUR brutto pro Jahr (Toleranz 10 Prozent, also bis 60.500 EUR; vorher 35.000 EUR netto). Unionsweit 100.000 EUR. Wichtig: Die Kombination KI-Tool plus Kleinunternehmer ist heikel, weil KI-Subscriptions als Inputs nicht zum Vorsteuerabzug berechtigen — die Brutto-Kosten fließen voll in die Kalkulation. Tool-Empfehlung: plancraft (Hamburg, EU-Hosting, ÖNORM-Schnittstelle), Das Programm als günstigerer Einstieg, fonio.ai (Wien, DACH-DSGVO-Spitzenreiter im Telefonassistenten-Segment).
Architekten
Ziviltechnikergesetz (ZTG 2019), Standesregeln der Bundeskammer der ZiviltechnikerInnen (letzte genehmigte Fassung 10. Februar 2009). Wichtig für die Einordnung: Die Bundeskammer hat im April und Mai 2025 KI-Hinweise auf arching.at publiziert — das sind aber Empfehlungen, keine bindende Verordnung. Inhaltlich werden Schulung, Dokumentation und Richtlinie empfohlen. Bei BIM-Anwendungen mit KI-Komponente in kritischer Infrastruktur ist Vorsicht geboten — möglicherweise Hochrisiko-Klassifizierung nach Anhang III. Tool-Empfehlung: WEKA Bau AI, Phase0, Veras für Visualisierung. Zur Vertiefung: Phase0 vs WEKA Bau AI.
Fotografen
Urheberrechtsgesetz (UrhG), insbesondere § 73 Lichtbildrechte für Lichtbildner. KI-bearbeitete Bilder bleiben grundsätzlich Lichtbild und damit schutzfähig. Rein KI-generierte Bilder ohne menschliche Schöpfungshöhe sind wahrscheinlich nicht urheberrechtlich geschützt — die OGH-Rechtsprechung dazu ist Stand Mai 2026 noch nicht abschließend ausjudiziert. Datenschutz wird kritisch bei Personenfotos mit Gesichtserkennung (DSFA-Pflicht nach Art. 35 oft gegeben). Tool-Empfehlung: Excire Foto 2025 (Lübeck, rein lokal, keine Cloud — höchste DSGVO-Sicherheit) und DxO PhotoLab 9 (Frankreich, ebenfalls lokal). Aftershoot und Veras nutzen Cloud-Komponenten und brauchen einen sauberen AVV.
E-Commerce-Händler
ECG, FAGG, KSchG, DSGVO und ab 2. August 2026 zusätzlich Art. 50 AI Act für KI-generierte Texte und Bilder zu Themen öffentlichen Interesses. Klarstellung der WKO: Reine Produktbeschreibungen sind nicht kennzeichnungspflichtig, ebenso wenig Marketing-Texte mit menschlicher Freigabe. Chatbots auf der Website müssen aber transparent offenlegen, dass mit KI interagiert wird. Tool-Empfehlung: Brevo (Paris, DSGVO-stark), Tidio (Polen, EU-Hosting), Photoroom (Paris). Omnisend ist litauisch, hat aber GCP-Hosting mit US-Subprozessoren — TIA-Pflicht nicht vergessen.
Die 7 Pflicht-Kriterien für AT-konforme KI-Tools
- EU-Vertragspartner oder Art. 27 DSGVO-Vertreter: Der Anbieter muss in der EU/im EWR sitzen oder einen benannten Vertreter nach Art. 27 DSGVO haben. Ohne EU-Anlaufstelle wird jede Compliance-Diskussion zäh.
- Serverstandort EU/EWR: Idealerweise DE, AT oder FR. AT-spezifisch hilft, weil Audit-Diskussionen mit der DSB schneller geführt sind.
- AVV als Self-Service: Der AVV nach Art. 28 DSGVO sollte ohne Mail-Anfrage abrufbar sein. Wer den AVV nur „auf Anfrage" liefert, hat ein Compliance-Reifegradproblem.
- TIA-fähige Subprozessor-Liste: Versioniert, öffentlich, mit Hosting-Standorten. Ohne diese Liste lässt sich keine Transfer Impact Assessment seriös machen.
- Opt-out für KI-Training: Vertraglich verankert, idealerweise standardmäßig deaktiviert. Sonst werden Kundendaten zum Modelltraining genutzt — und das ist ein DSGVO-Risiko.
- Sicherheits-Zertifizierung: ISO 27001 oder vergleichbar (SOC 2 Type 2, BSI C5, TISAX). Bei sensiblen Daten reicht weniger nicht.
- AT-Reverse-Charge-Rechnung: Mit UID hinterlegen, dann läuft die Rechnung als B2B ohne USt-Last. Das ist kein Compliance-Kriterium im engeren Sinn, aber ein praktischer Marker für DACH-Tauglichkeit.
Tool-Empfehlungen pro Berufsgruppe
Steuerberater
| Tool | HQ / Server | AT-Tauglichkeit | USP | Review |
|---|---|---|---|---|
| Finmatics | Wien / EU | ★★★★★ | AT-HQ, BMD/RZL-Integration, ISO 27001 | Finmatics |
| Lexware Office | Freiburg / DE | ★★★★☆ | DATEV-Anbindung, AT-Reverse-Charge | Lexware Office |
| Taxy.io Answers | DE | ★★★★☆ | KI-Recherche ohne Mandantenupload | Taxy.io Answers |
| Haufe CoPilot Tax | DE | ★★★☆☆ | DE-Steuerrecht-Tiefe, AT-Materie geringer | Haufe CoPilot Tax |
Immobilienmakler
| Tool | HQ / Server | AT-Tauglichkeit | USP | Review |
|---|---|---|---|---|
| onpreo | Rotkreuz CH / DACH-RZ | ★★★★★ | DSG + DSGVO konform, AT-Vermarktungslogik | onpreo |
| onOffice | Aachen / DE | ★★★★☆ | Marktstandard, AVV self-service | onOffice |
| PriceHubble | Zürich / EU | ★★★★☆ | Bewertungs-KI mit AT-Datenbank | PriceHubble |
| ImmoWriter | Berlin / DE | ★★★★☆ | KI-Exposétexte, onOffice-Integration | ImmoWriter |
Handwerker
| Tool | HQ / Server | AT-Tauglichkeit | USP | Review |
|---|---|---|---|---|
| plancraft | Hamburg / Frankfurt | ★★★★★ | KI-Sprachaufmaß, PORTA-Telefon, ÖNORM | plancraft |
| fonio.ai | Wien / Hetzner DE | ★★★★★ | AT-HQ, Wiener Dialekt, Hetzner-Hosting | fonio.ai |
| Das Programm | DE | ★★★★☆ | Günstigster Einstieg, KI-Arbeitsberichte | Das Programm |
Architekten
| Tool | HQ / Server | AT-Tauglichkeit | USP | Review |
|---|---|---|---|---|
| WEKA Bau AI | Kissing / DE | ★★★★☆ | Baurecht-RAG, ISO 27001 | WEKA Bau AI |
| Phase0 | DE | ★★★★☆ | Architektur-Bürosoftware mit KI | Phase0 |
| Veras | International / Cloud | ★★★☆☆ | KI-Visualisierung, Plugins für Revit/SketchUp | Veras |
| Autodesk Forma | International | ★★★☆☆ | Frühphasen-Planung mit KI | Autodesk Forma |
Fotografen
| Tool | HQ / Server | AT-Tauglichkeit | USP | Review |
|---|---|---|---|---|
| Excire Foto 2025 | Lübeck / lokal | ★★★★★ | 100 % offline, keine Cloud, Lifetime-Lizenz | Excire Foto 2025 |
| DxO PhotoLab 9 | Paris / lokal | ★★★★★ | Lokale Verarbeitung, RAW-Profis | DxO PhotoLab 9 |
| Aftershoot | International / Cloud | ★★★★☆ | KI-Culling, AVV vorhanden | Aftershoot |
E-Commerce-Händler
| Tool | HQ / Server | AT-Tauglichkeit | USP | Review |
|---|---|---|---|---|
| Brevo | Paris / FR | ★★★★★ | EU-Hosting, AT-Reverse-Charge, deutscher Support | Brevo |
| Tidio | Szczecin / EU | ★★★★☆ | EU-Hosting, KI-Chatbot Lyro | Tidio |
| Photoroom | Paris / FR | ★★★★☆ | EU-Anbieter, AVV vorhanden | Photoroom |
| Omnisend | Vilnius / GCP+US-SCC | ★★★☆☆ | EU-Entität, aber GCP mit US-Subprozessoren | Omnisend |
AT-Bonus: Drei heimische Anbieter im Spotlight
fonio.ai ist der Wiener KI-Telefonassistent mit eigenem Orchestration-Layer auf OpenAI/Azure EU, gehostet auf Hetzner Nürnberg. Die eigene Datenschutzerklärung dokumentiert AVV nach Art. 28 DSGVO und Standardvertragsklauseln für Drittland-Restrisiken. Stärkste DACH-DSGVO-Story im Telefonassistenten-Segment. Wiener Dialekt-Support als USP für AT-Service-Hotlines.
Finmatics ist die Wiener KI-Buchhaltungslösung seit 2016. ISO 27001, EU-Hosting, vollständige BMD- und RZL-Integration. Aus österreichischer Steuerberater-Perspektive der Goldstandard für Mandantenbuchhaltung mit KI-Belegverarbeitung.
onpreo ist der Schweizer Anbieter mit Sitz in Rotkreuz. Schweizer DSG erfüllt seit September 2023 die DSGVO-Angemessenheit, plus eigener AVV. Procurement-Story für AT-Maklerbüros oft kürzer als bei deutschen Anbietern, weil das DACH-Vertragsregime verzahnt ist.
Argument für AT- und CH-Anbieter: Bei Procurement-Prüfungen, Konzern-Audits oder DSB-Anfragen verkürzt sich die Diskussion erheblich, wenn der Anbieter im DACH-Raum sitzt. Es ist nicht der einzige Faktor, aber einer mit messbarer Compliance-Ersparnis.
Praxisbeispiel: Wiener Steuerkanzlei führt KI ein
Fiktive Kanzlei „Mag. Pichler & Partner Steuerberatung" mit acht Mitarbeitern, Sitz 1010 Wien. Der Schritt-für-Schritt-Plan:
Schritt 1 (Woche 1): Tool-Auswahl. Frau Pichler entscheidet sich für Finmatics als KI-Buchhaltung (Wien, BMD-Anbindung) und ChatGPT Team für die kanzleiinterne Recherche (mit AVV nach Art. 28 und vertraglichem Trainingsausschluss).
Schritt 2 (Woche 2): AVV einholen, TIA dokumentieren. Finmatics liefert den AVV als Self-Service. Bei ChatGPT Team wird zusätzlich eine Transfer Impact Assessment dokumentiert, weil OpenAI als US-Anbieter mit DPF-Zertifizierung arbeitet, der EuGH die EU-US-Rechtslage künftig aber kippen könnte.
Schritt 3 (Woche 2): KI-Richtlinie aufsetzen. Die Kanzlei nimmt die WKO-Vorlage „KI-Guidelines für KMU" und passt sie an die WTBG-Verschwiegenheitspflicht (§ 80) an. Klare Regeln: keine Mandantennamen in ChatGPT, keine Steuerakten als Anhang, alle Recherchen pseudonymisiert.
Schritt 4 (Woche 3): Mitarbeiterschulung Art. 4. Zweistündiges Live-Webinar mit externem Trainer (Kosten 800 Euro, davon 30 Prozent über die KMU.DIGITAL-Umsetzungsförderung erstattet). Zusätzlich einstündige Vertiefung für die zwei Buchhalterinnen, die Finmatics täglich nutzen. Schulungsunterlagen, Teilnehmerlisten und ein Wissens-Quiz werden im Compliance-Ordner abgelegt.
Schritt 5 (Woche 4): WTBG-Compliance-Check. Frau Pichler holt eine Stellungnahme der KSW-Berufsrechtskommission ein zu der konkreten Frage, ob der Einsatz von Finmatics + ChatGPT Team mit § 80 WTBG vereinbar ist. Antwort positiv mit Auflagen (Pseudonymisierung, AVV-Pflicht).
Schritt 6 (Woche 4): Datenschutzerklärung aktualisieren. Auf der Kanzlei-Website wird die Datenschutzerklärung um den KI-Einsatz, die eingesetzten Anbieter und die Rechtsgrundlage erweitert. Mandanten werden im nächsten Newsletter aktiv über den KI-Einsatz informiert.
Schritt 7 (parallel): Förderung beantragen. Über aws Fördermanager wird die KMU.DIGITAL Status- und Potentialanalyse (80 Prozent Förderung, max. 400 Euro) beantragt, gefolgt von einer Strategieberatung (50 Prozent, max. 1.000 Euro) und der Umsetzungsförderung (30 Prozent, max. 20.000 Euro). Insgesamt deckt die Förderung in dieser Konstellation rund 35 Prozent der Investitionssumme ab.
Ergebnis nach vier Wochen: Compliance-Paket vollständig, Schulung dokumentiert, Tools im Echtbetrieb, Förderung im Antragsprozess. Investiertes Zeitbudget: rund 25 Stunden über alle Beteiligten.
Förderlandschaft 2026: 35 bis 50 Prozent sind realistisch
| Programm | Höhe / Quote | Anmerkung |
|---|---|---|
| KMU.DIGITAL Status/Potenzial | max. 400 EUR / 80 % | Erste Beratung über aws Fördermanager |
| KMU.DIGITAL Strategie | max. 1.000 EUR / 50 % | Nur nach vorgeschalteter Beratung |
| KMU.DIGITAL Umsetzung | max. 20.000 EUR / 30 % | Bis 31.12.2026, Gesamtbudget 35 Mio. EUR |
| FFG Innovationsscheck | max. 10.000 EUR / 80 % | Bis 31.12.2026, nur mit Forschungseinrichtung |
| FFG Basisprogramm | bis 3 Mio. EUR / max. 50 % | F&E-Projekte |
| FFG Kleinprojekt | bis 90.000 EUR / 60 % | KMU |
| EDIH Test-before-Invest | kostenlos bis De-minimis | 4 EDIHs in AT |
| Bundesländer-Top-ups | variabel | Wien, NÖ, OÖ, Steiermark, Tirol |
KMU.DIGITAL ist der zentrale Fördertopf bis Ende 2026, mit einem Gesamtbudget von 35 Millionen Euro für die Periode 2024–2026. Der FFG Innovationsscheck ergänzt mit 80 Prozent Förderquote bis 10.000 Euro, ist aber an die Zusammenarbeit mit einer Forschungseinrichtung gebunden.
EDIH-Konsortien in Österreich: AI5production (TU Wien, Fokus Industrie), innovATE, Crowd in Motion-AI (Salzburg Research, Fortsetzung ab 2026 mit verstärktem KI-Fokus) und Applied-CPS. Sie bieten „test before invest"-Beratung, oft kostenlos oder im De-minimis-Rahmen.
Praktische Empfehlung: Wer als KMU mit fünf bis zwanzig Mitarbeitern KI einführt, kombiniert KMU.DIGITAL Status (400 Euro Beratung) plus Umsetzung (20.000 Euro für Tool-Lizenzen, Schulung, Implementation) plus Bundesländer-Top-up. Realistische Förderquote in Summe 35 bis 50 Prozent. Die Zahlen sind Stand Mai 2026, Anträge immer direkt über kmudigital.at oder ffg.at prüfen, weil sich Programmperioden ändern.
Die als „AI Mission Austria" kursierenden Gesamtbudget-Zahlen über 55 Millionen Euro stammen aus kommerziellen Quellen. Eine amtliche Bestätigung über BMWET oder BMK steht aus — entsprechend vorsichtig formulieren, wenn du das in einem Antrag oder einer Pressemeldung zitierst. Wer die Wirtschaftlichkeit von KI-Investitionen vor der Förderung durchrechnen will, findet Beispiele im KI-Kosten-Nutzen-Guide für KMU.
Die sechs häufigsten Fehler beim KI-Roll-out
- Kein AVV mit dem KI-Anbieter unterzeichnet. Auch ChatGPT Team und Microsoft Copilot brauchen einen Auftragsverarbeitungsvertrag — keine Ausnahme.
- US-Tool im Einsatz ohne Transfer Impact Assessment. Die TIA-Lücke wird beim ersten Audit oder DSB-Verfahren zum Problem.
- Cookie-Banner nicht TKG-konform. Ohne gleichwertigen „Ablehnen"-Button ist die Einwilligung nicht wirksam.
- Mitarbeiter nicht zum AI Act Art. 4 geschult. Pflicht seit Februar 2025, ohne Übergangsfrist und ohne KMU-Ausnahme.
- Datenschutzerklärung nicht aktualisiert. Wer KI einsetzt, muss das in der DSE transparent machen.
- Kunden und Mandanten nicht aktiv informiert. Transparenzpflicht nach Art. 13 DSGVO, ab 2. August 2026 zusätzlich Art. 50 AI Act für Chatbots und KI-generierte Inhalte.
Fazit: 2026 ist das Jahr der operativen Compliance
2026 ist das Jahr, in dem KI-Compliance in Österreich operativ wird. Die DSGVO ist altbekannt, das TKG bekannt, der EU AI Act mit seiner Kompetenzpflicht ist neu — und der Stichtag 2. August 2026 macht klar, dass die Schonfrist endet.
Empfehlung in drei Schritten:
- Heute: KI-Inventar erstellen, AVV-Status der eingesetzten Tools prüfen.
- Diese Woche: WKO-KI-Richtlinie übernehmen und auf den eigenen Betrieb anpassen.
- Diesen Monat: Mitarbeiterschulung organisieren, Compliance-Ordner anlegen, KMU.DIGITAL-Antrag einreichen.
Mit der DSGVO-Checkliste für KI-Tools als allgemeines DACH-Pendant, dem KI-Kosten-Nutzen-Guide für die Wirtschaftlichkeit, der Prompt-Sammlung für den Berufsalltag und allen Tool-Reviews als Auswahlhilfe ist FlinKI dein Begleiter durch das Compliance-Jahr 2026.
Hinweis: Alle Angaben basieren auf eigener Recherche (Stand: Mai 2026). Preise, Funktionen und Datenschutzbedingungen können sich jederzeit ändern. Keine Gewähr für Richtigkeit und Vollständigkeit. Dieser Artikel stellt keine Rechts- oder Steuerberatung dar. Siehst du einen Fehler? Schreib uns.