Zum Inhalt
AI Act: Was Hotelbetriebe jetzt wissen und tun müssen
Rechtsinfo

AI Act: Was Hotelbetriebe jetzt wissen und tun müssen

Die EU hat mit dem "AI Act" weltweit die erste umfassende Regulierung für den Einsatz künstlicher Intelligenz (AI) geschaffen. Seit Februar 2025 gelten in der EU daher Regeln für den Einsatz von künstlicher Intelligenz. Ab August 2026 unterliegen Anbieter:innen von KI-Systemen, die direkt mit Personen interagieren oder synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, Transparenzpflichten. Gäste und Nutzer:innen sind klar darüber zu informieren, dass sie mit einem KI-System interagieren oder dass Inhalte KI-generiert sind!

Lesezeit: 

Worum geht´s beim AI Act?

Die EU hat mit dem AI Act das weltweit erste umfassende Regelwerk für den Einsatz künstlicher Intelligenz (KI) geschaffen. Seit dem 02. Februar 2025 gelten in der EU neue Regeln für den Einsatz von KI. Im Mai 2026 haben die EU-Gremien vorläufig das Änderungspaket „Digital Omnibus on AI" (sogenannter KI-Omnibus) vereinbart, das zentrale Fristen verschiebt und Compliance-Anforderungen für Unternehmen in Teilen vereinfacht. Die politische Einigung bedarf jedoch noch der formellen Zustimmung durch Rat und Europäisches Parlament, bevor sie im Amtsblatt der EU erscheint und rechtskräftig wird. 

Der AI Act verfolgt einen risikobasierten Ansatz und unterscheidet zwischen 

  • verbotenem Risiko (Systeme, die gänzlich verboten sind), 

  • Hochrisiko (Systeme mit erheblichen Risiken für Gesundheit, Sicherheit oder Grundrechte) 

  • und begrenztem Risiko (Systeme mit Transparenzpflichten). 

KI-Systeme, die in keine dieser Kategorien fallen, sind ohne besondere Auflagen erlaubt – für alle Unternehmen gilt jedoch die Pflicht zur KI-Kompetenz (AI Literacy). 

Was ist ein KI-System?

KI-Systeme sind maschinengestützte Systeme, die für einen in unterschiedlichem Grad autonomen Betrieb ausgelegt sind, gegebenenfalls anpassungsfähig sein können und aus erhaltenen Eingaben Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellen, die physische oder virtuelle Umgebungen beeinflussen können. 

Die Einsatzbereiche sind mannigfaltig, in der Hotellerie begegnet man KI-Systemen zum Beispiel in folgenden Bereichen:

  • Chatbots, digitale Concierge- und Buchungssysteme

  • Automatisierte Beantwortung von Gästebewertungen

  • Pricing- und Revenue-Management-Tools

  • KI-gestützte Recruiting-, Schichtplanungs- und Leistungsbewertungstools

  • Bildgeneratoren für Marketingmaterial und Social-Media-Inhalte

Was ist verboten?

Verbotene KI-Systeme sind seit dem 02. Februar 2025 vollständig untersagt. Unternehmen müssen sicherstellen, dass solche Systeme weder im Betrieb noch als Produktangebot verwendet werden. Für Hotellerie und Gastronomie sind insbesondere relevant:

  • Emotionserkennung am Arbeitsplatz: KI-Systeme zur Erkennung von Emotionen oder Gemütszuständen an Arbeitsplätzen oder in Bildungseinrichtungen sind verboten – mit Ausnahme von Systemen aus medizinischen oder sicherheitsbezogenen Gründen. Stress-Monitoring-Tools für Servicekräfte wären damit bereits heute unzulässig.

  • Biometrische Kategorisierung: Verboten sind KI-Systeme, die aus biometrischen Daten sensible Merkmale wie Rasse, sexuelle Orientierung oder politische Überzeugung einer Person ableiten. 

  • Social Scoring: Verboten sind seit Februar 2025 auch Social Scoring sowie unterschwellige Manipulation von Personen. Systeme, die Gäste oder Mitarbeitende anhand ihres Verhaltens bewerten und daraus Nachteile ableiten, sind damit unzulässig.

Mit Wirkung ab dem 02. Dezember 2026 kommt durch den KI-Omnibus ein zusätzliches Verbot: Sogenannte „Nudifier"-Anwendungen – KI-Systeme, die ohne ausdrückliche Zustimmung sexuell explizite oder intime Inhalte generieren oder manipulieren oder die Erstellung von Material über den sexuellen Missbrauch von Kindern ermöglichen – werden explizit verboten. Bei Verstößen sieht der AI Act Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Konzernumsatzes vor (jeweils der höhere Betrag). 

Was bedeutet KI-Kompetenzpflicht?

Die KI-Literacy-Verpflichtung für Anbieter:innen und Betreiber:innen von KI-Systemen gilt seit Februar 2025. Artikel 4 des AI Acts verpflichtet Betreiber:innen, Maßnahmen zu setzen, die gewährleisten, dass ihre Mitarbeitenden und alle, die KI-Systeme in ihrem Namen nutzen, über ein ausreichendes Maß an KI-Kompetenz verfügen – also die Fähigkeit, KI-Systeme sachkundig zu nutzen und deren Potenziale sowie Risiken im Sinne sozialer, ethischer und rechtlicher Implikationen zu verstehen. Der KI-Omnibus sieht vor, die AI-Literacy-Anforderung abzumildern, nicht aber abzuschaffen. 

Empfohlene Maßnahmen

  • Als ersten Schritt empfehlen wir eine systematische Bestandsaufnahme der bereits genutzten KI-Anwendungen sowie ein Blick auf die strategische Ausrichtung, wie KI künftig im Unternehmen genutzt werden soll. 

  • Grundlagenschulungen für alle Mitarbeitenden, die mit KI arbeiten, sowie Spezialschulungen je nach Einsatzbereich des KI-Systems. 

  • Betriebliche KI-Richtlinien, die klar definieren, wie die nötige KI-Kompetenz sichergestellt wird und in welchem Ausmaß KI-Anwendungen im dienstlichen Zusammenhang genutzt werden dürfen. 

  • Durchgeführte Schulungen sollten nachweislich dokumentiert werden, um der Nachweispflicht nachkommen und allfällige Haftungsfolgen abwenden zu können. 

Entlastungen für kleinere Betriebe: Die vereinfachten Compliance-Erleichterungen des AI Acts für KMU werden durch den KI-Omnibus auf sogenannte „Small Mid-Caps" (SMCs) ausgedehnt – Unternehmen mit bis zu 750 Mitarbeitenden und 150 Millionen Euro Jahresumsatz. Vorteile umfassen vereinfachte technische Dokumentation, verhältnismäßigere Sanktionen, Zugang zu regulatorischen Sandboxes und standardisierte Dokumentationsvorlagen.

Transparenzpflichten

Ab dem 02. August 2026 unterliegen Anbieter:innen von KI-Systemen, die direkt mit Personen interagieren oder synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, Transparenzpflichten. Gäste und Nutzer:innen klar darüber zu informieren, dass sie mit einem KI-System interagieren oder dass Inhalte KI-generiert sind, ist das Kernstück dieser Anforderungen. 

Für Hotelbetriebe bedeutet das konkret:

  • Chatbots und digitale Concierge-Anwendungen: Gäste müssen bei direkten digitalen Interaktionen unmissverständlich erkennen können, dass sie mit einer KI kommunizieren – und nicht mit einem menschlichen Mitarbeitenden.

  • KI-generierte Inhalte (Texte, Bilder, Audio, Video): Solche Inhalte müssen als künstlich erzeugt gekennzeichnet werden.

  • Watermarking (maschinenlesbare Kennzeichnung): Für KI-Systeme, die synthetische Inhalte generieren oder manipulieren und vor dem 02. August 2026 auf den Markt gebracht wurden, wird die Watermarking-Pflicht durch den KI-Omnibus um vier Monate aufgeschoben – Compliance ist hier erst ab dem 02. Dezember 2026 erforderlich. 

Verstöße gegen die Transparenzpflichten nach Artikel 50 AI Act können Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes nach sich ziehen. 

Hochrisiko-KI-Systeme: Was gilt für Hotels ab wann?

Die Pflichten für Hochrisiko-KI-Systeme werden durch den KI-Omnibus aufgeschoben. Für die beiden Hauptkategorien gelten separate, feste Fristen: einerseits eigenständige Hochrisiko-Systeme nach Anhang III und andererseits Hochrisiko-KI-Systeme, die EU-Produktsicherheitsrecht nach Anhang I unterliegen. 

Personalentscheidungen

Frist: 02. Dezember 2027

Als Hochrisiko-Systeme nach Anhang III gelten unter anderem KI-Systeme, die in Einstellungs- oder Auswahlprozessen eingesetzt werden oder Entscheidungen im Arbeitsverhältnis unterstützen – einschließlich Leistungsmonitoring, Arbeitszuweisung, Beförderung oder Kündigung. Das kann hochrelevant sein, wenn solche Tools im Personalbereich – gerade bei saisonaler Rekrutierung –eingesetzt werden.

Die Kommission hat in ihren Leitlinienentwürfen klargestellt, dass folgende Systeme als Hochrisiko gelten: automatisierte Job-Matching- und Ranking-Tools, die quantitative Scores zur Erstellung von Bewerberkurzlisten generieren; Candidate-Sourcing-Tools, die soziale Medien oder Lebenslaufdatenbanken auswerten, um Shortlists zu erstellen; sowie Systeme, die schriftliche oder mündliche Antworten von Bewerbenden bewerten, um Ranglisten zu erstellen. 

Dabei gilt: Der intendierte Zweck eines Systems bestimmt sich anhand von Nutzungsanleitungen, Marketingmaterial und technischer Dokumentation in ihrer Gesamtheit – ein:e Anbieter:in kann der Hochrisikoeinstufung nicht dadurch entgehen, dass bestimmte Verwendungen in den Nutzungsbedingungen ausgeschlossen werden, wenn das Produktmarketing eine andere Botschaft vermittelt. 

Biometrische Systeme (z. B. Mitarbeiterzeiterfassung)

Frist: 2. Dezember 2027

Bestimmte biometrische Anwendungsfälle fallen ebenfalls unter Anhang III und damit unter die Hochrisiko-Anforderungen. Schlichte Authentifizierungssysteme (d. h. das System stellt fest: „Ist das Person X?") sind in der Regel nicht betroffen. Systeme, die aus biometrischen Daten Eigenschaften von Personen ableiten, sind hingegen bereits seit dem 02. Februar 2025 verboten (siehe oben).

Hochrisiko-KI in regulierten Produkten 

Frist: 2. August 2028

Die andere Kategorie von Hochrisiko-Systemen umfasst KI-Systeme, die Sicherheitskomponenten von Produkten sind, die EU-Produktsicherheitsvorschriften unterliegen, wie etwa Medizinprodukte oder technische Geräte. Der KI-Omnibus stellt klar, dass KI-Komponenten, die lediglich Nutzende unterstützen oder die Leistung optimieren, ohne Gesundheits- oder Sicherheitsrisiken zu schaffen, aus dieser Kategorie herausfallen. Die Compliance-Frist für diese Systeme wurde um zwölf Monate auf den 02. August 2028 verschoben. 

Bestandsschutz

KI-Systeme, die vor dem jeweils maßgeblichen Stichtag auf dem EU-Markt gebracht wurden, unterliegen den Hochrisiko-Anforderungen nicht – sofern sie nach diesem Datum keine wesentliche Veränderung erfahren. 

Pflichten als Betreiber eines Hochrisiko-Systems

Setzt ein Hotelbetrieb ein Hochrisiko-KI-System ein (z. B. ein KI-gestütztes Recruiting-Tool), gilt er als Betreiber (Deployer) mit folgenden Pflichten ab der jeweils geltenden Frist:

  • Einsatz des Systems gemäß den Anweisungen der Anbieter:innen (technische und organisatorische Maßnahmen) 

  • Zuweisung von geschultem Personal für die menschliche Aufsicht 

  • Überwachung des Systembetriebs, Führen von Protokollen sowie Meldung von Risiken und Vorfällen 

  • Information der Arbeitnehmervertretung über den Einsatz von Hochrisiko-Systemen am Arbeitsplatz 

Achtung: Der Aufschub der Hauptfristen sollte nicht als Einladung verstanden werden, die Vorbereitung zu verlangsamen: Das Volumen an Dokumentations-, Konformitätsbewertungs- und Registrierungspflichten, das vor den neuen Fristen vorliegen muss, ist erheblich. 

Was gilt urheberrechtlich für KI-generierte Bilder und Texte?

Vorbehaltlich der genannten Regeln gibt es in Österreich derzeit noch keine verbindlichen Vorgaben für den Umgang mit KI-generierten Bildern oder Texten. Zu bedenken ist jedoch, dass insbesondere bei sogenannten Image-to-Image-Bildern, die auf menschgemachtem Bildmaterial aufbauen, rechtliche Konflikte aus bestehenden Urheberrechten entstehen können. Gleiches gilt für KI-generierte Texte, weil beim Training der KI-Systeme urheberrechtlich geschützte Daten eingesetzt werden. In jedem Fall sind – besonders beim Einsatz kostenpflichtiger KI-Systeme – die jeweiligen Nutzungsbedingungen zu beachten. 

Ergibt sich, dass ein KI-generiertes Bild frei verwendet werden darf, gilt dieses Recht auch für alle anderen: KI-generierte Bilder auf der eigenen Website könnten daher auch von Mitbewerber:innen oder Dritten verwendet werden. 

 

Achtung: Dieser Artikel gibt nur einen groben Überblick und ersetzt keine detaillierte rechtliche Beratung. Der Autor Mag. Stephan Schmalzl ist Partner bei Starlinger Mayer Rechtsanwält:innen GmbH.

Stand: Mai 2026

Weiterführende Infos

Ihre Ansprechpartnerin

Mag. Maria Wottawa

Mag. Maria Wottawa

Leitung Mitgliederservice E-Mail senden +43 1 5330952-14

Das könnte Sie auch interessieren

Info
KI in der Hotellerie
Digitalisierung

KI wird die Spreu vom Weizen trennen

Zur Info
Info
Dunkle Seite KI
Cyber Security

Die dunkle Seite der KI

Zur Info
Info
Arbeit & Fachkräfte

KI-Einsatz im Recruiting

Zur Info

KI und innovatives Preismanagament

Zur Info
Info
Digitalisierung

KI & Digitalisierung

Zur Info
Rechtsinfo
Recht

Verbraucherrechte-Richtlinie

Zur Rechtsinfo
Rechtsinfo
Ein Vertag ist in der Mitte, eine Hand hält den Vertrag fest und die andere unterschreibt mit einem StiftEin Vertag ist in der Mitte, eine Hand hält den Vertrag fest und die andere unterschreibt mit einem Stift
Datenschutz

Fernabsatzverträge

Zur Rechtsinfo
Rechtsinfo
Ein Handy wo man die Bewertung sieht, und neben dem Handy wirren Kommentare herum.
Management

Bewertungsplattformen

Zur Rechtsinfo
Rechtsinfo
Ein Handy wo man die Bewertung sieht, und neben dem Handy wirren Kommentare herum.
Bewertungen

Hotelbewertungen

Zur Rechtsinfo
Rechtsinfo
Um einen Laptop herum erscheinen Symbole wie: Schlösse, WLan Zeichen,...
Recht

Link zu Online-Streitbeilegungs-Plattform entfernen

Zur Rechtsinfo
Zur Hauptnavigation
Print Share

Diesen Artikel teilen

Das geistige Eigentum an allen Texten, Bildern und Videos auf dieser Website liegt bei der Österreichischen Hotelvereinigung oder wurde mit Genehmigung des jeweiligen Inhabers der entsprechenden Rechte verwendet. Es ist gestattet, diese Website zu betrachten, Extrakte auszudrucken, auf die Festplatte Ihres Computers zu speichern und an andere Personen weiterzuleiten. Es ist jedoch nicht gestattet, die Inhalte kommerziell zu nutzen oder Inhalte – auch in Teilen – in Publikationen zu verwenden. Weitergehende Rechte sind mit der Nutzung dieser Website nicht verbunden. Die Österreichische Hotelvereinigung ist nicht verantwortlich für fremde Inhalte von Websites, auf die von dieser Seite verwiesen wird.