Zum Inhalt springen
Zurück zum Blog
Einblicke

DSGVO-konforme KI: Was Unternehmen in Österreich beachten müssen

KI und Datenschutz sind kein Widerspruch. Dieser Leitfaden erklärt, wie Unternehmen in Österreich KI-Projekte DSGVO-konform umsetzen – mit praktischer Checkliste und EU AI Act Überblick.

Yue Sun
1. März 2026
10 Min. Lesezeit

Künstliche Intelligenz verändert, wie Unternehmen arbeiten. Gleichzeitig ist Datenschutz in der EU kein optionales Feature, sondern Grundrecht. Für viele Entscheider in Österreich stellt sich daher eine zentrale Frage: Können wir KI einsetzen, ohne gegen die DSGVO zu verstoßen?

Die Antwort: Ja – wenn man es richtig macht. KI und Datenschutz sind kein Widerspruch, sondern eine Frage der Architektur, der Prozesse und der richtigen Partnerwahl.

Dieser Leitfaden zeigt, welche Regeln gelten, was der neue EU AI Act konkret bedeutet und wie Sie KI-Projekte von Anfang an compliant aufsetzen.

Warum Datenschutz bei KI besonders wichtig ist

KI-Systeme verarbeiten häufig große Mengen an Daten – darunter potenziell auch personenbezogene Daten. Das reicht von Kundennamen in E-Mails über Mitarbeiterdaten in HR-Systemen bis hin zu Nutzungsverhalten auf Webseiten.

Die DSGVO (Datenschutz-Grundverordnung) regelt seit 2018, wie personenbezogene Daten in der EU verarbeitet werden dürfen. Für KI-Anwendungen ergeben sich daraus konkrete Anforderungen:

  • Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. Wenn Kundendaten für die Auftragsabwicklung gesammelt wurden, dürfen sie nicht ohne Weiteres zum Training eines KI-Modells verwendet werden.

  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur so viele Daten verarbeitet werden, wie tatsächlich benötigt werden. Ein KI-System, das alle verfügbaren Mitarbeiterdaten verarbeitet, obwohl es nur Projektdaten benötigt, verstößt gegen dieses Prinzip.

  • Transparenz (Art. 13, 14 DSGVO): Betroffene müssen informiert werden, dass und wie ihre Daten verarbeitet werden – auch wenn KI im Spiel ist.

  • Automatisierte Einzelentscheidungen (Art. 22 DSGVO): Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung entfalten, sind grundsätzlich unzulässig – es sei denn, es gibt eine ausdrückliche Einwilligung, eine gesetzliche Grundlage oder die Entscheidung ist für einen Vertrag erforderlich.

Der EU AI Act: Was sich 2025 und 2026 ändert

Mit der Verordnung (EU) 2024/1689 – dem EU AI Act – hat die Europäische Union den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz geschaffen. Die Verordnung wurde im August 2024 im Amtsblatt der EU veröffentlicht und tritt stufenweise in Kraft.

Risikobasierter Ansatz

Der EU AI Act klassifiziert KI-Systeme nach ihrem Risiko in vier Kategorien:

RisikostufeRegulierungBeispiele
Unannehmbares RisikoVerbotenSocial Scoring, manipulative KI, ungezieltes Scraping biometrischer Daten, Emotionserkennung am Arbeitsplatz
Hohes RisikoStrenge AuflagenKI in Personalauswahl, Kreditwürdigkeitsprüfung, Bildung, kritische Infrastruktur, Strafverfolgung
Begrenztes RisikoTransparenzpflichtenChatbots (Kennzeichnung als KI), Deepfakes, KI-generierte Texte
Minimales RisikoKeine AuflagenSpamfilter, KI-gestützte Spiele, Empfehlungssysteme

Zeitplan der Anwendbarkeit

Die Bestimmungen des EU AI Act gelten gestaffelt:

  • Februar 2025: Verbote für KI-Systeme mit unannehmbarem Risiko sind bereits in Kraft. Social Scoring, manipulative KI und ungezieltes biometrisches Scraping sind verboten.
  • August 2025: Anforderungen an General-Purpose AI (GPAI) Modelle und Verhaltenskodizes treten in Kraft. Anbieter von GPAI-Modellen müssen technische Dokumentation bereitstellen und das Urheberrecht einhalten.
  • August 2026: Die Hauptbestimmungen für Hochrisiko-KI-Systeme werden anwendbar. Strenge Anforderungen an Risikomanagement, Datensätze, Dokumentation, Transparenz, menschliche Aufsicht und Cybersicherheit.
  • August 2027: Erweiterte Pflichten für Hochrisiko-KI-Systeme, die als Sicherheitskomponenten in Produkten eingesetzt werden.

Was bedeutet das konkret für österreichische Unternehmen?

Wenn Ihr Unternehmen KI einsetzt oder plant einzusetzen, hängt Ihre Pflicht vom Risikoprofil des Systems ab:

  • Setzen Sie einen Chatbot auf Ihrer Website ein? → Begrenztes Risiko. Sie müssen Nutzer transparent darüber informieren, dass sie mit einer KI interagieren.
  • Nutzen Sie KI zur Vorauswahl von Bewerbungen? → Hohes Risiko. Ab August 2026 gelten strenge Auflagen: Risikobewertung, Qualitätssicherung der Trainingsdaten, Logging, menschliche Aufsicht und Dokumentation.
  • Verwenden Sie KI-Agenten zur Dokumentenanalyse? → In der Regel minimales oder begrenztes Risiko, solange keine automatisierten Entscheidungen mit rechtlicher Wirkung getroffen werden.

DSGVO und KI: Die 10-Punkte-Checkliste

Diese Checkliste hilft Ihnen, KI-Projekte von Anfang an datenschutzkonform aufzusetzen:

1. Rechtsgrundlage klären

Bevor Sie Daten für ein KI-System verwenden, brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO. Die häufigsten Optionen:

  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Möglich, wenn die Verarbeitung für den Geschäftszweck erforderlich ist und die Interessen der Betroffenen nicht überwiegen. Erfordert eine dokumentierte Interessenabwägung.
  • Einwilligung (Art. 6 Abs. 1 lit. a): Freiwillig, informiert, spezifisch und widerrufbar. Oft schwierig bei KI-Training, da der Zweck vorab klar definiert sein muss.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Wenn die KI-Verarbeitung direkt zur Erfüllung eines Vertrags mit der betroffenen Person dient.

2. Datenschutz-Folgenabschätzung durchführen

Bei KI-Systemen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO verpflichtend. Das betrifft insbesondere:

  • Systematische Profilerstellung
  • Automatisierte Entscheidungsfindung
  • Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheit, Religion, etc.)

3. Privacy by Design umsetzen

Datenschutz muss von Anfang an in die Architektur eines KI-Systems eingebaut werden (Art. 25 DSGVO). Konkret bedeutet das:

  • Nur notwendige Daten erheben und verarbeiten
  • Anonymisierung oder Pseudonymisierung wo möglich
  • Zugriffskontrollen und Verschlüsselung implementieren
  • Datenverarbeitung protokollieren

4. Datenminimierung sicherstellen

Verwenden Sie nur die Daten, die für den konkreten Zweck erforderlich sind. Fragen Sie bei jedem Datenfeld: Braucht das KI-System dieses Datum wirklich? Entfernen Sie Namen, E-Mail-Adressen und andere personenbezogene Daten aus Trainingsdaten, wo immer möglich.

5. Transparenz gewährleisten

Informieren Sie Betroffene:

  • Dass KI eingesetzt wird
  • Welche Daten verarbeitet werden
  • Zu welchem Zweck
  • Wer verantwortlich ist
  • Welche Rechte bestehen (Auskunft, Löschung, Widerspruch)

Aktualisieren Sie Ihre Datenschutzerklärung entsprechend.

6. Auftragsverarbeitung korrekt regeln

Wenn Sie Cloud-basierte KI-Dienste nutzen (OpenAI API, Azure AI, Google Cloud AI), ist der Anbieter in der Regel Auftragsverarbeiter nach Art. 28 DSGVO. Das erfordert:

  • Einen Auftragsverarbeitungsvertrag (AVV)
  • Prüfung, ob Daten in Drittländer übertragen werden
  • Sicherstellung angemessener Schutzmaßnahmen (Standardvertragsklauseln, Angemessenheitsbeschlüsse)

7. Datenresidenz prüfen

Wo werden Ihre Daten verarbeitet? Seit dem Schrems-II-Urteil des EuGH gelten strenge Regeln für Datentransfers in Drittländer:

  • EU/EWR: Unproblematisch
  • USA: Möglich unter dem EU-U.S. Data Privacy Framework (seit Juli 2023 gültig, Angemessenheitsbeschluss der EU-Kommission)
  • Andere Drittländer: Nur mit Standardvertragsklauseln und Transfer Impact Assessment

Für besonders sensible Daten kann eine On-Premise-Lösung oder eine europäische Cloud die sicherste Option sein.

8. Menschliche Aufsicht einbauen

KI sollte Entscheidungen unterstützen, nicht autonom treffen – insbesondere wenn sie rechtliche Wirkung auf Personen haben. Bauen Sie Human-in-the-Loop-Prozesse ein:

  • Ergebnisse werden von Menschen überprüft, bevor sie wirksam werden
  • Mitarbeiter können KI-Empfehlungen überstimmen
  • Kritische Entscheidungen erfordern explizite menschliche Freigabe

9. Betroffenenrechte technisch umsetzen

Ihr KI-System muss die Rechte der Betroffenen ermöglichen:

  • Auskunftsrecht (Art. 15): Welche Daten werden verarbeitet?
  • Recht auf Löschung (Art. 17): Können Daten aus dem System entfernt werden?
  • Recht auf Berichtigung (Art. 16): Können falsche Daten korrigiert werden?
  • Widerspruchsrecht (Art. 21): Können Betroffene der Verarbeitung widersprechen?

Bei KI-Modellen, die auf personenbezogenen Daten trainiert wurden, kann die Umsetzung des Löschrechts technisch herausfordernd sein. Dokumentieren Sie Ihre Lösung.

10. Dokumentation führen

Dokumentieren Sie:

  • Welche KI-Systeme im Einsatz sind
  • Welche Daten verarbeitet werden
  • Die Rechtsgrundlage für jede Verarbeitung
  • Durchgeführte Datenschutz-Folgenabschätzungen
  • Auftragsverarbeitungsverträge
  • Technische und organisatorische Maßnahmen

Diese Dokumentation ist nicht nur gesetzlich vorgeschrieben (Art. 30 DSGVO), sondern auch die Grundlage für die Rechenschaftspflicht nach dem EU AI Act.

Häufige Fehler bei KI-Projekten

1. Cloud-APIs ohne Auftragsverarbeitungsvertrag nutzen

Viele Unternehmen nutzen KI-APIs von US-Anbietern, ohne zu prüfen, ob ein AVV existiert und ob Daten in die USA übertragen werden. Die meisten großen Anbieter (OpenAI, Microsoft, Google) bieten mittlerweile DSGVO-konforme Verträge und europäische Rechenzentren an – aber Sie müssen diese aktiv konfigurieren.

2. Personenbezogene Daten in Prompts senden

Wenn Mitarbeiter Kundendaten in ChatGPT oder ähnliche Tools kopieren, verlassen personenbezogene Daten möglicherweise die kontrollierte Unternehmensumgebung. Lösung: Enterprise-Versionen mit Datenschutzgarantien oder On-Premise-Modelle.

3. Kein Verarbeitungsverzeichnis für KI-Systeme

KI-Anwendungen werden oft „nebenher" eingeführt, ohne sie ins Verarbeitungsverzeichnis aufzunehmen. Jede KI-Anwendung, die personenbezogene Daten verarbeitet, gehört dort dokumentiert.

4. DSFA vergessen

Bei KI-Systemen mit Profiling, automatisierter Entscheidungsfindung oder der Verarbeitung sensibler Daten ist eine Datenschutz-Folgenabschätzung verpflichtend – nicht optional.

5. Fehlende Information an Betroffene

Kunden, Mitarbeiter oder Bewerber werden nicht darüber informiert, dass ihre Daten von einem KI-System verarbeitet werden. Das ist ein Verstoß gegen die Transparenzpflichten der DSGVO.

Wie Ai11 DSGVO-konforme KI umsetzt

Bei Ai11 Consulting ist Datenschutz kein nachträglicher Gedanke, sondern integraler Bestandteil jedes KI-Projekts. Unser Ansatz:

  • Datenschutz-by-Design: Jede Architekturentscheidung berücksichtigt DSGVO-Anforderungen von Tag eins.
  • Europäische Infrastruktur: Wo immer möglich, setzen wir auf europäische Cloud-Anbieter und Rechenzentren. Für besonders sensible Daten bieten wir On-Premise-Lösungen.
  • Datensparsamkeit: Unsere KI-Agenten verarbeiten nur die Daten, die sie tatsächlich brauchen. Wir implementieren automatische Anonymisierung und Pseudonymisierung.
  • Menschliche Kontrolle: Unsere Lösungen sind so konzipiert, dass Menschen die Kontrolle behalten – mit konfigurierbaren Freigabeprozessen und transparenten Entscheidungswegen.
  • Dokumentation: Jedes Projekt wird mit vollständiger Compliance-Dokumentation geliefert, einschließlich Verarbeitungsverzeichnis, DSFA (wo erforderlich) und AVV-Vorlagen.

FAQ: DSGVO und KI in Österreich

Darf ich ChatGPT oder andere KI-Tools im Unternehmen verwenden?

Ja, aber unter Bedingungen. Enterprise-Versionen von OpenAI, Microsoft oder Google bieten DSGVO-konforme Verträge und garantieren, dass Eingaben nicht zum Modelltraining verwendet werden. Kostenlose Versionen bieten diese Garantien in der Regel nicht. Wichtig: Mitarbeiter sollten keine personenbezogenen Daten in nicht-konforme KI-Tools eingeben.

Muss ich eine Datenschutz-Folgenabschätzung (DSFA) durchführen?

Wenn Ihr KI-System personenbezogene Daten verarbeitet und dabei eine systematische Bewertung, Profilerstellung oder automatisierte Entscheidungsfindung stattfindet, ist eine DSFA nach Art. 35 DSGVO verpflichtend. Im Zweifel: Ja, führen Sie eine DSFA durch. Sie schadet nie und ist ein Nachweis Ihrer Sorgfalt.

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Der EU AI Act gilt unabhängig von der Unternehmensgröße für alle, die KI-Systeme in der EU anbieten oder einsetzen. Allerdings sieht die Verordnung vereinfachte Compliance-Wege für KMUs vor, insbesondere den Zugang zu „Regulatory Sandboxes" und reduzierte Gebühren.

Was passiert bei einem Verstoß gegen den EU AI Act?

Die Strafen sind erheblich: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für Verstöße gegen die Verbote; bis zu 15 Millionen Euro oder 3 % des Umsatzes für sonstige Verstöße. Die nationale Aufsichtsbehörde – in Österreich voraussichtlich die RTR (Rundfunk und Telekom Regulierungs-GmbH) in Zusammenarbeit mit der Datenschutzbehörde – wird für die Durchsetzung zuständig sein.

Können KI-Modelle auf unseren eigenen Daten trainiert werden, ohne die DSGVO zu verletzen?

Ja, wenn Sie die Grundprinzipien einhalten: Rechtsgrundlage vorhanden, Zweck klar definiert, Datenminimierung umgesetzt, Betroffene informiert und Sicherheitsmaßnahmen implementiert. Anonymisierte Daten fallen nicht unter die DSGVO. Bei pseudonymisierten Daten gelten die Vorschriften weiter, aber mit geringerem Risiko.

Sie planen ein KI-Projekt und möchten sicherstellen, dass es von Anfang an DSGVO-konform ist? Kontaktieren Sie uns für eine unverbindliche Beratung.

Quellen und weiterführende Links:

DSGVO
Datenschutz
KI
EU AI Act
Compliance
Österreich

Yue Sun

Ai11 Consulting GmbH

Passende Leistungen

AI Agents

Intelligente Automatisierung für wiederkehrende Aufgaben

Mehr erfahren

Weitere Artikel

Einblicke
1. März 20268 min Min. Lesezeit

Was kostet KI-Beratung? Ein Leitfaden für Unternehmen in Österreich

KI-Beratung in Österreich: Erfahren Sie, was Discovery-Workshops, Proof-of-Concepts und Implementierungen kosten — mit transparenten Preisbereichen und ROI-Berechnung.

Yue SunWeiterlesen
Einblicke
12. Januar 20256 min Min. Lesezeit

Von Dokumenten zu Prozessen: Wie KI Dokumentenanalyse neu denkt

Dokumente sind das Rückgrat vieler Geschäftsprozesse – und gleichzeitig einer der größten Effizienzbremsen. Moderne KI-gestützte Dokumentenanalyse verändert das fundamental.

Yue SunWeiterlesen
Einblicke
12. Januar 20259 min Min. Lesezeit

Von RAG zu Agentic RAG: Wie Unternehmen Wissen endlich produktiv nutzen

Warum klassische Chatbots scheitern und wie Agentic RAG Unternehmen dabei hilft, fragmentiertes Wissen in produktive, quellenbasierte Antworten zu verwandeln.

Yue SunWeiterlesen