DSGVO und KI-Tools: Was österreichische Unternehmen beachten müssen
KI-Tools und Datenschutz — ein heikles Thema für österreichische KMU. Dieser Guide erklärt, worauf Sie bei ChatGPT, Make und Co. achten müssen.
Abschnitte
Künstliche Intelligenz bietet österreichischen KMU enorme Chancen — doch beim Thema Datenschutz wird es schnell kompliziert. Die DSGVO gilt selbstverständlich auch für KI-Tools, und gerade bei US-amerikanischen Anbietern wie OpenAI, Google oder Microsoft gibt es einiges zu beachten. In diesem umfassenden Guide erklären wir Ihnen, worauf Sie achten müssen, welche Tools Sie bedenkenlos einsetzen können und wie Sie Ihr Unternehmen rechtlich absichern.
DSGVO-Grundlagen: Was gilt für KI-Tools?
Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU. Sobald Sie ein KI-Tool verwenden und dabei personenbezogene Daten verarbeiten — sei es Kundennamen, E-Mail-Adressen, Telefonnummern oder auch nur IP-Adressen — gelten die strengen Regeln der DSGVO. Das betrifft praktisch jede geschäftliche Nutzung von KI: Wenn Sie Kundenanfragen in ChatGPT eingeben, Kontaktdaten über Make automatisieren oder Kundengespräche mit KI transkribieren. Entscheidend ist die Frage: Wer ist verantwortlich für die Datenverarbeitung? Spoiler: Das sind Sie als Unternehmen — nicht der Tool-Anbieter. Sie müssen sicherstellen, dass die Verarbeitung rechtmäßig ist, und Sie haften, wenn etwas schiefgeht.
Auftragsverarbeitungsvertrag (AVV): Pflicht, nicht Kür
Für jedes KI-Tool, das personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Ohne AVV ist die Nutzung schlicht rechtswidrig — und kann mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes bestraft werden. Die gute Nachricht: Die meisten großen Anbieter stellen AVVs bereit. OpenAI bietet ein Data Processing Addendum (DPA) an, das Sie über Ihr Konto akzeptieren können. Make hat ebenfalls einen AVV verfügbar. Microsoft, Google und andere große Anbieter ebenso. Prüfen Sie aber genau, was im AVV steht. Achten Sie besonders auf: Welche Daten werden verarbeitet? Wo werden sie gespeichert? Werden die Daten zum Training der KI verwendet? Welche Unterauftragnehmer sind beteiligt? Und wie werden die Daten gelöscht?
US-Anbieter und Schrems II: Das Transferproblem
Seit dem Schrems-II-Urteil des EuGH (benannt nach dem österreichischen Datenschutzaktivisten Max Schrems) ist der Datentransfer in die USA ein heißes Thema. Das EU-US Data Privacy Framework von 2023 bietet zwar eine Rechtsgrundlage für Datentransfers an zertifizierte US-Unternehmen, doch die Situation bleibt unsicher. OpenAI, Google und Microsoft sind unter dem Framework zertifiziert, was den Transfer grundsätzlich erlaubt. Allerdings warnen Datenschutzexperten, dass auch dieses Framework vor dem EuGH angefochten werden könnte — ein Schrems III ist nicht ausgeschlossen. Für österreichische KMU bedeutet das: Nutzen Sie US-Tools, aber haben Sie immer einen Plan B. Dokumentieren Sie Ihre Entscheidung in einer Datenschutz-Folgenabschätzung (DSFA) und prüfen Sie regelmäßig, ob die Rechtsgrundlage noch besteht.
Sichere Tools: Diese KI-Lösungen können Sie empfehlen
Es gibt durchaus KI-Tools, die datenschutzrechtlich gut aufgestellt sind. Microsoft Azure OpenAI Service verarbeitet Daten in EU-Rechenzentren und bietet umfassende Compliance-Zertifizierungen. Die Daten werden nicht zum Training verwendet. Google Vertex AI mit EU-Datenresidenz ist ebenfalls eine solide Wahl. Für österreichische KMU besonders interessant: Europäische Alternativen wie Mistral AI (Frankreich), Aleph Alpha (Deutschland) oder DeepL für Übersetzungen verarbeiten Daten ausschließlich in der EU. Make und n8n (selbst gehostet) erlauben es Ihnen, Automatisierungen auf EU-Servern oder sogar auf Ihrem eigenen Server zu betreiben. Für Chatbots gibt es Lösungen wie Botpress oder Rasa, die Sie on-premise betreiben können — damit verlassen die Daten Ihr Unternehmen nie.
Risikobereiche: Wo Sie besonders aufpassen müssen
Besondere Vorsicht ist geboten, wenn Sie sensible Daten verarbeiten: Gesundheitsdaten, Finanzdaten, Daten von Kindern oder strafrechtlich relevante Informationen unterliegen noch strengeren Regeln. ChatGPT in der kostenlosen Version ist problematisch, weil OpenAI die Eingaben zum Training nutzen darf — geben Sie dort niemals Kundendaten ein. Viele Mitarbeiter nutzen KI-Tools privat und geben unbewusst Firmendaten ein — das sogenannte Shadow-IT-Problem. Achten Sie auch auf KI-Features, die in bestehende Software integriert werden: Wenn Ihr CRM plötzlich KI-Funktionen anbietet, prüfen Sie, wohin die Daten fließen. Und Vorsicht bei kostenlosen KI-Tools von unbekannten Anbietern — hier ist das Risiko besonders hoch, dass Daten missbraucht werden.
Die österreichische Datenschutzbehörde (DSB): Was Sie wissen müssen
Die österreichische Datenschutzbehörde (DSB) hat sich in der Vergangenheit als besonders streng erwiesen. Der Fall Google Analytics Austria (Bescheid vom Dezember 2021) hat international Wellen geschlagen und war ein Vorbote der Schrems-II-Problematik. Die DSB prüft aktiv und verhängt auch gegen kleinere Unternehmen Strafen. Im Kontext von KI-Tools hat die DSB bisher noch keine spezifischen Leitlinien veröffentlicht, orientiert sich aber an den Empfehlungen des Europäischen Datenschutzausschusses (EDSA). Besonders relevant für österreichische KMU: Die DSB verlangt eine proaktive Dokumentation. Sie müssen nachweisen können, welche KI-Tools Sie einsetzen, warum, und welche Schutzmaßnahmen Sie getroffen haben. Ein Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist Pflicht.
Praktische Checkliste für den KI-Einsatz
Hier ist Ihre Checkliste für den DSGVO-konformen Einsatz von KI-Tools: Erstens, erstellen Sie ein Verzeichnis aller eingesetzten KI-Tools mit Angabe des Anbieters, des Serverstandorts und der Art der verarbeiteten Daten. Zweitens, schließen Sie für jedes Tool einen AVV ab und archivieren Sie diesen. Drittens, prüfen Sie bei US-Anbietern, ob eine Zertifizierung unter dem EU-US Data Privacy Framework vorliegt. Viertens, erstellen Sie interne Richtlinien für Mitarbeiter: Was darf in KI-Tools eingegeben werden und was nicht? Fünftens, führen Sie bei risikoreichen Verarbeitungen eine Datenschutz-Folgenabschätzung durch. Sechstens, informieren Sie Ihre Kunden in der Datenschutzerklärung über den Einsatz von KI-Tools. Siebtens, schulen Sie Ihre Mitarbeiter regelmäßig. Und achtens, überprüfen Sie die Situation mindestens vierteljährlich — die Rechtslage ändert sich schnell.
Fazit: Vorsicht ja, Angst nein
DSGVO und KI-Tools sind kein Widerspruch. Mit der richtigen Vorbereitung können österreichische KMU KI-Tools rechtssicher einsetzen und von den enormen Vorteilen profitieren. Der Schlüssel liegt in der Dokumentation, der bewussten Tool-Auswahl und der Sensibilisierung Ihrer Mitarbeiter. Lassen Sie sich nicht von der Komplexität abschrecken — aber nehmen Sie das Thema ernst. Eine Beratung durch einen Datenschutzexperten oder eine spezialisierte Agentur ist gerade am Anfang eine sinnvolle Investition, die Sie vor teuren Fehlern schützt. Denn eines ist klar: Die Strafen für DSGVO-Verstöße sind deutlich höher als die Kosten für eine ordentliche Umsetzung.