Kontakt
Inhaltsverzeichnis
Blog-Übersicht

Artikel teilen:

KI und Datenschutz: Was beim Einsatz von KI-Tools zu beachten ist

Inhaltsverzeichnis

Kurzzusammenfassung

Beim KI Datenschutz DSGVO Einsatz müssen Unternehmen sicherstellen, dass personenbezogene Daten nicht unerlaubt in externe KI-Systeme fließen. Die DSGVO gilt vollumfänglich – auch wenn ein KI-Tool in der Cloud betrieben wird. Wer klare Prozesse und eine Rechtsgrundlage etabliert, kann KI-Tools rechtskonform und produktiv nutzen.

Einleitung

KI Datenschutz DSGVO Einsatz – diese drei Begriffe beschäftigen derzeit viele Geschäftsführer und IT-Verantwortliche in österreichischen KMU. Und das zu Recht: Werkzeuge wie ChatGPT, Microsoft Copilot oder Google Gemini sind produktivitätssteigernd, aber sie bringen erhebliche datenschutzrechtliche Risiken mit sich, wenn sie ohne klare Regeln eingesetzt werden. Mitarbeitende geben täglich Texte, Kundendaten oder interne Informationen in solche Systeme ein – oft ohne sich bewusst zu sein, was danach mit diesen Daten passiert. In Österreich sind Unternehmen nach der Datenschutz-Grundverordnung (DSGVO) verpflichtet, genau das zu kontrollieren. Wer hier nachlässig ist, riskiert Bußgelder, Reputationsschäden und den Verlust von Kundenvertrauen. Dieser Beitrag zeigt, worauf KMU beim Einsatz von KI-Tools konkret achten müssen – praxisnah und ohne juristisches Kauderwelsch.

[toc]

Warum KI-Tools ein datenschutzrechtliches Problem sein können

Daten verlassen das Unternehmen – oft unbemerkt

Der Kern des Problems: Die meisten populären KI-Tools sind Cloud-Dienste, deren Server außerhalb Österreichs – häufig in den USA – betrieben werden. Sobald ein Mitarbeiter personenbezogene Daten in ein solches System eingibt, findet eine Übermittlung in ein Drittland statt. Das ist nach Art. 44 ff. DSGVO nur unter bestimmten Voraussetzungen zulässig – etwa wenn Standardvertragsklauseln (SCCs) vereinbart wurden oder ein Angemessenheitsbeschluss der EU-Kommission vorliegt.

Trainingsdaten und Modellverbesserung

Viele Anbieter behalten sich in ihren Nutzungsbedingungen vor, eingegebene Daten zur Verbesserung ihrer Modelle zu verwenden. Das bedeutet im schlimmsten Fall: Kundennamen, Vertragsdetails oder medizinische Informationen könnten in zukünftigen Modellen auftauchen. Einige Anbieter bieten zwar Opt-out-Optionen an, diese sind aber nicht immer standardmäßig aktiviert.

Fehlende Auftragsverarbeitungsverträge

Wer als Unternehmen einen KI-Dienst einsetzt und dabei personenbezogene Daten verarbeitet, benötigt nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Viele KMU in Österreich nutzen KI-Tools, ohne überhaupt geprüft zu haben, ob ein solcher Vertrag existiert oder ob der Anbieter überhaupt bereit ist, einen abzuschließen. Fehlt der AVV, ist der Einsatz schlicht rechtswidrig – unabhängig davon, wie nützlich das Tool ist.

Keine Kontrolle über Ausgaben und Qualität

Ein weiterer Aspekt: KI-Systeme können fehlerhafte, diskriminierende oder irreführende Inhalte erzeugen. Auch das ist datenschutzrechtlich relevant – insbesondere wenn es um automatisierte Entscheidungen geht, die Personen betreffen (Art. 22 DSGVO).

Rechtliche Grundlagen: Was die DSGVO beim KI-Einsatz fordert

Die DSGVO enthält keine spezifischen Artikel für KI, aber ihre Grundprinzipien gelten vollumfänglich. Für den KI Datenschutz DSGVO Einsatz sind vor allem folgende Anforderungen relevant:

Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Werden Kundendaten in ein KI-System eingegeben, muss dieser Zweck klar definiert und mit dem ursprünglichen Erhebungszweck vereinbar sein.

Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur so viele Daten verarbeitet werden, wie für den jeweiligen Zweck notwendig sind. In der Praxis bedeutet das: Personenbezogene Daten sollten vor der Eingabe in ein KI-Tool anonymisiert oder pseudonymisiert werden.

Rechtsgrundlage (Art. 6 DSGVO): Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage – zum Beispiel eine Einwilligung, einen Vertrag oder ein berechtigtes Interesse.

Transparenz: Betroffene Personen müssen in der Regel darüber informiert werden, dass ihre Daten mithilfe von KI-Systemen verarbeitet werden. Das ist insbesondere bei automatisierten Entscheidungen relevant.

Ergänzend dazu ist der EU AI Act zu beachten, der seit August 2024 schrittweise in Kraft tritt und bestimmte KI-Anwendungen reguliert oder sogar verbietet.

KI-Tools im Unternehmensalltag: Wo konkrete Risiken lauern

In österreichischen KMU begegnen uns in der Beratungspraxis immer wieder dieselben Risikoszenarien:

Kundenservice und E-Mail-Kommunikation: Mitarbeitende kopieren Kundenmails inklusive Namen, Adressen und Anliegen in ChatGPT, um eine Antwort formulieren zu lassen. Damit fließen personenbezogene Kundendaten in ein externes System – ohne Rechtsgrundlage, ohne AVV.

Dokumentenanalyse und Zusammenfassung: Verträge, Angebote oder Protokolle werden in KI-Tools hochgeladen, um Zusammenfassungen zu erstellen. Enthält das Dokument personenbezogene oder vertrauliche Informationen, besteht erhebliches Risiko.

HR und Recruiting: Lebensläufe und Bewerbungsunterlagen enthalten besonders sensible Daten. Werden sie in ein KI-Tool eingespeist, ist das ohne explizite Einwilligung der Bewerber in aller Regel unzulässig.

Interne Wissensdatenbanken: Manche Unternehmen verbinden ihre internen Datenbanken direkt mit KI-Systemen. Hier ist die technische und rechtliche Absicherung besonders wichtig.

Das Risiko ist nicht theoretisch: Die österreichische Datenschutzbehörde (DSB) und europäische Aufsichtsbehörden haben bereits erste Verfahren gegen Unternehmen eingeleitet, die personenbezogene Daten unzulässig in KI-Systeme übermittelt haben.

Best Practices: So setzen KMU KI-Tools DSGVO-konform ein

Für einen rechtssicheren KI Datenschutz DSGVO Einsatz empfehlen wir österreichischen KMU folgende Maßnahmen:

  1. KI-Inventur durchführen: Erfassen Sie alle KI-Tools, die im Unternehmen genutzt werden – auch inoffiziell durch einzelne Mitarbeitende (Shadow IT).

  2. Datenschutz-Folgenabschätzung (DSFA) prüfen: Bei risikoreichen KI-Anwendungen ist eine DSFA nach Art. 35 DSGVO Pflicht. Klären Sie frühzeitig, ob Ihr Anwendungsfall darunter fällt.

  3. AVV abschließen: Prüfen Sie, ob der KI-Anbieter einen Auftragsverarbeitungsvertrag anbietet, und schließen Sie diesen ab. Ohne AVV keine personenbezogenen Daten.

  4. Richtlinien für Mitarbeitende erstellen: Legen Sie schriftlich fest, welche Daten in welche KI-Tools eingegeben werden dürfen – und welche nicht.

  5. Anonymisierung als Standard: Wo immer möglich, sollten personenbezogene Daten vor der KI-Verarbeitung anonymisiert oder pseudonymisiert werden.

  6. Unternehmenseigene oder EU-basierte KI-Lösungen prüfen: Für sensible Anwendungsfälle eignen sich On-Premises-Lösungen oder Anbieter mit EU-Rechenzentren deutlich besser.

  7. Regelmäßige Schulungen: Mitarbeitende müssen verstehen, warum diese Regeln gelten – nicht nur, was verboten ist.

Unsere IT-Beratung und KI-Strategie für KMU unterstützt Sie dabei, einen sicheren und rechtskonformen Rahmen für den KI-Einsatz in Ihrem Unternehmen zu schaffen.

Häufig gestellte Fragen

Darf ich als österreichisches Unternehmen ChatGPT für die Arbeit nutzen?
Das ist grundsätzlich möglich, aber nur unter bestimmten Bedingungen. Sie benötigen einen gültigen Auftragsverarbeitungsvertrag mit OpenAI, dürfen keine personenbezogenen Daten ohne Rechtsgrundlage eingeben und müssen sicherstellen, dass die Datenübertragung in die USA durch geeignete Garantien (z. B. Standardvertragsklauseln) abgesichert ist.

Was passiert, wenn mein Unternehmen gegen die DSGVO beim KI-Einsatz verstößt?
Die österreichische Datenschutzbehörde kann Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen – je nachdem, welcher Betrag höher ist. Hinzu kommen Reputationsschäden und mögliche zivilrechtliche Ansprüche betroffener Personen.

Ist Microsoft Copilot datenschutzrechtlich sicherer als ChatGPT?
Microsoft Copilot bietet für Unternehmenskunden (über Microsoft 365) standardmäßig einen Auftragsverarbeitungsvertrag und speichert Daten in EU-Rechenzentren. Das macht den Einsatz datenschutzfreundlicher – aber es ersetzt nicht die interne Prüfung, welche Daten tatsächlich verarbeitet werden dürfen.

Fazit und nächste Schritte

KI-Tools bieten österreichischen KMU enormes Potenzial – aber nur, wenn der rechtliche Rahmen stimmt. Der KI Datenschutz DSGVO Einsatz ist keine Formalität, sondern eine ernste Compliance-Pflicht, die aktives Handeln erfordert. Unternehmen, die jetzt klare Richtlinien, Verträge und technische Maßnahmen etablieren, schützen sich vor Bußgeldern und schaffen gleichzeitig Vertrauen bei Kunden und Mitarbeitenden.

Sie möchten wissen, welche KI-Tools in Ihrem Unternehmen bereits im Einsatz sind und wie Sie diese DSGVO-konform gestalten können? Kontaktieren Sie uns für eine unverbindliche Erstberatung.

Autor: Martin Höck, IT-Consultant und allgemein beeideter Sachverständiger für Informationstechnologie,
Solutionbox Informationstechnologie GmbH, Salzburg
Fragen? salesteam@solutionbox.net | +43 662 243316