DSGVO und KI: Was KMU beim Einsatz von KI-Tools beachten müssen

Sie nutzen ChatGPT für Textentwürfe, lassen Kundendaten durch ein KI-Tool analysieren oder setzen einen Chatbot auf Ihrer Website ein? Dann verarbeiten Sie mit hoher Wahrscheinlichkeit personenbezogene Daten — und die DSGVO greift. Dieser Artikel erklärt, welche Pflichten für KMU gelten, wie der EU AI Act die Anforderungen erweitert und was Sie konkret tun müssen, um KI-Tools rechtskonform einzusetzen.

Warum KI-Nutzung fast immer ein Datenschutz-Thema ist

Die Datenschutz-Grundverordnung (DSGVO) gilt immer dann, wenn personenbezogene Daten verarbeitet werden — unabhängig von der eingesetzten Technologie. Das hat die österreichische Datenschutzbehörde (DSB) in ihrem FAQ zu KI und Datenschutz ausdrücklich klargestellt.

In der Praxis heißt das: Sobald ein Mitarbeiter einen Kundennamen, eine E-Mail-Adresse oder Projektdaten in ein KI-Tool eingibt, liegt eine Datenverarbeitung im Sinne der DSGVO vor. Das gilt auch dann, wenn das Tool die Daten nur „kurz" verarbeitet und nicht dauerhaft speichert.

Die sechs DSGVO-Grundsätze — auch für KI

Die DSB betont, dass die Grundsätze aus Art. 5 DSGVO uneingeschränkt für den Einsatz von KI-Systemen gelten. Die wichtigsten für KMU im KI-Kontext:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Es braucht eine Rechtsgrundlage (Art. 6 DSGVO) — etwa eine Einwilligung, Vertragserfüllung oder ein berechtigtes Interesse. Betroffene müssen informiert werden, dass KI ihre Daten verarbeitet.
• Zweckbindung: Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. Ein CRM-Datensatz darf nicht ohne Weiteres zum Training eines KI-Modells dienen.
• Datenminimierung: Nur die Daten verarbeiten, die tatsächlich notwendig sind. Vor der Eingabe in ein KI-Tool sollten personenbezogene Angaben nach Möglichkeit entfernt oder pseudonymisiert werden.
• Richtigkeit: Besonders relevant bei generativer KI, die laut DSB „statistisch wahrscheinliche" Ergebnisse produziert — nicht zwingend korrekte. Nutzer müssen darauf hingewiesen werden.
• Speicherbegrenzung: Daten nur so lange speichern, wie es für den Zweck notwendig ist. Chatverläufe sollten regelmäßig gelöscht werden.
• Integrität und Vertraulichkeit: Angemessene technische und organisatorische Schutzmaßnahmen müssen vorhanden sein.

Auftragsverarbeitungsvertrag (AVV): Pflicht bei Cloud-KI

Wenn Sie ein KI-Tool eines externen Anbieters nutzen (z. B. OpenAI, Google, Microsoft), handelt es sich in der Regel um eine Auftragsverarbeitung nach Art. 28 DSGVO. Sie als Unternehmen bleiben datenschutzrechtlich verantwortlich — auch wenn die Verarbeitung beim Anbieter stattfindet.

Ein Auftragsverarbeitungsvertrag (AVV) muss folgende Punkte regeln:

• Welche Datenarten verarbeitet werden
• Wo die Verarbeitung stattfindet (EU/EWR oder Drittland)
• Welche Unterauftragsverarbeiter eingesetzt werden
• Welche Sicherheitsmaßnahmen gelten
• Löschfristen nach Vertragsende

Praxistipp: Business-Tarife großer Anbieter (z. B. Microsoft Copilot, Google Gemini, Anthropic Claude) bieten in der Regel einen AVV an und ermöglichen, das Modelltraining mit eigenen Eingaben zu deaktivieren. Kostenlose Versionen bieten diese Garantien häufig nicht.

Datentransfer in Drittländer

Viele KI-Tools verarbeiten Daten in den USA. Für den Datentransfer in die USA steht seit Juli 2023 das EU-U.S. Data Privacy Framework als Rechtsgrundlage zur Verfügung, sofern der Anbieter unter dem Framework zertifiziert ist. Prüfen Sie das im Vorfeld. Für andere Drittländer ohne Angemessenheitsbeschluss sind Standardvertragsklauseln (SCC) erforderlich.

Bevorzugen Sie nach Möglichkeit Anbieter, die Daten innerhalb der EU/des EWR verarbeiten und speichern.

Wann eine Datenschutz-Folgenabschätzung Pflicht ist

Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt. Die österreichische DSB hat in ihrer DSFA-Verordnung (DSFA-V) eine Liste von Verarbeitungen veröffentlicht, die eine DSFA erfordern. Eine DSFA ist insbesondere erforderlich bei:

• Systematischer Bewertung persönlicher Aspekte auf Basis automatisierter Verarbeitung (Profiling)
• Umfangreicher Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten)
• Einsatz neuer Technologien — worunter KI-Systeme regelmäßig fallen

In der Praxis bedeutet das: Wenn Ihr KI-Tool Kundendaten systematisch auswertet, Entscheidungen vorbereitet oder besondere Datenkategorien verarbeitet, sollten Sie eine DSFA durchführen. Für einfache Textgenerierung ohne personenbezogene Daten ist sie in der Regel nicht nötig.

Automatisierte Entscheidungen: Art. 22 DSGVO

Betroffene haben grundsätzlich das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, wenn diese rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt (Art. 22 Abs. 1 DSGVO). Ausnahmen gelten nur bei ausdrücklicher Einwilligung, Vertragserfüllung oder gesetzlicher Grundlage.

Für KMU heißt das konkret: Wenn eine KI-gestützte Bewertung (z. B. Kreditwürdigkeit, Bewerbervorauswahl) zu einer Entscheidung führt, die eine Person betrifft, muss immer ein Mensch das letzte Wort haben. Die DSB weist darauf hin, dass Verstöße dazu führen können, dass die weitere Nutzung des KI-Systems untersagt wird.

EU AI Act: Was ab August 2026 zusätzlich gilt

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ergänzt die DSGVO um technologiespezifische Anforderungen. Die wichtigsten Fristen und Pflichten:

• Seit 2. Februar 2025: Verbotene KI-Praktiken sind untersagt — darunter Social Scoring, manipulative Systeme und ungezieltes biometrisches Scraping.
• Seit 2. Februar 2025: Art. 4 der KI-Verordnung verpflichtet alle Unternehmen, die KI-Systeme einsetzen, sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt.
• Ab 2. August 2025: Anforderungen an allgemeine KI-Modelle (General-Purpose AI) und erste Sanktionsregeln treten in Kraft.
• Ab 2. August 2026: Volle Anwendbarkeit der Hochrisiko-Anforderungen — Risikobewertung, Datenqualität, Logging, menschliche Aufsicht und Dokumentation. Transparenzpflicht: Nutzer müssen erkennen können, wenn sie mit einer KI interagieren (Art. 50).

Die KI-Verordnung gilt unabhängig von der Unternehmensgröße. Für KMU sieht sie jedoch vereinfachte Compliance-Wege vor, darunter Zugang zu regulatorischen Sandboxen — Österreich richtet bis August 2026 mindestens eine solche Sandbox ein, zu der KMU bevorzugten und kostenlosen Zugang erhalten sollen.

Strafen bei Verstößen

Die Sanktionen sind erheblich — und summieren sich, wenn sowohl DSGVO als auch KI-Verordnung verletzt werden:

• DSGVO: Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO)
• KI-Verordnung — Verbotsverstöße: Bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes
• KI-Verordnung — sonstige Verstöße: Bis zu 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes

Die zentrale Anlaufstelle für die KI-Verordnung in Österreich ist die KI-Servicestelle bei der RTR (Rundfunk und Telekom Regulierungs-GmbH). Die Marktüberwachung wird zusätzlich durch sektorale Behörden wahrgenommen. Für Datenschutzfragen bleibt weiterhin die DSB zuständig.

Checkliste: KI-Tools DSGVO-konform einsetzen

Die folgenden zehn Schritte helfen Ihnen, KI-Nutzung in Ihrem Unternehmen datenschutzkonform aufzusetzen:

1. Rechtsgrundlage dokumentieren: Für jeden KI-Use-Case festlegen, auf welcher Basis (Einwilligung, Vertrag, berechtigtes Interesse) die Verarbeitung erfolgt.
2. AVV abschließen: Vor der Nutzung eines Cloud-KI-Tools einen Auftragsverarbeitungsvertrag mit dem Anbieter abschließen.
3. Datenstandort prüfen: Sicherstellen, dass Daten in der EU/im EWR verarbeitet werden — oder dass ein gültiger Transfermechanismus besteht.
4. Modelltraining deaktivieren: Beim Anbieter sicherstellen, dass Ihre Eingaben nicht zum Training des Modells verwendet werden.
5. Datenminimierung umsetzen: Vor der Eingabe personenbezogene Daten entfernen oder pseudonymisieren, wo immer möglich.
6. Verarbeitungsverzeichnis aktualisieren: KI-Systeme im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) erfassen.
7. DSFA durchführen: Wenn systematisches Profiling, besondere Datenkategorien oder neue Technologien betroffen sind.
8. Betroffenenrechte sicherstellen: Auskunft, Löschung, Berichtigung und Widerspruch technisch ermöglichen.
9. Transparenz herstellen: In der Datenschutzerklärung über den Einsatz von KI informieren. Ab August 2026 müssen Nutzer wissen, wenn sie mit einer KI kommunizieren.
10. KI-Kompetenz aufbauen: Schulungen für Mitarbeitende, die KI-Systeme bedienen — seit Februar 2025 gesetzlich vorgeschrieben (Art. 4 KI-VO).

Häufige Fehler, die KMU vermeiden sollten

• Kundendaten in kostenlose KI-Tools (ohne AVV und ohne Training-Opt-Out) eingeben
• KI-Anwendungen nicht im Verarbeitungsverzeichnis führen
• Keine Informationspflicht gegenüber betroffenen Personen erfüllen
• Automatisierte Entscheidungen ohne menschliche Überprüfung treffen
• DSFA bei Profiling oder Auswertung sensibler Daten unterlassen

Fazit: DSGVO-konforme KI-Nutzung ist machbar

Die Anforderungen klingen umfangreich, sind aber für die meisten KMU mit überschaubarem Aufwand umsetzbar — vorausgesetzt, Sie gehen strukturiert vor. Die wichtigsten Hebel: einen Business-Tarif mit AVV wählen, Daten vor der Eingabe minimieren und das Verarbeitungsverzeichnis aktuell halten. Mit der Checkliste oben haben Sie einen konkreten Fahrplan.

Wenn Sie unsicher sind, wie die Anforderungen auf Ihren konkreten Anwendungsfall zutreffen, sprechen Sie mit einer Fachperson für Datenschutzrecht. Eine erste Einordnung bieten wir gerne im kostenlosen Erstgespräch.

Quellen