KI und DSGVO in Österreich: Was Betriebe mit Firmendaten beachten müssen
Die Datenschutz-Grundverordnung (DSGVO) gilt beim Einsatz von Künstlicher Intelligenz (KI) immer dann, wenn personenbezogene Daten verarbeitet werden – also Informationen über identifizierbare Personen wie Kundinnen, Mitarbeiter oder Lieferanten. Für österreichische Betriebe bedeutet das: Wer Firmendokumente mit einer KI durchsuchen oder auswerten lässt, muss vorher klären, wo die Daten verarbeitet werden, ob sie zum Training des KI-Modells genutzt werden und ob ein Auftragsverarbeitungsvertrag mit dem Anbieter besteht. Mit diesen drei Fragen lässt sich ein Großteil der datenschutzrechtlichen Risiken bereits im Vorfeld ausschließen. Dieser Beitrag zeigt, welche Daten in typischen Firmendokumenten stecken, welche Rollen und Pflichten die DSGVO verteilt, was der EU AI Act zusätzlich verlangt und wie eine datenschutzkonforme Einführung Schritt für Schritt abläuft.
In Kürze
- Die DSGVO greift beim KI-Einsatz, sobald personenbezogene Daten im Spiel sind – und in Geschäftsdokumenten ist das fast immer der Fall.
- Fast jeder Dokumenttyp im Betrieb enthält Personenbezug: von der Ansprechperson im Angebot bis zu Gehaltsdaten in Personalunterlagen – mit unterschiedlichen Konsequenzen für den KI-Einsatz.
- Die Kernfragen an jeden KI-Anbieter: Wo werden die Daten verarbeitet? Werden sie zum Training genutzt? Gibt es einen AV-Vertrag? Wer hat Zugriff?
- Ihr Betrieb bleibt als „Verantwortlicher” in der Pflicht, auch wenn ein externer Anbieter die Technik liefert.
- Der EU AI Act ergänzt die DSGVO schrittweise; interne Dokumenten-KI fällt typischerweise nicht in die Hochrisiko-Kategorie, die KI-Kompetenz-Pflicht gilt aber auch für KMU.
- Aufbewahrungspflichten (Grundregel: sieben Jahre nach UGB und BAO) und Löschpflichten der DSGVO müssen zusammengedacht werden – das KI-System muss beides technisch abbilden können.
- Eine strukturierte Einführung in acht Schritten und eine Prüf-Checkliste vor der Anbieter-Auswahl ersparen spätere Probleme mit Betroffenenrechten und der Datenschutzbehörde.
Wann gilt die DSGVO beim Einsatz von KI überhaupt?
Die DSGVO – die seit 2018 geltende europäische Datenschutz-Grundverordnung – knüpft nicht an die Technologie an, sondern an die Daten. Entscheidend ist nicht, ob ein Werkzeug „KI” heißt, sondern ob personenbezogene Daten verarbeitet werden. Personenbezogen ist jede Information, die sich einer identifizierten oder identifizierbaren Person zuordnen lässt: Namen, E-Mail-Adressen, Telefonnummern, Kundennummern, Gehaltsdaten, aber auch Fotos oder Standortdaten.
In der Praxis ist dieser Punkt schnell erreicht. Ein Angebot enthält den Namen der Ansprechperson beim Kunden. Ein Besprechungsprotokoll nennt Mitarbeiterinnen und Mitarbeiter. Eine Eingangsrechnung enthält die Kontaktdaten des Lieferanten. Wer solche Dokumente in ein KI-System lädt oder Inhalte daraus in eine KI-Eingabe kopiert, verarbeitet personenbezogene Daten – und damit gilt die DSGVO mit allen Pflichten.
Wichtig ist die Abgrenzung: Rein technische Daten ohne Personenbezug (etwa Maschinenparameter oder anonymisierte Statistiken) fallen nicht unter die DSGVO. In gemischten Dokumentbeständen, wie sie in jedem Betrieb vorkommen, ist eine saubere Trennung aber kaum möglich. Der sichere Weg ist daher, den gesamten KI-Einsatz von vornherein DSGVO-konform aufzusetzen, statt einzelne Dokumente auszusortieren. Was eine solche interne Dokumenten-KI konkret ist und wie sie funktioniert, erklärt der Ratgeber Was ist eine KI-Wissensdatenbank?
Welche personenbezogenen Daten stecken in typischen Firmendokumenten?
Viele Betriebe unterschätzen, wie viel Personenbezug in ganz gewöhnlichen Geschäftsunterlagen steckt. Die folgende Übersicht zeigt typische Dokumentarten, die darin üblicherweise enthaltenen personenbezogenen Daten und die Konsequenz für den KI-Einsatz:
| Dokumenttyp | Typische personenbezogene Daten | Konsequenz für den KI-Einsatz |
|---|---|---|
| Angebote, Auftragsbestätigungen | Namen und Kontaktdaten der Ansprechpersonen beim Kunden | DSGVO gilt; mit AV-Vertrag, EU-Verarbeitung und Trainingsausschluss gut beherrschbar |
| Rechnungen (Ein- und Ausgang) | Namen von Einzelunternehmern, Ansprechpersonen, Bankverbindungen | DSGVO gilt; zusätzlich steuerliche Aufbewahrungspflicht von sieben Jahren beachten |
| E-Mail-Korrespondenz | Namen, Signaturen, teils private Bemerkungen | Sehr heterogener Inhalt; klare interne Regeln nötig, welche Mails ins System dürfen |
| Verträge | Vertragspartner, Unterzeichner, Konditionen | Vertraulichkeit wahren; Zugriff über Rollenrechte auf berechtigte Personen begrenzen |
| Besprechungsprotokolle, interne Notizen | Mitarbeiternamen, Aussagen und Einschätzungen einzelner Personen | Zugriffskontrolle wichtig; wertende Aussagen über Personen möglichst vermeiden |
| Personalunterlagen | Gehaltsdaten, Krankenstände, Bewerbungen – teils besondere Datenkategorien | Höchste Schutzstufe; nur mit streng begrenztem Zugriff oder gar nicht in das KI-System |
| Technische Dokumentation, Handbücher, Anleitungen | Meist nur Autorennamen | Weitgehend unkritisch – ideal als Startbestand für die Einführung |
Zwei Schlüsse lassen sich daraus ziehen. Erstens: Ein „datenschutzfreier” KI-Einsatz mit Firmendokumenten ist illusorisch – die DSGVO-Konformität muss von Anfang an mitgeplant werden. Zweitens: Nicht jedes Dokument ist gleich heikel. Wer mit technischen Anleitungen, Handbüchern und Prozessbeschreibungen startet und sensible Bereiche wie Personalunterlagen bewusst ausklammert oder streng beschränkt, reduziert das Risiko erheblich, ohne auf den Nutzen zu verzichten. Wie sich vorhandene Ablagen und Systeme geordnet an eine Dokumenten-KI anbinden lassen, beschreibt der Ratgeber Dokumente und Systeme anbinden.
Welche vier Fragen sollten Betriebe jedem KI-Anbieter stellen?
Bevor ein KI-Werkzeug im Betrieb eingeführt wird, sollten vier Fragen verbindlich geklärt sein. Sie decken die häufigsten datenschutzrechtlichen Problemzonen ab:
| Frage | Warum sie wichtig ist | Worauf Sie achten sollten |
|---|---|---|
| Wo werden die Daten verarbeitet? | Datenverarbeitung außerhalb der EU (im „Drittland”) braucht zusätzliche Garantien. | Server-Standort in der EU bzw. im Europäischen Wirtschaftsraum (EWR) bevorzugen. |
| Werden die Daten zum KI-Training genutzt? | Trainingsnutzung bedeutet, dass Ihre Inhalte in das Modell einfließen können – oft unumkehrbar. | Vertraglicher Ausschluss der Trainingsnutzung; bei Gratis-Diensten häufig nicht gegeben. |
| Gibt es einen AV-Vertrag? | Art. 28 DSGVO verlangt einen Auftragsverarbeitungsvertrag, wenn der Anbieter Daten in Ihrem Auftrag verarbeitet. | Der AV-Vertrag sollte Teil des Angebots sein, nicht erst auf Nachfrage. |
| Wer hat Zugriff auf die Daten? | Zugriffe durch Anbieter-Personal oder Sub-Dienstleister müssen geregelt und begrenzt sein. | Benutzer- und Rollenverwaltung im Werkzeug selbst, dokumentierte Sub-Auftragsverarbeiter. |
Ein Anbieter, der diese vier Fragen nicht klar und schriftlich beantworten kann, ist für den Einsatz mit Firmendokumenten ungeeignet. Das gilt unabhängig davon, wie leistungsfähig die KI ist. Besonders deutlich wird der Unterschied im Vergleich zu öffentlichen Chat-Diensten: Warum das freie Einkopieren von Firmendaten in allgemeine KI-Chats problematisch ist und welche Alternativen es gibt, erläutert der Beitrag ChatGPT mit eigenen Daten nutzen.
Wer ist Verantwortlicher und wer Auftragsverarbeiter?
Die DSGVO unterscheidet zwei zentrale Rollen. Der Verantwortliche ist, wer über Zwecke und Mittel der Datenverarbeitung entscheidet. Der Auftragsverarbeiter ist, wer personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet.
Auf den KI-Einsatz übersetzt heißt das:
- Ihr Betrieb ist der Verantwortliche. Sie entscheiden, welche Dokumente in das KI-System gelangen, wofür die KI genutzt wird und wer im Team Zugriff erhält. Damit tragen Sie die Hauptverantwortung gegenüber Betroffenen und der Datenschutzbehörde.
- Der KI-Anbieter ist in der Regel Auftragsverarbeiter. Er stellt die Technik bereit und verarbeitet die Daten nur, um die vereinbarte Leistung zu erbringen – nicht für eigene Zwecke.
Diese Rollenverteilung hat eine praktische Konsequenz, die oft unterschätzt wird: Die Verantwortung lässt sich nicht auslagern. Auch wenn der Anbieter einen Fehler macht, bleibt der Betrieb als Verantwortlicher der erste Ansprechpartner für Betroffene und Aufsichtsbehörde. Umso wichtiger ist es, den Anbieter sorgfältig auszuwählen und die Zusammenarbeit im Auftragsverarbeitungsvertrag (kurz AV-Vertrag oder AVV) sauber zu regeln. Der AV-Vertrag legt unter anderem fest, welche Daten verarbeitet werden, welche Sicherheitsmaßnahmen gelten, ob und welche Sub-Auftragsverarbeiter eingesetzt werden und was mit den Daten nach Vertragsende passiert.
Verarbeitet ein Anbieter die Daten hingegen für eigene Zwecke – etwa zum Training seiner Modelle über den Auftrag hinaus –, verlässt er die Rolle des Auftragsverarbeiters. Genau deshalb ist der vertragliche Ausschluss der Trainingsnutzung so bedeutsam.
Auf welcher Rechtsgrundlage dürfen Betriebe Dokumente mit KI verarbeiten?
Jede Verarbeitung personenbezogener Daten braucht nach der DSGVO eine Rechtsgrundlage. Für den internen KI-Einsatz kommen vor allem drei in Betracht:
- Vertragserfüllung: Daten von Kunden und Lieferanten dürfen verarbeitet werden, soweit das für die Abwicklung des Vertrags erforderlich ist – etwa wenn die KI hilft, Auftragsunterlagen schneller zu finden.
- Rechtliche Verpflichtung: Wo Gesetze die Aufbewahrung von Unterlagen verlangen (dazu unten mehr), ist auch die damit verbundene Speicherung gedeckt.
- Berechtigtes Interesse: Die effiziente interne Organisation, Dokumentenverwaltung und Wissenssicherung ist ein anerkanntes betriebliches Interesse. Hier verlangt die DSGVO eine Abwägung: Das Interesse des Betriebs muss gegen die Interessen und Grundrechte der betroffenen Personen abgewogen werden. Bei einer internen Suche über gewöhnliche Geschäftsdokumente mit begrenztem Nutzerkreis fällt diese Abwägung häufig zugunsten des Betriebs aus – vorausgesetzt, Zugriffsrechte, EU-Verarbeitung und Trainingsausschluss sind gewährleistet.
Wichtig ist, die gewählte Rechtsgrundlage kurz schriftlich festzuhalten – üblicherweise im Verzeichnis von Verarbeitungstätigkeiten, dem internen Register, das die DSGVO für Verarbeitungen vorsieht. Bei Anfragen von Betroffenen oder der Datenschutzbehörde ist eine dokumentierte Abwägung Gold wert. Zentrale Fachbegriffe von „AV-Vertrag” bis „Verarbeitungsverzeichnis” erklärt kompakt das Glossar.
Was ändert der EU AI Act zusätzlich zur DSGVO?
Der EU AI Act – die europäische KI-Verordnung, in Kraft seit 2024 – ergänzt die DSGVO, ersetzt sie aber nicht. Während die DSGVO die Daten schützt, regelt der AI Act das KI-System selbst. Die Pflichten gelten gestaffelt: Bestimmte Praktiken sind seit Februar 2025 verboten, Regeln für KI-Modelle mit allgemeinem Verwendungszweck gelten seit August 2025, und die umfangreichen Pflichten für Hochrisiko-Systeme greifen überwiegend schrittweise ab August 2026 und 2027.
Für die meisten österreichischen KMU sind drei Punkte relevant:
- Risikoklassen: Der AI Act teilt KI-Systeme nach Risiko ein – von verbotenen Praktiken über Hochrisiko-Anwendungen bis zu Systemen mit begrenztem oder minimalem Risiko. Eine interne Dokumentensuche mit KI-Antworten fällt typischerweise in die unterste Kategorie und löst keine Hochrisiko-Pflichten aus. Hochrisiko-Pflichten betreffen andere Felder – etwa KI, die über Einstellung oder Beförderung von Menschen mitentscheidet.
- KI-Kompetenz (Art. 4 AI Act): Betriebe, die KI einsetzen, müssen dafür sorgen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das betrifft ausdrücklich auch kleine Unternehmen und lässt sich mit internen Schulungen und klaren Nutzungsregeln pragmatisch erfüllen: Das Team sollte wissen, was das Werkzeug kann, wo seine Grenzen liegen und welche Daten hinein dürfen.
- Transparenz: Wo Menschen mit einer KI interagieren, muss das erkennbar sein. Bei einem internen Werkzeug, das das Team bewusst als KI nutzt, ist diese Anforderung leicht zu erfüllen.
Die Kurzformel: Wer seine KI-Nutzung DSGVO-konform aufgesetzt hat und das Team schult, hat für typische interne Anwendungen auch die wesentlichen AI-Act-Hausaufgaben erledigt.
Was gilt für Mitarbeiter-Wissen und interne Notizen?
Ein häufiger Anlass für die Einführung einer Dokumenten-KI ist die Sicherung von betrieblichem Know-how: Erfahrungswissen langjähriger Mitarbeiterinnen und Mitarbeiter, Projektnotizen, bewährte Vorgehensweisen, interne Anleitungen. Geht eine erfahrene Kraft in Pension oder verlässt den Betrieb, verschwindet dieses Wissen sonst mit ihr – und die Verbleibenden suchen. Was unproduktive Suchzeiten einen Betrieb tatsächlich kosten, zeigt die Analyse Was kostet Suchen wirklich?
Datenschutzrechtlich sind bei internem Wissen zwei Ebenen zu unterscheiden:
- Fachliches Wissen – wie eine Maschine gewartet wird, wie ein Angebot kalkuliert wird, welche Schritte ein Prozess hat – ist als solches nicht personenbezogen. Es kann bedenkenlos in eine Wissensdatenbank aufgenommen werden. Enthalten die Dokumente den Namen der Autorin oder Hinweise wie „bei Rückfragen an Herrn X”, ist das ein schwacher Personenbezug, der mit den ohnehin getroffenen Maßnahmen (EU-Verarbeitung, AV-Vertrag, Zugriffskontrolle) abgedeckt ist.
- Aussagen über Personen – Einschätzungen zu Kollegen, Notizen über das Verhalten einzelner Kunden, Bewertungen von Bewerberinnen – sind dagegen voll personenbezogen und teils heikel. Solche Inhalte gehören entweder gar nicht in ein breit zugängliches KI-System oder nur in streng zugriffsbeschränkte Bereiche.
Daraus folgt eine einfache Redaktionsregel für die Wissenssicherung: Wissensdokumente versachlichen. Statt „Herr Huber macht das immer so” besser „bewährtes Vorgehen bei Wartung Typ B”. Das verbessert nebenbei die Qualität der KI-Antworten, weil die Inhalte allgemeingültig formuliert sind.
Zu beachten ist außerdem die Perspektive der eigenen Belegschaft: Auch Mitarbeiterdaten in Protokollen und Notizen sind personenbezogene Daten, und die Einführung eines Systems, das interne Dokumente durchsuchbar macht, sollte transparent kommuniziert werden. Legen Sie offen, welche Dokumentbereiche erfasst werden, wer Zugriff hat und dass das System der Wissenssuche dient – nicht der Verhaltenskontrolle. In Betrieben mit Betriebsrat empfiehlt sich eine frühzeitige Einbindung, da Systeme mit Bezug zu Mitarbeiterdaten arbeitsverfassungsrechtliche Mitwirkungsrechte berühren können. Praktische Erfahrungen zur Einführung im Team beschreibt der Ratgeber KI-Wissensdatenbank im Betrieb.
Wie passen Aufbewahrungspflichten und Löschpflichten zusammen?
Auf den ersten Blick widersprechen sich zwei Anforderungen: Die DSGVO verlangt, personenbezogene Daten zu löschen, wenn der Zweck entfallen ist – das österreichische Unternehmens- und Steuerrecht verlangt, Unterlagen aufzubewahren. Die Auflösung ist einfacher, als sie klingt: Eine gesetzliche Aufbewahrungspflicht ist selbst eine Rechtsgrundlage für die weitere Speicherung. Solange sie läuft, geht sie einem Löschwunsch vor; erst danach greift die Löschpflicht.
Die wichtigsten Eckpunkte für österreichische Betriebe:
- Grundregel sieben Jahre: § 212 Unternehmensgesetzbuch (UGB) und § 132 Bundesabgabenordnung (BAO) verlangen die Aufbewahrung von Büchern, Aufzeichnungen, Belegen und Geschäftspapieren für sieben Jahre ab Ende des jeweiligen Geschäftsjahres.
- Längere Fristen im Einzelfall: Für bestimmte Unterlagen – etwa im Zusammenhang mit Grundstücken oder anhängigen Verfahren – gelten längere Aufbewahrungsfristen. Im Zweifel gilt: erst prüfen, dann löschen.
- Nach Fristablauf gilt die Löschpflicht: Dokumente mit Personenbezug ohne fortbestehenden Zweck dürfen nicht „auf ewig” im System bleiben. Ein einfaches Löschkonzept – etwa eine jährliche Durchsicht abgelaufener Bestände – genügt in vielen KMU.
Für die Auswahl eines KI-Systems ergibt sich daraus eine doppelte technische Anforderung: Das System muss Dokumente über Jahre zuverlässig und gesichert vorhalten können und die gezielte Löschung einzelner Dokumente ermöglichen, sobald Fristen abgelaufen sind oder ein berechtigter Löschantrag vorliegt. Werkzeuge, die hochgeladene Inhalte untrennbar in ein Modell „einbacken”, scheitern an der zweiten Anforderung.
Welche Betroffenenrechte gelten bei internen Dokumenten?
Die DSGVO gibt jeder Person, deren Daten verarbeitet werden, durchsetzbare Rechte – und diese gelten auch, wenn die Daten in internen Dokumenten stecken, die eine KI durchsucht. Betroffene können Kundinnen, Lieferanten, Bewerber oder eigene Mitarbeiter sein. Die Übersicht zeigt die vier praxisrelevantesten Rechte und was Ihr KI-System dafür können muss:
| Betroffenenrecht | Was Betroffene verlangen können | Was das KI-System dafür können muss |
|---|---|---|
| Auskunft (Art. 15 DSGVO) | Information, welche Daten über sie verarbeitet werden, zu welchem Zweck und wie lange | Gezielte Suche nach einer Person über alle enthaltenen Dokumente hinweg |
| Berichtigung (Art. 16 DSGVO) | Korrektur unrichtiger Daten | Dokumente aktualisieren oder durch korrigierte Fassungen ersetzen |
| Löschung (Art. 17 DSGVO) | Löschung, wenn der Zweck entfallen ist und keine Aufbewahrungspflicht entgegensteht | Einzelne Dokumente vollständig und nachweisbar entfernen |
| Widerspruch (Art. 21 DSGVO) | Widerspruch gegen Verarbeitungen auf Basis des berechtigten Interesses | Betroffene Inhalte identifizieren und aus der Verarbeitung nehmen können |
Zwei Punkte verdienen besondere Beachtung. Erstens die Frist: Anfragen von Betroffenen sind grundsätzlich unverzüglich, spätestens binnen eines Monats zu beantworten. Wer nicht weiß, in welchen Systemen die Daten einer Person liegen, gerät hier schnell unter Zeitdruck. Eine durchsuchbare Dokumentenablage kann die Erfüllung des Auskunftsrechts sogar erleichtern: Eine Suche nach dem Namen der anfragenden Person liefert in Minuten, wofür sonst Ordner und Laufwerke durchforstet werden müssten.
Zweitens die technische Löschbarkeit: Ein KI-System für Firmendokumente muss so gebaut sein, dass Sie jederzeit wissen, welche Dokumente enthalten sind, und einzelne Inhalte gezielt entfernen können. Bei Systemen, die Dokumente als durchsuchbare Wissensbasis ablegen und für Antworten heranziehen, ist das technisch gut lösbar – das Dokument wird entfernt, und die KI kann nicht mehr darauf zugreifen.
Zuständige Aufsichtsbehörde in Österreich ist die Datenschutzbehörde (dsb.gv.at). Die Gesetzestexte – DSGVO, österreichisches Datenschutzgesetz, UGB und BAO – sind im Rechtsinformationssystem des Bundes (ris.bka.gv.at) frei abrufbar; praxisnahe Übersichten für Unternehmen bietet die Wirtschaftskammer (wko.at).
Welche Fragen sollten Sie jedem KI-Anbieter stellen? (Erweiterte Checkliste)
Die folgende Checkliste fasst zusammen, was vor der Einführung eines KI-Werkzeugs mit Firmendokumenten geklärt sein sollte – von den datenschutzrechtlichen Kernpunkten bis zu organisatorischen Fragen, die im Alltag den Unterschied machen:
- Server-Standort: Werden die Daten ausschließlich in der EU bzw. im EWR verarbeitet? Falls nein: Welche Garantien bestehen für den Drittlandtransfer?
- Trainingsausschluss: Ist vertraglich zugesichert, dass Ihre Daten nicht zum Training von KI-Modellen verwendet werden?
- AV-Vertrag: Liegt ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vor? Ist er Bestandteil des Vertragspakets?
- Sub-Auftragsverarbeiter: Sind alle eingesetzten Sub-Dienstleister offengelegt, und werden Sie über Änderungen informiert?
- Zugriffskontrolle: Bietet das Werkzeug eine Benutzer- und Rollenverwaltung, damit sensible Dokumente (etwa Personalunterlagen) nur berechtigten Personen zugänglich sind?
- Verschlüsselung: Werden die Daten bei der Übertragung und bei der Speicherung verschlüsselt?
- Datensicherung und Löschung: Gibt es automatische Datensicherungen, und ist geregelt, wie Daten auf Wunsch vollständig gelöscht werden – auch einzelne Dokumente?
- Nachvollziehbarkeit: Belegt die KI ihre Antworten mit Quellenangaben aus Ihren Dokumenten? Das erleichtert Kontrolle und reduziert das Risiko frei erfundener Aussagen.
- Protokollierung: Lässt sich nachvollziehen, wer wann welche Dokumente hochgeladen oder gelöscht hat?
- Vertragsende: Ist geregelt, dass Sie Ihre Dokumente bei Vertragsende vollständig zurückerhalten und der Anbieter alle Kopien löscht?
- Ansprechpartner: Gibt es einen erreichbaren Support, idealerweise deutschsprachig, der Datenschutzfragen beantworten kann?
- Interne Regeln: Haben Sie festgelegt, welche Dokumente in das System dürfen und wer sie hochladen darf?
Anbieter, die auf den europäischen Mittelstand ausgerichtet sind, erfüllen diese Punkte üblicherweise von Haus aus. Die KI-Wissensdatenbank etwa verarbeitet Dokumente auf EU-Servern, schließt die Nutzung der Kundendaten zum KI-Training aus, liefert Antworten ausschließlich aus den eigenen Firmendokumenten mit Quellenangabe und bringt AV-Vertrag sowie Benutzer- und Rollenverwaltung mit.
Wie sieht eine DSGVO-konforme Einführung Schritt für Schritt aus?
Ein strukturierter Einstieg verhindert, dass Datenschutzfragen erst nach der Einführung auftauchen. In der Praxis hat sich folgendes Vorgehen in acht Schritten bewährt:
- Bestandsaufnahme: Klären Sie, welche Dokumentarten die KI verarbeiten soll und welche personenbezogenen Daten darin vorkommen (Kundendaten, Mitarbeiterdaten, Lieferantendaten). Die Tabelle weiter oben dient als Raster; markieren Sie dabei gleich die heiklen Bereiche.
- Zweck und Rechtsgrundlage festlegen: Halten Sie schriftlich fest, wofür das System eingesetzt wird (etwa interne Wissenssuche) und auf welche Rechtsgrundlage Sie die Verarbeitung stützen – meist das berechtigte Interesse an effizienter Dokumentenverwaltung, samt kurzer Abwägung.
- Anbieter prüfen: Arbeiten Sie die Checkliste aus dem vorigen Abschnitt ab und lassen Sie sich alle Zusagen schriftlich geben. Mündliche Auskünfte im Verkaufsgespräch genügen nicht.
- AV-Vertrag abschließen: Vor dem ersten produktiven Dokument, nicht danach.
- Verarbeitungsverzeichnis ergänzen und DSFA prüfen: Tragen Sie die neue Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten ein. Prüfen und dokumentieren Sie kurz, ob eine Datenschutz-Folgenabschätzung (DSFA) – die vertiefte Risikoanalyse, die die DSGVO für Verarbeitungen mit voraussichtlich hohem Risiko verlangt – erforderlich ist; bei einer internen Dokumentensuche ist das typischerweise nicht der Fall.
- Zugriffsrechte und interne Regeln festlegen: Definieren Sie, wer das System nutzen darf, welche Dokumente hochgeladen werden dürfen und welche ausdrücklich nicht (etwa Gesundheitsdaten oder Bewerbungsunterlagen, sofern nicht erforderlich). Richten Sie die Rollen im System entsprechend ein.
- Team informieren und schulen: Erklären Sie dem Team offen, was das System kann, welche Dokumente erfasst sind und wie mit KI-Antworten umzugehen ist (Quellen prüfen, keine blinde Übernahme). Eine kurze Schulung erfüllt zugleich die KI-Kompetenz-Anforderung des Art. 4 AI Act. In Betrieben mit Betriebsrat: frühzeitig einbinden.
- Mit unkritischen Dokumenten starten, dann ausweiten: Beginnen Sie mit Handbüchern, Anleitungen und Prozessdokumentation. Erst wenn Ablauf und Zugriffskontrolle sich bewährt haben, folgen sensiblere Bereiche – oder sie bleiben bewusst außen vor. Überprüfen Sie die Regeln danach in festen Abständen, etwa einmal jährlich.
Wie eine solche Einführung organisatorisch abläuft und wie lange die einzelnen Phasen typischerweise dauern, zeigt die Seite Ablauf.
Wer diese acht Schritte durchläuft, hat die wesentlichen Anforderungen von DSGVO und AI Act für den typischen KMU-Einsatz abgedeckt – ohne Projektbürokratie, aber mit belastbarer Dokumentation für den Fall von Rückfragen. Der Aufwand fällt größtenteils einmalig an; im laufenden Betrieb bleiben die Pflege der Zugriffsrechte und die gelegentliche Durchsicht der Bestände. Dieser Artikel bietet eine allgemeine Orientierung und ersetzt keine Rechtsberatung im Einzelfall; bei konkreten Fragen empfiehlt sich die Abstimmung mit einer auf Datenschutzrecht spezialisierten Anwaltskanzlei oder dem betrieblichen Datenschutzbeauftragten.
Häufige Fragen
Gilt die DSGVO auch, wenn wir KI nur intern im Betrieb nutzen?
Ja. Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden – unabhängig davon, ob die KI intern oder öffentlich genutzt wird. Sobald Namen, Kontaktdaten oder Kundeninformationen in Dokumenten oder Eingaben vorkommen, greifen die Datenschutzregeln.
Brauchen wir für ein KI-Tool einen AV-Vertrag?
In den meisten Fällen ja. Wenn der KI-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag. Ohne diesen Vertrag ist der Einsatz datenschutzrechtlich problematisch.
Dürfen KI-Anbieter unsere Firmendaten zum Training ihrer Modelle verwenden?
Nur wenn Sie dem zugestimmt haben bzw. eine Rechtsgrundlage besteht. Seriöse Business-Angebote schließen die Nutzung von Kundendaten zum Modelltraining vertraglich aus. Prüfen Sie diesen Punkt vor der Anbieter-Auswahl ausdrücklich.
Ist eine interne Dokumenten-KI ein Hochrisiko-System nach dem EU AI Act?
Typischerweise nein. Eine KI, die interne Dokumente durchsucht und Fragen dazu beantwortet, fällt in der Regel in die Kategorie mit minimalem oder begrenztem Risiko. Hochrisiko-Pflichten betreffen vor allem Bereiche wie Personalentscheidungen, Kreditvergabe oder kritische Infrastruktur.
Wer kontrolliert die Einhaltung der DSGVO in Österreich?
Die österreichische Datenschutzbehörde (DSB) mit Sitz in Wien. Sie ist Anlaufstelle für Beschwerden von Betroffenen und kann bei Verstößen Verfahren einleiten und empfindliche Geldbußen verhängen.
Was ist der Unterschied zwischen Verantwortlichem und Auftragsverarbeiter?
Der Verantwortliche entscheidet über Zweck und Mittel der Datenverarbeitung – das ist in der Regel Ihr Betrieb. Der Auftragsverarbeiter verarbeitet Daten nur nach Ihren Weisungen – etwa ein Cloud- oder KI-Anbieter. Die Hauptverantwortung bleibt beim Betrieb.
Wie lange müssen Geschäftsdokumente in Österreich aufbewahrt werden?
Die Grundregel sind sieben Jahre: § 212 Unternehmensgesetzbuch (UGB) und § 132 Bundesabgabenordnung (BAO) verlangen die Aufbewahrung von Büchern, Belegen und Geschäftspapieren für sieben Jahre. Für einzelne Dokumentarten gelten längere Fristen. Solange eine Aufbewahrungspflicht läuft, geht sie einem Löschwunsch in der Regel vor.
Brauchen wir eine Datenschutz-Folgenabschätzung für eine interne Dokumenten-KI?
In vielen typischen Fällen nicht. Eine Datenschutz-Folgenabschätzung (DSFA) ist nur erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Betroffene mit sich bringt – etwa bei umfangreicher Verarbeitung besonders sensibler Daten. Eine interne Suche über gewöhnliche Geschäftsdokumente erreicht diese Schwelle üblicherweise nicht; die Prüfung sollte aber kurz dokumentiert werden.