4. April 2026

DSGVO und KI in Österreich: Was Unternehmen konkret wissen müssen

Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Die Rechtslage im Bereich KI und Datenschutz entwickelt sich laufend weiter. Für konkrete rechtliche Fragen empfehlen wir, einen Datenschutzanwalt beizuziehen. Alle Angaben ohne Gewähr, Stand April 2026.

Viele Unternehmen in Österreich nutzen täglich KI-Werkzeuge, ohne sich dabei viel zu denken. Ein Prompt hier, ein Dokument dort. Das ist verständlich, denn die Tools sind praktisch und der Einstieg ist unkompliziert. Was dabei oft im Hintergrund bleibt: Sobald dabei personenbezogene Daten verarbeitet werden, greifen die DSGVO und seit 2024 auch der EU AI Act. Und die österreichische Datenschutzbehörde schaut sich das zunehmend genauer an.

Dieser Artikel erklärt, was das konkret bedeutet, welche Pflichten bereits jetzt gelten, und wo lokale Infrastruktur eine strukturelle Lösung bietet.

Was passiert, wenn ihr KI extern betreibt

Sobald ihr einen externen Dienst nutzt, der in eurem Auftrag personenbezogene Daten verarbeitet, greift Artikel 28 der DSGVO. Das gilt für ChatGPT genauso wie für Microsoft Copilot, Google Gemini oder jeden anderen cloudbasierten Dienst, in den ihr Kundennamen, Mitarbeiterdaten, Vertragsinhalte oder andere personenbezogene Informationen eingebt.

Die Pflicht ist konkret: Ihr müsst mit dem Anbieter einen Auftragsverarbeitungsvertrag (AVV) abschließen. Dieser Vertrag regelt, zu welchem Zweck die Daten verarbeitet werden, wo die Server stehen, ob die Daten für das Training des Modells verwendet werden dürfen, und wer bei einer Datenpanne haftet. Ohne AVV ist jede Nutzung ein DSGVO-Verstoß, unabhängig davon wie harmlos der einzelne Prompt wirkt.

Das Bußgeldrisiko ist dabei nicht abstrakt. Artikel 83 DSGVO sieht bei schwerwiegenden Verstößen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist. Erschwerend kommt hinzu, dass die Beweislast beim Unternehmen liegt. Ihr müsst nachweisen können, dass ihr DSGVO-konform handelt, nicht die Behörde das Gegenteil.

Neben dem AVV braucht ihr für die Datenverarbeitung eine Rechtsgrundlage nach Artikel 6 DSGVO, zum Beispiel die Vertragserfüllung, ein berechtigtes Interesse oder eine ausdrückliche Einwilligung. Und bei KI-Systemen die ein hohes Risiko für betroffene Personen darstellen, ist zusätzlich eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO erforderlich. Die österreichische Datenschutzbehörde und andere europäische Aufsichtsbehörden stufen den KI-Einsatz in vielen betrieblichen Kontexten als "häufig" DSFA-pflichtig ein.

Das Schrems II Problem

Viele Unternehmen glauben, sie seien auf der sicheren Seite, wenn sie einen Anbieter wählen, der EU-Hosting anbietet. Das stimmt nur teilweise.

OpenAI bietet seit Februar 2025 für Enterprise- und API-Kunden EU-Datenspeicherung an. Microsoft speichert für viele Produkte europäische Kundendaten in europäischen Rechenzentren. Das ist ein echter Fortschritt und fair anzuerkennen.

Das Grundproblem bleibt aber bestehen: Alle diese Unternehmen haben ihren Hauptsitz in den USA und unterliegen dem US CLOUD Act sowie FISA Section 702. Das bedeutet, US-Behörden können unter bestimmten Umständen Zugriff auf Daten verlangen, die auf europäischen Servern liegen, wenn das Unternehmen US-amerikanisch ist. Der Europäische Gerichtshof hat in seinem Schrems II Urteil festgehalten, dass Standardvertragsklauseln (SCCs) allein nicht ausreichen, wenn das Datenschutzniveau im Empfängerland strukturell nicht gleichwertig ist.

Das heißt nicht, dass die Nutzung dieser Dienste automatisch illegal ist. Es heißt, dass ein Restrisiko bleibt, das Unternehmen bewusst tragen, dokumentieren und abwägen müssen. Für Anwaltskanzleien, Steuerberater, Ärzte oder Unternehmen mit vertraglichen Geheimhaltungspflichten ist dieses Restrisiko oft nicht tragbar.

Was der EU AI Act zusätzlich fordert

Parallel zur DSGVO gilt seit August 2024 der EU AI Act, der schrittweise in Kraft tritt. Ein Teil der Regelungen gilt bereits jetzt, weitere folgen.

Seit dem 2. Februar 2025 ist eine Reihe von KI-Anwendungen in der EU verboten, darunter Social-Scoring-Systeme, biometrische Echtzeit-Identifizierung im öffentlichen Raum und Systeme zur Emotionserkennung am Arbeitsplatz. Seit demselben Datum gilt außerdem eine KI-Kompetenzpflicht nach Artikel 4 des AI Act: Unternehmen müssen sicherstellen, dass alle Mitarbeitenden die KI-Werkzeuge einsetzen, dafür ausreichend geschult sind. Das betrifft nicht nur IT-Teams, sondern jeden der täglich mit solchen Tools arbeitet.

Ab dem 2. August 2026 gelten alle Bestimmungen des AI Act vollständig, inklusive strenger Anforderungen an Hochrisiko-KI-Systeme. Hochrisiko ist breiter definiert als viele erwarten: KI im Personalwesen, in der Kreditvergabe, im Gesundheitswesen und in der Bildung fällt darunter. Die Bußgelder im AI Act liegen bei bis zu 40 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

DSGVO und AI Act laufen dabei parallel, sie ersetzen einander nicht. Wer KI einsetzt, muss beide einhalten.

Welche Daten besonders heikel sind

Artikel 9 der DSGVO definiert besondere Kategorien personenbezogener Daten, für die erhöhte Anforderungen gelten. Dazu gehören Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen und Daten aus dem Strafverfolgungsbereich.

Im Unternehmensalltag trifft das häufiger zu als man denkt. Eine Arztpraxis die Befundberichte analysieren lässt, ein Rechtsanwalt der Mandantenakten zusammenfasst, eine HR-Abteilung die Bewerbungsunterlagen durch ein KI-Tool schickt — all das berührt Artikel 9. Für diese Kategorien ist die Einwilligung der betroffenen Person oder eine andere explizite Ausnahme nach Artikel 9 Absatz 2 erforderlich. Ein AVV allein reicht nicht.

Selbst wenn keine Artikel-9-Daten im Spiel sind, gilt: Kundennamen in Kombination mit Auftragsdaten, Mitarbeiternamen mit Gehaltsangaben, oder auch nur IP-Adressen in Protokolldateien sind personenbezogene Daten im Sinne der DSGVO. Die Schwelle ist niedrig.

Was die Behörden bisher entschieden haben

Die österreichische Datenschutzbehörde ist in diesem Bereich aktiv. Im April 2024 hat noyb (None of your Business, ein österreichischer Datenschutzverein) Beschwerde gegen OpenAI bei der österreichischen DSB eingereicht. Vorwurf: ChatGPT gibt falsche Personendaten aus und verstößt damit gegen den Grundsatz der Datenrichtigkeit nach Artikel 5 DSGVO. Das Verfahren läuft.

Ebenfalls relevant ist eine DSB-Entscheidung zur Nutzung von Microsoft 365 Education an einer österreichischen Schule. Die Behörde stellte fest, dass Microsoft den vollständigen Datenzugang nicht gewährte und forderte Auskunft darüber, welche Daten an Drittanbieter wie LinkedIn, ChatGPT und Xandr fließen. Die Entscheidung ist zwar auf den Bildungsbereich bezogen, zeigt aber die Richtung: Die DSB interessiert sich dafür, wo Daten landen, auch wenn mehrere Dienstleister in der Kette stecken.

Auf europäischer Ebene hat die italienische Datenschutzbehörde OpenAI im Dezember 2024 mit einer Strafe von 15 Millionen Euro belegt, wegen mangelnder Transparenz bei der Datenverarbeitung und unzureichendem Schutz minderjähriger Nutzer. Seit 2018 haben europäische Behörden insgesamt über 5,88 Milliarden Euro an DSGVO-Bußgeldern verhängt.

Was lokale Infrastruktur löst — und was nicht

Wer KI-Modelle auf eigener Hardware im eigenen Netzwerk betreibt, löst einen Großteil dieser Probleme strukturell. Es gibt keinen externen Auftragsverarbeiter und damit keine AVV-Pflicht gegenüber einem Drittanbieter. Es gibt kein Schrems II Problem, weil keine Daten das Unternehmen verlassen. Es gibt keine Abhängigkeit von US-Recht, weil kein US-Unternehmen in der Datenverarbeitungskette steckt.

Das ersetzt aber nicht alle Pflichten. Die DSGVO gilt weiterhin intern: Ihr bleibt Verantwortliche für die Daten, die ihr verarbeitet. Eine DSFA kann trotzdem erforderlich sein, wenn das System für die betroffenen Personen ein hohes Risiko darstellt. Die KI-Kompetenzpflicht nach dem AI Act gilt unabhängig davon, wo das Modell läuft. Und Mitarbeitende müssen weiterhin geschult werden.

Was lokale Infrastruktur bietet, ist Kontrolle und Transparenz. Ihr wisst genau, welche Daten wo verarbeitet werden, wer Zugriff hat und was mit den Ergebnissen passiert. Das macht die Compliance-Dokumentation gegenüber der Datenschutzbehörde wesentlich einfacher, denn genau das wird im Ernstfall geprüft.

Eine praktische Checkliste

Bevor ein KI-System produktiv eingesetzt wird, sollten folgende Punkte geklärt sein:

  1. Werden personenbezogene Daten verarbeitet? Wenn ja, braucht es eine Rechtsgrundlage nach Art. 6 DSGVO.
  2. Wird ein externer Anbieter eingesetzt? Dann ist ein AVV nach Art. 28 DSGVO Pflicht, mit explizitem Ausschluss der Nutzung für Modelltraining.
  3. Stehen die Server in der EU, und ist der Anbieter nicht dem US CLOUD Act unterworfen? Das Restrisiko bei US-Unternehmen mit EU-Hosting muss dokumentiert und bewertet werden.
  4. Handelt es sich um besondere Datenkategorien nach Art. 9 DSGVO? Dann gelten erhöhte Anforderungen, ein AVV allein reicht nicht.
  5. Ist eine Datenschutz-Folgenabschätzung erforderlich? Bei KI-Systemen mit hohem Risiko ist das sehr häufig der Fall.
  6. Sind die Mitarbeitenden nach Art. 4 AI Act ausreichend geschult? Das gilt seit Februar 2025 für alle Unternehmen.
  7. Ist das KI-System im Verarbeitungsverzeichnis dokumentiert? Das ist eine eigene DSGVO-Pflicht nach Art. 30.

Diese Liste ist ein Ausgangspunkt, kein abschließendes Audit. Für eine vollständige Bewertung empfehlen wir, einen Datenschutzanwalt oder Datenschutzbeauftragten hinzuzuziehen.

Der nächste Schritt

Wenn ihr euch fragt, wie lokale KI-Infrastruktur konkret für euer Unternehmen aussehen könnte, helfen wir gerne dabei. Wir beraten zu Hardware, Modellauswahl und Setup, und stellen auch den Kontakt zu Datenschutzexperten her wenn gewünscht. Schreibt uns unter office@inhausi.at oder nutzt unseren Konfigurator für eine erste Einschätzung.

Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Die Rechtslage im Bereich KI und Datenschutz entwickelt sich laufend weiter. Für konkrete rechtliche Fragen empfehlen wir, einen auf Datenschutzrecht spezialisierten Anwalt oder einen externen Datenschutzbeauftragten beizuziehen. Alle Angaben ohne Gewähr, Stand April 2026.

← Alle Artikel