DSGVO-konformer KI-Einsatz in Österreich für Rechtsanwälte, Ärzte und KMU

KI in der EU datenschutzkonform betreiben: Leitfaden für Rechtsanwälte, Ärzte und KMU

Einführung

Künstliche Intelligenz (KI) bietet enorme Chancen in verschiedensten Bereichen – von effizienter Dokumentenrecherche in Kanzleien über diagnostische Unterstützung in der Medizin bis hin zu Automatisierung im Mittelstand. Gleichzeitig stellt der Einsatz von KI-Systemen neue Herausforderungen für den Datenschutz dar. In der Europäischen Union – und speziell in Österreich – ist die Datenschutz-Grundverordnung (DSGVO) der zentrale Rechtsrahmen, der auch beim KI-Einsatz strikt beachtet werden mussdsb.gv.at. Die österreichische Datenschutzbehörde (DSB) betont, dass KI-Anwendungen keine datenschutzfreie Zone sind: Verarbeitet ein KI-System personenbezogene Daten, gelten DSGVO und das österreichische Datenschutzgesetz (DSG) uneingeschränkt parallel zum KI-Einsatzdsb.gv.atdsb.gv.at. In diesem Beitrag beleuchten wir, wie KI DSGVO-konform betrieben werden kann. Wir richten uns dabei an drei Zielgruppen mit teils unterschiedlichen Anforderungen:

  • Rechtsanwältinnen und Rechtsanwälte (juristische Praxis)

  • Ärztinnen und Ärzte (medizinischer Bereich)

  • Kleine und mittlere Unternehmen (KMU)

Wir gehen auf die relevanten rechtlichen Vorgaben (DSGVO, DSG und branchenspezifische Vorschriften) ein, empfehlen technische und organisatorische Maßnahmen zur Einhaltung, und zeigen Best Practices für den sicheren, rechtskonformen KI-Einsatz – von Transparenz und Zweckbindung bis zu Datenschutz-Folgenabschätzung (DSFA). Abschließend erhalten alle drei Zielgruppen konkrete Hinweise, einschließlich Verweisen auf Tools, Standards und Behördenempfehlungen in Österreich.

Rechtliche Grundlagen: DSGVO, DSG und branchenspezifische Vorgaben

DSGVO und DSG: Die DSGVO verfolgt einen technologieneutralen Ansatz, d.h. sie gilt gleichermaßen für KI-Systeme wie für jede andere Datenverarbeitungdsb.gv.at. Wer KI einsetzt, muss alle DSGVO-Grundsätze einhaltenkt.at. Dazu zählen insbesondere Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeitdsb.gv.atdsb.gv.at. Diese Prinzipien gelten auch beim Einsatz von KI-Systemen und müssen von Verantwortlichen jederzeit nachweisbar erfüllt werdendsb.gv.atdsb.gv.at. Konkret bedeutet das u.a.:

  • Rechtsgrundlage: Für jede KI-gestützte Verarbeitung personenbezogener Daten braucht es eine gültige Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO (z. B. Einwilligung, Vertragserfüllung, rechtliche Verpflichtung oder berechtigtes Interesse)dsb.gv.at. Ohne Rechtsgrundlage ist die Datenverarbeitung – und damit auch der Einsatz der betreffenden KI – unzulässigkt.at.

  • Besondere Datenkategorien: Werden sensible Daten im Sinne des Art. 9 DSGVO verarbeitet (z. B. Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen), muss zusätzlich eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegendsb.gv.atkt.at. Die Hürden hierfür sind höher – etwa eine ausdrückliche Einwilligung der betroffenen Person, die Verarbeitung zur Gesundheitsvorsorge bzw. Behandlung durch medizinisches Personal oder zur Geltendmachung/Verteidigung von Rechtsansprüchendsb.gv.atdsb.gv.at.

Branchenspezifische Verschwiegenheitspflichten: Bestimmte Berufsgruppen unterliegen zusätzlichen gesetzlichen Geheimhaltungspflichten, die beim KI-Einsatz unbedingt zu berücksichtigen sind:

  • Rechtsanwälte: Gemäß § 9 der Rechtsanwaltsordnung (RAO) ist ein Rechtsanwalt zur Verschwiegenheit über alle ihm in seiner beruflichen Eigenschaft anvertrauten Informationen verpflichtetjusline.at. Diese anwaltliche Schweigepflicht darf durch den Einsatz von KI nicht unterlaufen werden – etwa indem vertrauliche Mandantendaten unkontrolliert an externe KI-Dienste gelangen. § 9 RAO schützt das Anwaltsgeheimnis so hoch, dass selbst die Betroffenenrechte aus der DSGVO (z. B. Auskunft nach Art. 15) unter bestimmten Umständen dahinter zurücktreten, um die Vertraulichkeit der Klientendaten zu wahrenjusline.at.

  • Ärztinnen und Ärzte: Für medizinische Berufe besteht eine ähnlich strenge Schweigepflicht. § 54 Abs. 1 Ärztegesetz verpflichtet Ärzt:innen und deren Hilfspersonal, über alle in Ausübung des Berufs anvertrauten oder bekannt gewordenen Geheimnisse strikt Stillschweigen zu bewahrenris.bka.gv.at. Patientendaten dürfen also nur im Rahmen der Behandlung und unter Beachtung des Datenschutzes verwendet werden. Die Verwendung von KI im Gesundheitsbereich muss dieser Verschwiegenheitspflicht Rechnung tragen – insbesondere bei externen Analysediensten ist Vorsicht geboten, damit keine unbefugte Offenlegung von Patientengeheimnissen erfolgt.

Ausblick EU-Regulierung: Zusätzlich zur DSGVO entsteht durch die neue EU-KI-Verordnung (AI Act) ein weiterer Rechtsrahmen. Diese Verordnung (formell angenommen im Mai 2024) regelt das Inverkehrbringen und den Betrieb von KI-Systemen in der EU in Zukunft umfassenddsb.gv.at. Wichtig zu betonen: Der AI Act ändert nichts an den Pflichten aus der DSGVO. Er stellt klar, dass die DSGVO und die Arbeit der Datenschutzbehörden parallel anwendbar bleiben, sobald personenbezogene Daten im Spiel sinddsb.gv.at. Unternehmen und Berufsgruppen müssen also beide Regime beachten: den AI Act (z.B. Pflichten für Hochrisiko-KI) und weiterhin vollumfänglich die DSGVO für den Datenschutz. Für datenschutzrechtliche Fragen rund um KI ist in Österreich nach wie vor die nationale Datenschutzbehörde zuständigdsb.gv.at.

Technische und organisatorische Maßnahmen zur Einhaltung der DSGVO

Eine DSGVO-konforme KI-Nutzung erfordert passende technische und organisatorische Maßnahmen (TOMs). Diese sollten „Privacy by Design“ berücksichtigen – Datenschutz also von Anfang an in die Technik integrieren – und laufend angepasst werden. Wichtige Maßnahmen sind:

  • Datensicherheit (Integrität und Vertraulichkeit): KI-Systeme müssen so betrieben werden, dass personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Leaks geschützt sinddsb.gv.at. Das umfasst moderne IT-Sicherheitsstandards: Verschlüsselung sensibler Daten, sichere Speicherung und Übertragung, Zugriffsbeschränkungen und regelmäßige Sicherheitsupdates. Beispielsweise sollten KI-Tools nur auf geschützten Servern betrieben oder vertrauenswürdige Cloud-Dienste genutzt werden, die hohen Sicherheitszertifizierungen entsprechen. (Ein Negativbeispiel zeigt die DSB in ihrem FAQ: Werden Dokumente in ein KI-Übersetzungstool hochgeladen und auf unsicheren Servern des Anbieters gespeichert, könnten Dritte unbefugt Zugriff auf diese personenbezogenen Daten erhaltendsb.gv.at – ein klarer DSGVO-Verstoß.)

  • Pseudonymisierung und Datenminimierung: Wann immer möglich, sollten personenbezogene Daten vor der Verarbeitung durch KI pseudonymisiert oder anonymisiert werden. Insbesondere beim Training von KI-Modellen ist zu prüfen, ob echte personenbezogene Daten wirklich nötig sind, oder ob sich Ersatzdatensätze (synthetische oder anonymisierte Daten) nutzen lassen. In Eingaben an generative KI (Prompts) sollten keine Klarnamen oder identifizierende Details enthalten sein, sofern diese für den Zweck nicht zwingend nötig sind. Dies reduziert das Risiko, dass sensible Informationen durch die KI gespeichert oder weiterverarbeitet werden. Einige spezialisierte KI-Lösungen bieten z.B. automatische Pseudonymisierung von Dokumenten an – so können Anwälte etwa Mandantendokumente vor Upload ins KI-System pseudonymisierenoerak.at.

  • Vertragsmanagement mit KI-Dienstleistern: Wenn externe KI-Dienste (Cloud-Services, API-Anbieter etc.) genutzt werden, ist datenschutzrechtlich fast immer ein Auftragsverarbeiter-Vertrag nach Art. 28 Abs. 3 DSGVO erforderlichkt.at. Das Unternehmen oder die Praxis bleibt Verantwortlicher, der KI-Anbieter fungiert als Auftragsverarbeiter – entsprechend müssen vertraglich u.a. Datenschutzstandards, Zweckbindung, Löschungspflichten und Weisungsrechte vereinbart werden. Prüfen Sie also vor Einsatz von KI-Tools unbedingt, ob der Anbieter einen DSGVO-konformen Auftragsverarbeitervertrag anbietet. Ist der Anbieter außerhalb der EU angesiedelt (etwa ein US-KI-Service), müssen zudem die Regeln zum Datenexport beachtet werden (insb. Angemessenheitsbeschluss oder Standardvertragsklauseln).

  • Interne Richtlinien und Mitarbeiter-Schulungen: Etablieren Sie klare interne Regeln für den Umgang mit KI im Unternehmen bzw. in der Kanzlei/Praxis. Die Datenschutzkonferenz (DSK) in Deutschland empfiehlt, bevor Mitarbeiter KI beruflich nutzen, eindeutige Vorgaben festzulegenkt.at. So sollte z.B. geregelt sein, welche Arten von Daten nicht in öffentliche KI-Systeme eingegeben werden dürfen (etwa vertrauliche Kundendaten), welche freigegebenen KI-Tools genutzt werden dürfen und wie Ergebnisse zu verifizieren sind. Schulungen sind essenziell, damit Mitarbeiter die Chancen und Risiken von KI verstehen. In Österreich rät etwa die Wirtschaftskammer (WKO), alle betroffenen Beschäftigten frühzeitig in KI-Themen einzuweisen und bietet dafür sogar einen “KI-Führerschein” (Weiterbildungsangebot) anwko.at. Dokumentieren Sie solche Schulungen, um Ihrer Rechenschaftspflicht nachzukommen.

  • Datenschutz-Management & Dokumentation: Ein KI-Projekt sollte von Anfang an ins Datenschutz-Managementsystem eingebettet sein. Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), in dem auch KI-gestützte Prozesse und Datenflüsse beschrieben sind – gerade wenn neue KI-Systeme eingeführt werden, muss das Verarbeitungsverzeichnis aktualisiert werdendsb.gv.atdsb.gv.at. Implementieren Sie außerdem Prozesse, um Betroffenenrechte (Auskunft, Löschung etc.) auch für KI-Daten zu erfüllen. Eine besondere organisatorische Rolle spielt ggf. der Datenschutzbeauftragte (DSB/O): Falls in Ihrer Organisation aufgrund von Kerntätigkeiten oder Umfang eine DSB-Pflicht besteht, binden Sie diese Person unbedingt in KI-Projekte ein.

Best Practices für einen sicheren, rechtskonformen KI-Einsatz

Über die formalen Anforderungen hinaus haben sich einige Best Practices herauskristallisiert, um KI sicher und datenschutzgerecht zu nutzen:

  • Transparenz & Information: Gestalten Sie den KI-Einsatz so transparent wie möglich. Betroffene Personen müssen verstehen können, wann und wie KI-Systeme ihre Daten verarbeitendsb.gv.at. Das beginnt mit klaren Datenschutzhinweisen: Beschreiben Sie in Ihrer Datenschutzerklärung, wenn etwa ein KI-Chatbot Kundendaten entgegennimmt oder medizinische Befunde KI-gestützt erstellt werden. In einer Arztpraxis könnte z.B. ein Aushang oder Patientenmerkblatt darauf hinweisen, dass zur Diagnoseunterstützung eine KI-Software eingesetzt wird – mit Erklärung, welche Daten dabei analysiert werden. Wichtig ist auch die Kennzeichnung von KI-generierten Inhalten: Die Österreichische Ärztekammer fordert beispielsweise, dass KI-gestützt erstellte Befundbilder in der Radiologie mit einem unauslöschlichen Wasserzeichen markiert werdenaerztekammer.at. So wird für Ärzte und Patienten klar erkennbar, welche Inhalte aus einer KI stammen. Generell gilt: Keine “Black Box” – Nutzer und Betroffene sollten so weit wie möglich nachvollziehen können, was die KI macht und warum.

  • Zweckbindung & Einschränkung der Nutzung: Halten Sie sich strikt an den erklärten Zweck der Datenverarbeitung. Personenbezogene Daten, die für Zweck X erhoben wurden, dürfen nicht einfach für KI-Zweck Y weitergenutzt werden, ohne die Betroffenen darüber zu informieren und – falls nötig – eine neue Rechtsgrundlage einzuholendsb.gv.atdsb.gv.at. Besonders kritisch ist dies bei generativen KI-Diensten: Prüfen Sie im Rahmen Ihrer Transparenzpflichten, ob Ein- und Ausgabedaten von der KI für Trainingszwecke weiterverwendet werdenkt.at. Falls ja, müssen Nutzer klar informiert werden und die Möglichkeit erhalten, dem Training mit ihren Daten zu widersprechenkt.at. Ist ein Opt-out nicht möglich und werden dennoch personenbezogene Daten verarbeitet, benötigen Sie zwingend eine gültige Rechtsgrundlage dafürkt.at – etwa eine Einwilligung der Betroffenen, die genau diesen Weiterverwendungszweck abdeckt. Ein Best Practice ist daher, KI-Dienste zu bevorzugen, die keine Nachnutzung von Kundendaten für fremde Zwecke betreiben (oder dies zumindest optional abschaltbar machen).

  • Datenschutz-Folgenabschätzung (DSFA): Beim KI-Einsatz liegt oft eine hohes Risiko für die Rechte und Freiheiten der Betroffenen nahe – etwa wenn mittels KI Profiling oder umfangreiche Analysen stattfinden. In solchen Fällen schreibt Art. 35 DSGVO vor Inbetriebnahme eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) vor. Prüfen Sie also bei jedem neuen KI-Projekt, ob es in einer “Muss-Liste” für DSFA-pflichtige Verarbeitungstätigkeiten aufgeführt ist. Die deutsche Datenschutzkonferenz listet z.B. KI-Anwendungen mit automatisierter Bewertung von Personen ausdrücklich als DSFA-pflichtig. In der Praxis bedeutet eine DSFA: Sie identifizieren die Risiken (z. B. Fehlentscheidungen der KI, Diskriminierungstendenzen, Datenlecks) und legen Maßnahmen zu deren Minimierung fest, bevor das System live geht. Dokumentieren Sie diese Analyse schriftlich. Die DSFA ist nicht nur Pflicht, sondern ein wertvolles Instrument, um bewusst einen sicheren KI-Einsatz zu gestalten. Bei Unsicherheiten können auch Tools wie die vom Europäischen Datenschutzausschuss veröffentlichten Checklisten für KI-Audits herangezogen werden, die dabei helfen, ein KI-System systematisch auf DSGVO-Konformität zu überprüfendsb.gv.at.

  • Qualitätskontrolle & menschliche Aufsicht: Selbst lernende KI ist nicht unfehlbar – das Stichwort lautet “halluzinierende” Systeme, die plausible, aber falsche Ausgaben erzeugen können. Deshalb verlangt das Richtigkeitsgebot (Art. 5 Abs. 1 lit. d DSGVO), dass Daten sachlich richtig und aktuell sein müssendsb.gv.at. Übertragen auf KI bedeutet das: Ergebnisse sollten, wo immer möglich, durch einen Menschen verifiziert werden, bevor darauf basierende Entscheidungen getroffen werden. Dies gilt besonders für automatisierte Entscheidungen im Sinne von Art. 22 DSGVO: Personen haben das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die sie rechtlich oder anderweitig erheblich beeinträchtigtkt.at. In der Praxis sollte daher bei wichtigen Entscheidungen (z.B. Kreditzusagen, Diagnosen, Personalentscheidungen) ein menschlicher Entscheidungsträger den KI-Vorschlag überprüfen und die Letztentscheidung treffen, anstatt blind der Maschine zu folgenkt.at. Für den öffentlichen Sektor ist in solchen Fällen sogar eine spezielle gesetzliche Grundlage erforderlichkt.at. Kurzum: KI kann unterstützen, aber die Verantwortung und finale Kontrolle bleiben beim Menschen.

  • Betroffenenrechte und Accountability: Richten Sie Prozesse ein, um auch beim KI-Einsatz alle Rechte der Betroffenen zu gewährleisten – von Auskunft über ihre Daten bis Berichtigung, Löschung oder Widerspruch. Gerade bei KI-Systemen ist es eine Herausforderung, z.B. Auskunft darüber zu geben, welche Informationen das System über eine Person nutzt und wie eine Entscheidung zustande kam. Arbeiten Sie daher an Erklärbarkeit: Können Sie zumindest in einfachen Worten erläutern, nach welchen Kriterien die KI entscheidet? Dokumentieren Sie zudem alle getroffenen Maßnahmen gründlich, um im Fall einer Prüfung durch die Datenschutzbehörde zeigen zu können, dass Sie Ihren Rechenschaftspflichten (Art. 5 Abs. 2 DSGVO) nachkommen. Die Beweislast für die DSGVO-Einhaltung liegt beim Verantwortlichenkt.at – durch saubere Dokumentation (Verträge, DSFA-Berichte, Schulungsnachweise etc.) sind Sie hier auf der sicheren Seite.

  • Orientierung an Standards und Empfehlungen: Nutzen Sie etablierte Standards und Hilfestellungen. Zum Beispiel können Sicherheitsstandards wie ISO/IEC 27001 (Informationssicherheit) oder branchenspezifische Leitlinien helfen, ein Grundniveau zu gewährleisten. In Österreich wurde die KI-Servicestelle bei der RTR GmbH eingerichtet – sie dient als Informationshub und Ansprechpartner zum Thema KIkt.at. Ebenso hat die österreichische Datenschutzbehörde ein umfangreiches FAQ zu KI & Datenschutz veröffentlichtwko.at, das laufend aktualisiert wird. Schauen Sie auch auf europäische Initiativen: Der Europäische Datenschutzausschuss (EDSA) erarbeitet gerade Leitlinien zu KI und Datenschutz, die demnächst publiziert werdendsb.gv.at. Für KMU hat der EDSA bereits einen Datenschutz-Leitfaden herausgegeben, der die wichtigsten Pflichten kompakt erklärt (in deutscher Übersetzung seit Sommer 2024 verfügbar)kt.atkt.at. Halten Sie sich über solche Ressourcen auf dem Laufenden – KI entwickelt sich rasant weiter, und ebenso die Best Practices für ihren sicheren Einsatz.

Nachfolgend betrachten wir nun spezielle Aspekte und Empfehlungen für unsere drei Zielgruppen: Jurist:innen, Mediziner:innen und KMU.

KI-Einsatz in der Rechtsberatung (Rechtsanwältinnen und Rechtsanwälte)

Für Rechtsanwältinnen und Rechtsanwälte steht bei der Nutzung von KI vor allem eines im Vordergrund: die Wahrung der anwaltlichen Verschwiegenheitspflicht und der Schutz sensibler Mandantendaten. Einige Punkte, die in Kanzleien besonders beachtet werden sollten:

  • Keine Kompromisse bei Vertraulichkeit: Anwaltsgeheimnisse dürfen nicht “versehentlich” an Dritte geraten – dies schließt auch KI-Anbieter mit ein. Wenn Sie etwa erwägen, generative KI (Chatbots, Textgeneratoren) für Entwürfe oder Recherchen einzusetzen, laden Sie keinesfalls unkontrolliert vertrauliche Dokumente oder personenbezogene Mandantendaten hoch, ohne sicherzustellen, dass diese Daten geschützt bleiben. Bedenken Sie: Viele frei zugängliche KI-Dienste (z.B. große Sprachmodelle) übertragen Eingaben an Server außerhalb der EU und nutzen sie womöglich für Trainingszwecke – was aus Datenschutz- und Geheimhaltungssicht hochproblematisch ist. Im Zweifel verzichten Sie eher auf den KI-Einsatz mit Echtdaten oder anonymisieren/pseudonymisieren den Input vorher. Die Anwaltskammer selbst setzt auf datenschutzkonforme Lösungen: So wurde mit “AI:ssociate” ein österreichischer KI-Assistent vorgestellt, der speziell für Jurist:innen entwickelt wurde. Er arbeitet auf Basis einer kuratierten Datenbank österreichischer Gesetze und Judikatur und steht für DSGVO-Konformität sowie die Einhaltung der anwaltlichen Verschwiegenheitoerak.at. Dieser Ansatz – lokale oder spezialisierte KI-Systeme zu nutzen, bei denen Daten unter eigener Kontrolle bleiben – kann für Kanzleien sinnvoller sein als Public-Cloud-KIs.

  • Rechtsgrundlagen im juristischen Kontext: In der Rechtsberatung werden oft besonders schützenswerte Informationen verarbeitet (etwa Angaben über Straftaten, Gesundheitszustand eines Mandanten in einem Fall, politische Meinung in Asylverfahren usw.). Bei der Verarbeitung solcher besonderen Kategorien personenbezogener Daten stützt sich ein Rechtsanwalt in der Regel auf Art. 9 Abs. 2 lit. f DSGVO – die Verarbeitung ist erlaubt, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (und geeignete Geheimhaltung gewährleistet wird). Diese Norm bildet oft die Grundlage dafür, dass Anwälte z.B. sensible Unterlagen in einem Gerichtsverfahren nutzen dürfen. Aber Achtung: Wenn nun eine KI diese Daten verarbeitet (z.B. eine Software, die automatisch Klagedokumente durchforstet oder Prognosen über Prozessausgänge liefert), muss dieser Verwendungsschritt ebenfalls unter diese Zweckbindung fallen. Prüfen Sie im Einzelfall genau, ob der Einsatz der KI wirklich notwendig ist, um den Mandantenanspruch zu verfolgen, und dokumentieren Sie Ihre Einschätzung. Im Zweifel holen Sie eine Einwilligung des Mandanten für die KI-Verarbeitung ein, insbesondere wenn externe Dienstleister eingebunden werden.

  • Automatisierte Entscheidungen vermeiden: In juristischen Kontexten sollten Entscheidungen nie vollständig automatisiert nur von einer KI getroffen werden, wenn sie für die Partei rechtliche Wirkung haben. Art. 22 DSGVO würde dem entgegenstehen, außer der Mandant hat ausdrücklich zugestimmt oder es liegt eine gesetzliche Erlaubnis vor. Praktisch heißt das: Eine KI kann z.B. eine Risikoeinschätzung abgeben (etwa über die Erfolgsaussicht einer Klage), aber derdie AnwaltAnwältin muss das Ergebnis prüfen und verantworten. Die letzte Entscheidung – ob man klagt, wie man argumentiert – darf nicht blind an den Algorithmus delegiert werden.

  • Datenschutzorganisation in der Kanzlei: Viele Anwaltskanzleien sind kleine Einheiten ohne eigenen IT-Stab. Dennoch sollte es auch hier Richtlinien zur KI-Nutzung geben. Legen Sie z.B. fest, wer neue Legal-Tech-Tools evaluieren darf, wie mit Mandantendaten im digitalen Raum umzugehen ist und wann die Kanzleileitung/der Datenschutzbeauftragte einzubinden ist. Achten Sie darauf, Up-to-date zu bleiben: Die Rechtsanwaltskammern und Fachmedien informieren regelmäßig über neue Entwicklungen (etwa sichere Alternativen zu gängigen KI-Toolstechmar.at). Nutzen Sie diese Informationen, um Ihre Kanzlei-IT und Arbeitsweise laufend anzupassen.

Zusammengefasst: Für Anwält:innen kann KI eine wertvolle Hilfe sein (z.B. beim Durchsuchen großer Dokumentenmengen oder Entwerfen von Textbausteinen), sofern Datenschutz und Verschwiegenheit absolut gewährleistet sind. Im Zweifel sollte immer die sicherste Option gewählt werden – lieber auf ein Feature verzichten, als Mandantendaten zu gefährden.

KI-Einsatz im Gesundheitswesen (Ärztinnen und Ärzte)

Im medizinischen Bereich trifft der KI-Einsatz auf besonders sensible Daten und ein besonderes Vertrauensverhältnis zwischen Arzt und Patient. Entsprechend hoch sind die Anforderungen an Datenschutz und Ethik. Worauf sollten Ärztinnen und Ärzte achten?

  • Patientendaten und Rechtsgrundlagen: Gesundheitsdaten gehören zu den sensibelsten überhaupt, geschützt durch Art. 9 DSGVO und nationale Regeln. Im Behandlungsalltag ist die Verarbeitung dieser Daten zulässig, wenn sie zur medizinischen Diagnose oder Behandlung erforderlich ist (Art. 9 Abs. 2 lit. h DSGVO) – dabei wird vorausgesetzt, dass diese Verarbeitung durch medizinisches Personal unter Schweigepflicht erfolgt. Setzt eine Ärztin nun KI ein, etwa zur Analyse von MRT-Bildern oder zur Unterstützung bei der Anamnese, fällt das grundsätzlich in den Bereich der Behandlung und ist damit vom genannten Erlaubnistatbestand gedeckt, sofern die KI als Werkzeug der Ärztin unter deren Aufsicht agiert. Achten Sie jedoch darauf, dass der Zweck klar definiert bleibt: Die Daten der Patienten dürfen nur für die Behandlung genutzt werden. Möchten Sie KI etwa zusätzlich für Forschungszwecke auf Patientendaten ansetzen (z.B. um ein Modell zu trainieren, das Krankheiten vorhersagt), so ist dies ein anderer Zweck und bedarf entweder der ausdrücklichen Einwilligung der Patienten oder einer gesetzlichen Forschungsgrundlage. Hier greift in Österreich ggf. § 2d DSG (Datenschutzgesetz), der Forschungserleichterungen vorsieht – allerdings stets unter strengen Sicherheitsvorkehrungen. Im Zweifel holen Sie eine Einwilligung ein, wenn Daten außerhalb der direkten Patientenversorgung mit KI analysiert werden sollen.

  • Einhaltung der ärztlichen Schweigepflicht: Gemäß § 54 ÄrzteG gilt die ärztliche Verschwiegenheitspflicht uneingeschränkt auch bei elektronischer Verarbeitungris.bka.gv.at. Wenn Sie also externe KI-Dienste nutzen (z.B. einen Cloud-Dienst zur Auswertung von Röntgenbildern), stellen Sie sicher, dass kein unbefugter Dritter Zugriff auf Patientendaten erhält. Ein Auftragsverarbeitervertrag mit dem KI-Anbieter ist Pflicht, aber oft nicht genug: Prüfen Sie die technischen Sicherheitsmaßnahmen des Dienstes. Idealerweise sollten medizinische Daten nur in pseudonymisierter Form an externe KI-Systeme gehen – etwa indem Patientenname und eindeutige ID getrennt gehalten werden. Einige KI-Anwendungen erlauben es, lokal im Krankenhaus/Praxisnetzwerk zu laufen, sodass die Daten das eigene System gar nicht verlassen – solche Lösungen sind datenschutzfreundlicher. Beachten Sie auch, dass Patienten ein hohes Vertrauen in Sie setzen: Transparenz ist daher zentral. Erklären Sie auf Nachfrage, welche KI-Tools Sie einsetzen und warum, und versichern Sie, dass alle Datenschutzregeln eingehalten werden.

  • KI als Unterstützung, nicht als Arzt-Ersatz: Aktuell kommen KI-Systeme in der Medizin vor allem als Diagnose- oder Entscheidungsunterstützung zum Einsatz (z.B. Bilderkennung in der Radiologie, Therapievorschläge anhand von Algorithmen). Hier gilt: Die letzte Verantwortung liegt immer bei der Ärztin bzw. dem Arztaerztekammer.at. Die Österreichische Ärztekammer hat klargestellt, dass Ärzt:innen in neue KI-Tools voll eingebunden sein müssen und deren Implementierung mitgestalten sollenaerztekammer.at. Das heißt praktisch: Wenn ein KI-System beispielsweise einen Befund vorschlägt, muss der Arzt diesen Befund prüfen, plausibilisieren und freigeben. Es darf nicht passieren, dass eine Maschine quasi unbemerkt Diagnosen stellt, die dann ungeprüft in Patientenakten oder Entlassungsbriefe wandern. Ebenso sollte ein Behandlungspfad nicht nur wegen einer KI-Empfehlung geändert werden, ohne ärztliche Abwägung. Halten Sie deshalb ihre diagnostischen/therapeutischen Entscheidungen nachvollziehbar fest – wenn Sie aufgrund eines KI-Hinweises handeln, dokumentieren Sie dies und den medizinischen Grund, warum Sie dem folgen oder auch bewusst davon abweichen.

  • Datenschutz-Folgenabschätzung in Kliniken/Praxen: Viele medizinische KI-Anwendungen könnten aufgrund der sensiblen Daten und möglichen Auswirkungen als hoch riskant einzustufen sein. Ein Krankenhaus, das etwa KI zur Patienten-Triage einsetzt, muss vorab eine DSFA durchführen. Gleiches gilt, wenn eine Praxis einen KI-Dienst nutzt, der systematisch Gesundheitsdaten auswertet. Die DSFA hilft, Risiken wie Fehlalarme, Bias (z.B. dass der Algorithmus bei bestimmten Patientengruppen systematisch schlechter ist) und Datenschutzprobleme (z.B. was passiert bei falscher Diagnose? wie wird der Patient informiert?) zu identifizieren und zu mitigieren. Oft werden solche DSFAs auch von Behörden eingefordert, sollte es später zu Kontrollen kommen.

  • Behördliche und fachliche Leitlinien: Orientieren Sie sich an Empfehlungen offizieller Stellen. In Österreich arbeitet z.B. die Gesundheitstelematik/ELGA-Aufsicht an Richtlinien für sichere Gesundheits-IT – KI wird dort mit betrachtet. Die Ärztekammer selbst hat das Thema KI priorisiertaerztekammer.at; es lohnt sich, Positionspapiere der ÖÄK zu verfolgen. International gibt es zusätzlich Ethik-Leitlinien für KI in der Medizin (Stichwort “Trustworthy AI”), die zwar nicht gesetzlich bindend sind, aber gute Maßstäbe liefern (z.B. das Prinzip der Gerechtigkeit, um Diskriminierung durch KI zu vermeiden, oder das Prinzip der Transparenz). Letztlich geht es darum, dass technischer Fortschritt und Patientenschutz Hand in Hand gehen – als Ärztin oder Arzt tragen Sie hier eine doppelte Verantwortung.

KI-Einsatz in kleinen und mittleren Unternehmen (KMU)

Auch für KMU bieten KI-Technologien spannende Möglichkeiten – von Chatbots im Kundenservice über automatische Übersetzung bis hin zu Datenanalyse-Tools. Gerade kleinere Unternehmen müssen dabei aber sorgfältig vorgehen, um Datenschutzverstöße zu vermeiden, denn sie verfügen oft nicht über große Rechtsabteilungen. Hier einige Empfehlungen speziell für KMU:

  • Geeignete KI-Tools auswählen: Die Marktauswahl an KI-Diensten ist riesig – KMU sollten sehr bewusst auswählen, welche Tools datenschutzkonform einsetzbar sind. Bevor Sie einen Dienst nutzen, klären Sie: Wo werden die Daten verarbeitet? (EU-Rechenzentrum oder Drittland?), Welche Daten fließen ein? (müssen Sie personenbezogene Kundendaten eingeben oder geht es auch ohne?), Was macht der Anbieter mit den Daten? (Nutzt er sie für eigene Zwecke weiter, z.B. Training, oder garantiert er die Löschung?). Im Idealfall entscheiden Sie sich für Anbieter mit Sitz in der EU bzw. solche, die ausdrücklich DSGVO-Compliance zusichern. Die WKO und andere Stellen veröffentlichen regelmäßig Übersichten zu “DSGVO-sicheren” KI-Alternativentechmar.at – ein Blick darauf kann sich lohnen. Im Zweifel holen Sie technischen oder juristischen Rat ein, bevor Sie ein Tool auf produktive Daten loslassen.

  • Interne Sensibilisierung: In KMU kommt es häufiger vor, dass Mitarbeiter eigeninitiativ Tools ausprobieren. Hier ist Vorsicht geboten: Schaffen Sie Bewusstsein im Team, dass nicht jedes trendige KI-Tool ohne Freigabe genutzt werden darf. Ein oft genanntes Szenario: Mitarbeiter kopieren Texte oder Tabellen mit Kundendaten in einen Online-Chatbot, um Zusammenfassungen oder Übersetzungen zu bekommen – und merken nicht, dass sie damit möglicherweise vertrauliche Daten an Dritte weitergeben. Um solche Vorfälle zu verhindern, sollten KMU möglichst einfache Guidelines an die Hand geben: z.B. “Niemals personenbezogene Daten in nicht freigegebene KI-Dienste eingeben” oder “Für KI-Anfragen immer anonymisierte Testdaten nutzen”. Die WKO stellt hierfür Muster-Richtlinien bereitwko.atwko.at, die KMU an ihre Bedürfnisse anpassen können. Auch Schulungsangebote (wie erwähnte KI-Führerscheine oder Webinarewko.at) sind gerade für KMU sinnvoll, um Know-how aufzubauen.

  • Schrittweise Einführung & Tests: Führen Sie KI-Lösungen in Ihrem Betrieb schrittweise ein. Testen Sie neue Anwendungen zuerst mit harmlosen Daten, beobachten Sie die Ergebnisse und prüfen Sie die Einhaltung der Datenschutzanforderungen im kleinen Rahmen. Beispielsweise könnten Sie einen KI-gestützten Chatbot erst intern testen, bevor er auf echte Kundendaten losgelassen wird. Nutzen Sie ggf. Sandboxing-Optionen (Testumgebungen der Anbieter). Dokumentieren Sie diese Tests – im Falle einer späteren Überprüfung zeigt das, dass Sie sorgfältig vorgegangen sind (Stichwort Accountability).

  • Datenminimierung bei Kundenangeboten: Wenn Sie KI direkt in kundenorientierten Services einsetzen (z.B. auf Ihrer Website einen KI-Chat für Besucher anbieten), achten Sie darauf, so wenige personenbezogene Daten wie möglich zu verarbeiten. Vielleicht lässt sich der Anwendungsfall auch ohne Speicherung von Namen oder Adressen realisieren. Oder Sie können einstellen, dass Chatverläufe nicht gespeichert werden. Machen Sie außerdem in der Datenschutzerklärung deutlich, welche KI-Komponente im Spiel ist und was mit den eingegebenen Informationen passiert – damit erfüllen Sie Ihre Informationspflicht und stärken das Vertrauen der Kunden. Gegebenenfalls muss der Kunde sogar zustimmen (Einwilligung), etwa wenn eine profilbildende KI eingesetzt wird; holen Sie diese Einwilligung in einem sauberen Opt-in-Verfahren ein.

  • Externe Hilfestellen nutzen: KMU müssen das Rad nicht neu erfinden. Nutzen Sie Ressourcen von Kammern und Behörden: Die WKO hat einen ausführlichen KI-Leitfaden für KMU publiziertwko.at, inklusive praktischer Beispiele und Checklisten. Die österreichische Datenschutzbehörde steht für Fragen zur Verfügung und hat FAQs veröffentlicht. Oft bieten auch Branchenverbände spezifische Tipps (z.B. für Handelsbetriebe oder für Handwerker, je nachdem wo KI zum Einsatz kommt). Und nicht zuletzt: Peer-Learning – tauschen Sie sich mit anderen Unternehmern aus, welche Erfahrungen sie mit KI-Tools und Datenschutz gemacht haben.

Fazit für KMU: KI kann auch kleinen Unternehmen einen Innovationsschub geben, aber Datenschutz muss von Anfang an mitgedacht werdenedpb.europa.eu. Wer frühzeitig die richtigen Weichen stellt – bei Toolauswahl, Verträgen, internen Regeln – kann moderne KI-Lösungen nutzen, ohne in die typischen Fallen (Datenlecks, DSGVO-Strafen, Kundenvertrauensverlust) zu tappen.

Fazit

Künstliche Intelligenz DSGVO-konform zu betreiben, ist zweifellos anspruchsvoll – doch mit dem richtigen Wissen und Maßnahmen ist es machbar. Wichtig ist ein ganzheitlicher Ansatz: Rechtliche Anforderungen kennen und einhalten, Technik sicher konfigurieren, Abläufe im Unternehmen/Praxis anpassen und immer wieder überprüfen, ob die Datenverarbeitung noch auf Kurs ist. Die EU-Datenschutzbehörden haben klargestellt, dass neue Technologien wie KI kein rechtsfreier Raum sindkt.atkt.at. Zugleich entstehen neue Hilfsmittel: von Audit-Checklistendsb.gv.at über KI-Servicestellenkt.at bis hin zu Branchen-Guidelines. Machen Sie davon Gebrauch und bleiben Sie informiert – die Entwicklungen bei KI und Regulierung schreiten schnell voran.

Letztlich gilt: Datenschutz und KI können Hand in Hand gehen, wenn wir die Prinzipien von Transparenz, Zwecktauglichkeit und Sicherheit beherzigen. Wer diese Aspekte von Anfang an berücksichtigt, wird KI erfolgreich, verantwortungsvoll und im Einklang mit europäischen Datenschutzstandards einsetzen können – zum Vorteil der Kanzlei, der Praxis oder des Unternehmens und der geschützten Rechte der Menschen, deren Daten verarbeitet werden.

Scroll to Top