Künstliche Intelligenz (KI) bietet enorme Chancen in verschiedensten Bereichen – von effizienter Dokumentenrecherche in Kanzleien über diagnostische Unterstützung in der Medizin bis hin zu Automatisierung im Mittelstand. Gleichzeitig stellt der Einsatz von KI-Systemen neue Herausforderungen für den Datenschutz dar.
In der Europäischen Union – und speziell in Österreich – ist die Datenschutz-Grundverordnung (DSGVO) der zentrale Rechtsrahmen, der auch beim KI-Einsatz strikt beachtet werden muss. Die österreichische Datenschutzbehörde (DSB) betont: Verarbeitet ein KI-System personenbezogene Daten, gelten DSGVO und das österreichische Datenschutzgesetz (DSG) uneingeschränkt parallel zum KI-Einsatz.
Dieser Leitfaden richtet sich an drei Zielgruppen:
- Rechtsanwältinnen und Rechtsanwälte (juristische Praxis)
- Ärztinnen und Ärzte (medizinischer Bereich)
- Kleine und mittlere Unternehmen (KMU)
Wir gehen auf die relevanten rechtlichen Vorgaben (DSGVO, DSG und branchenspezifische Vorschriften) ein, empfehlen technische und organisatorische Maßnahmen zur Einhaltung und zeigen Best Practices für den sicheren, rechtskonformen KI-Einsatz – von Transparenz und Zweckbindung bis zu Datenschutz-Folgenabschätzung (DSFA).
Rechtliche Grundlagen: DSGVO, DSG und branchenspezifische Vorgaben
Die DSGVO verfolgt einen technologieneutralen Ansatz, d.h. sie gilt gleichermaßen für KI-Systeme wie für jede andere Datenverarbeitung. Wer KI einsetzt, muss alle DSGVO-Grundsätze einhalten – insbesondere Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.
Rechtsgrundlagen und besondere Datenkategorien
- Rechtsgrundlage (Art. 6 Abs. 1 DSGVO): Für jede KI-gestützte Verarbeitung personenbezogener Daten braucht es eine gültige Rechtsgrundlage – z. B. Einwilligung, Vertragserfüllung, rechtliche Verpflichtung oder berechtigtes Interesse. Ohne Rechtsgrundlage ist die Datenverarbeitung unzulässig.
- Besondere Datenkategorien (Art. 9 DSGVO): Werden sensible Daten verarbeitet (Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen), muss zusätzlich eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegen. Die Hürden sind deutlich höher – etwa ausdrückliche Einwilligung oder Verarbeitung zur Gesundheitsvorsorge.
Branchenspezifische Verschwiegenheitspflichten
§ 9 RAO Anwaltliche Schweigepflicht Rechtsanwälte sind zur Verschwiegenheit über alle in beruflicher Eigenschaft anvertrauten Informationen verpflichtet. Diese Pflicht darf durch den KI-Einsatz nicht unterlaufen werden.
§ 54 ÄrzteG Ärztliche Verschwiegenheit Ärztinnen und Ärzte sowie Hilfspersonal sind verpflichtet, über alle in Ausübung des Berufs anvertrauten oder bekannt gewordenen Geheimnisse strikt Stillschweigen zu bewahren.
Ausblick: EU-KI-Verordnung (AI Act)
Der AI Act (formell angenommen Mai 2024) ändert nichts an den DSGVO-Pflichten – beide Regime gelten parallel. Unternehmen müssen den AI Act (z.B. Pflichten für Hochrisiko-KI) und vollumfänglich die DSGVO beachten. Für datenschutzrechtliche Fragen ist in Österreich weiterhin die nationale Datenschutzbehörde (dsb.gv.at) zuständig.
Technische und Organisatorische Maßnahmen (TOMs)
Eine DSGVO-konforme KI-Nutzung erfordert passende technische und organisatorische Maßnahmen. Diese sollten „Privacy by Design" berücksichtigen – Datenschutz also von Anfang an in die Technik integrieren – und laufend angepasst werden.
Datensicherheit & Vertraulichkeit
Verschlüsselung, sichere Speicherung, Zugriffsbeschränkungen und regelmäßige Sicherheitsupdates. KI-Tools nur auf geschützten Servern oder vertrauenswürdigen, zertifizierten Cloud-Diensten betreiben.
Pseudonymisierung & Datenminimierung
Personenbezogene Daten vor der KI-Verarbeitung pseudonymisieren oder anonymisieren. In Prompts keine Klarnamen oder identifizierende Details – nur was zwingend nötig ist.
Auftragsverarbeiter-Vertrag (AVV)
Bei externen KI-Diensten zwingend ein AVV nach Art. 28 Abs. 3 DSGVO abschließen. Datenschutzstandards, Zweckbindung, Löschungspflichten und Weisungsrechte vertraglich fixieren.
Interne Richtlinien & Schulungen
Klare Regeln: Welche Daten dürfen in welche KI-Tools? Welche Tools sind freigegeben? Wie werden Ergebnisse verifiziert? Schulungen dokumentieren für die Rechenschaftspflicht.
Datenschutz-Management & Dokumentation
KI-Verarbeitungen ins Verzeichnis nach Art. 30 DSGVO aufnehmen. Betroffenenrechte (Auskunft, Löschung) auch für KI-Daten gewährleisten. Datenschutzbeauftragten einbinden wenn Pflicht besteht.
DSFA – Datenschutz-Folgenabschätzung
Bei hohem Risiko (Profiling, automatisierte Entscheidungen, sensible Daten) vor Inbetriebnahme eine DSFA nach Art. 35 DSGVO durchführen. Risiken identifizieren, Maßnahmen festlegen und schriftlich dokumentieren.
Best Practices für einen sicheren, rechtskonformen KI-Einsatz
Über die formalen Anforderungen hinaus haben sich diese Best Practices herauskristallisiert, um KI sicher und datenschutzgerecht zu nutzen:
Transparenz & Information
KI-Einsatz in der Datenschutzerklärung beschreiben. Patienten, Mandanten und Kunden informieren, wann und wie KI ihre Daten verarbeitet. KI-generierte Inhalte kennzeichnen – keine "Black Box".
Zweckbindung & Nutzungseinschränkung
Daten nur für den erklärten Zweck nutzen. Prüfen, ob KI-Dienste Eingaben für Training verwenden – Opt-out ermöglichen oder Einwilligung einholen. EU-Dienste ohne Datenweitergabe bevorzugen.
Datenschutz-Folgenabschätzung (DSFA)
Bei Profiling, automatisierten Entscheidungen oder sensiblen Daten: DSFA vor Inbetriebnahme. Risiken identifizieren, Maßnahmen festlegen, schriftlich dokumentieren. EDSA-Checklisten nutzen.
Qualitätskontrolle & menschliche Aufsicht
KI kann "halluzinieren". Ergebnisse durch Menschen verifizieren, bevor Entscheidungen getroffen werden. Letztverantwortung bleibt immer beim Mensch – nie blind der Maschine folgen.
Betroffenenrechte & Accountability
Prozesse für Auskunft, Berichtigung, Löschung und Widerspruch auch bei KI einrichten. Alle Maßnahmen dokumentieren für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Orientierung an Standards & Empfehlungen
ISO/IEC 27001 als Sicherheitsbasis nutzen. KI-Servicestelle der RTR GmbH und DSB-FAQs konsultieren. EDSA-Leitlinien zu KI & Datenschutz verfolgen und umsetzen.
DSGVO-konforme KI für Rechtsanwälte in Kärnten
Für Rechtsanwältinnen und Rechtsanwälte steht bei der Nutzung von KI vor allem eines im Vordergrund: die Wahrung der anwaltlichen Verschwiegenheitspflicht und der Schutz sensibler Mandantendaten.
Wichtig: Kein versehentlicher Datentransfer
Viele frei zugängliche KI-Dienste übertragen Eingaben an Server außerhalb der EU und nutzen sie womöglich für Trainingszwecke – aus Datenschutz- und Geheimhaltungssicht hochproblematisch. Im Zweifel auf Echtdaten in öffentlichen KI-Diensten verzichten oder vorher anonymisieren.
§ 9 RAO Vertraulichkeit absolut wahren
Keine unkontrollierten vertraulichen Dokumente oder Mandantendaten in externe KI-Dienste hochladen. Spezialisierte, DSGVO-konforme Lösungen bevorzugen – wie etwa der österreichische KI-Assistent AI:ssociate, bei dem Daten unter eigener Kontrolle bleiben und Dokumente automatisiert pseudonymisiert werden können.
Art. 9 Abs. 2 lit. f DSGVO Rechtsgrundlagen im juristischen Kontext
In der Rechtsberatung werden oft besonders schützenswerte Informationen verarbeitet. Prüfen Sie im Einzelfall, ob der KI-Einsatz wirklich notwendig für den Mandantenanspruch ist. Dokumentieren Sie Ihre Einschätzung. Im Zweifel: Einwilligung des Mandanten einholen, insbesondere bei externen Dienstleistern.
Art. 22 DSGVO Keine vollautomatisierten Entscheidungen
KI kann z.B. eine Risikoeinschätzung abgeben, aber der Anwalt muss das Ergebnis prüfen und verantworten. Die finale Entscheidung – ob man klagt, wie man argumentiert – darf nicht blind an den Algorithmus delegiert werden.
Art. 5 Abs. 2 DSGVO Datenschutzorganisation in der Kanzlei
Richtlinien zur KI-Nutzung festlegen: Wer darf neue Legal-Tech-Tools evaluieren? Wie sind Mandantendaten im digitalen Raum zu behandeln? Wann sind Kanzleileitung oder Datenschutzbeauftragter einzubinden? Rechtsanwaltskammern informieren regelmäßig über sichere Alternativen.
Zusammengefasst: Für Anwält:innen kann KI eine wertvolle Hilfe sein – z.B. beim Durchsuchen großer Dokumentenmengen oder Entwerfen von Textbausteinen – sofern Datenschutz und Verschwiegenheit absolut gewährleistet sind. Im Zweifel lieber auf ein Feature verzichten, als Mandantendaten zu gefährden.
DSGVO-konforme KI für Ärzte in Kärnten
Im medizinischen Bereich trifft der KI-Einsatz auf besonders sensible Daten und ein besonderes Vertrauensverhältnis zwischen Arzt und Patient. Entsprechend hoch sind die Anforderungen an Datenschutz und Ethik.
Art. 9 Abs. 2 lit. h DSGVO Patientendaten & Rechtsgrundlagen
KI als Werkzeug der Ärztin unter deren Aufsicht ist durch den Behandlungszweck gedeckt. Für Forschungszwecke auf Patientendaten ist jedoch eine separate Einwilligung oder gesetzliche Forschungsgrundlage erforderlich. In Österreich greift ggf. § 2d DSG für Forschungserleichterungen.
§ 54 ÄrzteG Ärztliche Schweigepflicht einhalten
Medizinische Daten idealerweise nur in pseudonymisierter Form an externe KI-Systeme übergeben. Lokale Lösungen bevorzugen, bei denen Daten das eigene System nicht verlassen. Auftragsverarbeitervertrag (AVV) mit KI-Anbietern zwingend abschließen.
ÖÄK-Position KI als Unterstützung – nie als Arzt-Ersatz
Die Österreichische Ärztekammer betont: Ärzte müssen in neue KI-Tools voll eingebunden sein und deren Implementierung mitgestalten. KI-Befunde prüfen, plausibilisieren und freigeben. KI-generierte Befundbilder (z.B. Radiologie) mit Wasserzeichen kennzeichnen.
Art. 35 DSGVO DSFA für medizinische KI-Anwendungen
Viele medizinische KI-Anwendungen (MRT-Analyse, KI-Triage, Diagnoseunterstützung) sind DSFA-pflichtig. Risiken wie Fehlalarme, Diskriminierungstendenzen und Datenschutzprobleme vorab identifizieren, dokumentieren und durch Maßnahmen mitigieren.
Letztlich geht es darum, dass technischer Fortschritt und Patientenschutz Hand in Hand gehen. Als Ärztin oder Arzt tragen Sie hier eine doppelte Verantwortung – gegenüber dem Patienten und gegenüber dem Gesetz.
KI-Einsatz in kleinen und mittleren Unternehmen (KMU)
KI-Technologien bieten auch KMU spannende Möglichkeiten – von Chatbots im Kundenservice über automatische Übersetzung bis hin zu Datenanalyse-Tools. Gerade kleinere Unternehmen müssen dabei sorgfältig vorgehen, da sie oft nicht über große Rechtsabteilungen verfügen.
Geeignete KI-Tools auswählen
Klären vor dem Einsatz: Wo werden Daten verarbeitet (EU-Rechenzentrum oder Drittland)? Was macht der Anbieter mit den Daten – nutzt er sie für Training? DSGVO-konforme Anbieter mit EU-Sitz bevorzugen. WKO und KI-Servicestelle der RTR GmbH bieten Übersichten zu sicheren Alternativen.
Internes Team sensibilisieren
Einfache, klare Guidelines: "Niemals personenbezogene Daten in nicht freigegebene KI-Dienste eingeben." Häufiges Risiko: Mitarbeiter kopieren Kundendaten in öffentliche Chatbots für Zusammenfassungen – ohne zu merken, dass sie vertrauliche Daten an Dritte weitergeben. WKO stellt Muster-Richtlinien bereit.
Schrittweise Einführung & Tests
Neue KI-Lösungen zuerst mit harmlosen Testdaten prüfen. Sandboxing-Optionen der Anbieter nutzen. Alle Tests dokumentieren – zeigt bei Behördenprüfungen sorgfältiges Vorgehen und erfüllt die Accountability-Pflicht.
Datenminimierung bei Kundenangeboten
Wenn KI direkt in kundenorientierten Services eingesetzt wird (z.B. Chatbot auf Website): So wenige personenbezogene Daten wie möglich verarbeiten. In der Datenschutzerklärung transparent kommunizieren, welche KI-Komponente im Einsatz ist. Bei profilbildender KI: Opt-in-Einwilligung einholen.
Externe Ressourcen nutzen
KMU müssen das Rad nicht neu erfinden. WKO-Leitfaden für KMU (inkl. Checklisten), DSB-FAQs zu KI & Datenschutz, KI-Servicestelle der RTR GmbH – alles kostenlos verfügbar. Basic4web begleitet Sie als lokaler IT-Partner in Kärnten.
Fazit für KMU
DSGVO-konforme KI kann auch kleinen Unternehmen einen Innovationsschub geben – aber Datenschutz muss von Anfang an mitgedacht werden. Wer frühzeitig die richtigen Weichen stellt, kann moderne KI-Lösungen nutzen, ohne in typische Fallen (Datenlecks, DSGVO-Strafen, Vertrauensverlust) zu tappen.
Fazit: Datenschutz und KI gehen Hand in Hand
Künstliche Intelligenz DSGVO-konform zu betreiben ist anspruchsvoll – doch mit dem richtigen Wissen und Maßnahmen ist es machbar. Wichtig ist ein ganzheitlicher Ansatz: Rechtliche Anforderungen kennen und einhalten, Technik sicher konfigurieren, Abläufe anpassen und regelmäßig prüfen, ob die Datenverarbeitung noch auf Kurs ist.
Datenschutz und KI können Hand in Hand gehen, wenn die Prinzipien von Transparenz, Zwecktauglichkeit und Sicherheit beherzigt werden. Wer diese Aspekte von Anfang an berücksichtigt, wird KI erfolgreich, verantwortungsvoll und im Einklang mit europäischen Datenschutzstandards einsetzen können.
- Rechtliche Anforderungen (DSGVO + AI Act) kennen und laufend einhalten
- Technik sicher konfigurieren – Privacy by Design umsetzen
- Abläufe in Unternehmen, Kanzlei oder Praxis anpassen und dokumentieren
- Regelmäßig prüfen, ob die Datenverarbeitung noch auf Kurs ist
- Neue Hilfsmittel (EDSA-Checklisten, DSB-FAQs, KI-Servicestelle) nutzen
Offizielle Ressourcen & Behörden (Österreich)
Thomas Kohlweiss – Ihr Experte für DSGVO-konforme KI in Kärnten
Ing. Dipl.-Ing. · Geschäftsführer & Gründer
„Datenschutz und Künstliche Intelligenz schließen sich nicht aus. Durch bewusste Auswahl dsgvo-konformer Systeme, konsequente Datenminimierung und klare interne Leitlinien können Rechtsanwälte, Ärzte und KMU die enormen Vorteile von KI rechtssicher und vertrauensvoll ausschöpfen.“
Häufige Fragen zu DSGVO & KI
Wann müssen KMU in Österreich eine Datenschutz-Folgenabschätzung für KI durchführen?
Eine Datenschutz-Folgenabschätzung ist immer dann zwingend erforderlich, wenn der Einsatz von KI hohe Risiken birgt, wie etwa bei der automatisierten Bewertung von Personen oder der Verarbeitung sensibler Daten.
Wie betreiben Kanzleien und Ärzte ChatGPT oder Claude dsgvo-konform?
Für eine dsgvo-konforme Nutzung in sensiblen Bereichen müssen Eingaben vorab anonymisiert und Verträge zur Auftragsverarbeitung mit den Anbietern geschlossen werden, die eine Nutzung der Daten zu Trainingszwecken ausschließen.
Welche Rolle spielt der EU AI Act für österreichische KMU?
Der EU AI Act stuft KI-Systeme nach Risikoklassen ein und legt strenge Vorgaben fest, die parallel zur bestehenden DSGVO von Unternehmen eingehalten werden müssen.
Gibt es lokale Cloud-Alternativen für datenschutzfreundliche KI-Modelle?
Ja, europäische Anbieter wie Mistral AI und Aleph Alpha oder lokal auf eigenen Servern gehostete Open-Source-Modelle bieten hervorragende und datenschutzkonforme Alternativen.
Welche Behörde kontrolliert die Einhaltung des Datenschutzes bei KI in Österreich?
Die Einhaltung aller datenschutzrechtlichen Vorgaben beim Einsatz von Künstlicher Intelligenz wird in Österreich von der nationalen Datenschutzbehörde überwacht.
KI-Strategie für Ihr Unternehmen entwickeln?
Basic4web begleitet Kärntner Unternehmen, Kanzleien und Praxen bei der sicheren KI-Implementierung – rechtlich korrekt, technisch sauber, praxisnah. Kostenlose Erstberatung inklusive.