DEV Community

Cover image for Datenschutz und KI im Handwerk: Was 2026 wirklich gilt
Unternehmen-digitalisieren.at
Unternehmen-digitalisieren.at

Posted on • Originally published at unternehmen-digitalisieren.at

Datenschutz und KI im Handwerk: Was 2026 wirklich gilt

#dsgvoki #kisystemefrhandwerksbetriebe #datenschutzhandwerk #euaiact

Rechtliche Unsicherheit ist einer der häufigsten Gründe, warum Handwerksbetriebe bei der Einführung von KI-Systemen zögern. Dabei ist die Lage klarer, als viele denken: Die DSGVO bildet seit 2018 den Rahmen für den Umgang mit personenbezogenen Daten, und der EU AI Act – dessen wesentliche Pflichten seit Februar 2025 schrittweise in Kraft treten – ergänzt diesen Rahmen um spezifische Regeln für Künstliche Intelligenz. Wer diese beiden Regelwerke versteht, kann KI-Systeme für Handwerksbetriebe rechtssicher einsetzen und gleichzeitig das Vertrauen von Kundinnen und Kunden stärken.

Warum Datenschutz im Handwerk 2026 wichtiger ist denn je

Noch vor wenigen Jahren war der Datenschutz im Handwerk überschaubar: Kundenkartei, Rechnungen, vielleicht eine Excel-Liste mit Kontaktdaten. Heute sieht die Realität anders aus. CRM-Systeme speichern Kommunikationsverläufe, Terminplanungs-Tools verarbeiten Kontaktdaten automatisiert, und KI-gestützte Angebotserstellung greift auf historische Auftragsdaten zurück.

Jeder dieser Schritte berührt die DSGVO – und damit die Pflichten, die ein Betrieb gegenüber Betroffenen hat. Die gute Nachricht: Ein Handwerksbetrieb mit 5 bis 50 Mitarbeitenden muss kein juristisches Großprojekt aufsetzen. Wer ein paar Grundregeln beachtet, ist auf der sicheren Seite.

DSGVO und KI: Was Handwerksbetriebe konkret beachten müssen

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten – unabhängig davon, ob ein Mensch oder ein KI-System diese Verarbeitung durchführt. Das bedeutet: Wenn ein KI-Tool Kundendaten verarbeitet (etwa um Angebote zu erstellen, Termine zu planen oder E-Mails zu beantworten), gelten dieselben Regeln wie bei jeder anderen Software.

Die sechs Kernpflichten im Überblick

  1. Rechtsgrundlage klären: Jede Datenverarbeitung braucht eine Rechtsgrundlage – bei Handwerksbetrieben meist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder das berechtigte Interesse (Art. 6 Abs. 1 lit. f).
  2. Informationspflicht erfüllen: Kundinnen und Kunden müssen wissen, dass und wie ihre Daten verarbeitet werden. Die Datenschutzerklärung auf der Website ist ein Minimum – bei KI-Einsatz sollte sie um einen Hinweis auf automatisierte Verarbeitung ergänzt werden.
  3. Verarbeitungsverzeichnis führen: Betriebe ab 250 Mitarbeitenden sind verpflichtet, eines zu führen – aber auch kleinere Betriebe müssen es anlegen, wenn die Verarbeitung regelmäßig erfolgt. Bei CRM- und KI-Tools ist das praktisch immer der Fall.
  4. Auftragsverarbeitung vertraglich regeln: Wenn ein externer KI-Dienst (etwa ein Cloud-basiertes Tool) Daten verarbeitet, braucht es einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Seriöse Anbieter stellen diesen standardmäßig bereit.
  5. Datensparsamkeit einhalten: Nur die Daten erfassen und an KI-Systeme übergeben, die tatsächlich benötigt werden. Keine vollständigen Kundendossiers in ein Textgenerierungs-Tool laden, wenn nur der Name und die Auftragsbeschreibung nötig sind.
  6. Betroffenenrechte sicherstellen: Auskunft, Löschung, Berichtigung – diese Rechte gelten auch für Daten, die ein KI-System verarbeitet hat.

Praxisbeispiel (illustrativ): KI-gestützte Angebotserstellung

Ein typisches Szenario: Ein Tischlereibetrieb nutzt ein KI-Tool, das aus vergangenen Aufträgen automatisch Kostenvoranschläge generiert. Das Tool greift auf Kundennamen, Adressen, bisherige Auftragssummen und Materiallisten zu.

Was datenschutzrechtlich zu tun ist:

  • AVV mit dem Tool-Anbieter abschließen (meist digital per Klick verfügbar)
  • Datenschutzerklärung um den Hinweis auf automatisierte Angebotserstellung ergänzen
  • Zugriffsbeschränkung: Nur berechtigte Mitarbeitende sollen das Tool nutzen können
  • Löschkonzept: Daten ehemaliger Kundinnen und Kunden nach Ablauf der gesetzlichen Aufbewahrungsfristen auch aus dem KI-System entfernen

Der EU AI Act: Was ab 2026 für KMU gilt

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Regulierungswerk für Künstliche Intelligenz. Die Verordnung folgt einem risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen.

Für die meisten KI-Systeme, die in Handwerksbetrieben zum Einsatz kommen – Textgenerierung, Terminplanung, Angebotskalkulation, Chatbots für die Kundenkommunikation – gilt: Sie fallen in die Kategorie minimales oder begrenztes Risiko. Das bedeutet im Wesentlichen Transparenzpflichten, aber keine aufwändigen Zertifizierungsverfahren.

Risikokategorien des EU AI Act – vereinfacht

Risikostufe Beispiele Pflichten für den Betrieb
Unannehmbares Risiko Soziale Bewertungssysteme, manipulative KI Verboten – kommt im Handwerk nicht vor
Hohes Risiko KI in der Personalauswahl, biometrische Identifikation Umfangreiche Dokumentations- und Prüfpflichten
Begrenztes Risiko Chatbots, Textgeneratoren, Bildgeneratoren Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren
Minimales Risiko Spam-Filter, automatische Rechtschreibprüfung Keine besonderen Pflichten

Was „Transparenzpflicht" konkret heißt

Wenn ein Handwerksbetrieb einen KI-Chatbot auf seiner Website einsetzt, muss erkennbar sein, dass es sich um ein KI-System handelt – nicht um einen Menschen. Ein einfacher Hinweis wie „Dieser Chat wird von einem KI-Assistenten betrieben" genügt in der Regel.

Ebenso gilt: Wird KI-generierter Text in der Kundenkommunikation eingesetzt (etwa automatisch generierte E-Mail-Antworten), sollte dies kenntlich gemacht werden. Hier geht es nicht um bürokratische Hürden, sondern um Vertrauensbildung – ein Wert, der gerade im Handwerk zentral ist.

Häufige Irrtümer: Was viele Betriebe falsch einschätzen

Rund um DSGVO und KI kursieren Annahmen, die in der Praxis zu unnötiger Verunsicherung führen. Hier die wichtigsten Klarstellungen:

  • „KI-Tools sind grundsätzlich nicht DSGVO-konform." – Falsch. Ob ein Tool DSGVO-konform ist, hängt von der konkreten Konfiguration und dem Anbieter ab, nicht von der Technologie selbst. Europäische Cloud-Anbieter oder Anbieter mit zertifizierten EU-Rechenzentren bieten in der Regel DSGVO-konforme Lösungen an.
  • „Wir brauchen einen Datenschutzbeauftragten, sobald wir KI einsetzen." – Nicht automatisch. In Österreich ist ein Datenschutzbeauftragter erst ab bestimmten Schwellenwerten verpflichtend (etwa wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht). Für einen typischen Handwerksbetrieb ist das selten der Fall – eine freiwillige Benennung kann aber sinnvoll sein.
  • „Der EU AI Act betrifft nur große Tech-Unternehmen." – Teilweise richtig: Die strengsten Pflichten treffen vor allem Anbieter und Hersteller von Hochrisiko-KI. Aber auch Betriebe, die KI-Systeme nutzen (der AI Act spricht von „Betreibern"), haben Pflichten – vor allem bei Hochrisiko-Anwendungen. Für typische Handwerks-Anwendungen bleiben die Pflichten überschaubar.
  • „Kundendaten dürfen gar nicht in KI-Tools eingegeben werden." – Falsch. Es kommt darauf an, welche Daten, zu welchem Zweck und mit welchen Schutzmaßnahmen. Mit AVV, Datensparsamkeit und sauberer Konfiguration ist der Einsatz rechtlich möglich.

Schritt für Schritt: Rechtssicherheit im Handwerk herstellen

Wer KI-Systeme für den eigenen Handwerksbetrieb einführen möchte, kann mit einer strukturierten Checkliste vorgehen. Diese Schritte decken die wichtigsten DSGVO- und AI-Act-Anforderungen ab:

Checkliste für den rechtssicheren KI-Einsatz

  • [ ] Bestandsaufnahme: Welche personenbezogenen Daten verarbeiten wir bereits? Welche sollen in KI-Systeme einfließen?
  • [ ] Tool-Auswahl: Bevorzugt Anbieter mit EU-Rechenzentren und vorbereiteten AVVs auswählen
  • [ ] AVV abschließen: Bei jedem externen KI-Tool prüfen, ob ein Auftragsverarbeitungsvertrag vorliegt
  • [ ] Datenschutzerklärung aktualisieren: Hinweis auf KI-gestützte Verarbeitung ergänzen
  • [ ] Verarbeitungsverzeichnis erweitern: KI-Tools als neue Verarbeitungstätigkeit eintragen
  • [ ] Zugriffsrechte definieren: Wer darf welche Daten in welches Tool eingeben?
  • [ ] Transparenz sicherstellen: Chatbots und automatisierte Kommunikation als KI kennzeichnen
  • [ ] Löschkonzept integrieren: Auch in KI-Systemen müssen Daten nach Fristablauf löschbar sein
  • [ ] Mitarbeitende schulen: Kurze Einweisung zu Datensparsamkeit und Umgang mit KI-Tools

Diese Checkliste lässt sich in den meisten Fällen innerhalb weniger Arbeitstage abarbeiten – kein monatelanges Projekt, sondern eine überschaubare organisatorische Aufgabe.

Förderungen nutzen: Datenschutz-Beratung wird in Österreich gefördert

Was viele Betriebe nicht wissen: Die Kosten für Datenschutz-Beratung und die rechtssichere Einführung digitaler Werkzeuge können in Österreich gefördert werden. Das Programm KMU.DIGITAL der WKO unterstützt unter anderem Beratungsleistungen zur Digitalisierung – und dazu gehört auch die DSGVO-konforme Integration von KI-Systemen.

Ebenso können über die aws (Austria Wirtschaftsservice) und die FFG Fördermittel für Digitalisierungsprojekte beantragt werden, die eine rechtliche Begleitung einschließen. Wer also die Einführung von KI-Systemen mit einer professionellen Datenschutz-Prüfung verbindet, kann einen Teil der Kosten über öffentliche Mittel abdecken.

Der Unterschied zwischen 2023 und 2026: Klarere Regeln, weniger Grauzone

Noch 2023 war die Rechtslage bei KI und Datenschutz tatsächlich unübersichtlich. Der EU AI Act existierte nur als Entwurf, die DSGVO-Auslegung bei KI-Anwendungen war stark einzelfallabhängig, und viele Datenschutzbehörden äußerten sich nur vage.

Stand Mai 2026 hat sich das Bild deutlich geklärt:

  • Der EU AI Act ist in Kraft, die Risikokategorien sind definiert, und die Pflichten für Betreiber von KI-Systemen mit begrenztem Risiko sind konkret und umsetzbar.
  • Die österreichische Datenschutzbehörde hat in mehreren Entscheidungen und Leitfäden klargestellt, unter welchen Bedingungen Cloud-basierte KI-Dienste DSGVO-konform einsetzbar sind.
  • Tool-Anbieter haben ihre Produkte an die neuen Anforderungen angepasst: AVVs sind Standard, EU-Hosting ist verfügbar, und Datensparsamkeits-Funktionen (etwa die Möglichkeit, Kundendaten vor der KI-Verarbeitung zu anonymisieren) sind in vielen Tools integriert.

Die Grauzone von früher ist einer klareren Struktur gewichen. Für Handwerksbetriebe, die 2026 KI-Systeme einführen, ist das ein Vorteil: Der Weg ist definiert, die Anforderungen sind proportional zur Betriebsgröße, und die Werkzeuge sind ausgereift.

Datenschutz als Vertrauensfaktor – nicht als Bremse

Gerade im Handwerk lebt das Geschäft von Vertrauen. Kundinnen und Kunden geben persönliche Daten weiter – Adresse, Raummaße, Fotos der eigenen Wohnung, Terminwünsche. Ein transparenter Umgang mit diesen Daten ist kein bürokratisches Hindernis, sondern ein Qualitätsmerkmal.

Betriebe, die offen kommunizieren, wie sie KI einsetzen und wie sie Daten schützen, schaffen einen Differenzierungsfaktor, der in einer zunehmend digitalisierten Branche an Bedeutung gewinnt. Können Sie sich leisten, diesen Vertrauensvorsprung nicht zu nutzen?

Wer Geschäftsprozesse digitalisieren und gleichzeitig rechtssicher bleiben möchte, findet in der Kombination aus DSGVO-Grundlagen, EU-AI-Act-Konformität und bewährten Datenschutz-Praktiken ein solides Fundament. Die Hürde ist niedriger, als es auf den ersten Blick scheint – und der Nutzen reicht weit über die reine Compliance hinaus.

Top comments (0)