DEV Community

Cover image for KI für KMU: Ethik und Datenschutz richtig umsetzen
Unternehmen-digitalisieren.at
Unternehmen-digitalisieren.at

Posted on • Originally published at unternehmen-digitalisieren.at

KI für KMU: Ethik und Datenschutz richtig umsetzen

#kifrkmu #dsgvoki #euaiact #kiberatungkmu

KI für KMU ist 2026 Alltag – aber wie steht es um die Spielregeln?

Künstliche Intelligenz ist in österreichischen Klein- und Mittelbetrieben angekommen. Chatbots beantworten Kundenanfragen, Algorithmen optimieren Lagerbestände, und generative KI erstellt Angebotstexte in Sekunden. Doch mit jeder neuen Anwendung stellt sich eine zentrale Frage: Welche rechtlichen und ethischen Leitplanken gelten – und wie setzen Betriebe mit fünf bis fünfzig Mitarbeitenden diese praktisch um?

Dieser Artikel liefert einen strukturierten Orientierungsrahmen: vom EU AI Act über die DSGVO-Anforderungen bis zu konkreten Schritten, die KI für kleine Unternehmen verantwortungsvoll und rechtskonform machen.

Der EU AI Act: Was seit Februar 2025 gilt und was 2026 kommt

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Regelwerk für Künstliche Intelligenz. Seine Bestimmungen treten schrittweise in Kraft:

  • Seit Februar 2025: Verbote für bestimmte KI-Praktiken (z. B. Social Scoring, unterschwellige Manipulation) sind wirksam.
  • Ab August 2025: Transparenzpflichten für allgemeine KI-Modelle (General Purpose AI) greifen – das betrifft auch Anbieter großer Sprachmodelle, die KMU als Grundlage nutzen.
  • Ab August 2026: Die vollständigen Regeln für Hochrisiko-KI-Systeme werden durchsetzbar.

Was bedeutet das für einen typischen KMU-Betrieb?

Die meisten KI-Anwendungen in KMU – etwa ein Chatbot auf der Website, eine automatisierte Angebotsvorlage oder ein KI-gestütztes Buchungssystem – fallen nicht in die Hochrisiko-Kategorie. Dennoch gibt es Pflichten, die bereits jetzt gelten:

  1. Transparenzpflicht: Wenn Kundinnen und Kunden mit einem KI-System interagieren (z. B. Chatbot), muss das erkennbar sein.
  2. Kennzeichnung von KI-generierten Inhalten: Synthetische Texte, Bilder oder Videos, die veröffentlicht werden, müssen als KI-generiert gekennzeichnet werden können.
  3. Dokumentationspflicht: Betriebe sollten dokumentieren, welche KI-Systeme sie einsetzen, wofür und mit welchen Daten.

Betriebe, die KI in sensibleren Bereichen nutzen – etwa für die Vorauswahl von Bewerbungen oder für Bonitätsprüfungen – bewegen sich näher am Hochrisiko-Bereich und sollten die Anforderungen ab August 2026 besonders im Blick haben.

DSGVO und KI: Wo der Datenschutz konkret wird

Die DSGVO ist nicht neu, aber ihre Anwendung auf KI-Systeme wirft nach wie vor Fragen auf, die für KI-Beratung im KMU-Umfeld zentral sind. Die österreichische Datenschutzbehörde (DSB) hat in den vergangenen Monaten mehrfach klargestellt, dass bestehende DSGVO-Grundsätze uneingeschränkt für KI-Anwendungen gelten.

Die fünf kritischen Punkte für KMU

DSGVO-Grundsatz Bedeutung für KI im KMU Praktisches Beispiel
Rechtsgrundlage Jede Verarbeitung personenbezogener Daten durch KI braucht eine Rechtsgrundlage (Art. 6 DSGVO). Ein KI-Tool, das Kundendaten analysiert, braucht entweder Einwilligung oder ein berechtigtes Interesse – dokumentiert und abgewogen.
Zweckbindung Daten, die für einen Zweck erhoben wurden, dürfen nicht ohne Weiteres für KI-Training oder andere Zwecke verwendet werden. Kontaktdaten aus dem CRM dürfen nicht automatisch in ein externes KI-Tool fließen, das damit sein Modell trainiert.
Datenminimierung Nur die Daten verarbeiten, die tatsächlich nötig sind. Ein Chatbot braucht keine vollständige Kundenhistorie, um eine Öffnungszeitfrage zu beantworten.
Transparenz Betroffene müssen wissen, dass und wie KI ihre Daten verarbeitet. Datenschutzerklärung aktualisieren, wenn ein neues KI-Tool eingeführt wird.
Automatisierte Einzelentscheidung (Art. 22) Entscheidungen mit rechtlicher Wirkung dürfen nicht rein automatisiert getroffen werden. Ein KI-System, das Kreditanfragen automatisch ablehnt, wäre ohne menschliche Überprüfung problematisch.

Auftragsverarbeitung: Der blinde Fleck vieler Betriebe

Ein Punkt, der in der Praxis häufig übersehen wird: Wenn ein KMU ein externes KI-Tool nutzt – etwa eine Cloud-basierte Textgenerierung oder ein KI-gestütztes CRM –, liegt in der Regel eine Auftragsverarbeitung vor. Das erfordert einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Viele internationale KI-Anbieter stellen standardisierte AVVs bereit. Die entscheidende Frage für österreichische Betriebe: Wo werden die Daten verarbeitet? Seit den Angemessenheitsbeschlüssen für den EU-US Data Privacy Framework gelten Transfers in die USA unter bestimmten Bedingungen als zulässig – die Rechtslage bleibt aber dynamisch und sollte regelmäßig geprüft werden.

Ethische Leitplanken: Mehr als nur Compliance

Recht und Ethik sind nicht dasselbe. Ein KI-Einsatz kann rechtskonform sein und trotzdem Fragen aufwerfen, die das Vertrauen von Kundinnen, Kunden und Mitarbeitenden betreffen. Gerade für kleinere Betriebe, deren Geschäftsmodell stark auf persönlichen Beziehungen basiert – Handwerk, Gastronomie, Steuerberatung, Arztpraxen –, ist dieses Vertrauen ein zentraler Wert.

Drei ethische Grundsätze für den KI-Einsatz im Betrieb

  • Menschliche Aufsicht bewahren: KI trifft keine Entscheidungen über Menschen. Sie bereitet Informationen auf, das Team entscheidet. Eine Tischlerei, die KI für die Materialbedarfsplanung nutzt, prüft das Ergebnis – der Meister gibt die Bestellung frei, nicht der Algorithmus.
  • Fairness sicherstellen: KI-Systeme können Verzerrungen (Bias) aus ihren Trainingsdaten übernehmen. Ein Beispiel: Ein Bewerbungstool, das historische Einstellungsentscheidungen gelernt hat, könnte bestimmte Gruppen systematisch benachteiligen. Wer KI in der Personalarbeit einsetzt, sollte die Ergebnisse regelmäßig auf Muster prüfen.
  • Offene Kommunikation: Mitarbeitende einbinden, bevor ein neues KI-Tool eingeführt wird. Nicht, weil es das Gesetz verlangt (obwohl der Betriebsrat mitbestimmungspflichtig sein kann), sondern weil Akzeptanz entsteht, wenn Fragen vorab beantwortet werden. KI ist ein Werkzeug, das das Team von Routinearbeit entlastet – diese Botschaft kommt besser an, wenn sie vor der Einführung kommuniziert wird.

Praktische Checkliste: KI verantwortungsvoll einführen

Für Betriebe, die KI-Projekte planen oder bereits laufende Systeme überprüfen möchten, bietet sich ein strukturierter Durchlauf an:

  1. Bestandsaufnahme: Welche KI-Tools sind bereits im Einsatz? Auch kostenlose Dienste, die Mitarbeitende eigenständig nutzen (Stichwort Schatten-IT), erfassen.
  2. Datenfluss-Analyse: Welche Daten fließen in das KI-System? Sind personenbezogene Daten darunter? Wohin werden sie übertragen?
  3. Rechtsgrundlage prüfen: Gibt es für jede Datenverarbeitung eine dokumentierte Rechtsgrundlage?
  4. AVV prüfen: Liegt ein Auftragsverarbeitungsvertrag mit dem Anbieter vor? Ist der Verarbeitungsort dokumentiert?
  5. Datenschutzerklärung aktualisieren: Werden die KI-Anwendungen in der Datenschutzerklärung erwähnt?
  6. Risikoklasse bestimmen: Fällt das System unter den EU AI Act als Hochrisiko-System? Im Zweifelsfall KI-Beratung für KMU hinzuziehen.
  7. Team informieren: Wurde das Team über den Einsatz, den Zweck und die Grenzen des KI-Tools informiert?
  8. Regelmäßige Überprüfung planen: Mindestens halbjährlich prüfen, ob sich Anbieter-AGB, Datenverarbeitungsorte oder Funktionen geändert haben.

Häufige Fehler – und wie KMU sie vermeiden

Manche Stolpersteine tauchen in der KI-Beratung für KMU immer wieder auf. Hier die häufigsten:

  • Kundendaten in kostenlose KI-Tools kopieren. Wer Kundennamen, E-Mail-Adressen oder Auftragsdaten in ein allgemein zugängliches KI-Tool eingibt, riskiert einen DSGVO-Verstoß. Viele kostenlose Versionen nutzen eingegebene Daten zur Modellverbesserung – das steht oft nur im Kleingedruckten. Die Lösung: Business-Versionen mit AVV verwenden oder Daten anonymisieren, bevor sie eingegeben werden.
  • Datenschutzerklärung nicht aktualisieren. Jedes neue KI-Tool, das personenbezogene Daten verarbeitet, gehört in die Datenschutzerklärung. Das wird häufig vergessen – und ist einer der häufigsten Beanstandungsgründe bei Beschwerden.
  • Keine interne Richtlinie. Ohne klare Regeln nutzt jeder Mitarbeitende KI nach eigenem Ermessen. Ein einfaches internes Dokument – zwei bis drei Seiten, die festhalten, welche Tools erlaubt sind, welche Daten eingegeben werden dürfen und wer Ansprechperson ist – schafft Klarheit und reduziert Risiken.

Förderungen für Beratung und Umsetzung nutzen

Gerade weil die Anforderungen komplex wirken, gibt es in Österreich Unterstützungsangebote. Das Förderprogramm KMU.DIGITAL bietet Beratungsleistungen und Umsetzungsprojekte im Bereich Digitalisierung – einschließlich Datenschutz und IT-Sicherheit. Auch die aws (Austria Wirtschaftsservice) und die FFG (Forschungsförderungsgesellschaft) bieten Programme, die KI-Projekte in KMU begleiten können.

Der Schlüssel: Betriebe, die Geschäftsprozesse digitalisieren und dabei KI integrieren, können Beratungskosten für Datenschutz-Checks und technische Umsetzung häufig anteilig fördern lassen. Die genauen Förderhöhen und Konditionen ändern sich regelmäßig – ein Blick auf die aktuellen Ausschreibungen lohnt sich.

2026 ist nicht 2023: Was sich verändert hat

Noch vor drei Jahren war KI für viele KMU ein Thema für Technologiekonzerne. Stand Mai 2026 sieht die Realität anders aus:

  • Die Werkzeuge sind niedrigschwelliger geworden. No-Code-Automatisierungen, KI-gestützte CRM-Systeme und branchenspezifische Software mit eingebauter KI sind für Betriebe ab fünf Mitarbeitenden zugänglich und finanzierbar.
  • Der Rechtsrahmen ist konkreter. Der EU AI Act schafft – bei aller Komplexität – erstmals Planungssicherheit. KMU wissen jetzt, welche Regeln gelten, statt in einer Grauzone zu operieren.
  • Die Erwartungen sind gestiegen. Kundinnen und Kunden erwarten schnelle Antworten, personalisierte Angebote und reibungslose Prozesse. Betriebe, die KI verantwortungsvoll einsetzen, können diese Erwartungen erfüllen, ohne ihr Qualitätsversprechen zu verwässern.

Können Sie sich den alten Weg – manuelle Prozesse, unklare Datenpraktiken, keine internen Richtlinien – heute noch leisten? Die Vorreiter der Branche haben ihre Hausaufgaben gemacht. Der Vorsprung lässt sich noch aufholen, aber das Fenster wird kleiner.

Fazit: Verantwortung ist kein Bremsklotz, sondern ein Qualitätsmerkmal

KI für KMU verantwortungsvoll umzusetzen, ist kein Hindernis für Innovation – es ist eine Voraussetzung dafür. Betriebe, die Datenschutz und Ethik von Anfang an mitdenken, schaffen Vertrauen bei Kundinnen und Kunden, vermeiden kostspielige Nachbesserungen und positionieren sich als Unternehmen, denen man seine Daten anvertrauen kann.

Die Anforderungen sind überschaubar, wenn sie systematisch angegangen werden. Bestandsaufnahme, Datenfluss-Analyse, AVV, interne Richtlinie – das sind keine Mammutprojekte, sondern konkrete Schritte, die sich in wenigen Wochen umsetzen lassen. Und für die professionelle Begleitung gibt es Förderungen, die genau dafür gedacht sind.

Top comments (0)