Inhaltsverzeichnis

    Eine HR-Managerin öffnet ChatGPT und lädt eine Tabelle mit Krankenstandstagen hoch, um die Abwesenheitsquote zu analysieren. Ein Geschäftsführer lässt Personio automatisch Bewerbungen vorselektieren. Beides wirkt harmlos — beides kann ein ernstes rechtliches Problem sein, wenn die Voraussetzungen nicht stimmen.

    In Österreich gelten beim KI-Einsatz im Personalbereich drei Rechtsschichten gleichzeitig: die EU-DSGVO, das österreichische Datenschutzgesetz (DSG) und das Arbeitsverfassungsgesetz (ArbVG). Das macht die Situation komplexer als in Deutschland oder rein EU-rechtlichen Überblicken dargestellt — und das ist der Grund, warum generische DSGVO-Ratgeber für österreichische KMU oft nicht weit genug gehen.

    Dieser Artikel macht keine Panikmache. Er gibt Ihnen aber klare Orientierung: Was ist erlaubt, was braucht Vorbereitung, und was ist durch den kommenden EU AI Act noch im Fluss.

    Warum Mitarbeiterdaten besonders schützenswert sind

    Personenbezogene Daten im HR-Kontext sind keine gewöhnlichen Geschäftsdaten. Sie umfassen Namen, Gehälter, Fehlzeiten, Leistungsbeurteilungen und interne Kommunikation — Informationen, die direkt in das Leben der betroffenen Person eingreifen.

    Besonders sensibel sind die sogenannten „besonderen Kategorien“ nach Art. 9 DSGVO: Gesundheitsdaten (Krankenstand, ärztliche Atteste), Daten zur Gewerkschaftsmitgliedschaft oder zur ethnischen Herkunft. Für diese gilt ein erhöhter Schutzbedarf — und die Verarbeitung ist nur unter engen Voraussetzungen zulässig.

    Wenn solche Daten in ein KI-Tool fließen, entstehen neue Risiken: Das Tool kann die Daten für Modelltraining nutzen, sie protokollieren (Logging) oder an Server in Drittstaaten übermitteln. All das passiert oft im Hintergrund — und ist ohne vertragliche Absicherung nicht kontrollierbar.

    Österreich-spezifisch kommt hinzu: Der Datenschutz hat nach § 1 DSG Verfassungsrang. Das ist kein formales Detail — es gibt dem Thema in der österreichischen Rechtspraxis besonderes Gewicht und beeinflusst, wie Behörden und Gerichte Verstöße bewerten.

    Welche Rechtsgrundlagen in Österreich gleichzeitig gelten

    EU-DSGVO

    Die Verordnung ist die Basis. Für den HR-Kontext sind drei Artikel besonders relevant:

    Art. 6 regelt, auf welcher Rechtsgrundlage Daten überhaupt verarbeitet werden dürfen — Vertragspflicht, rechtliche Verpflichtung, berechtigtes Interesse oder Einwilligung. Welche Grundlage zutrifft, muss vor der Tool-Einführung festgelegt sein.

    Art. 88 erlaubt es den Mitgliedstaaten, spezifischere Regeln für den Beschäftigungskontext festzulegen — Österreich hat das durch das DSG getan.

    Art. 5 Abs. 2 begründet die Rechenschaftspflicht: Sie müssen nicht nur regelkonform handeln, sondern das auch nachweisen können. Wer kein Verarbeitungsverzeichnis führt und keinen AVV abgeschlossen hat, hat im Zweifel ein Problem.

    Wenn Sie einen externen Anbieter mit der Verarbeitung personenbezogener Daten beauftragen — und das tun Sie bei jedem Cloud-basierten KI-Tool — ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht, bevor die Datenübermittlung beginnt.

    Österreichisches Datenschutzgesetz (DSG)

    Das DSG konkretisiert die DSGVO für den österreichischen Kontext. § 11 DSG legt besondere Verpflichtungen zur Datensicherheit fest und verpflichtet Verantwortliche zu technischen und organisatorischen Maßnahmen, die dem Stand der Technik entsprechen.

    Bei Streitigkeiten oder Anfragen ist die Österreichische Datenschutzbehörde (DSB) zuständige Aufsichtsbehörde. Auf dsb.gv.at finden Sie Muster-Dokumente, die Beschwerdeeinreichung und Orientierung zu konkreten Fragen — auch wenn tool-spezifische Antworten dort selten zu finden sind.

    Arbeitsverfassungsgesetz (ArbVG) § 96

    Das ist die Rechtsgrundlage, die in deutschen oder rein EU-rechtlichen Leitfäden komplett fehlt — für österreichische KMU aber entscheidend ist.

    § 96 ArbVG räumt dem Betriebsrat ein zwingendes Mitbestimmungsrecht ein, wenn ein Unternehmen Systeme einführt, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer:innen zu kontrollieren. Wichtig: Es geht um die Eignung zur Kontrolle — nicht darum, ob das die Absicht ist.

    Ein KI-Tool, das automatisch Bewerbungen bewertet, Abwesenheitsmuster analysiert oder Leistungskennzahlen auswertet, kann § 96-pflichtig sein. In diesem Fall brauchen Sie vor der Einführung eine Betriebsvereinbarung. Eine Muster-Betriebsvereinbarung stellt die WKO zur Verfügung — sie ist ein sinnvoller Ausgangspunkt, muss aber auf Ihren konkreten Einsatz angepasst werden.

    Was muss eine Betriebsvereinbarung für KI-Tools enthalten? Mindestens: Zweck und Umfang der Datenverarbeitung, betroffene Datenkategorien, Zugriffsrechte, Aufbewahrungsfristen und Regelungen zur automatisierten Entscheidungsfindung.

    Kein Betriebsrat vorhanden? Auch dann bestehen Informationspflichten gegenüber der Belegschaft — dazu weiter unten mehr.

    EU AI Act (ab 2025/2026)

    Der EU AI Act ist noch im Rollout, aber bereits jetzt bei der Tool-Auswahl relevant. Für den HR-Kontext besonders wichtig: Mehrere Anwendungsfälle fallen in die Kategorie Hochrisiko-KI:

    • Automatisierte Bewerberauswahl und -bewertung
    • Leistungsmonitoring von Arbeitnehmer:innen
    • KI-gestützte Entscheidungen über Beförderungen oder Kündigungen

    Für Hochrisiko-KI gelten ab dem vollständigen Inkrafttreten Dokumentationspflichten, Pflichten zur menschlichen Aufsicht und in manchen Fällen Konformitätsbewertungen. Was das für KMU konkret bedeutet, erläutert der Artikel Was der EU AI Act für KMU konkret bedeutet.

    Die praktische Empfehlung jetzt: Wenn Sie ein Tool evaluieren, das automatisiert Personalentscheidungen unterstützt, fragen Sie den Anbieter explizit nach dessen AI-Act-Roadmap. Wer das nicht beantworten kann, ist kein verlässlicher Partner für den Personalbereich.

    Die wichtigsten KI-Tools im HR-Kontext und ihr DSGVO-Status

    ChatGPT (OpenAI)

    Die Consumer-Version von ChatGPT (chatgpt.com, kostenlos oder ChatGPT Plus) ist für den Einsatz mit Mitarbeiterdaten nicht zulässig. OpenAI bietet für diese Version keinen AVV an, und Eingaben können für das Modelltraining genutzt werden. Das betrifft auch das Einfügen von Bewerbungsunterlagen, Krankenstandsdaten oder Lohnlisten — selbst wenn Sie Namen anonymisieren, können Rückschlüsse möglich sein.

    Die ChatGPT Enterprise-Version und die OpenAI API sind anders zu bewerten: Hier bietet OpenAI einen AVV an, Daten werden standardmäßig nicht für Training genutzt. Allerdings findet die Verarbeitung auf US-Servern statt. Das bedeutet: Drittlandtransfer USA → Standardvertragsklauseln (SCC) müssen vorliegen, und ein Transfer Impact Assessment (TIA) ist empfehlenswert, um das tatsächliche Schutzniveau zu dokumentieren.

    Praxisbeispiel: Stellenausschreibungen mit ChatGPT entwerfen ist in der Enterprise-Variante unkritisch, solange Sie keine personenbezogenen Daten einfügen. Eine Krankenstandsauswertung mit konkreten Mitarbeiterdaten hingegen erfordert AVV + SCC + Dokumentation im Verarbeitungsverzeichnis. Was beim Einsatz von ChatGPT im Unternehmen konkret zu beachten ist, lesen Sie im Artikel DSGVO & ChatGPT im Unternehmen: Was gilt 2025?.

    Microsoft Copilot (M365)

    Microsoft fungiert als Auftragsverarbeiter — der AVV ist über die Microsoft-Produktterms abgedeckt, das ist ein klarer Vorteil gegenüber vielen anderen Anbietern. Zudem bietet Microsoft die Möglichkeit, Daten im Rahmen der EU Data Boundary innerhalb der EU zu verarbeiten. Diese Option muss aber explizit konfiguriert werden — sie ist nicht automatisch aktiv.

    Das größte praktische Risiko bei Copilot im HR-Kontext: Das Tool greift auf Teams-Nachrichten, E-Mails und SharePoint-Inhalte zu. Wenn HR-Daten dort gespeichert sind — was in den meisten Unternehmen so ist — kann Copilot diese Daten einbeziehen, auch unbeabsichtigt.

    Empfehlung: Bevor Copilot für den HR-Bereich freigegeben wird, sollten Data Loss Prevention (DLP)-Policies konfiguriert sein, die sensible Daten kennzeichnen und deren Weitergabe an das KI-Modell einschränken. Das ist kein optionaler Schritt.

    HR-Software mit KI-Funktionen (z. B. Personio, rexx systems, Sage HR)

    Spezialisierte HR-Software hat in der Regel einen AVV verfügbar und verarbeitet Daten innerhalb der EU — aber beides sollten Sie aktiv prüfen, nicht voraussetzen. Konkret: Fragen Sie nach dem Serverstandort und verlangen Sie eine Liste der Sub-Auftragsverarbeiter. Gerade bei KI-Funktionen werden oft externe Modell-Anbieter eingebunden, die eigene Datenschutzimplikationen haben.

    KI-Funktionen wie automatische Bewerbungsbewertung oder Leistungsanalysen sind gesondert zu bewerten — sie können in die Hochrisiko-Kategorie des EU AI Acts fallen und gleichzeitig § 96 ArbVG auslösen. Prüfen Sie im Vertrag, ob diese Funktionen einzeln aktiviert und deaktiviert werden können.

    Eigene LLM-Lösungen / lokale Modelle

    Wer ein Large Language Model lokal betreibt — auf eigenen Servern oder einem privaten Cloud-Cluster — hat die größte Kontrolle über Datenflüsse. Kein Drittlandtransfer, kein Training auf Ihren Daten durch externe Anbieter.

    Für die meisten KMU ist dieser Weg überdimensioniert: technischer Aufwand, laufende Wartung und Infrastrukturkosten stehen in keinem Verhältnis zum Nutzen. Sinnvoll wird dieser Ansatz erst bei sehr großen Datenmengen, besonders sensiblen Daten (z. B. medizinischer Bereich) oder wenn externe Anbieter keine ausreichenden Garantien bieten können.

    Schritt-für-Schritt: So führen Sie ein KI-Tool rechtssicher ein

    Die folgende Checkliste ist für österreichische KMU ohne eigene Rechtsabteilung konzipiert. Sie ersetzt keine individuelle Rechtsberatung, gibt aber eine strukturierte Grundlage.

    1. Bestandsaufnahme: Welche Daten fließen wohin? Listen Sie auf, welche Mitarbeiterdaten das Tool verarbeiten würde — Kategorien, Mengen, Häufigkeit. Diese Liste brauchen Sie für alle nachfolgenden Schritte.

    2. Rechtsgrundlage bestimmen Für welche Verarbeitungen gilt Art. 6 Abs. 1 lit. b (Erfüllung des Arbeitsvertrags), lit. c (rechtliche Verpflichtung) oder lit. f (berechtigtes Interesse)? Wichtiger Hinweis: Im Beschäftigungskontext ist Einwilligung nach österreichischer und EU-Rechtspraxis problematisch — sie gilt als strukturell nicht freiwillig, weil das Machtverhältnis zwischen Arbeitgeber und Arbeitnehmer:in die Freiwilligkeit untergraben kann.

    3. AVV abschließen — vor Nutzungsbeginn Holen Sie den AVV des Anbieters ein, lesen Sie ihn durch (insbesondere: Zweck, Sub-Auftragsverarbeiter, Löschfristen, Sicherheitsmaßnahmen) und unterschreiben Sie ihn, bevor das erste Mitarbeiterdatum in das Tool eingegeben wird.

    4. Drittlandtransfer prüfen Verarbeitet der Anbieter Daten außerhalb der EU? Falls ja: Liegen Standardvertragsklauseln (SCC) vor? Besteht ein Transfer Impact Assessment (TIA)? Ohne diese Dokumente ist der Transfer bei US-Anbietern rechtlich nicht abgesichert.

    5. Betriebsrat einbinden (§ 96 ArbVG) Wenn ein Betriebsrat vorhanden ist: früh einbinden — nicht als Formalität am Ende, sondern als echte Mitgestaltung. Bei § 96-pflichtigen Tools brauchen Sie die Betriebsvereinbarung, bevor das Tool live geht. Die WKO stellt Muster-Betriebsvereinbarungen zur Verfügung.

    6. Verarbeitungsverzeichnis aktualisieren Jedes neue Tool ist ein neuer Eintrag nach Art. 30 DSGVO. Mindestinhalt: Zweck, Datenkategorien, Empfänger, Drittlandtransfer, Löschfristen.

    7. Datenschutz-Folgenabschätzung (DSFA) prüfen Bei systematischer Auswertung von Mitarbeiterdaten, insbesondere bei automatisierten Entscheidungen oder Hochrisiko-KI, ist eine DSFA nach Art. 35 DSGVO in der Regel erforderlich. Die DSB-Blacklist gibt Orientierung, welche Verarbeitungen eine DSFA zwingend erfordern.

    8. Mitarbeiter:innen informieren Die Transparenzpflicht nach Art. 13/14 DSGVO verlangt, dass Betroffene über neue Verarbeitungen informiert werden. Aktualisieren Sie Ihre Datenschutzhinweise und kommunizieren Sie intern, welche Tools zu welchem Zweck eingesetzt werden.

    9. Regelmäßige Überprüfung einplanen Tool-Updates verändern Datenflüsse — manchmal still und ohne Ankündigung. Planen Sie eine jährliche Überprüfung aller KI-Tools im HR-Kontext ein: Hat sich etwas an den Verarbeitungspraktiken geändert? Gibt es neue Sub-Auftragsverarbeiter?

    Häufige Fehler österreichischer KMU — und wie Sie sie vermeiden

    Fehler 1: Consumer-Version eines KI-Tools für HR-Aufgaben Kein AVV, mögliches Modelltraining, keine Kontrolle über Datenspeicherung. Lösung: Nur Enterprise-Versionen oder API-Zugänge mit abgeschlossenem AVV nutzen.

    Fehler 2: Betriebsrat erst nach Tool-Einführung informieren Wenn das Tool § 96-pflichtig ist, kann eine nachträgliche Information zur Unzulässigkeit der bisherigen Nutzung führen. Lösung: Frühzeitig einbinden, idealerweise bei der Tool-Evaluierung.

    Fehler 3: AVV vorhanden, Drittlandtransfer nicht geprüft Ein AVV allein reicht nicht, wenn der Anbieter Daten in die USA überträgt. Lösung: SCC und TIA explizit anfordern und dokumentieren.

    Fehler 4: Einwilligung als Rechtsgrundlage im Beschäftigungskontext Einwilligungen von Mitarbeitenden sind nach österreichischer und EU-Rechtspraxis im Regelfall nicht tragfähig, weil sie nicht als freiwillig gelten können. Lösung: Rechtsgrundlage aus Art. 6 Abs. 1 lit. b, c oder f bestimmen.

    Fehler 5: DSFA vergessen bei automatisierten Personalentscheidungen Automatisierte Bewerbungsauswertung ohne DSFA ist ein klassischer Compliance-Fehler. Lösung: Vor Einführung prüfen, ob Art. 35 DSGVO greift — im Zweifel durchführen.

    Was tun, wenn kein Betriebsrat vorhanden ist?

    Die Pflicht zur Einrichtung eines Betriebsrats entsteht nach § 50 ArbVG erst ab fünf wahlberechtigten Arbeitnehmer:innen — und selbst dann ist ein Betriebsrat nicht automatisch vorhanden, sondern muss von der Belegschaft gewählt werden. Viele KMU haben keinen.

    Das bedeutet nicht, dass § 96 ArbVG für Sie irrelevant ist. Es bedeutet: Ohne Betriebsrat entfällt die Mitbestimmungspflicht, aber die Informationspflicht gegenüber der Belegschaft bleibt bestehen. Mitarbeitende müssen nachvollziehen können, welche Tools zu welchem Zweck eingesetzt werden und welche ihrer Daten dabei verarbeitet werden.

    Praktische Empfehlung: Erstellen Sie eine interne IT-Nutzungsrichtlinie, die KI-Tools im HR-Kontext explizit adressiert. Diese schafft Transparenz, dokumentiert Ihren Umsetzungswillen und kann bei einer Behördenanfrage Rechenschaft belegen. Sie ist kein vollständiger Ersatz für eine Betriebsvereinbarung, aber der Mindeststandard.

    Wenn Ihr Unternehmen wächst und die Schwelle für einen Betriebsrat erreicht wird: Planen Sie die Betriebsratstauglichkeit Ihrer KI-Tools von Anfang an mit ein.

    Österreichische Behörden und Ressourcen

    Datenschutzbehörde (DSB) — dsb.gv.at Muster-DSFA, Blacklist der DSFA-pflichtigen Verarbeitungen, Beschwerdeweg und Orientierungsschreiben zu aktuellen Fragen. Gut für Grundlagen, selten hilfreich bei tool-spezifischen Praxisfragen.

    WKO Datenschutz Muster-AVV, Muster-Betriebsvereinbarungen, Leitfäden speziell für KMU. Praktisch und kostenlos, aber ebenfalls nicht tool-spezifisch.

    AK und ÖGB Merkblätter und Arbeitshilfen zu Betriebsvereinbarungen im Kontext digitaler Technologien. Nützlich, wenn Sie verstehen möchten, welche Interessen ein Betriebsrat typischerweise einbringt.

    Ehrliche Einschätzung: Alle drei Quellen sind gut für Grundlagenverständnis. Wenn Sie wissen möchten, ob Ihr konkretes Tool in Ihrer spezifischen Situation zulässig ist, kommen Sie mit Behördenseiten allein nicht weit.

    Praxis-Einschätzung: Was ist realistisch für ein KMU ohne Rechtsabteilung?

    Vollständige rechtliche Absicherung aus eigener Kraft — das ist eine ehrliche Einschätzung — setzt Expertise voraus, die die meisten KMU intern nicht haben. Das ist kein Versagen, sondern eine strukturelle Realität.

    Was Sie selbst gut erledigen können: die Checkliste weiter oben systematisch abarbeiten, Ihre bestehenden KI-Tools auf AVV-Vorhandensein prüfen, das Verarbeitungsverzeichnis auf dem aktuellen Stand halten und Mitarbeitende informieren. Das sind die Grundlagen — und sie liegen im Greifbereich jedes verantwortungsbewussten Unternehmens.

    Externe Beratung macht dann Sinn, wenn:

    • Sie eine Datenschutz-Folgenabschätzung durchführen müssen und unsicher sind, wie
    • Der Drittlandtransfer unklar ist und der Anbieter keine eindeutigen Dokumente liefert
    • Eine Betriebsvereinbarung verhandelt werden muss und Sie das rechtssicher gestalten wollen
    • Ein Tool in die Hochrisiko-Kategorie des EU AI Acts fällt und Sie die Dokumentationspflichten einschätzen müssen

    Wenn Sie unsicher sind, ob Ihr geplantes KI-Tool in Ihrem konkreten Kontext DSGVO-konform einsetzbar ist — oder ob eine Betriebsvereinbarung notwendig wird — ist ein kurzes Gespräch sinnvoll, bevor Sie loslegen. In 30 Minuten können wir gemeinsam einschätzen, wo Sie stehen und welche Schritte als nächste realistisch und prioritär sind.

    Nächste Schritte — Ihre To-do-Liste für diese Woche

    Fangen Sie nicht mit allem auf einmal an. Diese vier Punkte schaffen in kurzer Zeit echte Klarheit:

    Prüfen Sie: Welche KI-Tools nutzen Sie oder Ihre Mitarbeitenden bereits im HR-Kontext? Auch inoffizielle Nutzung zählt — fragen Sie nach.

    Checken Sie: Haben Sie mit jedem dieser Anbieter einen abgeschlossenen AVV? Wenn nicht: Das ist der erste Schritt.

    Aktualisieren Sie: Ist Ihr Verarbeitungsverzeichnis um neue Tools ergänzt? Wenn nein: Holen Sie das nach, bevor weitere Tools hinzukommen.

    Sprechen Sie: Falls ein Betriebsrat vorhanden ist — setzen Sie einen Termin an, um KI-Tools auf die Agenda zu bringen. Je früher, desto einfacher die Einigung.

    Für alle weitergehenden Fragen — ob DSFA, Drittlandtransfer oder AI-Act-Einordnung — steht das kostenlose 30-Minuten-Beratungsgespräch zur Verfügung. Kein Verkaufsgespräch, kein Vorbehalt: Wir schauen uns gemeinsam Ihre konkrete Situation an und sagen Ihnen ehrlich, welche nächsten Schritte sinnvoll sind.

    FAQ

    Darf ich ChatGPT nutzen, um Bewerbungsunterlagen zu analysieren?

    Nur mit der Enterprise-Version oder über die API — und nur mit abgeschlossenem AVV. Die kostenlose Consumer-Version und ChatGPT Plus sind für personenbezogene Bewerberdaten nicht zulässig: Es gibt keinen AVV, und Eingaben können in das Modelltraining einfließen. Auch eine Anonymisierung der Daten schützt nicht vollständig, wenn der Kontext Rückschlüsse erlaubt.

    Brauche ich eine Betriebsvereinbarung, bevor ich ein KI-Tool im HR einführe?

    Wenn das Tool geeignet ist, das Verhalten oder die Leistung von Mitarbeitenden zu kontrollieren, ist nach § 96 ArbVG eine Betriebsvereinbarung vor der Einführung erforderlich — nicht danach. Das gilt für automatisierte Bewerbungsbewertung, Abwesenheitsanalysen und Leistungsmonitoring. Fehlt ein Betriebsrat, entfällt die Pflicht zur Betriebsvereinbarung, aber die Informationspflicht gegenüber der Belegschaft bleibt bestehen.

    Ist Microsoft Copilot in M365 automatisch DSGVO-konform für HR-Zwecke?

    Nicht automatisch. Der AVV ist über die Microsoft-Produktterms abgedeckt, aber die EU-Datenspeicherung muss aktiv konfiguriert werden. Außerdem greift Copilot auf Teams, E-Mails und SharePoint zu — ohne DLP-Policies kann es unbeabsichtigt HR-Daten einbeziehen. Die technische Konfiguration ist genauso wichtig wie der Vertrag.

    Was passiert, wenn ich den EU AI Act bei meinem HR-Tool ignoriere?

    Nach aktuellem Rechtsstand entwickeln sich die Sanktionsregeln noch. Klar ist: Für Hochrisiko-KI im HR-Bereich werden Dokumentationspflichten und Transparenzanforderungen gelten. Wer jetzt bei der Tool-Auswahl nicht darauf achtet, wird später nachrüsten müssen — oft teurer als eine vorausschauende Planung. Das gilt auch für KMU, die als Nutzer:innen von Hochrisiko-KI eingestuft werden können.

    Reicht ein AVV allein aus, um ein KI-Tool rechtssicher zu nutzen?

    Nein. Der AVV ist eine notwendige, aber nicht hinreichende Bedingung. Dazu kommen: Rechtsgrundlage nach Art. 6 DSGVO, Eintrag im Verarbeitungsverzeichnis, Prüfung des Drittlandtransfers, ggf. DSFA, Transparenzpflicht gegenüber Mitarbeitenden und — wo ein Betriebsrat besteht — die Betriebsvereinbarung nach § 96 ArbVG.