Ratgeber

Datenschutz und DSGVO in KI-Projekten: eine Checkliste

Eine praktische DSGVO-Compliance-Checkliste für KI-Projekte in österreichischen Unternehmen — von Rechtsgrundlage bis Drittlandtransfer.

Von dgm · 2026-04-27 · Aktualisiert 2026-06-11 · 1 Min. Lesezeit

Datenschutz entscheidet über den Erfolg eines KI-Projekts. Diese Checkliste hilft österreichischen Unternehmen. Dies ist keine Rechtsberatung.

Vor dem Start

Rechtsgrundlage und Zweck klären
Datenminimierung: nur erfassen, was nötig ist
Zugriffskontrolle nach Least-Privilege
Transparenz gegenüber Betroffenen

Grundlagen dazu im DSGVO-Leitfaden.

Während des Projekts

DSFA bei hohem Risiko durchführen
Auftragsverarbeiter-Verträge prüfen
Drittlandtransfers absichern oder vermeiden (siehe US CLOUD Act)
Modell und Hosting nach Datensensibilität wählen

Im Betrieb

Betroffenenrechte und Löschkonzepte umsetzen
Protokollierung und Audit-Spuren

osFoundry bietet laut Anbieter DSGVO-orientierte Löschendpunkte und Audit-Logs. dgm gestaltet datenschutzkonforme KI-Projekte, ist ein unabhängiger Integrationspartner (nicht mit osFoundry/OS LLC verbunden) und hat bisher keine abgeschlossenen Kundenintegrationen.

Fazit

Rechtsgrundlage, Minimierung, DSFA, Transfers und Betroffenenrechte sind die Eckpunkte. Kontaktieren Sie dgm, um Ihr KI-Projekt DSGVO-konform aufzusetzen.

Häufig gestellte Fragen

Was gehört in eine DSGVO-Checkliste für KI?

Rechtsgrundlage und Zweck der Verarbeitung, Datenminimierung, Zugriffskontrolle, Transparenz gegenüber Betroffenen, gegebenenfalls eine Datenschutz-Folgenabschätzung (DSFA), eine geprüfte Grundlage für Drittlandtransfers, Auftragsverarbeiter-Verträge sowie Lösch- und Auskunftskonzepte. Die einzige Aufsicht in Österreich ist die Datenschutzbehörde (DSB). Dies ist keine Rechtsberatung.

Wann braucht ein KI-Projekt eine DSFA?

Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Betroffene birgt — etwa bei umfangreicher Verarbeitung sensibler Daten oder systematischer Bewertung von Personen. Viele KI-Anwendungen fallen darunter. Im Zweifel mit der Datenschutzbehörde oder einem Berater abklären.

Wie behandelt man Drittlandtransfers bei KI?

Transfers in die USA brauchen eine gültige Grundlage — das EU–US Data Privacy Framework (für zertifizierte Empfänger) oder Standardvertragsklauseln mit Transfer-Folgenabschätzung. Die DSB ist hier streng. Oft ist es einfacher, den Transfer durch EU-Hosting oder lokale Inferenz zu vermeiden. dgm gestaltet solche Architekturen.

Datenschutz und DSGVO in KI-Projekten: eine Checkliste

Vor dem Start

Während des Projekts

Im Betrieb

Fazit

Häufig gestellte Fragen

Bereit, Ihren SaaS-Stack durch osFoundry zu ersetzen?

Einfache, transparente Preise

Erstberatung

KI-Integration

Datenschutz und DSGVO in KI-Projekten: eine Checkliste

Vor dem Start

Während des Projekts

Im Betrieb

Fazit

Häufig gestellte Fragen

Weiterführende Artikel

Bereit, Ihren SaaS-Stack durch osFoundry zu ersetzen?

Einfache, transparente Preise

Erstberatung

KI-Integration