DSGVO & KI: Rechnungen und Angebote rechtssicher erstellen
Häufige Fragen
Brauche ich eine Einwilligung meiner Kunden, um KI-Tools für Rechnungen zu nutzen?
In der Regel nicht. Die Rechtsgrundlage für die Rechnungsstellung ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. eine gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO, z. B. aus der Bundesabgabenordnung). Sie müssen Ihre Kunden aber in Ihrer Datenschutzinformation darüber informieren, dass Sie KI-gestützte Tools einsetzen – das ergibt sich aus der Transparenzpflicht nach Art. 13/14 DSGVO.
Darf ich Kundendaten in ChatGPT eingeben, um ein Angebot formulieren zu lassen?
Das ist datenschutzrechtlich heikel. Bei der kostenlosen Version vieler KI-Chatbots können eingegebene Daten für das Modelltraining verwendet werden. Für geschäftliche Zwecke sollten Sie ausschließlich Business-Tarife nutzen, die vertraglich ausschließen, dass Daten zum Training herangezogen werden. Außerdem ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich.
Muss ich im Verarbeitungsverzeichnis einen eigenen Eintrag für KI-Tools anlegen?
Ja. Jede neue Verarbeitungstätigkeit muss im Verzeichnis nach Art. 30 DSGVO dokumentiert werden. Das gilt auch für KI-gestützte Dokumentenerstellung – inklusive Angaben zu Zweck, Kategorien personenbezogener Daten, Empfängern (z. B. Cloud-Anbieter) und Löschfristen.
Was passiert, wenn die KI fehlerhafte Daten in eine Rechnung schreibt?
Der DSGVO-Grundsatz der Richtigkeit (Art. 5 Abs. 1 lit. d) verlangt, dass personenbezogene Daten sachlich richtig sind. Deshalb ist eine menschliche Prüfung jedes KI-generierten Dokuments vor dem Versand notwendig. Fehlerhafte Rechnungen können zudem steuerrechtliche Konsequenzen haben, etwa den Verlust des Vorsteuerabzugs beim Empfänger.
Gilt der EU AI Act auch für kleine Handwerksbetriebe?
Nur eingeschränkt. Der EU AI Act richtet sich primär an Anbieter und Betreiber von KI-Systemen. Ein Handwerksbetrieb, der ein fertiges KI-Tool als Anwender nutzt, ist in der Regel nicht direkt von den strengen Pflichten betroffen. Allerdings können Transparenzpflichten gelten – etwa wenn KI-generierte Texte als solche erkennbar sein müssen.
Welche Strafen drohen bei DSGVO-Verstößen im Zusammenhang mit KI-Tools?
Die Strafen richten sich nach den allgemeinen DSGVO-Bußgeldregelungen: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. In der Praxis verhängt die österreichische Datenschutzbehörde bei KMU deutlich niedrigere Bußgelder – aber auch Verwarnungen und Anordnungen können den Betrieb erheblich belasten. Prävention durch korrekte Umsetzung ist deutlich günstiger.
Passt Ihr Betrieb zu einer geförderten KI-Einführung?
Viele österreichische KMU können Digitalisierungsvorhaben – einschließlich Datenschutzberatung – fördern lassen. Finden Sie in drei Minuten heraus, welche Programme für Sie infrage kommen.
Förderpotenzial prüfen