DSGVO in Österreich: KI-Bewerber- und Arbeitnehmerdaten — DSG 2018 statt BDSG

Aktualisiert April 2026 · KI Compliance · Autor Matteo Mirabelli · Land: Österreich

Wer in Deutschland Datenschutz für HR-KI plant, denkt automatisch an §26 BDSG — die deutsche Spezialnorm zur Beschäftigtendatenverarbeitung. Wer dieselbe Logik nach Österreich überträgt, sucht vergeblich nach einer äquivalenten Norm. Das österreichische Datenschutzgesetz (DSG) nutzt die DSGVO-Öffnungsklausel des Art. 88 anders. Es gibt keine zentrale Beschäftigten-Spezialnorm. Stattdessen wirkt die DSGVO direkt, ergänzt durch das ArbVG, das Angestelltengesetz, das Gleichbehandlungsgesetz und sektorale Bestimmungen. Diese Architektur hat operative Konsequenzen für jeden, der 2026 KI im Bewerbermanagement oder im Personalmonitoring einsetzt.

Dieser Leitfaden adressiert HR-Leitungen, Datenschutzbeauftragte und IT-Verantwortliche in österreichischen Unternehmen, die KI-gestützte Personalauswahl, CV-Parsing, Skill-Matching, Performance-Analytics oder Workforce-Plattformen einführen wollen. Er erklärt das Zusammenspiel von DSGVO, DSG, ArbVG und sektoralen Normen und ordnet die Aufsichtsrolle der Datenschutzbehörde (DSB) sowie das Verhältnis zum kommenden EU AI Act ein.

Die österreichische Datenschutzarchitektur

Das Datenschutzgesetz (DSG, BGBl. I Nr. 165/1999 in der Fassung 2018) wurde 2018 anlässlich der DSGVO neu gefasst. Es regelt im Wesentlichen die Aufsichtsbehörde (Datenschutzbehörde, DSB), das Grundrecht auf Datenschutz nach §1 DSG mit Verfassungsrang, sowie sektorspezifische Ergänzungen. Es enthält keine §26-BDSG-Äquivalentnorm zur Beschäftigtendatenverarbeitung.

Für KI-gestützte Personalauswahl ist das relevant, weil die Rechtsgrundlage primär aus Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gezogen wird, ergänzt durch Art. 9 DSGVO (besondere Datenkategorien) bei sensiblen Merkmalen. Die deutsche §26-BDSG-Klausel der Erforderlichkeit findet kein direktes Pendant; statt dessen greifen Art. 5 DSGVO (Datenminimierung, Zweckbindung) und Art. 22 DSGVO (automatisierte Entscheidungen) direkt.

Die Datenschutzbehörde (DSB) mit Sitz in Wien ist die einzige nationale Aufsichtsstelle. Anders als Deutschland mit seinem föderalen Flickenteppich aus 17 Datenschutzbehörden (BfDI plus 16 Landesbehörden) ist Österreich monoaufsichtlich strukturiert. Das vereinfacht Beratungsanfragen und Konsultationsverfahren erheblich.

Die zentralen DSGVO-Normen für KI-Personalauswahl

Vier Normenkomplexe entscheiden 2026 über die Zulässigkeit von KI-Recruiting in Österreich.

Art. 22 DSGVO — automatisierte Entscheidungen einschließlich Profiling. Bewerber haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder sie ähnlich erheblich beeinträchtigt. Eine Bewerberablehnung erfüllt typischerweise das Kriterium der erheblichen Beeinträchtigung. Folge: Vollautomatisierte KI-Ablehnung ist unzulässig, sofern keine der Ausnahmen (Vertrag, Einwilligung, Rechtsvorschrift) greift. Knapp gesagt — es muss eine echte menschliche Letztentscheidung geben, die nicht reine Formalie ist.

Art. 35 DSGVO — Datenschutz-Folgenabschätzung (DSFA). KI-gestütztes Bewerberscoring fällt unter die Pflicht zur DSFA gemäß DSB-Liste (Whitelist und Blacklist der DSB). Die DSFA muss die Risiken systematisch bewerten und Abhilfemaßnahmen dokumentieren. Bei verbleibenden hohen Risiken ist die DSB nach Art. 36 DSGVO vor der Verarbeitung zu konsultieren.

Art. 9 DSGVO — besondere Datenkategorien. KI-Modelle, die aus CVs Rückschlüsse auf Gesundheit, Religion, sexuelle Orientierung oder politische Einstellung ableiten könnten, fallen unter Art. 9. Der Einsatz solcher Modelle ist ohne ausdrückliche Einwilligung oder Spezialnorm unzulässig. Bias-Audits und Modellgewichts-Dokumentation sind hier praktisch zwingend.

§13 DSG — Datenverarbeitung auf gesetzlicher Grundlage. Diese österreichische Bestimmung ergänzt die DSGVO um die Anerkennung des Datenschutzgrundrechts mit Verfassungsrang. In Auslegungsfragen wirkt sie zugunsten betroffener Personen.

Konkrete Pflichten für KI-Recruiting-Betreiber 2026

Wer 2026 in Österreich ein KI-Recruiting-Tool einsetzt, muss mindestens folgende Punkte sauber dokumentieren.

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit dem KI-Anbieter. Hier sind Datenarten, Verarbeitungsorte, Subverarbeiter, Sicherheitsmaßnahmen und Löschfristen verbindlich zu regeln. Bei US-Anbietern ist das EU-US Data Privacy Framework oder eine andere Garantieebene gemäß Art. 46 DSGVO zwingend.

Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) mit Eintrag für die KI-Verarbeitung, einschließlich Modell, Trainingsdatenherkunft, Aktualisierungszyklus.

Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) mit Risikobewertung, Abhilfemaßnahmen und ggf. Konsultation der DSB.

Information der Bewerber (Art. 13 DSGVO) über die KI-Verarbeitung, einschließlich der Logik der automatisierten Entscheidungsfindung gemäß Art. 13 Abs. 2 lit. f DSGVO. Diese Information muss verständlich sein — ein Verweis auf "proprietäre Algorithmen" reicht nicht.

Technische und organisatorische Maßnahmen (TOMs, Art. 32 DSGVO) einschließlich Verschlüsselung, Zugriffskontrolle, Backup, Resilienz, Pseudonymisierung wo möglich.

Löschkonzept in Übereinstimmung mit Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung). Bewerberdaten dürfen nicht länger gespeichert werden als notwendig — typisch sechs Monate plus Pufferzeit für GlBG-Klagen.

Bias-Audit-Bericht mit dokumentierter Prüfung auf Diskriminierung gemäß Gleichbehandlungsgesetz (GlBG) und Bundes-Behindertengleichstellungsgesetz (BGStG). Der Bericht ist sowohl für die DSB als auch für den Betriebsrat (siehe Arbeitsverfassungsgesetz und Betriebsrat) relevant.

AI Act und ISO 42001 in der Praxis

Die EU-KI-Verordnung 2024/1689 stuft Personalauswahl-KI nach Anhang III Z 4 als Hochrisikosystem ein. Die Pflichten aus Art. 26 AI Act für Betreiber treten am 2. August 2026 in Kraft. Für österreichische Arbeitgeber bedeutet das: parallele Compliance mit DSGVO, DSG und AI Act ist nicht optional. Die DSB wird voraussichtlich für die deployer-seitigen Verpflichtungen die zuständige Behörde — die offizielle Designation steht aber Stand April 2026 noch aus, siehe unseren Leitfaden zu EU AI Act in Österreich.

ISO/IEC 42001 ist die strukturelle Antwort. Wer als Anbieter ISO 42001 zertifiziert ist, hat bereits ein Risikomanagement, eine Datengouvernance, eine technische Dokumentation, einen Bias-Audit-Prozess und eine menschliche Aufsicht implementiert — alles Bestandteile der AI-Act-Pflichten. Für Betreiber reduziert das die Compliance-Last erheblich. Siehe unseren Leitfaden zu ISO 42001-Zertifizierung in Österreich.

Vergleich mit Deutschland

Vier Unterschiede prägen 2026 die Compliance-Praxis.

Spezialnorm zur Beschäftigtendaten. Deutschland hat §26 BDSG mit eigenständiger Erforderlichkeitsprüfung. Österreich hat keine entsprechende Norm — die DSGVO wirkt direkt. In der Folge: österreichische Unternehmen argumentieren näher am DSGVO-Wortlaut, deutsche Unternehmen müssen zusätzlich die §26-BDSG-Spezifik einhalten. Beide Wege führen praktisch zu ähnlichen Ergebnissen, aber mit unterschiedlicher Argumentationstiefe.

Aufsichtsstruktur. Deutschland: föderale Struktur mit BfDI plus 16 Landesbehörden. Österreich: zentrale DSB mit Sitz in Wien. Konsultationsverfahren nach Art. 36 DSGVO sind in Österreich schneller. Beratungsanfragen werden einheitlich beantwortet.

Bußgeldhöhen. §43 BDSG (Deutschland) und §62 DSG (Österreich) setzen die DSGVO-Bußgeldobergrenzen um. Die DSB hat in der Vergangenheit moderater agiert als einzelne deutsche Landesbehörden, aber die Tendenz 2025/26 ist steigend, vor allem bei automatisierter Verarbeitung ohne saubere Art. 22-Schutzmaßnahmen.

Mitbestimmung als parallele Schicht. Deutschland: §87 BetrVG als zwingende Mitbestimmung. Österreich: §96a ArbVG als zustimmungspflichtige Maßnahme mit möglicher Schiedsstellenersetzung, §96 ArbVG als zwingende Zustimmung bei Menschenwürde-Berührung. Datenschutz und Arbeitsverfassung sind in beiden Ländern parallele Pflichtenkreise — eine Erfüllung ersetzt nicht die andere.

Wer eine deutsche DSFA-Vorlage nach Österreich übernimmt, muss sie auf §1 DSG (Verfassungsrang), die fehlende §26-BDSG-Äquivalenz und das ArbVG-Gerüst anpassen.

60-Tage-Pfad für DSGVO-konforme KI-Recruiting-Einführung

Tage 1–10: Datenflussanalyse. Welche Daten fließen wohin? Welche Subverarbeiter? EU-Hosting? Trainingsdaten?

Tage 11–25: DSFA nach Art. 35 DSGVO. Risikobewertung, Abhilfemaßnahmen, Konsultationsentscheidung.

Tage 26–35: AVV-Verhandlung mit dem KI-Anbieter. Subverarbeiter-Liste, Sicherheitsmaßnahmen, Audit-Rechte.

Tage 36–45: Bias-Audit-Vereinbarung. Wer prüft, mit welchen Datensätzen, in welcher Frequenz?

Tage 46–55: Information der Bewerber, Anpassung der Datenschutzerklärung, ggf. Konsultation der DSB nach Art. 36 DSGVO.

Tage 56–60: Pilotbetrieb mit erhöhter manueller Kontrolle. Auswertung nach 90 Tagen.

FAQ

Brauche ich für KI-Recruiting eine ausdrückliche Einwilligung der Bewerber? In der Regel nicht. Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) trägt die Verarbeitung. Eine Einwilligung wäre rechtlich problematisch, weil sie im Bewerber-Arbeitgeber-Verhältnis selten frei abgegeben werden kann. Anders bei Art. 22 DSGVO und Art. 9 DSGVO — hier kann eine ausdrückliche Einwilligung notwendig sein.

Wie unterscheidet sich die DSB von der deutschen BfDI? Die DSB ist die einzige Aufsichtsbehörde Österreichs, die BfDI ist nur für Bundesbehörden und bestimmte Kommunikationsanbieter zuständig. In Österreich gibt es keine Landes-Datenschutzbehörden.

Welche Speicherfristen gelten für KI-Bewerberscores? Solange die Frist für Klagen nach dem Gleichbehandlungsgesetz läuft (sechs Monate nach Zugang der Ablehnung), erweitert um eine angemessene Pufferzeit. Längere Aufbewahrung erfordert eine besondere Rechtfertigung.

Welche Daten dürfen aus dem CV nicht in das Modell einfließen? Daten, die Rückschlüsse auf Art. 9 DSGVO-Kategorien (Gesundheit, Religion, Gewerkschaftszugehörigkeit, sexuelle Orientierung, politische Einstellung) erlauben, sind ohne ausdrückliche Einwilligung oder Spezialnorm unzulässig. Auch das Geschlecht und das Alter sind nach GlBG kritisch.

Wie verhält sich Knowlee als Anbieter zu DSGVO und DSG? Wir hosten in der EU, schließen AVVs nach Art. 28 DSGVO, liefern DSFA-Bausteine und Bias-Reports. Hinweis: Knowlee ist Anbieter dieser Plattform — diese Erwähnung erfolgt zur Transparenz im Rahmen des Interessenkonflikts.

Schluss

Die DSGVO wirkt in Österreich ohne die deutschsprachige Spezialnorm §26 BDSG. Das macht den Datenschutz für KI-Personalauswahl 2026 nicht einfacher — eher anspruchsvoller, weil die Argumentation näher am EU-Recht geführt werden muss. Die zentrale DSB-Struktur, die parallele Wirkung des ArbVG und die kommenden AI-Act-Pflichten verlangen integrierte Compliance, nicht separate Silos. Wer DSFA, AVV, Bias-Audit und Betriebsvereinbarung als ein gemeinsames Projekt aufsetzt, vermeidet die teuren Korrekturen, die in der Praxis nach Beschwerden bei der DSB drohen.

Wenn Sie evaluieren möchten, wie Knowlees Plattform DSGVO- und DSG-konform in Ihre HR-Pipeline passt, buchen Sie eine Demo. Wir zeigen DSFA-Vorlagen, AVV-Muster und Bias-Reports auf österreichische Rechtslage abgestimmt.

Hinweis: Dieser Beitrag ist informativer Natur und ersetzt keine datenschutzrechtliche Beratung.