KI-Compliance für den DACH-Markt

Ich baue Software die im DACH-Markt läuft. [Auto-Prammer.at](https://auto-prammer.at) ist ein österreichischer Automotive-Marktplatz. [GrowCentric.ai](https://growcentric.ai) bedient Kunden in Österreich, Deutschland und der Schweiz. [Stint.co](https://stint.co) betreut Kampagnen in allen drei Märkten. [Regios.at](https://regios.at) wurzelt in österreichischen regionalen Communities. Jedes dieser Produkte nutzt KI-Features. Und jedes muss eine Regulierungslandschaft navigieren die von außen einfach aussieht — "ist doch alles DSGVO, oder?" — aber überraschend komplex ist. Österreich und Deutschland sind EU-Mitglieder, also gilt die EU-KI-Verordnung direkt. Aber jedes Land setzt sie unterschiedlich um. Und die Schweiz ist nicht in der EU, also gilt die KI-Verordnung dort nicht — aber das Schweizer DSG hat eigene KI-relevante Bestimmungen, und wenn dein Schweizer Produkt EU-Kunden bedient, bist du trotzdem durch die extraterritoriale Reichweite betroffen. Dieser Post ist meine Karte des Gebiets. Nicht die Rechtstheorie — die praktischen Unterschiede die beeinflussen wie du KI-Features baust, deployst und wartest.

Die drei Regulierungswelten des DACH-Raums

Österreich: EU-Mitglied. KI-Verordnung gilt direkt. DSGVO durchgesetzt von der Datenschutzbehörde (DSB). KI-Kompetenz bei der KI-Servicestelle (RTR). Digital Austria Act 2.0 mit digitalem Souveränitäts-Fokus. Datenstrategie für Österreich (2024).

Deutschland: EU-Mitglied. KI-Verordnung gilt direkt. DSGVO durchgesetzt vom BfDI (Bund) plus 16 Landesdatenschutzbehörden. KI-Marktüberwachung durch die Bundesnetzagentur (BNetzA) unter dem KI-MIG. BaFin für Finanzdienstleistungs-KI. BSI mit QUAIDAL-Framework.

Schweiz: Nicht in der EU. KI-Verordnung gilt innerstaatlich nicht — aber für Schweizer Unternehmen die EU-Kunden bedienen. Datenschutz durch das DSG (nDSG). Durchgesetzt vom EDÖB. Keine KI-spezifische Gesetzgebung.

Österreich: Digitale Souveränität trifft KI-Regulierung

Die DSB hat spezifische FAQs zur Schnittstelle von KI und Datenschutz veröffentlicht. Wirklich nützliche Leitlinien.

Die KI-Servicestelle (KommAustria-Gesetz §20c, TKG 2021 §194a) agiert als nationales KI-Kompetenzzentrum bei RTR. Wird zu einer robusteren nationalen KI-Behörde mit Marktüberwachungsfähigkeiten ausgebaut.

Der Digital Austria Act 2.0 (Ende 2025) geht über KI-Regulierung hinaus: Sovereignty Compass für IT-Abhängigkeits-Audits in der öffentlichen Verwaltung, Open-Source-Präferenz, AMDC (Austrian Micro Data Center) bei Statistik Austria — alle Bundesregisterdaten bis Juli 2026 angebunden.

Für Auto-Prammer.at und Regios.at bedeutet das: DSB-Leitlinien für KI-Datenschutz einhalten, Datenresidenz in Österreich/EU, Transparenz die KI-Servicestelle-Erwartungen erfüllt.

Deutschland: Das KI-MIG und 16 Datenschutzbehörden

Das Kabinett hat das KI-MIG im Februar 2026 beschlossen. BNetzA wird zentrale Marktüberwachungsbehörde. AI Service Desk seit Juli 2025, KI-Literacy-Leitfaden seit Juni 2025, Compliance-Kompass-Tool.

Aber: 16 Landesdatenschutzbehörden die DSGVO unterschiedlich interpretieren. Hamburgs Position dass KI-Modelle keine personenbezogenen Daten enthalten, wurde vom EDPB in Stellungnahme 28/2024 widersprochen. Baden-Württemberg hat andere Positionen als Bayern.

Für GrowCentric.ai: Welche Landes-DSB hat Zuständigkeit für jeden Kunden? Was hat diese DSB zu KI-Verarbeitung gesagt?

Das KI-MIG etabliert den KoKIVO (Koordinierungs- und Kompetenzzentrum KI-VO) und einen zentralen Beschwerdeeinreichungsweg — Durchsetzung kann extern durch Einzelpersonen ausgelöst werden. Aggressiver als Österreichs Ansatz.

BaFin für Finanzdienstleistungs-KI, BSI mit QUAIDAL (143 Metriken für KI-Trainingsdatenqualität), §201b StGB für Deepfakes.

Schweiz: Die DSG-Falle

Das DSG (seit 1. September 2023) sieht DSGVO-ähnlich aus, aber die Unterschiede erwischen Entwickler kalt:

Persönliche Strafbarkeit. Nicht Unternehmen, sondern Einzelpersonen werden gebüßt. Bis CHF 250.000. Der Entwickler, CTO oder Geschäftsführer könnte persönlich haften.

Kein zwingender DSB. Datenschutzberater empfohlen aber nicht verpflichtend.

Opt-out als Standard. Verarbeitung erlaubt solange Nutzer informiert sind und Widerspruchsrecht haben. Grundlegend anderes Einwilligungsmodell als DSGVO.

Profiling-Unterscheidung. Nur Hochrisiko-Profiling braucht ausdrückliche Einwilligung. Normales Profiling unter Opt-out-Modell.

Durchsetzungsstil. EDÖB generell weniger aktiv als EU-DSBs. Kaum KI-spezifische Leitlinien.

Keine KI-Verordnung. Gilt innerstaatlich nicht. ABER: Schweizer Unternehmen die EU-Kunden bedienen = KI-Verordnung durch extraterritoriale Reichweite.

Praktische Architektur: Jurisdiktionsbewusste Compliance

Kernprinzip: Eine Compliance-Architektur die pro Jurisdiktion konfigurierbar ist. Ein JurisdictionConfig-Modul das für jedes Land definiert: Datenschutzgesetz, KI-Verordnung-Anwendbarkeit, Aufsichtsbehörde, Einwilligungsmodell, DSB-Pflicht, Profiling-Einwilligung, Haftungsziel, Maximalstrafe, Datenresidenz, besondere Anforderungen.

Jurisdiktionsbewusste Consent-Pipeline: Opt-in für Österreich und Deutschland. Opt-out mit einfachem Widerspruchsmechanismus für die Schweiz. Hochrisiko-Profiling-Einwilligung für alle drei.

Jurisdiktionsbewusste KI-Transparenz: Chatbot-Offenlegung und Content-Markierung für AT/DE ab August 2026. Schweiz: allgemeine DSG-Transparenz.

Was das für jedes Produkt bedeutet

GrowCentric.ai: Komplexester Fall. Österreichische Kunden unter DSB, deutsche unter Landes-DSB plus BNetzA, Schweizer unter EDÖB plus potenziell KI-Verordnung.

Stint.co: E-Mail an deutschen Abonnenten braucht DSGVO-Opt-in. Selbe Kampagne an Schweizer Empfänger braucht DSG-Opt-out.

Regios.at: Primär österreichisch, aber deutsche und Schweizer Nutzer bringen eigene Jurisdiktion mit.

Auto-Prammer.at: Österreichische KI-Verordnung-Compliance ab August 2026. Deutsche Nutzer bringen BDSG, Schweizer bringen DSG.

Die DACH-Compliance-Checkliste

  1. Jurisdiktionen kartieren
  2. Einwilligung pro Land konfigurieren
  3. Regulierer kennen (DSB, KI-Servicestelle, BfDI, Landes-DSB, BNetzA, EDÖB)
  4. AVV-Klauseln pro Jurisdiktion
  5. DSFA pro Jurisdiktion
  6. KI-Verordnung-Dokumentation für AT/DE, Schweiz nur bei EU-Kundenbedienung
  7. Persönliche Haftung für Schweiz beachten
  8. Datenresidenz sicherstellen
  9. Sprache anpassen (österreichisches, deutsches, Schweizer Deutsch)
  10. Alle drei Landschaften beobachten

Das Fazit

Der DACH-Markt ist drei Regulierungswelten die zwei Sprachen teilen. Für Entwickler die KI-Features über alle drei Märkte bauen: Eine jurisdiktionsbewusste Compliance-Architektur die sich basierend auf dem Standort jedes Nutzers konfiguriert. Selbe Rails-Codebase. Selbe Compliance-Muster. Verschiedene Konfiguration pro Jurisdiktion.

Einmal bauen. Pro Markt konfigurieren. Mit Vertrauen shippen.

Baust du KI-Features für den DACH-Markt und brauchst Hilfe bei den regulatorischen Unterschieden zwischen Österreich, Deutschland und der Schweiz? Ich baue jurisdiktionsbewusste Compliance-Architekturen auf Ruby on Rails für den DACH-Markt. Lass uns darüber reden, wie du deine KI-Features über alle drei Länder mit Vertrauen shippen kannst.

Hast du ein Projekt im Sinn? Kontakt aufnehmenNachricht auf WhatsApp
VernetzenFolge Keferboeck Ltd auf LinkedIn um auf dem Laufenden zu bleiben über Künstliche Intelligenz
KI-Compliance für den DACH-Markt - Georg Keferböck