AI Act vs. DSGVO: Wie die beiden Regulierungen zusammenspielen

Das Wichtigste in Kürze: Der AI Act (VO (EU) 2024/1689) und die DSGVO (VO (EU) 2016/679) sind zwei eigenständige EU-Verordnungen, die sich gegenseitig ergänzen, aber nicht ersetzen. Art. 2 Abs. 7 AI Act stellt ausdrücklich klar, dass die DSGVO unberührt bleibt. Unternehmen, die KI einsetzen, müssen beide Regelwerke gleichzeitig einhalten. Das bedeutet: DSGVO-Konformität allein reicht nicht für den AI Act -- und AI-Act-Konformität ersetzt keine DSGVO-Compliance. Dieser Artikel erklärt die Unterschiede, die fünf wichtigsten Überschneidungen und gibt einen konkreten Fahrplan für doppelte Compliance.

Künstliche Intelligenz steht im Zentrum zweier europäischer Regulierungswelten. Die DSGVO schützt seit 2018 personenbezogene Daten. Der AI Act -- die weltweit erste umfassende KI-Verordnung -- reguliert seit 2024 KI-Systeme als solche, unabhängig davon, ob sie personenbezogene Daten verarbeiten.

Für Unternehmen bedeutet das: Wer KI nutzt, bewegt sich in einem Feld mit zwei überlagernden Regelwerken. Das klingt kompliziert -- und ist es auch. Aber es ist beherrschbar, wenn man die Logik beider Verordnungen versteht.

Dieser Leitfaden bringt Klarheit. Wir vergleichen beide Verordnungen systematisch, zeigen die konkreten Überschneidungen auf und liefern einen Fahrplan, mit dem Sie beide Regelwerke gleichzeitig erfüllen können.

Zwei Verordnungen -- ein Ökosystem

Bevor wir in den Vergleich einsteigen, ist eine grundlegende Frage zu klären: Wie verhalten sich AI Act und DSGVO zueinander? Verdrängt das eine Gesetz das andere? Gibt es einen Vorrang?

Die Antwort gibt Art. 2 Abs. 7 AI Act unmissverständlich:

„Diese Verordnung lässt [...] die Verordnung (EU) 2016/679 [...] unberührt."

Das bedeutet: Der AI Act tritt neben die DSGVO, nicht an ihre Stelle. Beide Verordnungen gelten parallel und unabhängig voneinander. Die DSGVO wird weder geändert noch eingeschränkt. Wer ein KI-System betreibt, das personenbezogene Daten verarbeitet, muss beide Verordnungen vollständig einhalten.

Dieses Nebeneinander ist kein Zufall, sondern politisch gewollt. Der europäische Gesetzgeber hat den AI Act bewusst so gestaltet, dass er die DSGVO ergänzt, ohne sie zu untergraben. In Erwägungsgrund 10 des AI Act heißt es sinngemäß, dass die bestehenden Datenschutzvorschriften einen wichtigen Rahmen bilden, der durch KI-spezifische Regelungen erweitert werden soll.

Was bedeutet das praktisch?

• Ein KI-System, das keine personenbezogenen Daten verarbeitet (z. B. ein Wettervorhersage-Modell), unterliegt nur dem AI Act.
• Ein KI-System, das personenbezogene Daten verarbeitet (z. B. ein KI-gestütztes Bewerbermanagement), unterliegt dem AI Act und der DSGVO.
• Ein klassisches Softwaresystem ohne KI-Komponenten, das personenbezogene Daten verarbeitet (z. B. ein CRM), unterliegt nur der DSGVO.

In der Praxis verarbeiten die meisten KI-Systeme irgendwann personenbezogene Daten -- sei es in der Trainingsphase, bei der Eingabe oder bei der Ausgabe. Deshalb ist das Zusammenspiel beider Verordnungen für die überwiegende Mehrheit der Unternehmen relevant.

Die große Vergleichstabelle

Um die Unterschiede zwischen AI Act und DSGVO greifbar zu machen, haben wir beide Verordnungen in zwölf zentralen Kategorien gegenübergestellt.

Was fällt auf?

Drei Punkte stechen hervor:

1. Unterschiedliches Regelungsobjekt: Die DSGVO reguliert den Vorgang der Datenverarbeitung. Der AI Act reguliert das KI-System als Produkt. Das ist ein fundamentaler Unterschied. Ein KI-System kann AI-Act-konform sein und trotzdem gegen die DSGVO verstoßen, wenn es personenbezogene Daten ohne Rechtsgrundlage verarbeitet.

2. Höhere Bußgelder im AI Act: Mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes übersteigen die Bußgelder des AI Act die der DSGVO deutlich. Das Signal ist klar: Der Gesetzgeber nimmt KI-Compliance ernst.

3. Unterschiedliche Aufsichtsstrukturen: DSGVO-Aufsicht liegt bei Datenschutzbehörden, AI-Act-Aufsicht bei Marktüberwachungsbehörden. In der Praxis werden beide Behörden zusammenarbeiten müssen -- insbesondere bei KI-Systemen, die personenbezogene Daten verarbeiten.

Wo sich AI Act und DSGVO überschneiden

Trotz der unterschiedlichen Regelungsobjekte gibt es fünf zentrale Bereiche, in denen sich beide Verordnungen thematisch überschneiden. Genau hier entsteht für Unternehmen die Herausforderung -- aber auch die Chance, Synergien zu nutzen.

1. Automatisierte Entscheidungen (Art. 22 DSGVO + AI Act Hochrisiko)

Art. 22 Abs. 1 DSGVO gibt betroffenen Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Der AI Act geht weiter: Er klassifiziert KI-Systeme, die in Bereichen wie Kreditwürdigkeit, Personalauswahl, Strafverfolgung oder Zugangsentscheidungen eingesetzt werden, als Hochrisiko-KI (Anhang III VO (EU) 2024/1689). Für diese gelten strenge Anforderungen an Qualität, Transparenz, Dokumentation und menschliche Aufsicht.

Die Überschneidung: Viele Hochrisiko-KI-Systeme im Sinne des AI Act sind gleichzeitig Systeme, die automatisierte Einzelentscheidungen im Sinne des Art. 22 DSGVO treffen. Wer ein solches System betreibt, muss:

• Nach der DSGVO: eine Rechtsgrundlage nach Art. 22 Abs. 2 DSGVO haben, den Betroffenen informieren und angemessene Maßnahmen (einschließlich menschlicher Überprüfung) treffen.
• Nach dem AI Act: die vollständigen Anforderungen für Hochrisiko-KI einhalten, einschließlich Risikomanagementsystem (Art. 9), Datenqualität (Art. 10), technischer Dokumentation (Art. 11) und menschlicher Aufsicht (Art. 14).

Praxistipp: Nutzen Sie die AI-Act-Dokumentation als Grundlage für die DSGVO-Informationspflichten. Wer ein vollständiges Risikomanagementsystem nach Art. 9 AI Act implementiert hat, hat bereits wesentliche Bausteine für die Erfüllung der DSGVO-Pflichten.

2. Transparenzpflichten (Art. 13-14 DSGVO + Art. 50 AI Act)

Die DSGVO verlangt in Art. 13 und 14, dass Betroffene über die Verarbeitung ihrer Daten informiert werden -- einschließlich aussagekräftiger Informationen über die involvierte Logik bei automatisierten Entscheidungen (Art. 13 Abs. 2 lit. f).

Der AI Act enthält in Art. 50 eigene Transparenzpflichten, die teilweise über die DSGVO hinausgehen:

• KI-Systeme, die mit natürlichen Personen interagieren, müssen als solche erkennbar sein (Art. 50 Abs. 1).
• Betreiber von Emotionserkennungs- oder biometrischen Kategorisierungssystemen müssen die betroffenen Personen informieren (Art. 50 Abs. 3).
• KI-generierte Inhalte (Deepfakes, synthetische Texte) müssen als solche gekennzeichnet werden (Art. 50 Abs. 4).

Die Überschneidung: Beide Verordnungen verlangen Transparenz -- aber mit unterschiedlichem Fokus. Die DSGVO fragt: „Was passiert mit den Daten?" Der AI Act fragt: „Ist hier KI im Spiel, und wenn ja, welche?" In der Praxis müssen Unternehmen beide Informationspflichten in ihren Datenschutzhinweisen und Nutzungsbedingungen abbilden.

Praxistipp: Erstellen Sie eine kombinierte Transparenzmitteilung, die sowohl die DSGVO-Pflichtinformationen (Rechtsgrundlage, Speicherdauer, Betroffenenrechte) als auch die AI-Act-Pflichtinformationen (KI-System ja/nein, Art des Systems, Zweck) enthält.

3. DSFA und Grundrechte-Folgenabschätzung (Art. 35 DSGVO + Art. 27 AI Act)

Die DSGVO kennt die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35: eine systematische Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen.

Der AI Act führt mit Art. 27 ein neues Instrument ein: die Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment, FRIA). Betreiber von Hochrisiko-KI-Systemen, die öffentliche Einrichtungen oder private Stellen sind, die öffentliche Dienste erbringen, müssen vor der Inbetriebnahme eine solche Folgenabschätzung durchführen.

Zusätzlich verweist Art. 26 Abs. 9 AI Act explizit auf die DSGVO: Betreiber von Hochrisiko-KI-Systemen müssen gegebenenfalls eine DSFA nach Art. 35 DSGVO durchführen. Der AI Act erinnert also selbst an die DSGVO-Pflicht.

Die Überschneidung: DSFA und FRIA sind verwandt, aber nicht identisch:

• Die DSFA fokussiert auf Datenschutzrisiken (Verletzung der Privatsphäre, unrechtmäßige Verarbeitung).
• Die FRIA fokussiert auf alle Grundrechte (Diskriminierung, Meinungsfreiheit, Menschenwürde, Zugang zu Dienstleistungen).

Praxistipp: Führen Sie DSFA und FRIA als integrierten Prozess durch. Viele Informationen (Systembeschreibung, Datenflüsse, Risikobewertung) sind für beide Dokumente identisch. Dokumentieren Sie alles in einer einheitlichen Vorlage und ergänzen Sie jeweils die spezifischen Anforderungen.

4. Data Governance (DSGVO-Grundsätze + Art. 10 AI Act)

Die DSGVO legt in Art. 5 die Grundsätze der Datenverarbeitung fest: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Der AI Act stellt in Art. 10 umfassende Anforderungen an die Daten- und Datengovernance von Hochrisiko-KI-Systemen: Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Es müssen geeignete Data-Governance-Praktiken angewendet werden, einschließlich der Prüfung auf Verzerrungen (Bias).

Die Überschneidung: Wer Trainingsdaten für ein KI-System zusammenstellt, muss gleichzeitig:

• Nach der DSGVO: eine Rechtsgrundlage für die Verarbeitung haben (Art. 6), die Grundsätze des Art. 5 einhalten (insbesondere Datenminimierung und Zweckbindung) und gegebenenfalls eine Einwilligung einholen.
• Nach dem AI Act: sicherstellen, dass die Daten repräsentativ und verzerrungsfrei sind, was unter Umständen eine größere Datenmenge erfordert, als die DSGVO-Datenminimierung nahelegt.

Dieses Spannungsfeld zwischen Datenminimierung (DSGVO) und Datenqualität (AI Act) ist eine der größten praktischen Herausforderungen. Der AI Act adressiert dieses Problem in Art. 10 Abs. 5: In Ausnahmefällen dürfen besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeitet werden, um Verzerrungen zu erkennen und zu korrigieren -- unter strengen Auflagen.

Praxistipp: Dokumentieren Sie bei jedem KI-Trainingsdatensatz sowohl die DSGVO-Rechtsgrundlage als auch die AI-Act-Datenqualitätsprüfung. Ein gemeinsames Datenblatt pro Datensatz spart doppelte Arbeit.

5. Menschliche Aufsicht (Art. 22 DSGVO + Art. 14 AI Act)

Art. 22 Abs. 3 DSGVO verlangt, dass bei zulässigen automatisierten Einzelentscheidungen „angemessene Maßnahmen" getroffen werden, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren -- mindestens das Recht auf Eingreifen einer Person seitens des Verantwortlichen.

Art. 14 AI Act geht deutlich weiter und verlangt für Hochrisiko-KI-Systeme eine umfassende menschliche Aufsicht (Human Oversight). Das System muss so gestaltet sein, dass es von natürlichen Personen wirksam beaufsichtigt werden kann. Der Betreiber muss sicherstellen, dass die Aufsichtspersonen die Fähigkeiten des Systems verstehen, Automatisierungsbias erkennen können und in der Lage sind, das System zu ignorieren, zu überstimmen oder abzuschalten.

Die Überschneidung: Beide Verordnungen verlangen menschliche Kontrolle über automatisierte Systeme, aber mit unterschiedlicher Tiefe:

• Die DSGVO verlangt das Recht auf menschliches Eingreifen (reaktiv, auf Anfrage).
• Der AI Act verlangt eine permanente menschliche Aufsichtsstruktur (proaktiv, systemisch).

Praxistipp: Wenn Sie die Human-Oversight-Anforderungen des AI Act (Art. 14) vollständig umsetzen, erfüllen Sie automatisch auch die Anforderungen des Art. 22 Abs. 3 DSGVO. Investieren Sie in die AI-Act-Lösung -- sie ist die umfassendere.

Wo sich die Gesetze ergänzen

Die DSGVO wurde 2016 verabschiedet -- zu einer Zeit, als KI-Systeme in Unternehmen noch die Ausnahme waren. Sie enthält deshalb KI-spezifische Lücken, die der AI Act gezielt schließt.

Lücke 1: Keine Klassifizierung von KI-Risiken

Die DSGVO behandelt alle Datenverarbeitungen grundsätzlich gleich. Eine risikoadäquate Abstufung für verschiedene KI-Anwendungen fehlt. Der AI Act führt mit seinem Vier-Stufen-Modell (verboten, Hochrisiko, begrenzt, minimal) erstmals eine systematische Risikoklassifizierung ein. Unternehmen können damit gezielt die KI-Systeme identifizieren, die besondere Aufmerksamkeit erfordern.

Lücke 2: Keine Anforderungen an die Entwicklungsphase

Die DSGVO greift bei der Verarbeitung personenbezogener Daten. Die Frage, wie ein KI-System entwickelt, trainiert und validiert werden muss, liegt weitgehend außerhalb ihres Anwendungsbereichs. Der AI Act schließt diese Lücke mit detaillierten Anforderungen an das Qualitätsmanagementsystem (Art. 17), die technische Dokumentation (Art. 11) und die Konformitätsbewertung (Art. 43).

Lücke 3: Keine produktspezifische Marktaufsicht

Die DSGVO kennt keine Marktaufsicht für KI-Produkte. Datenschutzbehörden prüfen die Datenverarbeitung, nicht die Qualität des Algorithmus. Der AI Act etabliert ein Marktüberwachungssystem mit nationalen Behörden und dem EU AI Office, das die Konformität von KI-Systemen überwacht.

Lücke 4: Keine Regulierung nicht-personenbezogener KI-Risiken

Die DSGVO greift nur, wenn personenbezogene Daten im Spiel sind. Ein KI-System, das keine solchen Daten verarbeitet, aber dennoch gefährlich sein kann (z. B. ein autonomes Waffensystem oder ein manipulatives KI-System), fällt nicht unter die DSGVO. Der AI Act reguliert KI-Systeme unabhängig von der Art der verarbeiteten Daten und schließt damit eine erhebliche Regulierungslücke.

Lücke 5: Keine KI-spezifische Transparenz

Die DSGVO verlangt Informationen über die „involvierte Logik" bei automatisierten Entscheidungen (Art. 13 Abs. 2 lit. f). Was das genau bedeutet -- ob eine Erklärung des Algorithmus, eine Nennung der Einflussfaktoren oder eine vollständige technische Dokumentation --, ist seit Jahren umstritten. Der AI Act schafft mit Art. 13 (Transparenzanforderungen für Hochrisiko-KI) und Art. 50 (allgemeine Transparenzpflichten) deutlich konkretere Vorgaben.

Praktischer Compliance-Fahrplan: In 6 Schritten zur doppelten Compliance

Die Parallelität von AI Act und DSGVO muss kein Hindernis sein. Mit einem strukturierten Ansatz können Unternehmen beide Verordnungen effizient und gleichzeitig erfüllen.

Schritt 1: KI-Inventar erstellen

Bevor Sie Compliance herstellen können, müssen Sie wissen, welche KI-Systeme in Ihrem Unternehmen im Einsatz sind. Erstellen Sie ein KI-Register, das für jedes System folgende Informationen enthält:

• Name und Anbieter des KI-Systems
• Einsatzzweck und betroffene Abteilungen
• Art der verarbeiteten Daten (personenbezogen ja/nein, besondere Kategorien ja/nein)
• AI-Act-Risikoklasse (verboten, Hochrisiko, begrenzt, minimal)
• DSGVO-Rechtsgrundlage für die Datenverarbeitung
• Verantwortliche Personen (Fachbereich, DSB, KI-Beauftragter)

Dieses Register ist gleichzeitig die Grundlage für Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO und die Registrierungspflicht nach Art. 49 AI Act.

Schritt 2: Risikoklassifizierung durchführen

Für jedes KI-System im Inventar bestimmen Sie:

• AI Act: In welche Risikoklasse fällt das System? Ist es ein verbotenes System (Art. 5)? Ein Hochrisiko-System (Art. 6 + Anhang III)? Ein System mit begrenztem Risiko (Art. 50)? Oder ein Minimalrisiko-System?
• DSGVO: Erfordert die Datenverarbeitung eine DSFA nach Art. 35? Liegen Risikoindikatoren vor (Profiling, großflächige Verarbeitung, neue Technologien)?

Priorisieren Sie die Systeme: Hochrisiko-KI-Systeme, die gleichzeitig eine DSFA erfordern, stehen ganz oben auf Ihrer Compliance-Agenda.

Schritt 3: Integrierte Folgenabschätzung durchführen

Für prioritäre Systeme führen Sie eine kombinierte DSFA/FRIA durch. Nutzen Sie eine einheitliche Vorlage, die folgende Elemente enthält:

• Systembeschreibung und Zweckbestimmung
• Datenflüsse und beteiligte Akteure
• DSGVO-Risikobewertung (Datenschutzrisiken)
• AI-Act-Risikobewertung (Grundrechterisiken, Diskriminierung, Sicherheit)
• Technische und organisatorische Maßnahmen
• Restrisikobewertung
• Überwachungsplan

Schritt 4: Governance-Struktur aufbauen

Definieren Sie klare Verantwortlichkeiten:

• Datenschutzbeauftragter (DSB): Überwacht die DSGVO-Compliance, berät bei DSFAs.
• KI-Beauftragter / AI Compliance Officer: Überwacht die AI-Act-Compliance, verantwortet das KI-Register, koordiniert Konformitätsbewertungen.
• Fachbereichsverantwortliche: Stellen die operative Einhaltung sicher, melden neue KI-Systeme an.
• Geschäftsleitung: Trägt die Gesamtverantwortung, stellt Ressourcen bereit.

Stellen Sie sicher, dass DSB und KI-Beauftragter regelmäßig zusammenarbeiten. Viele Fragestellungen -- etwa die Zulässigkeit von Trainingsdaten oder die Transparenzpflichten -- erfordern eine gemeinsame Bewertung.

Schritt 5: KI-Kompetenz sicherstellen

Art. 4 AI Act verpflichtet alle Anbieter und Betreiber von KI-Systemen, ausreichende KI-Kompetenz bei ihrem Personal sicherzustellen. Diese Pflicht gilt seit dem 2. Februar 2025 und wird oft unterschätzt.

Schulen Sie:

• Führungskräfte in KI-Strategie und Governance
• DSB und Compliance-Mitarbeiter in den Wechselwirkungen zwischen AI Act und DSGVO
• Fachkräfte, die KI-Systeme bedienen, in der praktischen Anwendung und den Grenzen der Systeme
• Entwickler in Data Governance und Bias-Vermeidung

Schritt 6: Monitoring und Auditierung etablieren

Compliance ist kein Zustand, sondern ein Prozess. Etablieren Sie:

• Regelmäßige Überprüfung des KI-Registers (mindestens halbjährlich)
• Aktualisierung von DSFAs und FRIAs bei wesentlichen Änderungen
• Post-Market-Monitoring gemäß Art. 72 AI Act
• Interne Audits, die sowohl DSGVO- als auch AI-Act-Anforderungen abdecken
• Incident-Response-Prozesse für Datenschutzverletzungen (Art. 33-34 DSGVO) und schwerwiegende Vorfälle (Art. 73 AI Act)

Häufige Fehler bei der doppelten Compliance

Fehler 1: „Wir sind DSGVO-konform, also sind wir auch AI-Act-konform"

Nein. Die DSGVO regelt die Datenverarbeitung, der AI Act das KI-System. Ein Unternehmen kann ein perfektes Verarbeitungsverzeichnis, eine saubere Einwilligungspraxis und einen exzellenten DSB haben -- und trotzdem gegen den AI Act verstoßen, weil das eingesetzte KI-System keine ausreichende technische Dokumentation hat, die menschliche Aufsicht fehlt oder keine Konformitätsbewertung durchgeführt wurde.

Fehler 2: „Der AI Act gilt erst ab 2027 -- wir haben noch Zeit"

Teilweise falsch. Zwar gelten die Hochrisiko-Anforderungen erst ab August 2026 bzw. August 2027, aber zwei wichtige Pflichten gelten bereits jetzt:

• Verbotene Praktiken (Art. 5): seit dem 2. Februar 2025
• KI-Kompetenz (Art. 4): seit dem 2. Februar 2025

Unternehmen, die Social Scoring, manipulative KI oder biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum einsetzen, verstoßen bereits heute gegen den AI Act.

Fehler 3: „Das ist Sache des DSB"

Nein. Der Datenschutzbeauftragte ist für die DSGVO-Compliance verantwortlich, nicht für die AI-Act-Compliance. Der AI Act richtet sich an Anbieter und Betreiber -- das sind in der Regel die Geschäftsleitung und die Fachabteilungen. Der DSB sollte eingebunden sein, aber die Gesamtverantwortung kann er nicht übernehmen.

Fehler 4: „Wir nutzen nur ChatGPT -- das ist kein Hochrisiko"

Kommt darauf an. ChatGPT als solches ist ein KI-Modell mit allgemeinem Verwendungszweck (GPAI), das unter Art. 51-56 AI Act fällt. Aber: Wie Sie es einsetzen, bestimmt die Risikoklasse. Wenn Sie ChatGPT in einen Bewerbungsprozess integrieren, um Kandidaten zu bewerten, kann diese Anwendung als Hochrisiko-KI eingestuft werden. Zusätzlich müssen Sie prüfen, ob personenbezogene Daten in Prompts eingegeben werden -- dann greift die DSGVO in vollem Umfang.

Fehler 5: „Wir brauchen nur eine DSFA, keine Grundrechte-Folgenabschätzung"

Möglicherweise falsch. Wenn Sie ein Hochrisiko-KI-System betreiben und eine öffentliche Einrichtung sind oder öffentliche Dienste erbringen, müssen Sie zusätzlich zur DSFA eine Grundrechte-Folgenabschätzung nach Art. 27 AI Act durchführen. Die DSFA ersetzt die FRIA nicht, da sie unterschiedliche Schutzgüter adressiert.

Häufig gestellte Fragen (FAQ)

Ersetzt der AI Act die DSGVO?

Nein. Art. 2 Abs. 7 AI Act stellt ausdrücklich klar, dass die DSGVO unberührt bleibt. Beide Verordnungen gelten parallel. Der AI Act reguliert das KI-System als Produkt, die DSGVO die Verarbeitung personenbezogener Daten. Unternehmen müssen beide Regelwerke gleichzeitig einhalten.

Welche Aufsichtsbehörde ist zuständig -- Datenschutzbehörde oder Marktüberwachung?

Für DSGVO-Fragen ist die zuständige Datenschutzaufsichtsbehörde zuständig (in Deutschland die Landesdatenschutzbehörden oder der BfDI). Für AI-Act-Fragen sind die nationalen Marktüberwachungsbehörden zuständig. Viele EU-Mitgliedstaaten diskutieren derzeit, ob die Datenschutzbehörden auch AI-Act-Aufsichtsaufgaben übernehmen sollen. In der Praxis werden sich die Zuständigkeiten überschneiden, insbesondere bei KI-Systemen, die personenbezogene Daten verarbeiten.

Brauche ich für jedes KI-System eine DSFA?

Nicht für jedes, aber für die meisten. Eine DSFA ist nach Art. 35 DSGVO erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die DSK-Positivliste (Muss-Liste) nennt „innovative Technologien" als ein Kriterium. Da KI per Definition eine innovative Technologie ist, wird für die meisten KI-Systeme, die personenbezogene Daten verarbeiten, eine DSFA erforderlich sein. Der AI Act verweist in Art. 26 Abs. 9 ausdrücklich auf diese Pflicht.

Darf ich personenbezogene Daten zum Training von KI nutzen?

Ja, aber nur unter den Bedingungen der DSGVO. Sie benötigen eine Rechtsgrundlage nach Art. 6 DSGVO (z. B. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f oder Einwilligung nach Art. 6 Abs. 1 lit. a). Der AI Act stellt in Art. 10 Abs. 5 klar, dass in bestimmten Fällen sogar besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeitet werden dürfen, um Verzerrungen in Datensätzen zu erkennen und zu korrigieren -- allerdings unter strengen Auflagen (u. a. Anonymisierung nach der Erkennungsphase).

Was passiert bei einem Verstoß gegen beide Verordnungen gleichzeitig?

Theoretisch können zwei getrennte Bußgelder verhängt werden: eines nach Art. 83 DSGVO durch die Datenschutzbehörde und eines nach Art. 99 AI Act durch die Marktüberwachungsbehörde. In der Praxis ist allerdings das Doppelbestrafungsverbot (ne bis in idem) zu beachten. Der AI Act enthält in Art. 99 Abs. 4 eine Regelung, die eine doppelte Sanktionierung für denselben Verstoß verhindern soll. Dennoch bleibt ein Restrisiko, da verschiedene Behörden unterschiedliche Aspekte desselben Sachverhalts sanktionieren könnten.

Fazit: Zwei Regelwerke, eine Strategie

AI Act und DSGVO sind keine Gegensätze, sondern zwei Seiten derselben Medaille. Die DSGVO schützt die Daten, der AI Act das System. Zusammen bilden sie den europäischen Rahmen für verantwortungsvolle KI.

Für Unternehmen bedeutet das: Wer bereits eine solide DSGVO-Compliance aufgebaut hat, hat einen Vorsprung. Viele Prozesse -- Verarbeitungsverzeichnis, DSFA, Transparenzpflichten, Betroffenenrechte -- können für den AI Act erweitert werden. Aber: Die DSGVO allein reicht nicht. Der AI Act bringt eigene, zusätzliche Anforderungen mit, die aktiv umgesetzt werden müssen.

Der Schlüssel liegt in einer integrierten Compliance-Strategie, die beide Verordnungen von Anfang an zusammendenkt. Wer jetzt investiert, spart später doppelte Arbeit -- und vermeidet die erheblichen Bußgelder beider Verordnungen.

---

Sie möchten sicherstellen, dass Ihr Unternehmen sowohl den AI Act als auch die DSGVO einhält? KI Comply unterstützt Sie mit einer Plattform, die KI-Kompetenzschulungen, Compliance-Dokumentation und Risikobewertungen vereint. Jetzt kostenlos testen und den Grundstein für doppelte Compliance legen.