Dieser Artikel wurde von einer KI (Claude Opus 4.6) erstellt.
AI Act vs. DSGVO: Was Unternehmen über beide Gesetze wissen müssen
Veröffentlicht am 21. März 2026 · Lesezeit: ca. 16 Minuten
Zwei europäische Gesetze, ein Ziel: den Schutz der Bürger in der digitalen Welt. Doch während die DSGVO seit 2018 das Fundament des europäischen Datenschutzes bildet, kommt mit dem EU AI Act nun ein zweites Regelwerk hinzu, das KI-Systeme reguliert. Für Unternehmen bedeutet das: Zwei Gesetze gleichzeitig einhalten, die sich an vielen Stellen überschneiden, aber auch fundamentale Unterschiede aufweisen.
Die Verwirrung ist groß. Reicht meine DSGVO-Compliance aus? Was verlangt der AI Act zusätzlich? Wo widersprechen sich die Gesetze? Und was muss ich konkret tun, wenn ich beides einhalten will? Diese Fragen höre ich täglich, und in diesem Artikel bekommst du klare Antworten.
Wir vergleichen AI Act und DSGVO systematisch: Wo sie sich überschneiden, wo der AI Act weiter geht, wo die DSGVO weiter geht, und was das alles für dein Unternehmen in der Praxis bedeutet. Mit Vergleichstabellen, einem konkreten Praxisbeispiel und einer Handlungsanleitung, die du sofort umsetzen kannst.
Grundlagen: Was regeln AI Act und DSGVO?
Bevor wir in den Vergleich einsteigen, müssen wir die Grundlagen klären. Die DSGVO und der AI Act haben unterschiedliche Regelungsgegenstände, Schutzgüter und Ansätze. Das zu verstehen ist die Basis für alles Weitere.
Die DSGVO (Verordnung (EU) 2016/679, Quelle) ist seit dem 25. Mai 2018 anwendbar und regelt den Schutz personenbezogener Daten natürlicher Personen in der Europäischen Union. Ihr Schutzgegenstand sind personenbezogene Daten, also alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Die DSGVO greift immer dann, wenn personenbezogene Daten verarbeitet werden, unabhängig davon, welche Technologie dabei zum Einsatz kommt. Ob du eine Excel-Tabelle, eine Datenbank oder ein KI-System nutzt: Sobald personenbezogene Daten im Spiel sind, gilt die DSGVO.
Die DSGVO basiert auf einem rechtebasierten Ansatz. Im Zentrum stehen die Rechte der betroffenen Personen: Recht auf Information, Recht auf Auskunft, Recht auf Berichtigung, Recht auf Löschung, Recht auf Datenübertragbarkeit, Widerspruchsrecht und das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden. Unternehmen müssen diese Rechte gewährleisten und die Verarbeitung personenbezogener Daten auf eine Rechtsgrundlage stützen.
Der AI Act (Verordnung (EU) 2024/1689) (Quelle) ist seit dem 1. August 2024 in Kraft und wird stufenweise anwendbar. Er regelt das Inverkehrbringen, die Inbetriebnahme und die Nutzung von KI-Systemen in der EU. Sein Schutzgegenstand ist breiter als der der DSGVO: Es geht nicht nur um Daten, sondern um Gesundheit, Sicherheit und Grundrechte der Menschen. Der AI Act greift, sobald ein KI-System eingesetzt wird, unabhängig davon, ob personenbezogene Daten verarbeitet werden.
Der AI Act verfolgt einen risikobasierten Ansatz. KI-Systeme werden in vier Risikoklassen eingeteilt: verbotene Praktiken, Hochrisiko, begrenztes Risiko und minimales Risiko. Die Pflichten steigen mit der Risikostufe. Während KI-Systeme mit minimalem Risiko keinen besonderen Pflichten unterliegen, müssen Hochrisiko-KI-Systeme umfangreiche Anforderungen an Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht und Dokumentation erfüllen.
Der fundamentale Unterschied: Die DSGVO fragt „Werden personenbezogene Daten verarbeitet?“ Der AI Act fragt „Wird ein KI-System eingesetzt?“ In der Praxis überschneiden sich beide Fragen häufig, weil die meisten KI-Systeme in Unternehmen personenbezogene Daten verarbeiten. Aber es gibt auch Fälle, in denen nur eines der beiden Gesetze greift.
Die große Vergleichstabelle
Hier die umfassende Gegenüberstellung beider Gesetze in den wichtigsten Dimensionen:
| Kriterium | DSGVO | AI Act |
|---|---|---|
| In Kraft seit | 25. Mai 2018 | 1. August 2024 (stufenweise) |
| Schutzgegenstand | Personenbezogene Daten | Gesundheit, Sicherheit, Grundrechte |
| Regelungsansatz | Rechtebasiert | Risikobasiert |
| Anwendungsbereich | Verarbeitung personenbezogener Daten | Einsatz von KI-Systemen |
| Gilt für | Verantwortliche und Auftragsverarbeiter | Anbieter, Betreiber, Importeure, Händler |
| Transparenzpflicht | Information über Datenverarbeitung (Art. 13/14) | Information über KI-Einsatz (Art. 50) |
| Folgenabschätzung | DSFA bei hohem Risiko (Art. 35) | FRIA für Hochrisiko-KI (Art. 27) |
| Dokumentationspflicht | Verarbeitungsverzeichnis (Art. 30) | Technische Dokumentation (Anhang IV) |
| Automatisierte Entscheidungen | Verbot mit Ausnahmen (Art. 22) | Menschliche Aufsicht (Art. 14) |
| Maximales Bußgeld | 20 Mio. EUR / 4% Umsatz | 35 Mio. EUR / 7% Umsatz (Quelle) |
| Aufsichtsbehörde (DE) | Datenschutzbehörden der Länder | Bundesnetzagentur |
| Extraterritoriale Wirkung | Ja (Marktortprinzip) | Ja (Marktortprinzip) |
| KMU-Erleichterungen | Begrenzt (< 250 Mitarbeiter: kein VVT) | Ja (Art. 62, Sandboxes, reduzierte Gebühren) |
Wo sich AI Act und DSGVO überschneiden
Obwohl AI Act und DSGVO unterschiedliche Regelungsgegenstände haben, gibt es erhebliche Überschneidungen. Diese Schnittmengen sind für Unternehmen besonders relevant, weil sie Synergien bei der Umsetzung bieten.
Überschneidung 1: Transparenz. Beide Gesetze verlangen Transparenz, allerdings aus unterschiedlichen Perspektiven. Die DSGVO verlangt in Artikel 13 und 14, dass betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Wenn diese Verarbeitung mittels automatisierter Entscheidungsfindung, einschließlich Profiling, erfolgt, müssen aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen bereitgestellt werden. Der AI Act verlangt in Artikel 50, dass Personen darüber informiert werden, dass sie mit einem KI-System interagieren oder dass Inhalte KI-generiert sind. Die AI-Act-Transparenz bezieht sich auf die Technologie selbst, nicht auf die Daten.
In der Praxis bedeutet das: Wenn dein KI-Chatbot personenbezogene Daten verarbeitet, musst du nach der DSGVO über die Datenverarbeitung informieren und nach dem AI Act darüber, dass es sich um ein KI-System handelt. Beides kann in einem zusammenhängenden Hinweis erfolgen. Unser Artikel zur Chatbot-Kennzeichnungspflicht zeigt, wie du das praktisch umsetzt.
Überschneidung 2: Automatisierte Entscheidungen. Artikel 22 DSGVO gibt betroffenen Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Der AI Act verlangt in Artikel 14 für Hochrisiko-KI-Systeme eine menschliche Aufsicht, die sicherstellt, dass ein Mensch die KI-Entscheidungen überwachen und gegebenenfalls eingreifen kann.
Beide Regelungen zielen darauf ab, dass Menschen nicht vollständig einer Maschine ausgeliefert sind. Die DSGVO gibt dem Einzelnen ein Abwehrrecht, der AI Act verlangt vom Betreiber proaktive Maßnahmen. In der Praxis müssen Unternehmen, die KI-basierte Entscheidungssysteme einsetzen, beide Anforderungen gleichzeitig erfüllen.
Überschneidung 3: Folgenabschätzung. Die DSGVO kennt die Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35, die bei Verarbeitungen mit hohem Risiko für die Rechte der Betroffenen durchgeführt werden muss. Der AI Act verlangt für Hochrisiko-KI-Systeme eine grundrechtliche Folgenabschätzung (Fundamental Rights Impact Assessment, FRIA) nach Artikel 27 durch den Betreiber. Beide Instrumente haben ähnliche Strukturen: Risiken identifizieren, bewerten und Gegenmaßnahmen definieren. In der Praxis kannst du DSFA und FRIA in einem integrierten Dokument zusammenführen.
Überschneidung 4: Dokumentation. Die DSGVO verlangt ein Verzeichnis von Verarbeitungstätigkeiten (VVT, Art. 30), der AI Act verlangt eine technische Dokumentation (Anhang IV) für Hochrisiko-KI-Systeme und Protokollierung (Art. 12). Auch hier gibt es Synergien: Das VVT kann um KI-spezifische Informationen ergänzt werden, und die technische Dokumentation des AI Act kann die datenschutzrelevanten Informationen aus dem VVT referenzieren.
Überschneidung 5: Datenqualität. Die DSGVO verlangt in Artikel 5 Absatz 1 Buchstabe d, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. Der AI Act stellt in Artikel 10 Anforderungen an die Qualität der Trainings-, Validierungs- und Testdaten für Hochrisiko-KI-Systeme. Beide Regelungen verfolgen das Ziel, dass Entscheidungen auf korrekten Daten basieren.
Wo der AI Act weiter geht als die DSGVO
Der AI Act enthält zahlreiche Regelungen, die in der DSGVO kein Pendant haben. Das sind die Bereiche, in denen du zusätzliche Maßnahmen ergreifen musst, auch wenn du bereits DSGVO-compliant bist.
Verbotene KI-Praktiken (Art. 5): Der AI Act verbietet bestimmte KI-Anwendungen komplett, darunter Social-Scoring-Systeme, unterschwellige Manipulation, Ausnutzung von Schwächen vulnerabler Gruppen und bestimmte Formen biometrischer Fernidentifizierung. Die DSGVO kennt keine vergleichbaren absoluten Verbote für bestimmte Technologien. Sie verbietet zwar die Verarbeitung bestimmter Datenkategorien wie Gesundheitsdaten oder biometrische Daten ohne Rechtsgrundlage, aber die Technologie selbst wird nicht verboten.
Risikoklassifizierung (Anhang III): Der AI Act klassifiziert KI-Systeme nach Risikostufen und knüpft daran abgestufte Pflichten. Die DSGVO kennt keine vergleichbare Technologieklassifizierung. Sie kennt zwar das Konzept des hohen Risikos bei der DSFA, aber das bezieht sich auf die Art der Datenverarbeitung, nicht auf die eingesetzte Technologie.
KI-Kompetenz (Art. 4): Der AI Act verpflichtet Unternehmen, sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das ist eine proaktive Schulungspflicht, die es in der DSGVO so nicht gibt. Die DSGVO verlangt zwar die Sensibilisierung und Schulung des Personals in Bezug auf Datenschutz (Art. 39 Abs. 1 lit. b), aber keine spezifische technologiebezogene Kompetenzpflicht.
Konformitätsbewertung (Art. 43): Hochrisiko-KI-Systeme müssen ein Konformitätsbewertungsverfahren durchlaufen, bevor sie auf den Markt gebracht werden. Das ist ein produktrechtlicher Ansatz, der in der DSGVO keine Entsprechung hat. Die DSGVO kennt keine Vorabzulassung oder Zertifizierungspflicht für Verarbeitungstätigkeiten.
Kennzeichnung synthetischer Inhalte (Art. 50 Abs. 2): Der AI Act verlangt die Kennzeichnung von KI-generierten Bildern, Videos und Audioinhalten. Die DSGVO hat mit der Kennzeichnung synthetischer Inhalte nichts zu tun, solange keine personenbezogenen Daten betroffen sind. Ein komplett KI-generiertes Produktbild ohne Bezug zu einer realen Person fällt nicht unter die DSGVO, aber sehr wohl unter den AI Act.
Registrierungspflicht (Art. 49): Bestimmte Hochrisiko-KI-Systeme müssen in einer EU-weiten Datenbank registriert werden. Eine solche öffentliche Registrierungspflicht kennt die DSGVO nicht.
Für eine detaillierte Anleitung, wie du die Webseiten-Kennzeichnung nach dem AI Act umsetzt, empfehle ich unseren Guide: KI-Kennzeichnung auf der Webseite: AI Act Guide.
Wo die DSGVO weiter geht als der AI Act
Umgekehrt gibt es auch Bereiche, in denen die DSGVO strengere oder spezifischere Anforderungen stellt als der AI Act. Auch das musst du berücksichtigen, wenn du eine integrierte Compliance anstrebst. Einen umfassenden Überblick findest du in unserem Guide zu DSGVO-konformen KI-Tools.
Rechtsgrundlage für die Verarbeitung (Art. 6): Die DSGVO verlangt für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse oder berechtigtes Interesse. Der AI Act stellt keine vergleichbare Anforderung. Er regelt nicht, auf welcher Grundlage Daten verarbeitet werden dürfen, sondern wie KI-Systeme eingesetzt werden dürfen.
Betroffenenrechte (Art. 15-22): Die DSGVO gibt betroffenen Personen umfangreiche Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch. Der AI Act sieht keine vergleichbaren individuellen Rechte vor. Betroffene Personen können sich zwar bei der Aufsichtsbehörde beschweren, aber der AI Act gibt ihnen keine direkten Ansprüche gegen Unternehmen im Stil der DSGVO-Betroffenenrechte.
Auftragsverarbeitung (Art. 28): Die DSGVO regelt detailliert, unter welchen Bedingungen personenbezogene Daten an Auftragsverarbeiter weitergegeben werden dürfen und welche vertraglichen Anforderungen gelten. Der AI Act enthält keine vergleichbaren Regelungen zur Auftragsdatenverarbeitung bei KI-Systemen. Wenn du einen KI-Dienst eines externen Anbieters nutzt, der personenbezogene Daten verarbeitet, brauchst du weiterhin einen Auftragsverarbeitungsvertrag nach DSGVO.
Drittlandtransfer (Art. 44-49): Die DSGVO regelt streng, unter welchen Bedingungen personenbezogene Daten in Drittländer außerhalb der EU übermittelt werden dürfen. Angemessenheitsbeschlüsse, Standardvertragsklauseln und Binding Corporate Rules sind komplexe Mechanismen, die eingehalten werden müssen. Der AI Act enthält keine vergleichbaren Regelungen zum Datentransfer. Wenn dein KI-System Daten an einen Anbieter in den USA schickt, musst du die DSGVO-Drittlandtransfer-Regeln einhalten, unabhängig vom AI Act.
Datenschutzbeauftragter (Art. 37-39): Unter bestimmten Voraussetzungen müssen Unternehmen einen Datenschutzbeauftragten benennen. Der AI Act kennt keine vergleichbare Verpflichtung, einen KI-Beauftragten zu bestellen. Allerdings schreibt er für Hochrisiko-KI-Systeme vor, dass eine Person für die menschliche Aufsicht zuständig sein muss, was in der Praxis einer ähnlichen Rolle entsprechen kann.
Einwilligung und Widerruf (Art. 7): Die DSGVO regelt detailliert die Anforderungen an eine wirksame Einwilligung und das Recht auf jederzeitigen Widerruf. Wenn ein KI-System auf Basis einer Einwilligung personenbezogene Daten verarbeitet, muss die Einwilligung freiwillig, spezifisch, informiert und unmissverständlich sein. Der AI Act hat keine eigenen Einwilligungsregelungen.
Vorrangregeln: Was gilt bei Widersprüchen?
Eine zentrale Frage: Was passiert, wenn AI Act und DSGVO sich in einem konkreten Fall widersprechen? Die gute Nachricht: Der Gesetzgeber hat diesen Fall vorgesehen und eine klare Regelung getroffen.
Artikel 2 Absatz 7 des AI Act stellt klar: „Diese Verordnung berührt nicht das Unionsrecht über den Schutz personenbezogener Daten, der Privatsphäre und der Vertraulichkeit der Kommunikation.“ Das bedeutet: Die DSGVO hat Vorrang, wenn es um den Schutz personenbezogener Daten geht. Der AI Act kann die DSGVO nicht aushebeln oder aufweichen.
Konkretes Beispiel: Der AI Act könnte für Hochrisiko-KI-Systeme verlangen, dass bestimmte Daten zu Testzwecken oder für die Qualitätssicherung gespeichert werden. Wenn diese Daten personenbezogenen Charakter haben, muss die Speicherung trotzdem den DSGVO-Grundsätzen entsprechen: Zweckbindung, Datenminimierung, Speicherbegrenzung. Der AI Act kann nicht dazu führen, dass du personenbezogene Daten länger speicherst, als es die DSGVO erlaubt.
In der Praxis gibt es aber kaum echte Widersprüche. Die beiden Gesetze ergänzen sich in den allermeisten Fällen problemlos. Die DSGVO regelt den Datenschutz, der AI Act regelt die KI-Sicherheit und Transparenz. Du musst beides einhalten, und in der Regel stehen sich die Anforderungen nicht im Weg.
Ein Bereich, in dem es zu Spannungen kommen kann, ist die Datenlöschung. Nach der DSGVO müssen personenbezogene Daten gelöscht werden, wenn der Verarbeitungszweck erfüllt ist oder die betroffene Person die Löschung verlangt. Gleichzeitig kann der AI Act verlangen, dass Hochrisiko-KI-Systeme Protokolle führen, die möglicherweise personenbezogene Daten enthalten. Hier muss eine Lösung gefunden werden, die beide Anforderungen erfüllt, etwa durch Pseudonymisierung oder Anonymisierung der Protokolldaten.
Praxisbeispiel: KI-Chatbot im Online-Shop
Um das Zusammenspiel von AI Act und DSGVO greifbar zu machen, gehen wir ein konkretes Praxisbeispiel durch: einen KI-Chatbot in einem Online-Shop. Dieses Beispiel deckt beide Gesetze ab und zeigt, welche Pflichten jeweils greifen.
Das Szenario: Du betreibst einen Online-Shop für Elektronik und hast einen KI-Chatbot implementiert, der Kunden bei der Produktberatung unterstützt, Bestellstatus abfragt und einfache Reklamationen entgegennimmt. Der Chatbot basiert auf einem großen Sprachmodell, das über eine API eines US-amerikanischen Anbieters läuft. Kunden geben im Chat ihren Namen, ihre Bestellnummer und manchmal auch E-Mail-Adressen und Adressen ein.
Was verlangt die DSGVO?
Rechtsgrundlage: Du brauchst eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten im Chat. In der Regel stützt du dich auf Artikel 6 Absatz 1 Buchstabe b DSGVO, die Verarbeitung ist für die Erfüllung des Vertrags oder für vorvertragliche Maßnahmen erforderlich, oder auf Artikel 6 Absatz 1 Buchstabe f, das berechtigte Interesse an einer effizienten Kundenbetreuung.
Informationspflicht: Du musst die Kunden in der Datenschutzerklärung über die Datenverarbeitung im Chatbot informieren, insbesondere welche Daten verarbeitet werden, auf welcher Rechtsgrundlage, wie lange sie gespeichert werden und dass Daten an den KI-Anbieter in den USA übermittelt werden.
Auftragsverarbeitung: Du brauchst einen Auftragsverarbeitungsvertrag mit dem KI-Anbieter. Da der Anbieter in den USA sitzt, musst du zusätzlich den Drittlandtransfer absichern, idealerweise über das EU-U.S. Data Privacy Framework, falls der Anbieter darunter zertifiziert ist, oder über Standardvertragsklauseln.
Betroffenenrechte: Kunden müssen ihre DSGVO-Rechte ausüben können, insbesondere das Recht auf Auskunft über gespeicherte Chat-Daten und das Recht auf Löschung.
Automatisierte Entscheidungen: Wenn der Chatbot eigenständig Entscheidungen trifft, die den Kunden erheblich beeinträchtigen könnten, etwa die automatische Ablehnung einer Reklamation, greift Artikel 22 DSGVO. Der Kunde hat das Recht, eine menschliche Überprüfung zu verlangen.
Was verlangt der AI Act?
KI-Kennzeichnung: Nach Artikel 50 Absatz 1 müssen Nutzer darüber informiert werden, dass sie mit einem KI-System interagieren. Eine Begrüßungsnachricht wie „Ich bin ein KI-Assistent“ erfüllt diese Pflicht. Die Details erklären wir in unserem Guide zur Chatbot-Kennzeichnungspflicht nach dem AI Act.
KI-Kompetenz: Deine Mitarbeiter, die den Chatbot konfigurieren, überwachen oder dessen Ergebnisse nutzen, müssen über ausreichende KI-Kompetenz verfügen. Diese Pflicht aus Artikel 4 gilt bereits seit Februar 2025.
Risikoklasse: Ein Kundendienst-Chatbot fällt in der Regel in die Kategorie „begrenztes Risiko“. Hochrisiko wäre er nur, wenn er eigenständig rechtserhebliche Entscheidungen trifft. In dem Fall würden deutlich strengere Anforderungen gelten.
Webseiten-Kennzeichnung: Auf deiner Webseite muss dokumentiert sein, dass du ein KI-System für die Kundeninteraktion einsetzt. Das kann über eine KI-Transparenzseite oder einen entsprechenden Abschnitt im Impressum erfolgen.
Was musst du also konkret tun?
Erstens: Datenschutzerklärung aktualisieren. Ergänze einen Abschnitt zum KI-Chatbot, der sowohl die DSGVO-Informationen enthält als auch den AI-Act-Hinweis auf das KI-System. Zweitens: Chatbot-Begrüßungsnachricht anpassen. „Ich bin ein KI-Assistent von [Shop-Name]. Ich kann dir bei Produktfragen und Bestellungen helfen. Informationen zum Datenschutz findest du hier: [Link].“ Drittens: AVV mit dem KI-Anbieter abschließen und Drittlandtransfer absichern. Viertens: Mitarbeiter schulen, die den Chatbot konfigurieren und überwachen. Fünftens: Prozess für Betroffenenrechte einrichten, damit Kunden Auskunft über und Löschung von Chat-Daten verlangen können. Sechstens: Dokumentation erstellen, die beide Compliance-Bereiche abdeckt.
Ausführliche Informationen zum Datenschutz bei KI-Assistenten findest du in unserem Artikel zum Thema KI-Assistent und DSGVO-Datenschutz.
Folgenabschätzung: DSFA vs. FRIA
Sowohl die DSGVO als auch der AI Act kennen das Instrument der Folgenabschätzung, allerdings mit unterschiedlichen Schwerpunkten und Auslösern. Für Unternehmen, die KI-Systeme einsetzen, die personenbezogene Daten verarbeiten, können beide gleichzeitig relevant sein.
DSFA (Datenschutz-Folgenabschätzung, Art. 35 DSGVO): Eine DSFA ist erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die DSGVO nennt als Beispiele: systematische und umfassende Bewertung persönlicher Aspekte durch automatisierte Verarbeitung einschließlich Profiling, umfangreiche Verarbeitung besonderer Datenkategorien und systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Viele KI-Systeme, die personenbezogene Daten verarbeiten, fallen unter diese Kriterien.
Der Inhalt einer DSFA umfasst: eine systematische Beschreibung der geplanten Verarbeitung und ihrer Zwecke, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Rechte der Betroffenen und die vorgesehenen Abhilfemaßnahmen.
FRIA (Fundamental Rights Impact Assessment, Art. 27 AI Act): Die FRIA ist für Betreiber von Hochrisiko-KI-Systemen nach Anhang III vorgeschrieben, wenn sie in bestimmten Bereichen eingesetzt werden. Die FRIA geht über die DSFA hinaus, weil sie nicht nur Datenschutzrisiken betrachtet, sondern alle Grundrechte: Gleichbehandlung, Nichtdiskriminierung, Meinungsfreiheit, Menschenwürde, effektiver Rechtsschutz und weitere.
Der Inhalt einer FRIA umfasst: eine Beschreibung der Prozesse des Betreibers, in denen das Hochrisiko-KI-System eingesetzt wird, eine Beschreibung des Zeitraums und der Häufigkeit des Einsatzes, die Kategorien betroffener Personen, die spezifischen Risiken für die Grundrechte dieser Personen, eine Beschreibung der Maßnahmen zur menschlichen Aufsicht und Maßnahmen bei Eintritt der identifizierten Risiken.
Integration in der Praxis: Wenn du ein KI-System betreibst, das sowohl eine DSFA als auch eine FRIA erfordert, macht es Sinn, beides in einem Dokument zusammenzuführen. Die Struktur kann so aussehen:
| Abschnitt | DSFA-Anforderung | FRIA-Anforderung |
|---|---|---|
| Beschreibung der Verarbeitung/des Systems | Verarbeitungszwecke, Kategorien von Daten | Einsatzprozesse, Häufigkeit, Kategorien Betroffener |
| Notwendigkeit und Verhältnismäßigkeit | Ist die Verarbeitung notwendig? | Ist der KI-Einsatz verhältnismäßig? |
| Risikobewertung | Risiken für Datenschutz und Privatsphäre | Risiken für alle Grundrechte |
| Maßnahmen | Technische und organisatorische Maßnahmen (TOMs) | Menschliche Aufsicht, Risikomanagement |
| Konsultation | Ggf. Aufsichtsbehörde (Art. 36 DSGVO) | Ggf. Aufsichtsbehörde (Art. 27 Abs. 4 AI Act) |
Automatisierte Entscheidungen: Art. 22 DSGVO trifft AI Act
Ein besonders spannender Bereich ist das Zusammenspiel von Artikel 22 DSGVO und den AI-Act-Regelungen zu automatisierten Entscheidungen. Hier überlappen sich die Gesetze besonders stark, und die Anforderungen addieren sich.
Artikel 22 Absatz 1 DSGVO bestimmt: „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ Das ist ein sehr starkes Individualrecht, das im Kontext von KI-Systemen große praktische Bedeutung hat.
Die Ausnahmen sind eng: Automatisierte Entscheidungen sind nur erlaubt, wenn sie für den Abschluss oder die Erfüllung eines Vertrags erforderlich sind, durch Unionsrecht oder Recht des Mitgliedstaats zugelassen sind, oder auf einer ausdrücklichen Einwilligung beruhen. Selbst bei diesen Ausnahmen muss das Unternehmen angemessene Maßnahmen zum Schutz der betroffenen Person treffen, einschließlich des Rechts auf menschliches Eingreifen.
Der AI Act ergänzt dies: Für Hochrisiko-KI-Systeme verlangt Artikel 14 eine menschliche Aufsicht, die es ermöglicht, die Ausgaben des KI-Systems korrekt zu interpretieren, zu entscheiden, das KI-System nicht zu nutzen oder dessen Empfehlung zu übersteuern, und das System gegebenenfalls anzuhalten oder außer Betrieb zu nehmen.
In der Praxis bedeutet das für Unternehmen: Wenn du ein KI-System einsetzt, das automatisierte Entscheidungen mit erheblicher Wirkung auf Personen trifft, musst du sowohl die DSGVO-Anforderungen des Artikels 22 als auch die AI-Act-Anforderungen des Artikels 14 erfüllen. Das bedeutet konkret:
Du brauchst eine Rechtsgrundlage für die automatisierte Entscheidung nach DSGVO. Du musst die betroffene Person über die automatisierte Entscheidungsfindung informieren, über die involvierte Logik und die Tragweite nach DSGVO. Du musst ein Verfahren einrichten, über das die betroffene Person menschliches Eingreifen verlangen kann nach DSGVO. Du musst eine effektive menschliche Aufsicht über das KI-System gewährleisten nach AI Act. Du musst sicherstellen, dass die menschlichen Aufseher das KI-System korrekt interpretieren können nach AI Act.
Typische Szenarien, in denen beide Regelungen gleichzeitig greifen, sind KI-gestützte Kreditentscheidungen, KI-basierte Bewerbervorauswahl, automatisierte Versicherungspreiskalkulation, KI-gestützte Entscheidungen über Sozialleistungen und automatisierte Betrugserkennungssysteme mit Konsequenzen für Nutzer.
Zuständige Behörden: Wer kontrolliert was?
Ein wichtiger praktischer Aspekt: Für DSGVO und AI Act sind unterschiedliche Behörden zuständig. Das kann zu Reibungen führen, wenn ein KI-System sowohl datenschutz- als auch KI-rechtliche Fragen aufwirft.
DSGVO-Aufsicht in Deutschland: Die Datenschutzaufsicht ist in Deutschland föderal organisiert. Jedes Bundesland hat eine eigene Datenschutzaufsichtsbehörde, die für die nicht-öffentlichen Stellen in ihrem Bundesland zuständig ist. Daneben gibt es den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), der für Bundesbehörden und Telekommunikationsunternehmen zuständig ist. Auf EU-Ebene koordiniert der Europäische Datenschutzausschuss (EDSA).
AI-Act-Aufsicht in Deutschland: Für den AI Act wird die Bundesnetzagentur (BNetzA) als nationale Marktüberwachungsbehörde fungieren. Das ist eine zentrale Behörde, im Gegensatz zur föderalen DSGVO-Aufsicht. Auf EU-Ebene gibt es das AI Office bei der Europäischen Kommission, das die Umsetzung koordiniert, und das European Artificial Intelligence Board, das als Beratungsgremium fungiert.
Was bedeutet das in der Praxis? Wenn du ein KI-System betreibst, das personenbezogene Daten verarbeitet, können sowohl die Datenschutzaufsicht als auch die Bundesnetzagentur zuständig sein, jeweils für ihren Regelungsbereich. Der AI Act sieht in Artikel 74 vor, dass die Marktüberwachungsbehörden und die Datenschutzaufsichtsbehörden zusammenarbeiten sollen. Wie diese Zusammenarbeit in der Praxis aussehen wird, muss sich noch zeigen.
Für dich als Unternehmen bedeutet das: Du musst möglicherweise mit zwei verschiedenen Behörden kommunizieren und unterschiedliche Meldepflichten erfüllen. Das ist lästig, aber nicht dramatisch. Wichtig ist, dass du beide Compliance-Bereiche dokumentiert hast und weißt, welche Behörde für welche Frage zuständig ist.
Integrierte Compliance: Beide Gesetze effizient umsetzen
Die gute Nachricht zum Schluss des analytischen Teils: Du musst nicht zwei komplett separate Compliance-Systeme aufbauen. Die Überschneidungen zwischen DSGVO und AI Act sind so groß, dass ein integrierter Ansatz nicht nur möglich, sondern dringend empfohlen ist.
Hier die Strategie für eine integrierte Compliance, die ich Unternehmen empfehle:
Schritt 1: Gemeinsames Inventar. Erstelle ein einziges Verzeichnis, das sowohl die DSGVO-Verarbeitungstätigkeiten als auch die AI-Act-KI-Systeme umfasst. Für jedes KI-System, das personenbezogene Daten verarbeitet, hast du einen Eintrag, der beide Perspektiven abdeckt. Das VVT nach Artikel 30 DSGVO wird um KI-spezifische Spalten ergänzt: KI-Risikoklasse, Transparenzmaßnahmen, Kompetenznachweis.
Schritt 2: Integrierte Datenschutz- und KI-Erklärung. Deine Datenschutzerklärung wird um KI-spezifische Abschnitte erweitert. Für jeden KI-Einsatz, der personenbezogene Daten betrifft, deckst du in einem zusammenhängenden Text sowohl die DSGVO-Informationen als auch die AI-Act-Transparenzpflichten ab. Zusätzlich erstellst du eine separate KI-Transparenzseite für die Informationen, die nichts mit personenbezogenen Daten zu tun haben, etwa die Kennzeichnung synthetischer Inhalte.
Schritt 3: Kombinierte Folgenabschätzung. Wenn ein KI-System sowohl eine DSFA als auch eine FRIA erfordert, erstellst du ein einziges Dokument, das beide Anforderungen abdeckt. Die Struktur beginnt mit der Systembeschreibung, die beide Perspektiven umfasst, gefolgt von der Datenschutz-Risikobewertung und der Grundrechte-Risikobewertung und endet mit einem integrierten Maßnahmenplan.
Schritt 4: Einheitliches Schulungskonzept. Die KI-Kompetenzpflicht des Artikels 4 AI Act und die Datenschutz-Sensibilisierungspflicht lassen sich in einem einheitlichen Schulungskonzept zusammenführen. Ein Schulungsblock behandelt die Grundlagen beider Gesetze, ein weiterer Block die konkreten Pflichten im Arbeitsalltag.
Schritt 5: Gemeinsame Dokumentation. Erstelle ein KI- und Datenschutz-Compliance-Dokument, das alle relevanten Informationen an einem Ort bündelt. Das erleichtert nicht nur die interne Verwaltung, sondern auch die Kommunikation mit Aufsichtsbehörden.
Checkliste: AI Act und DSGVO zusammen erfüllen
Hier eine kompakte Checkliste, die du für die integrierte Compliance nutzen kannst. Für jeden Punkt ist angegeben, ob er aus der DSGVO, dem AI Act oder beiden Gesetzen stammt.
| Maßnahme | DSGVO | AI Act | Priorität |
|---|---|---|---|
| KI-Inventar erstellen | – | Ja | Hoch |
| Verarbeitungsverzeichnis pflegen | Ja | – | Hoch |
| Risikoklassen bestimmen | – | Ja | Hoch |
| Datenschutzerklärung aktualisieren | Ja | – | Hoch |
| KI-Transparenzseite erstellen | – | Ja | Hoch |
| Chatbot kennzeichnen | Teilweise | Ja | Hoch |
| KI-generierte Inhalte kennzeichnen | – | Ja | Mittel |
| Mitarbeiter schulen (KI + Datenschutz) | Ja | Ja | Hoch (bereits Pflicht!) |
| Auftragsverarbeitungsverträge prüfen | Ja | – | Hoch |
| Drittlandtransfer absichern | Ja | – | Hoch |
| DSFA/FRIA durchführen (bei Bedarf) | Ja | Ja | Je nach Risiko |
| Menschliche Aufsicht sicherstellen | Art. 22 | Art. 14 | Hoch (bei autom. Entscheidungen) |
| Betroffenenrechte gewährleisten | Ja | – | Hoch |
| Compliance-Dokumentation erstellen | Ja | Ja | Mittel |
Du siehst: Viele Maßnahmen betreffen beide Gesetze gleichzeitig. Wenn du sie integriert angehst, sparst du erheblich Zeit und Aufwand gegenüber einer getrennten Umsetzung.
FAQ: Häufige Fragen zu AI Act und DSGVO
Ersetzt der AI Act die DSGVO?
Nein, der AI Act ersetzt die DSGVO definitiv nicht. Beide Gesetze gelten parallel und ergänzen sich gegenseitig. Die DSGVO regelt den Schutz personenbezogener Daten, unabhängig von der eingesetzten Technologie. Der AI Act reguliert KI-Systeme als Technologie, unabhängig davon, ob personenbezogene Daten verarbeitet werden. Wenn ein KI-System personenbezogene Daten verarbeitet, und das tun die meisten KI-Systeme in Unternehmen, müssen beide Regelwerke gleichzeitig eingehalten werden. Der AI Act enthält in Artikel 2 Absatz 7 sogar eine explizite Klarstellung, dass das Unionsrecht zum Schutz personenbezogener Daten unberührt bleibt. Die DSGVO ist und bleibt das Fundament des europäischen Datenschutzes, und der AI Act baut darauf auf.
Was ist der Hauptunterschied zwischen AI Act und DSGVO?
Der Hauptunterschied liegt im Schutzgegenstand und im Regelungsansatz. Die DSGVO schützt personenbezogene Daten und die Privatsphäre natürlicher Personen. Ihr Ansatz ist rechtebasiert: Im Zentrum stehen die Rechte der betroffenen Personen. Die DSGVO greift immer dann, wenn personenbezogene Daten verarbeitet werden, egal mit welcher Technologie. Der AI Act hingegen reguliert KI-Systeme als Technologie und zielt auf die Sicherheit, Transparenz und den Grundrechtsschutz in einem breiteren Sinne. Sein Ansatz ist risikobasiert: KI-Systeme werden nach Risikostufen klassifiziert, und die Pflichten steigen mit dem Risiko. Der AI Act greift, sobald ein KI-System eingesetzt wird, unabhängig davon, ob personenbezogene Daten betroffen sind. Ein KI-System, das keine personenbezogenen Daten verarbeitet, fällt nicht unter die DSGVO, aber durchaus unter den AI Act.
Brauche ich für meinen KI-Chatbot eine Datenschutz-Folgenabschätzung?
Das kommt auf den konkreten Chatbot an. Eine DSFA nach Artikel 35 DSGVO ist erforderlich, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Bei einem einfachen FAQ-Chatbot, der keine persönlichen Daten speichert und lediglich allgemeine Informationen bereitstellt, ist in der Regel keine DSFA erforderlich. Bei einem Chatbot hingegen, der Kundendaten verarbeitet, wie Bestellinformationen, Namen und Adressen, oder gar Profiling durchführt, solltest du eine DSFA durchführen. Wenn der Chatbot zusätzlich eigenständig Entscheidungen trifft, die Kunden erheblich betreffen, kann auch eine FRIA nach dem AI Act erforderlich sein. Im Zweifel empfehle ich, eine vereinfachte DSFA durchzuführen, die dokumentiert, dass du die Risiken geprüft hast.
Welche Behörde ist für den AI Act zuständig, welche für die DSGVO?
Für die DSGVO sind in Deutschland die Datenschutzaufsichtsbehörden der 16 Bundesländer und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig. Die Zuständigkeit richtet sich nach dem Sitz des Unternehmens. Für den AI Act wird in Deutschland die Bundesnetzagentur als nationale Marktüberwachungsbehörde fungieren. Das ist eine zentrale Bundesbehörde, im Gegensatz zur föderalen DSGVO-Aufsicht. Auf EU-Ebene koordiniert bei der DSGVO der Europäische Datenschutzausschuss, beim AI Act das neu eingerichtete AI Office bei der Europäischen Kommission. Wenn ein KI-System sowohl datenschutz- als auch KI-rechtliche Fragen aufwirft, können also zwei verschiedene Behörden zuständig sein. Der AI Act sieht vor, dass beide Behörden zusammenarbeiten sollen.
Kann ich DSGVO-Compliance und AI-Act-Compliance zusammen umsetzen?
Ja, und das ist sogar dringend empfehlenswert. Viele Anforderungen beider Gesetze überschneiden sich inhaltlich: Transparenzpflichten, Folgenabschätzungen, Dokumentation und Schulungspflichten. Du kannst ein integriertes Compliance-System aufbauen, das beide Regelwerke effizient abdeckt. Konkret bedeutet das: Das DSGVO-Verarbeitungsverzeichnis wird um KI-spezifische Spalten erweitert, die Datenschutzerklärung wird um KI-Transparenzinformationen ergänzt, DSFA und FRIA werden in einem kombinierten Dokument erstellt, und Schulungen decken sowohl Datenschutz als auch KI-Kompetenz ab. Dieser integrierte Ansatz spart erheblich Zeit und vermeidet Doppelarbeit.
Gelten für KI-Systeme ohne personenbezogene Daten trotzdem Pflichten?
Ja, der AI Act gilt unabhängig davon, ob personenbezogene Daten verarbeitet werden. Auch ein KI-System, das ausschließlich mit anonymen oder nicht personenbezogenen Daten arbeitet, muss die AI-Act-Pflichten erfüllen, wenn es in eine entsprechende Risikokategorie fällt. Ein Beispiel: Wenn du KI-generierte Produktbilder auf deiner Webseite verwendest, die keine Personen zeigen und auf keinen personenbezogenen Daten basieren, greift die DSGVO nicht. Aber die Transparenzpflicht des Artikels 50 AI Act greift trotzdem: Du musst kennzeichnen, dass die Bilder KI-generiert sind. Umgekehrt gilt: Wenn du personenbezogene Daten ohne KI-Einsatz verarbeitest, greift die DSGVO, aber nicht der AI Act. Die beiden Gesetze haben unterschiedliche Auslöser und können unabhängig voneinander anwendbar sein.
Was passiert, wenn AI Act und DSGVO sich widersprechen?
Der Gesetzgeber hat diesen Fall vorgesehen. Artikel 2 Absatz 7 des AI Act stellt klar, dass die Verordnung das Unionsrecht zum Schutz personenbezogener Daten nicht berührt. Das bedeutet: Im Bereich des Datenschutzes hat die DSGVO grundsätzlich Vorrang. Wenn der AI Act Anforderungen stellt, die mit der DSGVO kollidieren würden, etwa eine Datenspeicherung, die dem Grundsatz der Datenminimierung widerspricht, geht die DSGVO vor. In der Praxis gibt es aber kaum echte Widersprüche, da beide Gesetze komplementär konzipiert sind. Mögliche Spannungsbereiche, etwa bei der Protokollierungspflicht des AI Act und dem Löschungsrecht der DSGVO, lassen sich durch Pseudonymisierung oder Anonymisierung der Protokolldaten lösen.
Fazit
AI Act und DSGVO sind keine Gegenspieler, sondern zwei Seiten derselben Medaille. Die DSGVO schützt deine Daten, der AI Act schützt dich vor unsicherer und intransparenter KI. Zusammen bilden sie ein umfassendes Schutzgerüst für die digitale Gesellschaft.
Für Unternehmen bedeutet das: Du musst beide Gesetze gleichzeitig einhalten, wenn du KI-Systeme einsetzt, die personenbezogene Daten verarbeiten. Und das betrifft die allermeisten Unternehmen. Die gute Nachricht: Die Überschneidungen sind so groß, dass ein integrierter Compliance-Ansatz den Aufwand erheblich reduziert.
Die wichtigsten Erkenntnisse aus diesem Vergleich zusammengefasst: Der AI Act ersetzt die DSGVO nicht, er ergänzt sie. Bei Widersprüchen hat die DSGVO Vorrang, wenn es um personenbezogene Daten geht. Bei Transparenz, Folgenabschätzung und Dokumentation gibt es große Synergien. Der AI Act geht bei KI-spezifischen Themen wie Risikoklassifizierung, Kompetenzpflicht und Kennzeichnung synthetischer Inhalte über die DSGVO hinaus. Die DSGVO geht bei datenschutzspezifischen Themen wie Rechtsgrundlagen, Betroffenenrechten und Drittlandtransfer über den AI Act hinaus.
Nutze diesen Vergleich als Grundlage für deine integrierte Compliance-Strategie — starte am besten mit unserem Compliance Check für AI Act. Und wenn du bei der konkreten Umsetzung Unterstützung brauchst, findest du in unseren spezialisierten Guides weiterführende Informationen: Zur KI-Kennzeichnung auf der Webseite, zur Chatbot-Kennzeichnungspflicht und zum Thema KI-Assistent und DSGVO-Datenschutz.
Weitere Artikel zum EU AI Act
Quellen
- Europäische Union: Verordnung (EU) 2024/1689 (AI Act) – https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689
- Europäische Union: Verordnung (EU) 2016/679 (DSGVO) – https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679
- Europäische Kommission: AI Act und Datenschutz – https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai
- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/KI-DS/KI-DS_node.html
Das könnte dich auch interessieren
Olaf Mergili
Gründer von mylurch.com · KI-Berater · Seit 2023 im täglichen Einsatz von KI-Tools
Ich teste KI-Tools nicht nur — ich nutze sie jeden Tag in echten Projekten. Was hier steht, basiert auf meiner praktischen Erfahrung: was funktioniert, was nicht, und wo die Stolperfallen liegen. Keine gesponserten Empfehlungen, keine Theorie — nur ehrliche Einschätzungen aus der Praxis.
Kostenloser Download
OpenClaw Starter-Guide
11 Seiten PDF — von der Installation bis zum ersten automatisierten Workflow. Jetzt kostenlos herunterladen.