EU AI Act vs. DSGVO: Wichtige Unterschiede, Überschneidungen und wie Sie beide Compliance-Programme führen
Verarbeiten Sie Gesundheitsdaten? Dann kommt ein drittes Regime hinzu, die MDR/IVDR, siehe DSGVO x AI Act x MDR für Gesundheitsdaten.
TL;DR, AI Act vs. DSGVO auf einen Blick
- Kernunterschied: Die DSGVO regelt die Verarbeitung personenbezogener Daten. Der AI Act regelt die KI-Systeme selbst, ihr Design, ihre Entwicklung, ihren Einsatz und ihre Nutzung. Der AI Act gilt auch, wenn keine personenbezogenen Daten beteiligt sind.
- Bußgelder addieren sich unabhängig: Ein einzelner Vorfall kann Sanktionen nach beiden Regelwerken auslösen. Maximales DSGVO-Bußgeld: 20 Mio. EUR / 4 % des Umsatzes. Maximales AI-Act-Bußgeld: 35 Mio. EUR / 7 % des Umsatzes. Diese sind additiv, nicht alternativ.
- Fünf große Überschneidungsbereiche: Biometrie, automatisierte Entscheidungsfindung, Folgenabschätzungen (DSFA + FRIA), Transparenzpflichten und Protokollierung/Aufzeichnung.
- Zentrale Abweichung: Der AI Act schafft Pflichten für KI-Anbieter (Entwickler), die kein DSGVO-Äquivalent haben. Die DSGVO reguliert Softwareanbieter als solche nicht.
- Praktischer Ansatz: Führen Sie beide als integriertes Compliance-Programm, einheitliches Verzeichnis, kombinierte Bewertungen, konsolidierte Hinweise, koordinierte Vorfallmeldung, gemeinsame Governance.
- Beide gelten für die meiste geschäftliche KI: Wenn Ihr KI-System personenbezogene Daten von EU-Bürgern verarbeitet (was die meiste kommerzielle KI abdeckt), unterliegen Sie beiden Regelwerken gleichzeitig.
Kernunterschied: Was jedes Regelwerk regelt
Die DSGVO (Verordnung (EU) 2016/679) regelt die Verarbeitung personenbezogener Daten. Ihr Anliegen ist Datenschutz, Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Die DSGVO gilt immer dann, wenn personenbezogene Daten von Personen in der EU verarbeitet werden, unabhängig von der eingesetzten Technologie.
Der EU AI Act (Verordnung (EU) 2024/1689) regelt die KI-Systeme selbst, ihr Design, ihre Entwicklung, ihr Inverkehrbringen, ihren Einsatz und ihre Nutzung. Sein Anliegen ist Sicherheit, Grundrechte und Vertrauen. Der AI Act gilt auch, wenn keine personenbezogenen Daten verarbeitet werden. Ein KI-System, das die Verteilung im Energienetz nur mit anonymisierten Infrastrukturdaten optimiert, fällt in den Anwendungsbereich des AI Act, aber außerhalb des Anwendungsbereichs der DSGVO.
Die einfachste Unterscheidung: Die DSGVO fragt "Was tun Sie mit den Daten?" Der AI Act fragt "Was tut Ihr KI-System mit Menschen?"
Beide Fragen können, und tun es häufig, gleichzeitig auf dasselbe System zutreffen.
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenUmfassender Vergleich Seite an Seite
Fünf große Überschneidungsbereiche
1. Biometrie
DSGVO: Stuft biometrische Daten als besondere Kategorie personenbezogener Daten ein (Artikel 9) und verlangt für die Verarbeitung eine ausdrückliche Einwilligung oder eine spezifische Rechtsgrundlage. Biometrische Daten, die zu Identifizierungszwecken genutzt werden, lösen das höchste Schutzniveau der DSGVO aus.
AI Act: Geht in drei Punkten über die DSGVO hinaus. Erstens verbietet er bestimmte biometrische Praktiken vollständig nach Artikel 5, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit engen Ausnahmen für die Strafverfolgung), Emotionserkennung am Arbeitsplatz und in der Bildung, ungezieltes Auslesen von Gesichtsbildern aus dem Internet oder von Videoüberwachung und biometrische Kategorisierung, die sensible Merkmale ableitet (Rasse, politische Meinungen, sexuelle Orientierung). Zweitens stuft er die meiste andere biometrische KI als Hochrisiko nach Anhang III ein. Drittens legt er allen Systemen zur biometrischen Kategorisierung und Emotionserkennung Transparenzpflichten nach Artikel 50 auf.
Praktische Auswirkung: Wenn Sie biometrische KI nutzen, müssen Sie sowohl die strengen Anforderungen der DSGVO an die Rechtsgrundlage (ausdrückliche Einwilligung oder Ausnahme nach Artikel 9(2)) als auch gleichzeitig die Verbote, Hochrisiko-Pflichten oder Transparenzanforderungen des AI Act erfüllen. Ein biometrisches Zugangskontrollsystem in einem Bürogebäude etwa erfordert eine DSGVO-Rechtsgrundlage für die Verarbeitung biometrischer Daten, Hochrisiko-Compliance nach dem AI Act (Risikomanagement, technische Dokumentation, Konformitätsbewertung) und eine Transparenzbenachrichtigung der Beschäftigten.
2. Automatisierte Entscheidungsfindung und Profiling
DSGVO: Artikel 22 gibt Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche oder ähnlich erhebliche Wirkung entfaltet. Organisationen müssen aussagekräftige Informationen über die involvierte Logik, die Tragweite und die vorgesehenen Folgen bereitstellen. Personen haben das Recht auf menschliches Eingreifen, auf Darlegung ihres Standpunkts und auf Anfechtung der Entscheidung.
AI Act: Wiederholt Artikel 22 DSGVO nicht, reguliert aber die KI-Systeme, die solche Entscheidungen treffen, besonders bei der Nutzung in Beschäftigung (Anhang III, Punkt 4), Kredit und Versicherung (Punkt 5), Bildung (Punkt 3), Strafverfolgung (Punkt 6), Migration (Punkt 7) und öffentlichen Diensten (Punkt 8). Der AI Act verlangt für diese Hochrisiko-Systeme Risikomanagement, menschliche Aufsicht, technische Dokumentation, Genauigkeitskennzahlen und Konformitätsbewertung.
Praktische Auswirkung: Ein KI-System, das Kreditantragsteller bewertet, muss sowohl Artikel 22 DSGVO (Recht auf menschliches Eingreifen, aussagekräftige Informationen, Anfechtungsrecht) als auch die vollständige Reihe der Hochrisiko-Pflichten des AI Act erfüllen. Die beiden Regelwerke verstärken sich gegenseitig, werden aber von unterschiedlichen Behörden durchgesetzt, der DSB für die DSGVO, der Marktüberwachungsbehörde für den AI Act.
3. Folgenabschätzungen: DSFA + FRIA
DSGVO: Verlangt eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Datenschutzrechte zur Folge hat. Die DSFA muss die Verarbeitung beschreiben, Notwendigkeit und Verhältnismäßigkeit bewerten, Risiken für die betroffenen Personen erkennen und Maßnahmen zu deren Bewältigung festlegen.
AI Act: Verlangt eine Grundrechte-Folgenabschätzung (FRIA) nach Artikel 27 für bestimmte Betreiber von Hochrisiko-KI-Systemen (öffentliche Stellen, Anbieter wesentlicher Dienste, Bildungseinrichtungen). Die FRIA deckt die volle Breite der EU-Grundrechtecharta ab, Würde, Nichtdiskriminierung, Kinderrechte, Rechte von Menschen mit Behinderungen, Zugang zur Justiz, Umweltschutz, nicht nur den Datenschutz.
Praktische Auswirkung: Artikel 27(4) erlaubt Betreibern ausdrücklich, die FRIA und die DSFA in einem einzigen Bewertungsdokument zu kombinieren. Das wird dringend empfohlen. Strukturieren Sie es als ein einheitliches Dokument mit zwei klar gekennzeichneten Abschnitten, einer für die Datenschutzrisiken der DSGVO, der andere für die breiteren Charta-Rechte. Den schrittweisen Ablauf finden Sie im ausführlichen FRIA-Leitfaden.
4. Transparenz
DSGVO: Verlangt Datenschutzhinweise (Artikel 13-14), die erklären, welche Daten erhoben werden, zu welchen Zwecken, auf welcher Rechtsgrundlage, für welche Speicherfristen, welche Betroffenenrechte bestehen und ob eine automatisierte Entscheidungsfindung stattfindet. Die Informationen müssen präzise, transparent, verständlich und leicht zugänglich sein.
AI Act: Verlangt mehrere Ebenen der Transparenz:
- Information der Nutzer, wenn sie mit einem KI-System interagieren (Chatbots, Deepfakes, Emotionserkennung) nach Artikel 50
- Information betroffener Personen, dass sie einem Hochrisiko-KI-System unterliegen, nach Artikel 26
- Bereitstellung einer umfassenden Betriebsanleitung für Betreiber nach Artikel 13
- Kennzeichnung KI-generierter Inhalte (synthetische Medien, Deepfakes) in maschinenlesbarem Format
Praktische Auswirkung: Ihre Transparenzhinweise an Personen sollten sowohl die Elemente der Datenverarbeitung (DSGVO) als auch die Elemente des KI-Systems (AI Act) abdecken. Für einen Chatbot, der personenbezogene Daten verarbeitet, bedeutet das: DSGVO-Hinweis zur Datenerhebung und -nutzung, plus AI-Act-Offenlegung, dass der Nutzer mit einem KI-System interagiert. Konsolidieren Sie, wo möglich, um Hinweismüdigkeit zu vermeiden.
5. Protokollierung und Aufzeichnung
DSGVO: Verlangt ein Verzeichnis von Verarbeitungstätigkeiten (Artikel 30), das jede Verarbeitung, ihren Zweck, die Datenkategorien, Empfänger, Speicherfristen und Sicherheitsmaßnahmen dokumentiert. Einzelne betroffene Personen haben das Recht, auf Protokolle der Verarbeitung ihrer personenbezogenen Daten zuzugreifen.
AI Act: Verlangt eine automatische Protokollierung des Betriebs von Hochrisiko-KI-Systemen (Artikel 12), um die Nachvollziehbarkeit über den gesamten Lebenszyklus zu ermöglichen. Betreiber müssen diese Protokolle mindestens sechs Monate aufbewahren (oder länger, wenn sektorspezifisches Recht dies verlangt). Protokolle müssen den Marktüberwachungsbehörden auf Anfrage zur Verfügung stehen.
Praktische Auswirkung: Protokolle von KI-Systemen enthalten häufig personenbezogene Daten (Eingaben, Ausgaben, Nutzerkennungen). Das bedeutet, dass die Protokolle selbst der DSGVO unterliegen, Speicherbegrenzung, Auskunftsrechte, Löschpflichten und Sicherheitsanforderungen. Gestalten Sie Ihre Protokollierungsinfrastruktur von Anfang an so, dass sie sowohl die Nachvollziehbarkeitsanforderungen des AI Act als auch die Datenschutzanforderungen der DSGVO erfüllt.
Wo sie auseinandergehen
Anwendungsbereich des AI Act ohne personenbezogene Daten
Der AI Act gilt für KI-Systeme, die Menschen betreffen, auch wenn keine personenbezogenen Daten verarbeitet werden. Beispiele:
- Ein KI-System, das die Lastverteilung im Energienetz nur mit Infrastruktur-Sensordaten optimiert, Hochrisiko nach Anhang III, Punkt 2 (kritische Infrastruktur), aber ohne beteiligte personenbezogene Daten.
- Ein KI-System, das Gebäudesicherheitsinspektionen auf Basis struktureller Daten priorisiert, kann Hochrisiko sein, verarbeitet aber keine personenbezogenen Daten.
- Ein KI-System, das Einsatzfahrzeuge auf Basis von Verkehrs- und Geodaten leitet, potenziell Hochrisiko, keine personenbezogenen Daten.
Die DSGVO würde auf keines davon zutreffen. Der AI Act schon.
Anbieterpflichten ohne DSGVO-Äquivalent
Die DSGVO reguliert Verantwortliche und Auftragsverarbeiter, sie schafft keine direkten Pflichten für Softwareanbieter als solche. Ein Unternehmen, das einen Kreditscoring-Algorithmus entwickelt, aber selbst nie personenbezogene Daten verarbeitet (weil die einsetzende Bank der Verantwortliche ist), hat keine direkten DSGVO-Pflichten.
Der AI Act ändert das grundlegend. Anbieter (Entwickler, die KI-Systeme unter ihrem eigenen Namen in Verkehr bringen oder in Betrieb nehmen) tragen die schwerste Compliance-Last: Risikomanagement, Daten-Governance, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung, Registrierung in der EU-Datenbank und Marktbeobachtung. Diese Pflichten bestehen unabhängig davon, ob der Anbieter personenbezogene Daten verarbeitet.
Den vollständigen Vergleich finden Sie im Leitfaden zu Anbieter- vs. Betreiberpflichten.
Bußgeldstrukturen und Kumulierung
DSGVO- und AI-Act-Bußgelder kumulieren sich unabhängig. Ein einzelner Vorfall kann Sanktionen nach beiden Regelwerken auslösen, verhängt von unterschiedlichen Behörden (DSB für die DSGVO, Marktüberwachungsbehörde für den AI Act). Es gibt keinen Schutz vor "Doppelbestrafung".
Berechnungsbeispiel: Eine Bank setzt ein biometrisches KI-System zur Kundenidentifizierung ein, ohne eine DSFA (DSGVO-Verstoß) oder eine FRIA (AI-Act-Verstoß) durchzuführen, und das System verarbeitet biometrische Daten ohne gültige Rechtsgrundlage (DSGVO-Verstoß), während es die Dokumentationsanforderungen für Hochrisiko nicht erfüllt (AI-Act-Verstoß).
Potenzielle Exposition:
- DSGVO: Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (für die Verarbeitung besonderer Datenkategorien ohne gültige Grundlage)
- AI Act: Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes (für die Nichteinhaltung der Hochrisiko-Pflichten)
- Kombinierte maximale Exposition: 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
Für ein Unternehmen mit 500 Mio. EUR Jahresumsatz:
- DSGVO-Maximum: 20 Mio. EUR (die 4-%-Schwelle ergibt 20 Mio. EUR, und der feste Betrag ist derselbe)
- AI-Act-Maximum: 15 Mio. EUR (die 3-%-Schwelle ergibt 15 Mio. EUR)
- Kombiniertes Maximum: 35 Mio. EUR
Für ein Unternehmen mit 1 Mrd. EUR Jahresumsatz:
- DSGVO-Maximum: 40 Mio. EUR (4 % von 1 Mrd. EUR)
- AI-Act-Maximum: 30 Mio. EUR (3 % von 1 Mrd. EUR)
- Kombiniertes Maximum: 70 Mio. EUR
Das sind theoretische Höchstwerte, aber sie zeigen, warum integrierte Compliance, statt jedes Regelwerk isoliert zu behandeln, ein finanzielles Gebot ist.
Fünf Strategien, um beide Programme effizient zu führen
Strategie 1: Einheitliches Verzeichnis für KI und Datenverarbeitung
Pflegen Sie ein einziges Verzeichnis, das sowohl Ihre Verarbeitungstätigkeiten (DSGVO Artikel 30) als auch Ihre KI-Systeme (AI Act) erfasst. Erfassen Sie für jedes KI-System:
- Systemname, Version und Anbieter
- Verarbeitete personenbezogene Daten (falls vorhanden), Kategorien, Umfang, Rechtsgrundlage
- Rollen als Verantwortlicher und Auftragsverarbeiter (DSGVO)
- Rollen als Anbieter und Betreiber nach dem AI Act
- Risikoklassifizierung nach dem AI Act
- Ob eine DSFA durchgeführt wurde (DSGVO)
- Ob eine FRIA erforderlich und durchgeführt ist (AI Act)
- Anwendbare Pflichten nach jedem Regelwerk
Das beseitigt das häufige Problem isolierter Verzeichnisse, bei denen das Datenschutzteam die Datenverarbeitung erfasst, aber nichts von KI-Systemen weiß, und das KI-Team Systeme erfasst, aber Datenschutzpflichten ignoriert. Den detaillierten Ablauf finden Sie im Leitfaden zum Verzeichnis der KI-Systeme.
Strategie 2: Kombinierte Folgenabschätzungen
Wenn sowohl eine DSFA als auch eine FRIA erforderlich sind, führen Sie sie als einen einzigen Prozess mit zwei Abschnitten durch. Der DSFA-Abschnitt deckt die Datenschutzrisiken der DSGVO ab. Der FRIA-Abschnitt deckt die breiteren Grundrechte der EU-Charta ab. Artikel 27(4) befürwortet diesen Ansatz ausdrücklich.
Vorteile: vermeidet die Verdopplung von Systembeschreibung, Risikoerkennung und Stakeholder-Konsultation. Stellt sicher, dass Datenschutzrisiken und breitere Grundrechtsrisiken im Zusammenhang miteinander bewertet werden. Schafft ein einziges Dokument für die Governance-Prüfung und die behördliche Kontrolle.
Strategie 3: Konsolidierte Transparenzhinweise
Verfassen Sie Transparenzhinweise, die beide regulatorischen Anforderungen in einer einzigen Mitteilung abdecken:
- DSGVO-Elemente: Identität des Verantwortlichen, Zweck der Verarbeitung, Rechtsgrundlage, Datenkategorien, Speicherfristen, Betroffenenrechte (Auskunft, Berichtigung, Löschung, Übertragbarkeit, Widerspruch)
- AI-Act-Elemente: Vorhandensein eines KI-Systems, vorgesehener Zweck, Maßnahmen zur menschlichen Aufsicht, Systemgrenzen, Recht auf Erläuterung KI-gestützter Entscheidungen
Für Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, reduziert ein konsolidierter Hinweis die Hinweismüdigkeit der Personen und sorgt für Konsistenz zwischen den beiden Offenlegungen.
Strategie 4: Koordinierte Vorfallmeldung
Die DSGVO verlangt, dass Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die DSB gemeldet werden (Artikel 33). Der AI Act verlangt, dass schwerwiegende Vorfälle mit Hochrisiko-KI-Systemen unverzüglich an die Marktüberwachungsbehörde gemeldet werden (Artikel 73) und innerhalb von 15 Tagen bei nicht unmittelbar gefährlichen Vorfällen.
Ein einzelner KI-bezogener Vorfall, zum Beispiel eine Kreditscoring-KI, die eine Fehlfunktion hat und Antragstellerdaten offenlegt, während sie fehlerhafte Entscheidungen produziert, kann beide Meldepflichten gegenüber unterschiedlichen Behörden auslösen. Gestalten Sie Ihren Vorfallreaktionsprozess so, dass er beide Auslöser gleichzeitig erkennt, parallele Meldungen vorbereitet und Konsistenz zwischen den beiden Berichten sicherstellt.
Strategie 5: Gemeinsame Governance-Struktur
Benennen Sie ein einziges internes Team oder eine Funktion, die für die Compliance sowohl der DSGVO als auch des AI Act verantwortlich ist. Das Fachwissen des DSB in Datenschutz, Folgenabschätzungen und behördlichem Austausch ist direkt auf die AI-Act-Pflichten übertragbar. Der AI Act schreibt keine spezifische Compliance-Rolle vor (kein "KI-Beauftragter" analog zum DSB), aber die Nutzung bestehender DSGVO-Governance-Strukturen ist effizient:
- Der DSB kann sowohl die DSFA- als auch die FRIA-Prozesse koordinieren.
- Das Datenschutzteam pflegt bereits Verarbeitungsverzeichnisse, deren Erweiterung auf KI-Systeme ist inkrementell.
- Bestehende Beziehungen zu den DSB können den Austausch mit den Marktüberwachungsbehörden prägen.
- DSGVO-Schulungsprogramme können erweitert werden, um AI-Act-Pflichten für das relevante Personal abzudecken.
Praktische Szenarien
Szenario 1: Biometrische Zugangskontroll-KI
Ein Unternehmen setzt Gesichtserkennung zur Zugangskontrolle im Büro ein.
- DSGVO-Pflichten: Rechtsgrundlage für biometrische Daten (ausdrückliche Einwilligung oder berechtigtes Interesse mit Abwägungstest nach Artikel 6 + Ausnahme nach Artikel 9), DSFA, Datenschutzhinweis an Beschäftigte, Auskunftsrechte der Betroffenen, Speicherbegrenzung, Sicherheitsmaßnahmen.
- AI-Act-Pflichten: Hochrisiko nach Anhang III (biometrische Identifizierung). Der Anbieter muss Risikomanagement, technische Dokumentation und Konformitätsbewertung abschließen. Der Betreiber muss menschliche Aufsicht umsetzen, Protokolle mindestens 6 Monate aufbewahren und die Beschäftigten über das KI-System informieren.
- Überschneidung: Beide verlangen Transparenz gegenüber den Beschäftigten. Beide verlangen eine Folgenabschätzung. Die Protokollierung muss sowohl die Nachvollziehbarkeit (AI Act) als auch den Datenschutz (DSGVO) erfüllen.
Szenario 2: KI-gestütztes Kreditscoring
Eine Bank nutzt ein KI-System, um Anträge für Verbraucherkredite zu bewerten.
- DSGVO-Pflichten: Rechtsgrundlage für die Verarbeitung von Finanzdaten, Rechte nach Artikel 22 (menschliches Eingreifen, Erläuterung, Anfechtungsrecht), DSFA, wenn automatisierte Entscheidungen rechtliche Wirkung haben, Datenschutzhinweis mit Informationen über die Logik der automatisierten Entscheidungsfindung.
- AI-Act-Pflichten: Hochrisiko nach Anhang III, Punkt 5(a). Anbieterpflichten: Risikomanagement, Daten-Governance, Anhang-IV-Dokumentation, Konformitätsbewertung, Marktbeobachtung. Betreiberpflichten: menschliche Aufsicht (geschulte Kreditsachbearbeiter, die KI-Empfehlungen prüfen), Aufbewahrung von Protokollen, Benachrichtigung betroffener Personen, FRIA (Banken sind Anbieter wesentlicher Dienste).
- Überschneidung: Beide verlangen die Erläuterung automatisierter Entscheidungen. Beide verlangen menschliche Beteiligung. Eine kombinierte DSFA-+-FRIA-Bewertung wird empfohlen.
Szenario 3: Kundendienst-Chatbot
Ein Einzelhändler setzt einen Chatbot für den Kundensupport ein.
- DSGVO-Pflichten: Datenschutzhinweis über die während der Gespräche erhobenen Daten, Rechtsgrundlage für die Verarbeitung, Speicherrichtlinie, Betroffenenrechte.
- AI-Act-Pflichten: Transparenz nach Artikel 50, Nutzer informieren, dass sie mit einem KI-System interagieren. Wenn der Chatbot personenbezogene Daten verarbeitet, um Empfehlungen mit erheblicher Wirkung zu geben (z. B. Weiterleitung von Versicherungsansprüchen), kann er höhere Pflichten auslösen.
- Überschneidung: Beide verlangen, die Person zu informieren. Konsolidieren Sie zu einem einzigen Hinweis zu Beginn der Interaktion: "Sie chatten mit einem KI-Assistenten. [Link zum Datenschutzhinweis]."
Szenario 4: Interne Belegschaftsanalyse
Ein Unternehmen nutzt KI, um die Produktivität der Beschäftigten zu analysieren und Schulungsbedarf zu ermitteln.
- DSGVO-Pflichten: Rechtsgrundlage für die Beschäftigtenüberwachung (typischerweise berechtigtes Interesse mit strenger Abwägung), DSFA (die systematische Überwachung von Beschäftigten löst ein hohes Verarbeitungsrisiko aus), Benachrichtigung der Beschäftigten, Konsultation des Betriebsrats (in Jurisdiktionen, die dies verlangen).
- AI-Act-Pflichten: Wenn das System Beschäftigte für Beförderungs-, Zuweisungs- oder Kündigungsentscheidungen bewertet, ist es Hochrisiko nach Anhang III, Punkt 4. Es gelten die vollen Anbieter-/Betreiberpflichten. Emotionserkennung am Arbeitsplatz ist nach Artikel 5 verboten.
- Überschneidung: Beide verlangen eine Folgenabschätzung. Beide beschränken automatisierte Beschäftigungsentscheidungen. Das Verbot der Emotionserkennung am Arbeitsplatz durch den AI Act fügt eine harte Beschränkung hinzu, die die DSGVO nicht auferlegt.
Häufige Missverständnisse
Missverständnis 1: "DSGVO-Compliance bedeutet AI-Act-Compliance"
DSGVO-Compliance adressiert den Datenschutz. Der AI Act fügt Anforderungen hinzu, die die DSGVO nicht abdeckt: Risikomanagement-Systeme, technische Dokumentation nach Anhang IV, Konformitätsbewertung, CE-Kennzeichnung, Marktbeobachtung, Registrierung in der EU-Datenbank und anbieterspezifische Pflichten. Ein Unternehmen, das vollständig DSGVO-konform ist, kann null AI-Act-Compliance haben.
Missverständnis 2: "Der AI Act gilt nur, wenn wir personenbezogene Daten verarbeiten"
Der AI Act gilt für KI-Systeme unabhängig davon, ob sie personenbezogene Daten verarbeiten. Ein KI-System, das Notfallressourcen auf Basis von Geodaten zuweist, Ampeln optimiert oder die Stabilität des Stromnetzes steuert, kann nach dem AI Act Hochrisiko sein, ohne die DSGVO überhaupt auszulösen. Die beiden Regelwerke haben grundlegend unterschiedliche Auslöser für den Anwendungsbereich.
Missverständnis 3: "Wir brauchen nur eine Folgenabschätzung"
Wenn ein Hochrisiko-KI-System personenbezogene Daten verarbeitet und der Betreiber eine öffentliche Stelle, ein Anbieter wesentlicher Dienste oder eine Bildungseinrichtung ist, sind sowohl eine DSFA (DSGVO) als auch eine FRIA (AI Act) erforderlich. Sie können zu einem Dokument kombiniert werden, und sollten es, aber die kombinierte Bewertung muss sowohl die Datenschutzrisiken der DSGVO als auch die breiteren Grundrechte des AI Act adressieren. Eine DSFA allein reicht als FRIA nicht aus. Siehe den FRIA-Leitfaden.
Missverständnis 4: "Bußgelder sind auf den höheren der beiden Regelwerke begrenzt"
Bußgelder nach der DSGVO und dem AI Act kumulieren sich unabhängig. Es gibt keine Bestimmung zur Verrechnung oder Begrenzung kombinierter Sanktionen. Ein einzelner Vorfall, der gegen beide Regelwerke verstößt, kann zu getrennten Bußgeldern unterschiedlicher Behörden führen, der DSB für die DSGVO und der Marktüberwachungsbehörde für den AI Act. Das kombinierte theoretische Maximum für verbotene KI-Praktiken mit besonderen Datenkategorien beträgt 35 Mio. EUR (AI Act) + 20 Mio. EUR (DSGVO) = 55 Mio. EUR an festen Beträgen, oder 7 % + 4 % = 11 % des weltweiten Jahresumsatzes.
Missverständnis 5: "Unser DSB kann die AI-Act-Compliance nebenbei erledigen"
Zwar ist das Fachwissen des DSB direkt relevant und die Governance-Strukturen können gemeinsam genutzt werden, doch AI-Act-Compliance erfordert zusätzliches technisches Wissen, das die meisten DSB nicht besitzen: Verständnis von KI-Systemarchitekturen, Bewertungskennzahlen des maschinellen Lernens, Konformitätsbewertungsverfahren und Gestaltung der Marktbeobachtung. Der DSB sollte koordinieren, aber Engineering-, Data-Science- und Produktteams müssen aktiv beteiligt sein. Den vollen Arbeitsumfang finden Sie in der Compliance-Checkliste.
Kernaussage
Die DSGVO und der EU AI Act ergänzen sich, sie konkurrieren nicht. Die DSGVO schützt personenbezogene Daten; der AI Act schützt Menschen vor den Risiken von KI-Systemen. Die meisten Organisationen, die KI in der EU nutzen, unterliegen beiden. Sie als integriertes Compliance-Programm zu führen, gemeinsame Verzeichnisse, kombinierte Bewertungen, konsolidierte Hinweise, koordinierte Vorfallmeldung, gemeinsame Governance, ist sowohl rechtlich solide als auch operativ effizient.
Am meisten kämpfen werden jene Organisationen, die den AI Act als separates Projekt behandeln, mit einem separaten Team und einem separaten Verzeichnis. Die Integration in die bestehende DSGVO-Governance ist nicht nur eine Bequemlichkeit, sie ist der einzige praktikable Weg für die meisten Compliance-Teams, die auf die Frist am 2. August 2026 zusteuern.
Führen Sie die kostenlose AI-Act-Bewertung durch, um Ihre AI-Act-Pflichten neben Ihrem bestehenden DSGVO-Programm zu identifizieren.
Den vollständigen Rechtstext jeder AI-Act-Bestimmung finden Sie im vollständigen AI-Act-Leitfaden.
Häufig gestellte Fragen
Kann ein einzelner Vorfall Bußgelder nach sowohl der DSGVO als auch dem AI Act auslösen?
Ja. Die beiden Regelwerke werden von unterschiedlichen Behörden durchgesetzt (DSB für die DSGVO, Marktüberwachungsbehörden für den AI Act), und Sanktionen kumulieren sich unabhängig. Zum Beispiel könnte der Einsatz eines biometrischen KI-Systems ohne DSFA, ohne FRIA und ohne gültige Rechtsgrundlage für die Verarbeitung biometrischer Daten zu getrennten Bußgeldern nach der DSGVO (von der DSB) und dem AI Act (von der Marktüberwachungsbehörde) führen. Es gibt keinen Mechanismus, um ein Bußgeld gegen das andere zu verrechnen.
Welches Regelwerk hat Vorrang, wenn sie in Konflikt geraten?
Der AI Act stellt ausdrücklich fest (Artikel 2(7)), dass er die DSGVO unberührt lässt. Wo beide gelten, müssen Organisationen beide erfüllen. In der Praxis sind direkte Konflikte selten, die beiden Regelwerke adressieren unterschiedliche Dimensionen derselben Tätigkeit. Die häufigere Herausforderung sind kumulierte Pflichten (das Erfordernis sowohl einer DSFA als auch einer FRIA, sowohl eines Datenschutzhinweises als auch einer KI-Offenlegung) statt widersprüchlicher. Wo scheinbare Spannungen bestehen (z. B. Protokollierungsanforderungen des AI Act vs. Datenminimierung der DSGVO), besteht die praktische Lösung darin, die Protokollierung so zu gestalten, dass sie erfasst, was der AI Act verlangt, während DSGVO-Grundsätze (Pseudonymisierung, Zugriffskontrollen, Aufbewahrungsgrenzen) auf die Protokolle angewandt werden.
Brauche ich getrennte Compliance-Teams für die DSGVO und den AI Act?
Nicht zwingend, und in den meisten Fällen ist ein separates Team kontraproduktiv. Der empfohlene Ansatz ist eine einzige Governance-Struktur, die beide Programme koordiniert. Der DSB und das Datenschutzteam bilden die Grundlage; Engineering- und Data-Science-Teams liefern das technische Fachwissen, das der AI Act verlangt. Dediziertes AI-Act-Personal kann für große Organisationen mit vielen Hochrisiko-Systemen nötig sein, aber es sollte innerhalb oder eng neben der bestehenden Datenschutzfunktion angesiedelt sein, nicht in einem separaten Silo.
Wie sollten wir mit KI-Systemen umgehen, die keine personenbezogenen Daten verarbeiten, aber nach dem AI Act Hochrisiko sind?
Diese Systeme fallen vollständig aus dem Anwendungsbereich der DSGVO, unterliegen aber vollständig den AI-Act-Pflichten. Der Anbieter muss Risikomanagement, technische Dokumentation, Konformitätsbewertung und Marktbeobachtung abschließen. Der Betreiber muss menschliche Aufsicht umsetzen, Protokolle aufbewahren und, falls zutreffend, eine FRIA durchführen. Das Fehlen personenbezogener Daten vereinfacht einige Aspekte (keine DSFA nötig, keine Betroffenenrechte zu verwalten), verringert aber die AI-Act-Pflichten nicht.
Was ist mit KI-Systemen, die intern genutzt werden und nie den EU-Markt erreichen?
Wenn das KI-System innerhalb der EU von einem Betreiber genutzt wird, gilt der AI Act, auch wenn das System intern entwickelt und nie kommerziell verkauft wurde. "In Verkehr gebracht" und "in Betrieb genommen" sind beide Auslöser nach Artikel 2. Ein internes KI-Tool, das von einer in der EU ansässigen Organisation zur Vorauswahl von Bewerbern genutzt wird, ist "in Betrieb genommen" und unterliegt den AI-Act-Betreiberpflichten, wenn es Hochrisiko ist. Die DSGVO gilt ebenfalls, wenn das System personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig davon, ob das System kommerziell oder intern ist.
Gibt es eine einzige Zertifizierung, die sowohl die DSGVO als auch den AI Act abdeckt?
Nein. Die DSGVO bietet freiwillige Zertifizierungsmechanismen (Artikel 42) durch akkreditierte Zertifizierungsstellen, aber diese sind optional und begründen keine rechtliche Compliance. Der AI Act verlangt eine verpflichtende Konformitätsbewertung für Hochrisiko-Systeme (Artikel 43), die ein separater Prozess ist. ISO 42001 (KI-Managementsysteme) bietet ein Framework, das beide Bereiche berührt, aber weder DSGVO-Compliance noch AI-Act-Konformitätsbewertung ersetzt. Organisationen sollten die AI-Act-Konformitätsbewertung als verpflichtende Anforderung verfolgen und freiwillige Zertifizierungen obenauf legen.
Legalithm ist ein KI-gestütztes Compliance-Workflow-Tool, keine Rechtsberatung. Endgültige Compliance-Entscheidungen sollten von qualifizierten Rechtsberatern geprüft werden.


