AI Act und DSGVO: 6 Unterschiede die Sie kennen müssen
DSGVO-konform heißt nicht AI-Act-konform. 6 entscheidende Unterschiede zwischen beiden Gesetzen – und was Sie jetzt zusätzlich dokumentieren müssen.
Wenn Sie sich mit dem AI Act beschäftigen, kommt schnell die Frage: “Reicht nicht die DSGVO?” Schließlich regelt die DSGVO doch schon, was mit personenbezogenen Daten passieren darf – auch wenn KI im Spiel ist.
Die kurze Antwort: Nein, die DSGVO reicht nicht. Der AI Act kommt zusätzlich zur DSGVO. Beide Regelwerke gelten parallel, adressieren aber unterschiedliche Aspekte. Und genau diese Überschneidung sorgt für Verwirrung.
Unterschiedlicher Fokus
Die DSGVO und der AI Act regulieren zwei verschiedene Dinge:
| DSGVO | AI Act | |
|---|---|---|
| Schützt | Personenbezogene Daten | Grundrechte & Sicherheit |
| Reguliert | Datenverarbeitung | KI-Systeme als Ganzes |
| Fragt | ”Was passiert mit den Daten?" | "Was tut das KI-System?” |
| Gilt für | Jeden, der personenbezogene Daten verarbeitet | Jeden, der KI-Systeme anbietet oder nutzt |
| Aufsicht | Datenschutzbehörden | Nationale KI-Aufsichtsbehörden (+ Marktüberwachung) |
| Bußgelder | Bis 20 Mio. € / 4 % Umsatz | Bis 35 Mio. € / 7 % Umsatz |
Einfach gesagt: Die DSGVO fragt, ob Ihr KI-Tool Daten korrekt verarbeitet. Der AI Act fragt, ob das KI-Tool selbst sicher, transparent und fair funktioniert.
Wo sich beide überschneiden
In der Praxis gibt es erhebliche Überschneidungen – und genau da wird es für Unternehmen kompliziert.
1. Automatisierte Einzelentscheidungen
DSGVO (Art. 22): Verbietet Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung haben – es sei denn, der Betroffene hat zugestimmt, es gibt eine gesetzliche Grundlage oder es ist für einen Vertrag erforderlich.
AI Act: Verlangt bei Hochrisiko-KI eine menschliche Aufsicht (Art. 14) – ein Mensch muss die Möglichkeit haben, die KI-Entscheidung zu überprüfen und zu übersteuern.
In der Praxis: Wenn Ihre KI automatisch über Kreditanträge, Bewerber oder Versicherungsprämien entscheidet, müssen Sie beide Regelwerke gleichzeitig erfüllen. Die DSGVO verlangt eine Rechtsgrundlage und Widerspruchsmöglichkeit. Der AI Act verlangt Risikomanagement, Dokumentation und menschliche Aufsicht.
2. Transparenzpflichten
DSGVO (Art. 13/14): Sie müssen Betroffene darüber informieren, dass ihre Daten verarbeitet werden – inklusive Zweck, Rechtsgrundlage und Empfänger.
AI Act (Art. 50): Sie müssen offenlegen, dass ein KI-System im Einsatz ist – unabhängig davon, ob personenbezogene Daten verarbeitet werden.
In der Praxis: Ihr Chatbot verarbeitet personenbezogene Daten (DSGVO-Pflicht zur Information) UND ist ein KI-System (AI-Act-Pflicht zur Kennzeichnung). Sie brauchen beides: den Datenschutzhinweis und den KI-Hinweis.
3. Datenschutz-Folgenabschätzung + KI-Risikoanalyse
DSGVO (Art. 35): Bei hohem Risiko für Betroffene muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden.
AI Act (Art. 27): Betreiber von Hochrisiko-KI müssen eine Grundrechte-Folgenabschätzung durchführen.
In der Praxis: Bei einer KI, die personenbezogene Daten verarbeitet und als Hochrisiko eingestuft ist, brauchen Sie zwei Folgenabschätzungen – eine für den Datenschutz (DSFA) und eine für Grundrechte (AI Act). Die gute Nachricht: Die Inhalte überschneiden sich stark, und der AI Act sagt explizit, dass die DSFA mit der Grundrechte-Folgenabschätzung kombiniert werden kann (Art. 27 Abs. 4).
4. Datenqualität
DSGVO (Art. 5): Personenbezogene Daten müssen sachlich richtig und aktuell sein.
AI Act (Art. 10): Trainingsdaten für Hochrisiko-KI müssen bestimmte Qualitätskriterien erfüllen – relevant, repräsentativ, fehlerfrei, vollständig.
In der Praxis: Wenn Sie eine KI mit personenbezogenen Daten trainieren oder finetunen, greifen beide Anforderungen. Die DSGVO verlangt Richtigkeit der Daten, der AI Act verlangt Qualität und Repräsentativität der Trainingsdaten.
Was der AI Act ZUSÄTZLICH verlangt
Einige AI-Act-Pflichten haben kein DSGVO-Äquivalent:
- KI-Inventar – Die DSGVO verlangt ein Verarbeitungsverzeichnis (Art. 30). Der AI Act verlangt zusätzlich eine Übersicht aller KI-Systeme und deren Risikoklassen.
- KI-Kompetenz (Art. 4) – Mitarbeiter müssen im Umgang mit KI geschult werden. Das geht über den DSGVO-Datenschutz-Schulungsanspruch hinaus.
- CE-Kennzeichnung – Anbieter von Hochrisiko-KI müssen eine Konformitätsbewertung durchführen und das CE-Zeichen anbringen. Kein DSGVO-Pendant.
- Registrierungspflicht – Hochrisiko-KI muss in einer EU-Datenbank registriert werden. Ebenfalls neu.
Was die DSGVO abdeckt, der AI Act aber nicht
Umgekehrt gibt es DSGVO-Pflichten, die der AI Act nicht ersetzt:
- Betroffenenrechte (Auskunft, Löschung, Berichtigung, Datenportabilität) – Der AI Act kennt keine vergleichbaren individuellen Rechte.
- Rechtsgrundlage für Datenverarbeitung – Der AI Act regelt nicht, ob Sie Daten verarbeiten dürfen – nur wie das KI-System damit umgehen muss.
- Datenschutzbeauftragter – Bleibt reine DSGVO-Pflicht. Der AI Act verlangt keinen “KI-Beauftragten” (auch wenn das in der Praxis sinnvoll sein kann).
- Auftragsverarbeitung (Art. 28 DSGVO) – Wenn Sie KI-Dienste von Dritten nutzen, brauchen Sie weiterhin einen AV-Vertrag.
Praxis-Checkliste: Beide Regelwerke gleichzeitig erfüllen
Wenn Sie ein neues KI-Tool einführen, prüfen Sie beide Dimensionen:
DSGVO-Dimension:
- Werden personenbezogene Daten verarbeitet?
- Welche Rechtsgrundlage gilt (Einwilligung, berechtigtes Interesse, Vertrag)?
- Ist eine DSFA erforderlich?
- Wurde das Verarbeitungsverzeichnis aktualisiert?
- Ist ein AV-Vertrag mit dem Anbieter abgeschlossen?
- Sind Betroffene informiert?
AI-Act-Dimension:
- Ist das Tool ein KI-System im Sinne des AI Acts?
- Welche Risikoklasse liegt vor?
- Sind Transparenzpflichten erfüllt (KI-Kennzeichnung)?
- Bei Hochrisiko: Dokumentation, menschliche Aufsicht, Registrierung?
- Ist das KI-Inventar aktualisiert?
- Sind die Mitarbeiter geschult?
Wer ist zuständig?
In den meisten KMUs kümmert sich bisher der Datenschutzbeauftragte um alles, was mit Daten und Regulierung zu tun hat. Beim AI Act wird das schwieriger: Die Aufsicht liegt bei den nationalen Marktüberwachungsbehörden, nicht bei den Datenschutzbehörden.
In Deutschland wird das voraussichtlich die Bundesnetzagentur (BNetzA) sein, in Österreich die RTR (Rundfunk und Telekom Regulierungs-GmbH). Die Zuständigkeiten sind in einigen EU-Ländern noch nicht final geklärt.
Empfehlung: Machen Sie AI-Act-Compliance nicht zum reinen Datenschutz-Thema. Es berührt IT, Recht, HR und Geschäftsführung gleichermaßen. Ein pragmatischer Ansatz: Der Datenschutzbeauftragte koordiniert, aber die fachliche Verantwortung liegt bei den Abteilungen, die KI tatsächlich einsetzen.
Die gute Nachricht
Wenn Ihr Unternehmen die DSGVO ernst nimmt, haben Sie beim AI Act einen massiven Vorsprung:
- Sie haben Prozesse für Folgenabschätzungen (DSFA → Grundrechte-FA)
- Sie kennen das Verarbeitungsverzeichnis (→ KI-Inventar)
- Sie haben Erfahrung mit Transparenzpflichten
- Sie haben Schulungsprozesse etabliert
- Sie wissen, wie man mit regulatorischen Anforderungen umgeht
Der AI Act baut in vielen Bereichen auf DSGVO-Konzepten auf. Wer die DSGVO beherrscht, muss für den AI Act nicht bei null anfangen – sondern erweitern.
Fazit
DSGVO und AI Act sind keine Alternativen, sondern komplementäre Regelwerke. Die DSGVO schützt Daten, der AI Act schützt vor KI-Risiken. Beide gelten gleichzeitig, beide sind Pflicht, und beide haben empfindliche Bußgelder.
Die pragmatische Strategie: Bestehende DSGVO-Prozesse als Grundlage nutzen und um AI-Act-spezifische Anforderungen erweitern. So sparen Sie doppelte Arbeit und bauen auf bewährten Strukturen auf.
Welche KI-Systeme in Ihrem Unternehmen sind betroffen – und in welche Risikoklasse fallen sie? Der KI-Kompass gibt Ihnen in 5 Minuten eine erste Einschätzung – kostenlos und ohne Registrierung.
Ist Ihr KI-Einsatz konform?
Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.
Jetzt prüfen