EU AI Act vs. DSGVO – was ist der Unterschied?

Der EU AI Act und die DSGVO sind zwei eigenständige EU-Verordnungen, die parallel gelten. Der AI Act reguliert KI-Systeme als Produkt – nach Risiko abgestuft. Die DSGVO regelt den Schutz personenbezogener Daten – unabhängig von KI. Sobald eine KI personenbezogene Daten verarbeitet, müssen Unternehmen beide Regelwerke gleichzeitig einhalten.

Was regelt der AI Act, was die DSGVO?

Der EU AI Act betrachtet KI als Produkt und stuft sie nach ihrem Risiko ein – von verbotenen Praktiken über Hochrisiko-KI bis zu einfachen Transparenz- und Kompetenzpflichten. Im Mittelpunkt stehen Sicherheit, Grundrechte und Vertrauenswürdigkeit der KI selbst.

Die DSGVO regelt dagegen, wie personenbezogene Daten verarbeitet werden dürfen – ganz unabhängig davon, ob KI im Spiel ist. Sie verlangt eine Rechtsgrundlage, Transparenz gegenüber Betroffenen, Datenminimierung und die Wahrung von Betroffenenrechten.

Wo überschneiden sich beide Regelwerke?

Die Überschneidung entsteht überall dort, wo eine KI personenbezogene Daten verarbeitet – also sehr häufig. Beispiele:

  • Ein Recruiting-Tool bewertet Bewerberdaten: Hochrisiko nach AI Act und Datenverarbeitung nach DSGVO.
  • Ein Chatbot speichert Nutzereingaben: Transparenz nach AI Act (Art. 50) und Informationspflicht nach DSGVO.
  • Automatisierte Entscheidungen: AI Act fordert menschliche Aufsicht, DSGVO (Art. 22) schützt vor rein automatisierten Entscheidungen.

Welche Pflichten kommen zusammen, wenn beide gelten?

Verarbeitet Ihre KI personenbezogene Daten, müssen Sie die Pflichten beider Verordnungen erfüllen. Aus dem AI Act folgen je nach Risikoklasse z. B. KI-Kompetenz (Art. 4), Transparenz (Art. 50) oder die strengen Hochrisiko-Pflichten. Aus der DSGVO folgen Rechtsgrundlage, Informationspflichten, ggf. eine Datenschutz-Folgenabschätzung und – bei externen Tools – ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter.

Was bedeutet das praktisch für Unternehmen?

Behandeln Sie KI-Compliance und Datenschutz nicht getrennt, sondern zusammen. Eine KI-Bestandsaufnahme sollte für jedes System festhalten, welche Risikoklasse nach AI Act gilt und ob bzw. welche personenbezogenen Daten verarbeitet werden. Die KI-Kompetenzschulung nach Artikel 4 deckt idealerweise auch den datenschutzkonformen Umgang mit KI ab – so erfüllen Sie beide Welten in einem Schritt.

Häufige Fragen

Ersetzt der EU AI Act die DSGVO?

Nein. Beide Verordnungen gelten parallel und haben unterschiedliche Schutzrichtungen. Der AI Act reguliert KI-Systeme, die DSGVO den Umgang mit personenbezogenen Daten. Sie ergänzen sich.

Brauche ich für KI eine DSGVO-Rechtsgrundlage?

Ja, sobald die KI personenbezogene Daten verarbeitet. Sie benötigen eine gültige Rechtsgrundlage nach DSGVO, müssen Betroffene informieren und gegebenenfalls einen Auftragsverarbeitungsvertrag mit dem Anbieter schließen.

Welche Verordnung hat die höheren Bußgelder?

Der AI Act sieht mit bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes höhere Höchstbußgelder vor als die DSGVO (bis zu 20 Mio. € oder 4 %). Bei einem Verstoß können je nach Sachverhalt beide Regelwerke greifen.

Reicht eine bestehende DSGVO-Compliance für den AI Act aus?

Nein. DSGVO-Compliance deckt den Datenschutz ab, nicht aber die KI-spezifischen Pflichten wie KI-Kompetenz (Art. 4), Risikoklassen oder Transparenz (Art. 50). Beides muss separat sichergestellt werden.