KI
EU KI-Verordnung
Wissenshub

DSGVO und EU AI Act: Das Zusammenspiel der beiden Regulierungsrahmen

DSGVO und EU AI Act sind keine konkurrierenden Regulierungen – sie ergänzen einander. Während die DSGVO den Schutz personenbezogener Daten regelt, adressiert der EU AI Act die Sicherheit und Vertrauenswürdigkeit von KI-Systemen. Trotzdem gibt es erhebliche Überschneidungen, die eine koordinierte Compliance-Strategie erfordern.

Wo DSGVO und EU AI Act zusammenwirken

Beide Regulierungen greifen ineinander, wenn KI-Systeme personenbezogene Daten verarbeiten. Das ist bei den meisten praxisrelevanten KI-Anwendungen der Fall: HR-KI verarbeitet Bewerberdaten, Kreditscoring verarbeitet Finanzdaten, medizinische KI verarbeitet Gesundheitsdaten, Chatbots verarbeiten Nutzerdaten. Für solche Systeme gilt: DSGVO für Datenschutz und Rechte der Betroffenen, EU AI Act für Systemsicherheit und Governance.

Automatisierte Entscheidungen: Art. 22 DSGVO und EU AI Act

Art. 22 DSGVO gibt betroffenen Personen das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu sein, die rechtliche oder ähnlich weitreichende Folgen haben. Der EU AI Act ergänzt dies durch: Transparenzpflichten nach Art. 13 (Betreiber müssen Betroffene informieren), menschliche Aufsicht nach Art. 14 (bei Hochrisiko-Entscheidungen), Recht auf Erklärung nach Art. 86 (für betroffene Personen bei Hochrisiko-Systemen). Die Kombination beider Regelwerke gibt Betroffenen starke Rechte gegenüber KI-Entscheidungen.

Datenschutz-Folgenabschätzung und KI-Risikobewertung

Für risikoreiche KI-Systeme werden sowohl eine DSFA (Datenschutz-Folgenabschätzung, Art. 35 DSGVO) als auch eine Risikobewertung nach Art. 9 EU AI Act erforderlich sein. Beide Prozesse sind getrennt, können aber koordiniert durchgeführt werden. Empfehlung: Führen Sie DSFA und KI-Risikobewertung als kombinierten Prozess mit denselben Beteiligten durch. Viele Inhalte überschneiden sich (betroffene Personen, Verarbeitungszwecke, Risiken), und eine koordinierte Durchführung spart erheblich Zeit.

Zuständige Behörden: Datenschutzbehörden und KI-Marktüberwachung

Eine wichtige Unterscheidung: DSGVO-Verstöße werden von Datenschutzbehörden (BfDI, Landesbehörden in DE, DSB in AT, EDÖB in CH) verfolgt. EU AI Act-Verstöße werden von Marktüberwachungsbehörden (Bundesnetzagentur in DE) verfolgt. Diese Behörden kooperieren, sind aber eigenständig. Ein KI-System kann gleichzeitig DSGVO-konform und EU AI Act-non-konform sein oder umgekehrt. Stellen Sie Compliance gegenüber beiden Behörden sicher.

Rechenschaftspflicht: DSGVO und EU AI Act im Vergleich

Beide Regulierungen haben starke Rechenschaftspflichten (Accountability): DSGVO: Verarbeitungsverzeichnis, DSFA, Datenschutzbeauftragter, Dokumentation von Einwilligungen. EU AI Act: technische Dokumentation, QMS, PMS, KI-Datenbank. Integrieren Sie die Dokumentationsanforderungen beider Regelwerke in ein einheitliches Compliance-Management-System. Ein gut strukturiertes GRC-Tool (Governance, Risk, Compliance) kann beide Anforderungen in einem System abbilden.

AI Act Compliance Tool

Ist Ihr KI-System EU AI Act-konform?

Kostenlos prüfen in 10 Minuten — spezifisch für Ihr Unternehmen und Ihre Branche.

Jetzt Risiko prüfen →

Weiterführende Themen

DSFA für KI-Systeme

Automatisierte Entscheidungen

Compliance-Überblick