Die häufigste Frage aus Compliance-Abteilungen lautet immer gleich: „Reicht es, wenn wir die DSGVO einhalten — oder kommt mit dem EU AI Act noch was oben drauf?”
Kurze Antwort: Ja, es kommt was drauf. Wer KI einsetzt, kommt mit der DSGVO allein nicht mehr aus. Beide Verordnungen gelten parallel — nicht alternativ.
Die längere Antwort steht unten: Wo sie sich überschneiden, was jede zusätzlich fordert — und wie man verhindert, zwei parallele Compliance-Silos zu bauen, wo ein integriertes Programm reicht.
Der fundamentale Unterschied
| DSGVO | EU AI Act | |
|---|---|---|
| Reguliert | Personenbezogene Daten | KI-Systeme |
| Geltungsbereich | Jede Verarbeitung personenbezogener Daten | Entwicklung, Vertrieb und Einsatz von KI |
| Trigger | Daten werden verarbeitet | Ein KI-System wird eingesetzt |
| Auch ohne Daten? | Nein — keine personenbezogenen Daten, keine DSGVO | Ja — auch KI ohne personenbezogene Daten ist reguliert |
| Auch ohne KI? | Ja — auch manuelle Verarbeitung | Nein — nur KI-Systeme |
| Aufsicht (DE) | BfDI / Landesdatenschutzbehörden | Bundesnetzagentur + Datenschutzbehörden |
| Max. Bußgeld | 20 Mio. EUR / 4 % Umsatz | 35 Mio. EUR / 7 % Umsatz |
| In Kraft seit | Mai 2018 | August 2024 (volle Anwendung: August 2026) |
Die DSGVO fragt: Was passiert mit den Daten? Der EU AI Act fragt: Was tut das System?
Wo sich beide überschneiden
Vier Bereiche, in denen beide gleichzeitig greifen:
1. Folgenabschätzungen
| DSGVO | EU AI Act |
|---|---|
| DSFA (Datenschutz-Folgenabschätzung, Art. 35) | FRIA (Fundamental Rights Impact Assessment, Art. 27) |
| Pflicht bei hohem Risiko für Betroffene | Pflicht für Betreiber von Hochrisiko-KI |
| Fokus: Datenverarbeitungsrisiken | Fokus: Grundrechtsrisiken durch das System selbst |
Zusammen durchführen. Ein integriertes „KI-Impact-Assessment” eliminiert Doppelarbeit — und schließt die Lücken, die zwischen zwei Teams entstehen.
2. Automatisierte Entscheidungen
Art. 22 DSGVO gibt Betroffenen das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden. Der EU AI Act verschärft das für Hochrisiko-KI: Menschliche Aufsicht ist Pflicht, nicht Option.
Konkret: KI sortiert Bewerbungen vor. Nach DSGVO: Recht auf menschliche Überprüfung. Nach AI Act: Sie müssen nachweisen, dass ein Mensch die finale Entscheidung trifft, dass das System auf Bias geprüft wurde, dass die Trainingsdaten dokumentiert sind.
3. Transparenz
| DSGVO | EU AI Act |
|---|---|
| Art. 13/14: Informationspflicht bei Datenerhebung | Art. 50: Kennzeichnungspflicht für KI-Systeme |
| Betroffene müssen wissen, dass Daten verarbeitet werden | Nutzer müssen wissen, dass sie mit KI interagieren |
Beide gelten gleichzeitig. Ein Chatbot mit personenbezogener Datenerfassung braucht KI-Kennzeichnung (Act) und Datenschutzhinweis (DSGVO).
4. Dokumentation
DSGVO verlangt ein Verarbeitungsverzeichnis (Art. 30). Der Act verlangt technische Dokumentation für Hochrisiko-KI plus ein KI-Inventar. Praktisch: Verarbeitungsverzeichnis um KI-Felder erweitern — Risikoklasse, Anbieter, Modell, Einsatzzweck, Verantwortlicher. Ein Register, zwei Zwecke.
Was der EU AI Act zusätzlich zur DSGVO fordert
Drei Pflichten, die es in der DSGVO nicht gibt:
1. KI-Kompetenz (Art. 4). Alle Mitarbeiter, die mit KI arbeiten, müssen geschult sein. Die DSGVO kennt keine vergleichbare explizite Schulungspflicht. Scharf seit Februar 2025.
2. Risikoklassifizierung. Jedes KI-System bekommt eine Stufe (siehe die vier Risikoklassen). Die DSGVO klassifiziert Verarbeitungen, keine Systeme.
3. Konformitätsbewertung für Hochrisiko-KI. Anbieter führen vor Inverkehrbringen eine Konformitätsbewertung durch und vergeben das CE-Zeichen. Kein DSGVO-Pendant.
Was die DSGVO hat, der EU AI Act aber nicht
1. Rechtsgrundlage (Art. 6 DSGVO). Jede Verarbeitung braucht eine. Der Act hat kein Pendant.
2. Betroffenenrechte (Art. 15–22). Auskunft, Berichtigung, Löschung, Widerspruch. Der Act gewährt Individuen weniger explizite Rechte.
3. Auftragsverarbeitung (Art. 28). Dritter verarbeitet Ihre Daten → AVV. Der Act verteilt Anbieter/Betreiber-Pflichten direkt in der Verordnung, nicht über Verträge.
Ein Framework, nicht zwei Silos
Das größte Risiko ist keine der beiden Verordnungen für sich. Es ist, sie als zwei parallele Projekte zu führen. Gleiches Personal, doppelter Aufwand, Lücken dazwischen.
Schritt 1: Ein einziges KI-Inventar — alle Systeme, mit Risikoklasse und Personenbezug-Flag. Schritt 2: Für jedes System mit personenbezogenen Daten: DSGVO- und AI-Act-Pflichten gemeinsam prüfen. Schritt 3: Eine integrierte Folgenabschätzung (DSFA + FRIA). Schritt 4: Ein Register mit KI-Feldern. Kein DSGVO-Register hier, KI-Register dort.
On-Premise-KI macht das strukturell einfacher: Wenn keine Daten an Dritte gehen, entfallen AVV-Pflicht und Drittlandtransfer. DSGVO-konforme KI wird ein kleineres Problem, weil die Angriffsfläche kleiner ist.
Ein integriertes Compliance-Programm On-Premise-KI entfernt den DSGVO-Drittlandtransfer-Berg und reduziert den AI-Act-Dokumentationsberg auf Ihre eigenen Systeme.
Häufig gestellte Fragen
Können DSGVO- und EU-AI-Act-Bußgelder kombiniert werden?
Bei Verstößen, die beide Verordnungen treffen, können Bußgelder kumulieren. Aber Art. 99 EU AI Act sieht vor, dass bei überschneidenden Sachverhalten der höhere Rahmen greift, nicht beide addiert werden. Maximum: 35 Mio. EUR oder 7 % des weltweiten Umsatzes — der höhere Betrag.
Brauche ich für jedes KI-System eine DSFA?
Nein. Eine DSFA ist nur Pflicht, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko birgt (Art. 35 DSGVO). KI ohne personenbezogene Daten braucht keine DSFA — kann aber trotzdem unter den AI Act fallen, dann ggf. mit einer FRIA stattdessen.
Wer ist zuständig — Datenschutz oder Bundesnetzagentur?
Beide. Datenschutzbehörden behalten DSGVO-Themen: Verarbeitung, Betroffenenrechte, Transfers. Die Bundesnetzagentur übernimmt AI-Act-Themen: Risikoklassifizierung, Konformität, KI-Kompetenz. Bei Überschneidungen koordinieren sie. Auf Landesebene plus BfDI auf Bundesebene.
Fazit
EU AI Act und DSGVO sind keine Alternativen. Sie sind zwei Seiten derselben Compliance-Medaille. Die DSGVO schützt die Daten. Der AI Act reguliert das System. Wer beides als ein Programm denkt, spart echten Aufwand. Wer zwei Programme aufbaut, macht alles doppelt.