EU AI Act vs. DSGVO – wo überschneiden sie sich?

Veröffentlicht am 30. Jänner 2026 um 20:00

EU AI Act vs. DSGVO: Wo überschneiden sich die Regelwerke?

Mit dem Inkrafttreten des EU AI Acts (Verordnung 2024/1689) steht neben der bereits etablierten Datenschutz-Grundverordnung (DSGVO) ein zweites großes Regelwerk für die digitale Welt bereit. Für Unternehmen stellt sich die dringende Frage: Wie hängen diese beiden Verordnungen zusammen? Werden bestehende Regeln ersetzt oder kommen neue hinzu?

Die kurze Antwort lautet: Der EU AI Act ergänzt die DSGVO. Sie bestehen nebeneinander, und wer KI nutzt, muss beide im Blick behalten.

Die gemeinsame Basis: Schutz des Individuums

Sowohl die DSGVO als auch der AI Act verfolgen ein ähnliches Ziel: den Schutz der Grundrechte der Menschen in der Europäischen Union. Während die DSGVO den Fokus auf den Schutz personenbezogener Daten legt, konzentriert sich der AI Act auf die Sicherheit und Vertrauenswürdigkeit der KI-Systeme selbst.

Die wichtigsten Schnittstellen

1. Datenqualität und Trainingsdaten (Art. 10 AI Act)

Der AI Act stellt hohe Anforderungen an die Daten, mit denen Hochrisiko-KI-Systeme trainiert werden. Diese müssen relevant, repräsentativ und fehlerfrei sein. Wenn diese Trainingsdaten jedoch personenbezogene Daten enthalten (was fast immer der Fall ist), greift gleichzeitig die DSGVO. Unternehmen müssen also nicht nur die Qualität sicherstellen, sondern auch eine Rechtsgrundlage für die Verarbeitung dieser Daten nachweisen können.

2. Transparenzpflichten

Die DSGVO fordert in Art. 13 und 14 eine Information der Betroffenen über die Datenverarbeitung. Der AI Act geht einen Schritt weiter: Wenn eine KI Texte, Bilder oder Audio erzeugt oder zur Interaktion mit Menschen eingesetzt wird (z. B. Chatbots), schreibt Art. 50 des AI Acts vor, dass dies offen zu legen ist. In der Praxis bedeutet das, dass Datenschutzerklärungen um KI-spezifische Hinweise ergänzt werden müssen.

3. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Die DSGVO schränkt Entscheidungen ein, die ausschließlich auf einer automatisierten Verarbeitung beruhen und rechtliche Wirkung entfalten. Der AI Act klassifiziert genau solche Systeme oft als „Hochrisiko“. Hier überschneiden sich die Pflichten zur menschlichen Aufsicht (AI Act) direkt mit dem Recht auf menschliches Eingreifen (DSGVO).

Die Unterschiede in der Perspektive

DSGVO: Schaut auf den Lebenszyklus von Daten (Erhebung, Speicherung, Löschung).
AI Act: Schaut auf den Lebenszyklus des Produkts (Entwicklung, Inverkehrbringen, Nutzung, Überwachung).

Ein Verstoß gegen den AI Act kann gleichzeitig ein Verstoß gegen die DSGVO sein – und umgekehrt. Da beide Verordnungen empfindliche Bußgelder vorsehen, ist eine integrierte Compliance-Strategie unerlässlich.

Fazit für Unternehmen

Der EU AI Act ist keine „DSGVO-Light“. Er ist ein eigenständiges Gesetz, das dort ansetzt, wo die DSGVO aufhört. Wer bereits eine solide Datenschutz-Struktur im Unternehmen hat, verfügt über ein gutes Fundament. Nun gilt es, diese Strukturen um die technischen und prozessualen Anforderungen der KI-Verordnung zu erweitern.

Eine isolierte Betrachtung von Datenschutz und KI-Sicherheit wird in Zukunft kaum mehr möglich sein. Die enge Abstimmung zwischen Datenschutzbeauftragten und KI-Verantwortlichen ist daher der wichtigste Schritt zur Rechtskonformität.

Über diesen Beitrag: KI-Unterstützung: Wir nutzen moderne KI-Tools als Recherche- und Formulierungshilfe. Die fachliche Kontrolle und Verantwortung für diesen Text liegt vollständig bei unseren Experten, um den Anforderungen des EU AI Acts (Verordnung 2024/1689) gerecht zu werden.

« Zurück Die 7 größten Fehler bei EU AI Act Compliance Timeline: Was muss bis 2026 passieren? Weiter »