KI-Verordnung vs. DSGVO: Unterschiede und Zusammenspiel
Mit der KI-Verordnung (EU AI Act) tritt neben die DSGVO ein zweites umfassendes europaeisches Regelwerk, das Unternehmen einhalten muessen, sobald sie mit KI und personenbezogenen Daten arbeiten. Beide Verordnungen gelten parallel, ergaenzen sich an vielen Stellen und ueberlappen an anderen. Fuer Compliance-Verantwortliche entsteht damit eine komplexe Aufgabe: Zwei Regelwerke mit unterschiedlichem Fokus, aber gemeinsamen Schnittmengen gleichzeitig zu managen.
Dieser Artikel stellt KI-Verordnung und DSGVO systematisch gegenueber, identifiziert die wichtigsten Unterschiede und Ueberschneidungen und zeigt, wie Unternehmen eine integrierte Compliance-Strategie aufbauen koennen.
Grundlegende Unterschiede auf einen Blick
| Kriterium | KI-Verordnung (EU AI Act) | DSGVO |
|---|---|---|
| Schutzgegenstand | Grundrechte und Sicherheit gegenueber KI-Systemen | Schutz personenbezogener Daten |
| Regulierungsansatz | Risikobasiert (4 Risikostufen) | Grundsatzbasiert (Verarbeitungsgrundsaetze) |
| Anwendungsbereich | KI-Systeme unabhaengig von Datenart | Verarbeitung personenbezogener Daten |
| Adressaten | Anbieter, Betreiber, Haendler von KI | Verantwortliche, Auftragsverarbeiter |
| Rechtsgrundlage | Binnenmarktharmonisierung (Art. 114 AEUV) | Datenschutz (Art. 16 AEUV) |
| Maximales Bussgeld | 35 Mio. EUR / 7% Umsatz | 20 Mio. EUR / 4% Umsatz |
| Inkrafttreten | Stufenweise 2025-2027 | Mai 2018 |
| Aufsicht | Marktaufsichtsbehoerden | Datenschutzbehoerden |
Unterschiedliche Perspektiven auf dasselbe Problem
Die DSGVO fragt: Welche Daten werden verarbeitet?
Die DSGVO reguliert die Verarbeitung personenbezogener Daten. Sie greift immer dann, wenn personenbezogene Daten erhoben, gespeichert, analysiert oder anderweitig verarbeitet werden - unabhaengig davon, ob KI im Spiel ist oder nicht. Ihre zentralen Prinzipien:
- Rechtmaessigkeit: Jede Datenverarbeitung braucht eine Rechtsgrundlage (Artikel 6)
- Zweckbindung: Daten duerfen nur fuer festgelegte Zwecke verarbeitet werden
- Datenminimierung: Nur so viele Daten wie noetig
- Betroffenenrechte: Auskunft, Berichtigung, Loeschung, Widerspruch
- Rechenschaftspflicht: Nachweis der Compliance
Die KI-Verordnung fragt: Welches Risiko geht von dem KI-System aus?
Die KI-Verordnung reguliert KI-Systeme als solche - unabhaengig davon, ob sie personenbezogene Daten verarbeiten. Ein KI-System zur Steuerung einer Stromversorgung, das keine personenbezogenen Daten verarbeitet, kann trotzdem unter die Hochrisiko-Kategorie fallen. Umgekehrt unterliegt nicht jede KI-Verarbeitung personenbezogener Daten den strengen Hochrisiko-Anforderungen.
Die groessten Ueberschneidungen
1. Automatisierte Entscheidungsfindung
DSGVO Artikel 22: Betroffene haben das Recht, nicht einer ausschliesslich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenueber rechtliche Wirkung entfaltet oder sie in aehnlicher Weise erheblich beeintraechtigt.
KI-Verordnung Artikel 14: Hochrisiko-KI-Systeme muessen so konzipiert sein, dass sie von natuerlichen Personen wirksam beaufsichtigt werden koennen.
Schnittmenge: Beide Verordnungen fordern im Kern dasselbe - menschliche Kontrolle ueber automatisierte Entscheidungen. Die KI-Verordnung geht jedoch weiter, indem sie spezifische technische Anforderungen an die Aufsichtsfaehigkeit stellt. In der Praxis sollten Unternehmen beide Anforderungen integriert umsetzen:
- Implementierung menschlicher Aufsichtsmechanismen (KI-Verordnung)
- Sicherstellung des Widerspruchsrechts und der Anfechtungsmoeglichkeit (DSGVO)
- Dokumentation beider Prozesse in einem einheitlichen Framework
2. Datenschutz-Folgenabschaetzung und KI-Risikomanagement
DSGVO Artikel 35: Eine Datenschutz-Folgenabschaetzung (DSFA) ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko fuer die Rechte und Freiheiten natuerlicher Personen mit sich bringt.
KI-Verordnung Artikel 9: Anbieter von Hochrisiko-KI-Systemen muessen ein Risikomanagementsystem einrichten, das den gesamten Lebenszyklus abdeckt.
KI-Verordnung Artikel 26 Absatz 9: Betreiber von Hochrisiko-KI-Systemen, die personenbezogene Daten verarbeiten, muessen eine DSFA nach DSGVO Artikel 35 durchfuehren.
Praktische Umsetzung: Die KI-Verordnung verweist ausdruecklich auf die DSGVO-DSFA und verlangt diese zusaetzlich zum KI-spezifischen Risikomanagement. Unternehmen sollten:
- Die DSFA nach DSGVO und das KI-Risikomanagement in einem integrierten Prozess durchfuehren
- Ergebnisse beider Bewertungen in einer gemeinsamen Dokumentation zusammenfuehren
- Massnahmen, die beide Anforderungen abdecken, priorisieren
3. Transparenz und Information
DSGVO Artikel 13/14: Betroffene muessen ueber die Verarbeitung ihrer Daten informiert werden, einschliesslich der Logik automatisierter Entscheidungsfindung (Artikel 13 Absatz 2 Buchstabe f).
KI-Verordnung Artikel 13: Hochrisiko-KI-Systeme muessen mit ausfuehrlichen Gebrauchsanweisungen versehen sein, die Betreibern das Verstaendnis des Systems ermoeglichen.
KI-Verordnung Artikel 50: Bestimmte KI-Systeme (Chatbots, Deepfakes, KI-generierte Inhalte) unterliegen spezifischen Transparenzpflichten.
Schnittmenge: Beide Verordnungen fordern Transparenz, aber gegenueber unterschiedlichen Zielgruppen:
- DSGVO: Transparenz gegenueber den betroffenen Personen (Endnutzer, Kunden)
- KI-Verordnung: Transparenz gegenueber den Betreibern (Unternehmen, die das System einsetzen) und teilweise gegenueber Nutzern (bei Chatbots, Deepfakes)
Unternehmen benoetigen daher unterschiedliche Informationsdokumente fuer verschiedene Zielgruppen.
4. Datenqualitaet
DSGVO Artikel 5 Absatz 1 Buchstabe d: Personenbezogene Daten muessen sachlich richtig sein (Grundsatz der Richtigkeit).
KI-Verordnung Artikel 10: Trainings-, Validierungs- und Testdaten muessen hohen Qualitaetsanforderungen genuegen, einschliesslich Repraesentativitaet, Fehlerfreiheit und Pruefung auf diskriminierende Verzerrungen.
Schnittmenge: Die KI-Verordnung stellt deutlich detailliertere Anforderungen an die Datenqualitaet als die DSGVO. Unternehmen, die die KI-Verordnung einhalten, werden in der Regel auch den DSGVO-Grundsatz der Richtigkeit erfuellen - aber nicht umgekehrt.
5. Aufbewahrung und Protokollierung
DSGVO Artikel 5 Absatz 1 Buchstabe e: Speicherbegrenzung - Daten duerfen nicht laenger als noetig gespeichert werden.
KI-Verordnung Artikel 12: Hochrisiko-KI-Systeme muessen automatische Protokollierungsfunktionen (Logs) enthalten.
KI-Verordnung Artikel 26 Absatz 6: Betreiber muessen automatisch generierte Protokolle mindestens 6 Monate aufbewahren.
Spannungsfeld: Hier kann ein Konflikt entstehen. Die DSGVO fordert Datenminimierung und Speicherbegrenzung. Die KI-Verordnung fordert umfangreiche Protokollierung und Aufbewahrung. Unternehmen muessen:
- Protokollierungsanforderungen der KI-Verordnung als legitimen Zweck im Sinne der DSGVO dokumentieren
- Technische Massnahmen zur Pseudonymisierung oder Anonymisierung von Protokolldaten pruefen
- Aufbewahrungsfristen klar definieren und durchsetzen (mindestens 6 Monate, aber nicht laenger als noetig)
Wo nur die DSGVO greift
Die DSGVO bleibt allein relevant in Faellen, in denen personenbezogene Daten ohne KI verarbeitet werden:
- Klassische Datenbanken und CRM-Systeme (ohne KI-Komponenten)
- Manuelle Verarbeitung personenbezogener Daten
- E-Mail-Marketing und Newsletter
- Cookie-Tracking und Webanalyse (ohne KI)
Wo nur die KI-Verordnung greift
Die KI-Verordnung greift allein, wenn KI-Systeme keine personenbezogenen Daten verarbeiten:
- KI-Steuerung von Industrieanlagen und kritischer Infrastruktur
- Predictive Maintenance an Maschinen (ohne Personenbezug)
- KI in der Materialforschung oder Wettervorhersage
- Autonome Systeme in der Logistik (ohne personenbezogene Daten)
Integrierte Compliance: So managen Sie beide Verordnungen
Schritt 1: Gemeinsames Inventar erstellen
Fuehren Sie ein einheitliches Verzeichnis, das sowohl KI-Systeme als auch Verarbeitungstaetigkeiten abdeckt. Dokumentieren Sie fuer jedes System:
- Ist es ein KI-System im Sinne der KI-Verordnung?
- Verarbeitet es personenbezogene Daten?
- In welche Risikokategorie faellt es (KI-Verordnung)?
- Welche Rechtsgrundlage besteht (DSGVO)?
Schritt 2: Integrierte Risikobewertung
Fuehren Sie KI-Risikomanagement (Artikel 9 KI-Verordnung) und DSFA (Artikel 35 DSGVO) als einheitlichen Prozess durch. Nutzen Sie unser kostenloses KI-Verordnung Readiness Assessment, um den aktuellen Stand zu ermitteln.
Schritt 3: Governance-Strukturen verknuepfen
Integrieren Sie KI-Compliance in bestehende Datenschutz-Governance:
- Datenschutzbeauftragter + KI-Compliance-Beauftragter: Klare Abgrenzung und Zusammenarbeit
- Gemeinsame Richtlinien: Eine integrierte KI-und-Datenschutz-Policy statt separater Dokumente
- Abgestimmte Prozesse: Einheitliche Melde- und Eskalationswege
Schritt 4: Dokumentation vereinheitlichen
Erstellen Sie eine gemeinsame Dokumentationsstruktur:
- Verzeichnis der Verarbeitungstaetigkeiten (DSGVO) mit KI-Zusatzinformationen
- Technische Dokumentation (KI-Verordnung) mit DSGVO-relevanten Informationen
- Gemeinsame Risikobewertungen und Massnahmenplaene
Schritt 5: Compliance-Plattform einsetzen
Manuelle Verwaltung zweier Regelwerke mit zahlreichen Ueberschneidungen ist ineffizient und fehleranfaellig. Matproof bietet ein Multi-Framework-Dashboard, das KI-Verordnung, DSGVO und weitere Regelwerke wie DORA in einem System integriert.
- Kontrollmassnahmen, die mehrere Frameworks abdecken, werden automatisch zugeordnet
- Aenderungen in einem Framework werden auf Auswirkungen in anderen geprueft
- Zentrale Evidenz-Verwaltung fuer beide Verordnungen
Konsequenzen bei Nichteinhaltung im Vergleich
Bussgelder
Die KI-Verordnung setzt hoehere Maximalbetraege als die DSGVO:
| Verstoss-Kategorie | KI-Verordnung | DSGVO |
|---|---|---|
| Schwerwiegendster Verstoss | 35 Mio. EUR / 7% | 20 Mio. EUR / 4% |
| Standard-Verstoss | 15 Mio. EUR / 3% | 10 Mio. EUR / 2% |
| Leichte Verstoesse | 7,5 Mio. EUR / 1% | - |
Doppelte Bussgelder?
Es stellt sich die Frage, ob ein Unternehmen fuer denselben Sachverhalt sowohl nach KI-Verordnung als auch nach DSGVO bestraft werden kann. Die KI-Verordnung adressiert dies in Artikel 99 Absatz 8: Wenn ein Verstoss sowohl die KI-Verordnung als auch die DSGVO betrifft, darf das Gesamtbussgeld den hoechsten anwendbaren Betrag nicht uebersteigen. Es gilt also kein Kumulierungsprinzip - ein gewisser Schutz vor Doppelbestrafung besteht.
Blick in die Zukunft
Die Regulierungslandschaft wird dichter. Neben KI-Verordnung und DSGVO treten weitere Regelwerke hinzu:
- KI-Haftungsrichtlinie: Erleichtert Schadensersatzklagen Betroffener
- Data Act: Regelt den Zugang zu und die Nutzung von Daten
- Digital Services Act / Digital Markets Act: Regulierung digitaler Plattformen
Unternehmen, die jetzt eine integrierte Compliance-Strategie aufbauen, sind fuer kuenftige Anforderungen besser geruest.
Haeufig gestellte Fragen
Q: Brauche ich neben dem Datenschutzbeauftragten auch einen KI-Compliance-Beauftragten?
A: Die KI-Verordnung schreibt keinen KI-Beauftragten vor, anders als die DSGVO den Datenschutzbeauftragten. Dennoch ist es empfehlenswert, eine klare Verantwortlichkeit fuer KI-Compliance zu definieren. Ob dies eine eigene Rolle oder eine Erweiterung des Aufgabenbereichs des Datenschutzbeauftragten ist, haengt von der Groesse und KI-Intensitaet des Unternehmens ab.
Q: Kann ich mein bestehendes Verzeichnis der Verarbeitungstaetigkeiten (VVT) fuer die KI-Verordnung nutzen?
A: Das VVT ist ein guter Ausgangspunkt, genuegt allein aber nicht. Die KI-Verordnung verlangt zusaetzliche Informationen, die ueber das VVT hinausgehen - insbesondere die technische Dokumentation nach Anhang IV, die Risikokategorisierung und die Konformitaetsbewertung. Empfehlung: Erweitern Sie Ihr VVT um KI-spezifische Felder und fuehren Sie parallel die detaillierte KI-Dokumentation.
Q: Was hat Vorrang - KI-Verordnung oder DSGVO?
A: Keine der beiden Verordnungen hat Vorrang. Beide gelten gleichzeitig und eigenstaendig. Die KI-Verordnung stellt in Artikel 2 Absatz 7 klar, dass sie das Unionsrecht zum Schutz personenbezogener Daten - insbesondere die DSGVO - unberuehrt laesst. Unternehmen muessen beide Regelwerke vollstaendig einhalten.
Q: Betrifft mich die KI-Verordnung, wenn ich KI-Dienste aus den USA nutze?
A: Ja, wenn Sie die Dienste in der EU einsetzen. Die KI-Verordnung gilt fuer alle KI-Systeme, die in der EU in Verkehr gebracht oder eingesetzt werden - unabhaengig davon, wo der Anbieter sitzt. Zusaetzlich muessen Sie die DSGVO-Anforderungen an Datentransfers in Drittlaender beachten.
Q: Wie wirkt sich die KI-Verordnung auf bestehende Auftragsverarbeitungsvertraege aus?
A: Bestehende AVV nach Artikel 28 DSGVO muessen moeglicherweise um KI-spezifische Klauseln ergaenzt werden. Wenn Ihr Auftragsverarbeiter KI-Systeme einsetzt, sollten Sie vertraglich sicherstellen, dass diese den Anforderungen der KI-Verordnung genuegen. Pruefen Sie bestehende Vertraege und passen Sie sie bei Bedarf an.