AI Act und DSGVO: Was Compliance Officer über die Schnittstelle wissen müssen
Zwei Verordnungen, ein KI-System — und doppelt so viele Pflichten. Dieser Artikel zeigt die drei wichtigsten Überlappungen zwischen AI Act und DSGVO, erklärt die Abgrenzung mit konkreten Tabellen und gibt eine klare Empfehlung, wie Sie beide Regelwerke in einer integrierten Governance-Struktur zusammenführen.
Inhaltsverzeichnis
Zwei Verordnungen, ein KI-System — und doppelt so viele Pflichten. So lässt sich die Situation zusammenfassen, vor der Compliance Officer seit Februar 2025 stehen. Denn wer KI-Systeme einsetzt, die personenbezogene Daten verarbeiten, muss sowohl den AI Act als auch die DSGVO parallel erfüllen. Die Frage ist nicht, ob sich die beiden Regelwerke überschneiden — sondern wo genau, und was das für Ihre Dokumentation, Ihre Prozesse und Ihre Verantwortlichkeiten bedeutet.
Dieser Artikel zeigt Ihnen die drei wichtigsten Überlappungen, erklärt die Abgrenzung und gibt eine klare Empfehlung, wie Sie beide Regelwerke in einer integrierten Governance-Struktur zusammenführen.
Wichtig: Der AI Act ersetzt die DSGVO nicht. Beide Verordnungen gelten parallel und unabhängig voneinander. Ein Verstoß kann unter beide Regelwerke fallen — mit separaten Bußgeldern. Mehr zum AI Act insgesamt finden Sie in unserem Pillar-Artikel: EU AI Act für KMU.
Was regelt der AI Act — und was die DSGVO?
Bevor wir über Überlappungen sprechen, müssen wir die Grundfrage klären: Wann greift welches Gesetz? Die Antwort liegt in der unterschiedlichen Perspektive beider Verordnungen.
Die DSGVO fragt: Werden personenbezogene Daten rechtmäßig verarbeitet? Sie schützt die Rechte der betroffenen Personen — unabhängig davon, ob die Verarbeitung durch KI oder eine Excel-Tabelle erfolgt.
Der AI Act fragt: Ist das KI-System selbst sicher, transparent und nicht diskriminierend? Er reguliert die Technologie — unabhängig davon, ob personenbezogene Daten betroffen sind oder nicht.
Dimension | DSGVO | AI Act |
|---|---|---|
Schutzgegenstand | Personenbezogene Daten | Sicherheit und Grundrechte bei KI-Einsatz |
Regulierungsansatz | Datenverarbeitungs-basiert | Risikoklassen-basiert |
Verantwortlicher | Datenverantwortlicher (Art. 4 Nr. 7) | Deployer / Provider (Art. 3) |
Risikoprüfung | DSFA (Art. 35) | FRIA (Art. 27) + Risikomanagement |
Transparenz | Art. 13/14 — Informationspflichten | Art. 50 — KI-Kennzeichnung |
Automatisierte Entscheidungen | Art. 22 — Recht auf menschliche Prüfung | Art. 14/26 — Human Oversight |
Dokumentation | Verarbeitungsverzeichnis (Art. 30) | Technische Dokumentation + KI-Inventar |
Aufsicht (Deutschland) | Landesdatenschutzbehörden | Bundesnetzagentur (BNetzA) |
Bußgeld-Obergrenze | 20 Mio. EUR / 4 % Umsatz | 35 Mio. EUR / 7 % Umsatz |
In der Praxis bedeutet das: Ein KI-System kann gleichzeitig unter beide Regelwerke fallen — oder nur unter eines. Ein KI-gestützter Spamfilter, der keine Hochrisiko-Einstufung hat, aber personenbezogene Daten verarbeitet, unterliegt primär der DSGVO. Ein KI-System zur Qualitätskontrolle in der Produktion ohne Personenbezug unterliegt nur dem AI Act. Und ein Hochrisiko-KI-System im Recruiting — wie eine automatisierte Bewerbervorauswahl — muss beide Regelwerke vollständig erfüllen.
Praxis-Tipp: Ergänzen Sie Ihr KI-Inventar um eine Spalte „Personenbezug Ja/Nein". So sehen Sie auf einen Blick, bei welchen KI-Systemen beide Regelwerke greifen — und wo Sie nur den AI Act oder nur die DSGVO beachten müssen.
Überlappung 1: Transparenzpflichten — Art. 50 AI Act trifft Art. 13/14 DSGVO
Sowohl der AI Act als auch die DSGVO verlangen Transparenz — aber mit unterschiedlichem Fokus. Die DSGVO verlangt, dass betroffene Personen über die Verarbeitung ihrer Daten informiert werden (Art. 13/14). Der AI Act verlangt, dass Nutzer erkennen können, dass sie mit einem KI-System interagieren (Art. 50).
Das klingt ähnlich, ist aber nicht dasselbe. Und genau hier liegt die Falle: Wer glaubt, mit einer DSGVO-konformen Datenschutzerklärung auch den AI Act abzudecken, irrt.
Pflicht | DSGVO | AI Act |
|---|---|---|
Was offenlegen? | Welche Daten, warum, wie lange, an wen | Dass KI im Einsatz ist, und wie sie funktioniert |
Wann informieren? | Bei Erhebung der Daten | Vor der Interaktion mit dem KI-System |
Wem gegenüber? | Betroffene Personen | Alle Nutzer des KI-Systems |
Art. Referenz | Art. 13/14 DSGVO | Art. 50 AI Act (+ Art. 13 Abs. 2 lit. f DSGVO bei automatisierter Verarbeitung) |
Besonderheit bei KI | „Involvierte Logik" erklären | KI-generierte Inhalte kennzeichnen |
Was Sie konkret tun sollten
Datenschutzerklärung erweitern: Ergänzen Sie für jedes KI-System, das personenbezogene Daten verarbeitet, die „involvierte Logik" gemäß Art. 13 Abs. 2 lit. f DSGVO.
KI-Kennzeichnung einführen: Stellen Sie sicher, dass Nutzer vor jeder Interaktion mit einem KI-System (Chatbot, automatisierte E-Mail, KI-generierter Inhalt) darüber informiert werden — das ist eine AI-Act-Pflicht nach Art. 50.
In der KI-Richtlinie verankern: Definieren Sie einmal zentral, welche Transparenzhinweise bei welchem KI-Systemtyp erforderlich sind — für beide Regelwerke.
Überlappung 2: FRIA und DSFA — ergänzen, nicht ersetzen
Die zweite große Überlappung betrifft die Risikoprüfungen. Die DSGVO kennt die Datenschutz-Folgenabschätzung (DSFA, Art. 35). Der AI Act kennt die Grundrechte-Folgenabschätzung (FRIA, Art. 27). Beide sind Pflichtprüfungen — aber mit unterschiedlichem Scope.
Die DSFA prüft: Welche Risiken entstehen durch die Verarbeitung personenbezogener Daten?
Die FRIA prüft: Welche Risiken entstehen für alle Grundrechte durch den Einsatz des KI-Systems — einschließlich Nichtdiskriminierung, Meinungsfreiheit, Zugang zur Justiz und Menschenwürde?
Dimension | DSFA (DSGVO Art. 35) | FRIA (AI Act Art. 27) |
|---|---|---|
Rechtsgrundlage | DSGVO | AI Act |
Scope | Risiken für personenbezogene Daten | Risiken für alle Grundrechte |
Auslöser | Hohes Risiko bei Datenverarbeitung | Hochrisiko-KI durch bestimmte Deployer |
Pflicht für | Jeden Verantwortlichen | Öffentliche Stellen + bestimmte private Deployer (Kreditwürdigkeit, Versicherung etc.) |
Zeitpunkt | Vor der Datenverarbeitung | Vor der Inbetriebnahme des KI-Systems |
Ergebnis | Risikobewertung + Maßnahmen | Grundrechte-Bewertung + Maßnahmen + Meldung an EU-Datenbank |
Praxis-Tipp: Führen Sie DSFA und FRIA gemeinsam durch — der AI Act ermutigt ausdrücklich zur Koordination beider Bewertungen. Starten Sie mit der DSFA als Basis und erweitern Sie den Scope um die nicht-datenschutzbezogenen Grundrechte. So vermeiden Sie doppelte Arbeit und erhalten ein umfassendes Risikobild. Unser FRIA-Leitfaden zeigt das Vorgehen Schritt für Schritt.
Achtung: Die FRIA ist nicht für jeden Deployer Pflicht. Wenn Sie weder eine öffentliche Stelle sind noch KI-Systeme in den FRIA-pflichtigen Bereichen einsetzen (Anhang III Nr. 5 lit. b — Kreditwürdigkeit, Versicherung), genügt die DSFA. Eine freiwillige FRIA ist dennoch sinnvoll — sie schützt Sie bei einer Behördenanfrage und dokumentiert Ihre Sorgfalt nachweisbar.
Überlappung 3: Automatisierte Entscheidungsfindung — Art. 22 DSGVO trifft Human Oversight
Die dritte Überlappung ist in der Praxis die brisanteste. Art. 22 DSGVO gibt betroffenen Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet. Der AI Act verlangt bei Hochrisiko-KI eine wirksame menschliche Aufsicht (Human Oversight, Art. 14 und Art. 26).
Beide Regelwerke fordern im Kern dasselbe: Der Mensch muss die Kontrolle behalten. Aber sie tun es aus unterschiedlichen Gründen und mit unterschiedlichen Rechtsfolgen.
Das Zusammenspiel am Beispiel
Ein KMU setzt eine KI-gestützte Bewerbervorauswahl ein. Das löst drei parallele Pflichten aus:
Art. 22 DSGVO: Bewerber müssen informiert werden, dass eine automatisierte Verarbeitung stattfindet — und können eine menschliche Überprüfung verlangen.
Art. 35 DSGVO: Eine DSFA ist erforderlich, weil personenbezogene Daten systematisch und automatisiert bewertet werden.
Art. 26 AI Act: Als Deployer eines Hochrisiko-KI-Systems (Anhang III Nr. 4 — Beschäftigung) müssen Sie Human Oversight sicherstellen, das System überwachen und Ihre Deployer-Pflichten dokumentieren.
Entscheidend ist: Art. 22 DSGVO greift nur bei ausschließlich automatisierten Entscheidungen. Wenn ein Mensch die KI-Vorauswahl inhaltlich prüft und die finale Entscheidung trifft, greift Art. 22 formal nicht. Aber — und hier wird es für die Praxis relevant — die Prüfung muss echt sein. Ein bloßes Durchwinken der KI-Empfehlung ohne inhaltliche Prüfung reicht nicht.
Was „echte" menschliche Aufsicht bedeutet
Sowohl die DSGVO als auch der AI Act verlangen, dass die menschliche Prüfung substanziell ist. Konkret heißt das: Die Person, die die KI-Entscheidung prüft, muss die Kompetenz haben, die Entscheidung zu verstehen und zu hinterfragen. Sie muss Zugang zu den relevanten Informationen haben — nicht nur zum KI-Ergebnis, sondern auch zu den Eingabedaten. Und sie muss tatsächlich die Befugnis haben, die KI-Empfehlung zu überstimmen. Dokumentieren Sie, wer prüft, wann geprüft wird und wie oft die KI-Empfehlung überstimmt wurde. Eine Überstimmungsrate von null Prozent über Monate hinweg ist ein starkes Indiz dafür, dass keine echte Prüfung stattfindet.
Verknüpfung: Die Human-Oversight-Anforderung des AI Act gibt Art. 22 DSGVO erstmals einen operativen Rahmen. Durch die verbindlichen Pflichten zu menschlicher Aufsicht, Protokollierung und Überprüfbarkeit entsteht ein Standard, der beide Regelwerke gleichzeitig erfüllen kann. Dokumentieren Sie diesen Prozess in Ihrer KI-Richtlinie.
KI-Richtlinie als Brücke: Datenschutz und KI-Governance zusammendenken
Die drei Überlappungen zeigen: Wer AI Act und DSGVO isoliert bearbeitet, macht doppelte Arbeit — und riskiert Lücken in der Dokumentation. Die Lösung liegt in einer integrierten Governance-Struktur. Und das zentrale Werkzeug dafür ist die KI-Richtlinie.
Eine gut aufgebaute KI-Richtlinie adressiert beide Regelwerke gleichzeitig:
Richtlinien-Abschnitt | Deckt AI-Act-Pflicht ab | Deckt DSGVO-Pflicht ab |
|---|---|---|
Erlaubte/eingeschränkte/verbotene KI-Nutzung | Risikoklassen-Zuordnung | Zweckbindung und Rechtsgrundlage |
Genehmigungsprozess für neue KI-Tools | Deployer-Prüfpflicht (Art. 26) | Prüfung der Rechtsgrundlage + ggf. DSFA |
Transparenzhinweise | Art. 50 KI-Kennzeichnung | Art. 13/14 Informationspflichten |
Human-Oversight-Regeln | Art. 14/26 Menschliche Aufsicht | Art. 22 Recht auf menschliche Prüfung |
Schulungspflicht | Art. 39 Sensibilisierung | |
Vorfallmeldung | Art. 33/34 Meldepflicht bei Datenschutzverletzung |
Eine KI-Richtlinie, die beide Regelwerke adressiert, ist kein Luxus — sie ist die effizienteste Form, parallele Compliance-Anforderungen mit einem Dokument abzudecken.
Zwei Behörden, zwei Bußgeldregime — was das für Sie bedeutet
Ein Aspekt, den viele Unternehmen unterschätzen: AI Act und DSGVO werden von unterschiedlichen Behörden durchgesetzt. In Deutschland überwacht die Bundesnetzagentur (BNetzA) den AI Act, während die Landesdatenschutzbehörden für die DSGVO zuständig sind.
Das bedeutet: Ein und derselbe Vorfall — zum Beispiel eine diskriminierende KI-gestützte Kreditentscheidung — kann von beiden Behörden separat untersucht und sanktioniert werden. Die Bußgelder addieren sich nicht automatisch, aber die Möglichkeit paralleler Verfahren ist real.
Regelwerk | Aufsichtsbehörde (DE) | Bußgeld-Obergrenze |
|---|---|---|
DSGVO | Landesdatenschutzbehörden | 20 Mio. EUR oder 4 % Umsatz |
AI Act | BNetzA (+ AI Office auf EU-Ebene) | 35 Mio. EUR oder 7 % Umsatz |
Praxis-Tipp: Dokumentieren Sie Ihre Compliance-Maßnahmen so, dass sie beide Aufsichtsbehörden überzeugen. Ein internes KI-Audit mit sauberem Nachweis-Trail zeigt beiden Behörden, dass Sie Ihre Sorgfaltspflichten ernst nehmen. Art. 26 Abs. 5 AI Act verpflichtet Sie ohnehin zur Kooperation mit der Marktüberwachungsbehörde.
Praxis-Empfehlung: Ein Verantwortlicher für beide Themen
Die größte Gefahr bei zwei parallelen Regelwerken ist organisatorische Fragmentierung. In vielen Unternehmen sitzt der Datenschutzbeauftragte in der Rechtsabteilung, während die KI-Governance bei IT oder Compliance liegt. Das führt zu Doppelarbeit, Informationslücken und widersprüchlichen Bewertungen.
Unsere Empfehlung für KMU: Bündeln Sie die Verantwortung.
Drei Modelle für die integrierte Governance
Modell | Beschreibung | Geeignet für |
|---|---|---|
DSB als KI-Koordinator | Der Datenschutzbeauftragte übernimmt zusätzlich die koordinierende Rolle für KI-Compliance. Nutzt bestehende DSFA-Prozesse als Basis. | KMU mit wenigen KI-Systemen |
Compliance Officer als Integrator | Der Compliance Officer verantwortet beide Themen und stimmt sich mit DSB und IT ab. | Mittelstand mit bestehendem CMS |
KI-Governance-Komitee | Querschnittsgremium aus DSB, Compliance, IT und Fachbereich. Entscheidet gemeinsam über KI-Einsatz. | Größere Organisationen mit vielen KI-Systemen |
Unabhängig vom Modell gilt: Beide Regelwerke müssen in einem Prozess zusammenlaufen. Das KI-Inventar als gemeinsame Datenbasis, die KI-Richtlinie als gemeinsames Regelwerk, das Monitoring als gemeinsamer Überwachungsprozess.
Der integrierte Prüfprozess in der Praxis
Wenn ein Fachbereich ein neues KI-Tool einführen möchte, sollte der Prozess wie folgt ablaufen: Zuerst wird das Tool im KI-Inventar erfasst — mit Risikoklasse, Personenbezug und Verantwortlichkeit. Dann prüft der KI-Verantwortliche gemeinsam mit dem DSB, ob eine DSFA, eine FRIA oder beides erforderlich ist. Die Transparenzanforderungen — sowohl die KI-Kennzeichnung nach Art. 50 AI Act als auch die Informationspflichten nach Art. 13/14 DSGVO — werden in einem Schritt festgelegt. Und die Schulungsanforderungen werden direkt mitgeplant. Ein Prozess, ein Formular, ein Verantwortlicher — statt paralleler Freigabeschleifen in verschiedenen Abteilungen.
Ihre nächsten 3 Schritte
Personenbezug im KI-Inventar prüfen: Ergänzen Sie für jedes KI-System die Spalte „Personenbezogene Daten: Ja/Nein" und markieren Sie die Systeme, bei denen beide Regelwerke greifen. Nutzen Sie dafür Ihr bestehendes KI-Inventar.
DSFA und FRIA zusammenführen: Für Systeme, die unter beide Regelwerke fallen, führen Sie eine kombinierte Risikoprüfung durch. Starten Sie mit der FRIA — sie hat den breiteren Scope und deckt die DSFA-Anforderungen weitgehend mit ab.
Verantwortlichkeit klären: Definieren Sie einen zentralen Ansprechpartner für KI-Compliance und Datenschutz. Verankern Sie diese Rolle in der KI-Richtlinie und im KI-Compliance-Handbuch.
Alle Vorlagen für die integrierte KI-Compliance — vom KI-Inventar über die KI-Richtlinie bis zum Audit-Prüfkatalog — finden Sie im AI Act Aufbau-Bundle. 9 Dokumente, aufeinander abgestimmt, sofort einsetzbar.
Sie möchten zuerst einzelne Dokumente testen? Starten Sie mit dem KI-Inventar & Risikoklassifizierung — das Fundament für beide Regelwerke.
Passende Produkte zum Thema
EU AI Act Aufbau-Bundle
Komplettpaket zur Umsetzung des EU AI Act – von der KI-Inventarisierung bis zum Management Report. 9 aufeinander abgestimmte Dokumente in 5 Phasen. Stichtag 2. August 2026.
EU AI Act: KI-Inventar & Risikoklassifizierung
Excel-Tool zur Erfassung aller KI-Systeme im Unternehmen mit automatischer Risikoklassen-Zuordnung, Fristen-Tracker und Dashboard-Übersicht. Der erste Schritt zur AI-Act-Compliance.
EU AI Act Compliance-Prüfkatalog
Vollständiger Fragenkatalog für interne AI-Act-Audits. 8 Prüfbereiche, Ampelsystem, Rechtsquellen-Referenzen. Ihr Werkzeug für den systematischen KI-Compliance-Check.
Marvin Zimbelmann
Head of Governance, Risk & Compliance · MBA-Dozent · Podcast-Host
Auf LinkedIn vernetzen →