AI Act vs. DSGVO: Unterschiede, Schnittpunkte und Auswirkungen für Ihre Organisation

Seit dem Inkrafttreten der DSGVO im Mai 2018 haben europäische Organisationen ihre Praktiken zum Schutz personenbezogener Daten strukturiert. Mit dem AI Act (EU-Verordnung 2024/1689) tritt zwischen 2025 und 2026 ein neues Regelwerk in Kraft — das die DSGVO jedoch nicht ersetzt, sondern ergänzt. Zu verstehen, wo das eine endet, wo das andere beginnt und vor allem, wo sie sich überschneiden, ist heute eine Grundkompetenz für jede Organisation, die in Europa KI-Systeme entwickelt, einsetzt oder nutzt.

Zwei Verordnungen, zwei grundlegend verschiedene Regelungsgegenstände

Die Verwechslung von DSGVO und AI Act ist verständlich: Beide Texte stammen aus europäischen Institutionen, beide folgen einer Logik des Schutzes natürlicher Personen und beide legen Organisationen erhebliche Pflichten auf. Aber ihre Regelungsgegenstände sind verschieden.

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Sie greift, sobald Informationen, die eine natürliche Person identifizieren können, erfasst, gespeichert, verarbeitet oder übermittelt werden — unabhängig davon, ob KI in der Verarbeitungskette vorhanden ist. Ein Papierformular, eine CRM-Datenbank oder eine Excel-Datei mit Namen und E-Mail-Adressen unterliegt der DSGVO.

Der AI Act reguliert die Systeme der künstlichen Intelligenz selbst — ihre Konzeption, Markteinführung, Bereitstellung und Nutzung in der Europäischen Union. Er gilt für jedes KI-System auf dem europäischen Markt, unabhängig davon, ob es personenbezogene Daten verarbeitet. Ein Algorithmus zur industriellen Predictive Maintenance, der anonymisierte Sensordaten analysiert, oder ein maschinelles Bildverarbeitungssystem zur Qualitätskontrolle unterliegt dem AI Act vollumfänglich, wenn es in eine Hochrisikokategorie fällt — ohne dass die DSGVO Anwendung finden müsste.

Die Formel ist einfach: Die DSGVO reguliert, was mit Daten gemacht wird; der AI Act reguliert, was KI-Systeme tun. Beide können gleichzeitig gelten — und das ist oft der Fall — aber keines ersetzt das andere.

Die wesentlichen strukturellen Unterschiede

Persönlicher und territorialer Anwendungsbereich

Die DSGVO gilt für jede Organisation — öffentlich oder privat, in der EU ansässig oder nicht —, die personenbezogene Daten von EU-Bürgern verarbeitet (Extraterritorialitätsprinzip, Artikel 3). Der AI Act gilt für jede Organisation, die ein KI-System auf dem europäischen Markt bereitstellt oder in der EU einsetzt, unabhängig von ihrem Standort. Ein US-amerikanisches Unternehmen, das eine KI-Software in Europa verkauft, unterliegt dem AI Act. Wenn diese Software personenbezogene Daten von EU-Bürgern verarbeitet, unterliegt es zudem kumulativ der DSGVO.

Rollen und Verantwortlichkeiten

Die DSGVO unterscheidet den Verantwortlichen (der die Zwecke und Mittel der Verarbeitung bestimmt) vom Auftragsverarbeiter (der im Auftrag des Verantwortlichen verarbeitet). Der AI Act unterscheidet den Anbieter (der das KI-System entwickelt und auf den Markt bringt) vom Betreiber (der es im beruflichen Kontext einsetzt).

Diese Kategorien überschneiden sich nicht automatisch. Ein Betreiber im Sinne des AI Act kann Verantwortlicher im Sinne der DSGVO sein oder lediglich Auftragsverarbeiter — abhängig von den Datenflüssen und den Entscheidungen über die Zwecke. Dieselbe Organisation kann auch mehrere Rollen gleichzeitig innehaben: Ein Unternehmen, das ein KI-System entwickelt und intern nutzt, ist gleichzeitig Anbieter und Betreiber nach AI Act sowie wahrscheinlich Verantwortlicher nach DSGVO.

Art der Pflichten

Die DSGVO-Pflichten sind datenzentriert: Rechtmäßigkeit der Verarbeitung (Artikel 6), Datenminimierung, Zweckbindung, Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit), Bestellung eines DSB bei Erforderlichkeit, Meldung von Verletzungen innerhalb von 72 Stunden. Die AI Act-Pflichten sind systemzentriert: Risikoeinstufung, Risikomanagement (Artikel 9), technische Dokumentation (Anhang IV), Transparenz (Artikel 50), menschliche Aufsicht (Artikel 14), Robustheit und Cybersicherheit (Artikel 15), CE-Kennzeichnung und Eintragung in die EU-Datenbank für Hochrisikosysteme.

Aufsichtsbehörden

Die DSGVO-Konformität wird von den nationalen Datenschutzbehörden überwacht — in Deutschland die Datenschutzaufsichtsbehörden des Bundes und der Länder; in Frankreich die CNIL; in Spanien die AEPD. Die AI Act-Konformität fällt unter von jedem Mitgliedstaat zu benennende KI-Aufsichtsbehörden, die von den Datenschutzbehörden getrennt sind. Diese beiden Behörden können unabhängig voneinander auf unterschiedlicher Rechtsgrundlage agieren und gleichzeitig Verfahren einleiten.

Sanktionsrahmen

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für schwerwiegendste Verstöße vor. Der AI Act sieht bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes für verbotene Praktiken vor, 15 Millionen oder 3 % für nicht konforme Hochrisikosysteme und 7,5 Millionen oder 1 % für falsche Angaben. Diese Sanktionen sind kumulierbar: Ein einziges nicht konformes KI-System kann unabhängig voneinander nach beiden Verordnungen sanktioniert werden.

Überschneidungsbereiche: Wenn beide gleichzeitig gelten

Obwohl die Regelungsgegenstände der beiden Rahmenwerke verschieden sind, verarbeiten viele KI-Systeme personenbezogene Daten — und unterliegen damit gleichzeitig beiden Texten. Hier sind die wichtigsten Überschneidungsbereiche, die es zu kennen gilt.

Biometrische Erkennung

Ein Gesichtserkennungssystem verarbeitet biometrische Daten, die nach DSGVO (Artikel 9) besondere Kategorien personenbezogener Daten darstellen, deren Verarbeitung grundsätzlich verboten ist, sofern keine Ausnahme greift. Dasselbe System ist nach AI Act (Anhang III, Punkt 1 — biometrische Identifizierung) ein Hochrisiko-KI-System. Beide Verordnungen gelten kumulativ mit eigenen Anforderungen: spezifische Rechtsgrundlage und obligatorische DSFA nach DSGVO; vollständige technische Dokumentation, CE-Kennzeichnung und menschliche Aufsicht nach AI Act. Der AI Act verbietet zudem die biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken mit eng begrenzten Ausnahmen (Artikel 5).

Automatisierte Entscheidungsfindung

Artikel 22 DSGVO regelt Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und erhebliche Auswirkungen auf Personen haben — Kreditablehnungen, Kandidatenauswahl, Versicherungstarife. Er gewährt Betroffenen das Recht auf menschliches Eingreifen, auf Erläuterung und auf Anfechtung. Artikel 14 AI Act verstärkt diese Anforderungen für Hochrisikosysteme durch eine systematische menschliche Aufsicht, die das Verstehen, die Überwachung und erforderlichenfalls die Deaktivierung des Systems ermöglicht. Beide Rahmenwerke müssen gemeinsam erfüllt werden — was die Konzeption von Systemen erfordert, die echte menschliche Eingriffe ermöglichen, nicht nur auf dem Papier.

Profiling und Personalisierung

KI-Systeme, die für Verhaltens-Profiling, Inhalts-Personalisierung oder die Bewertung von Personen eingesetzt werden, aktivieren sowohl die DSGVO-Regeln zum Profiling (Artikel 4 und 22) als auch, je nach potenziellem Auswirkungen auf Personen, die AI Act-Pflichten zur Transparenz (Artikel 50 — Offenlegung automatisierter Interaktionen) oder zum Risikomanagement. Bonitätsbewertungssysteme und Systeme zur Bewertung natürlicher Personen sind in Anhang III ausdrücklich als Hochrisiko-KI-Systeme aufgeführt.

Folgenabschätzungen: Eine natürliche Brücke zwischen beiden Rahmenwerken

Die DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA) für Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben (Artikel 35). Der AI Act verlangt eine Konformitätsbewertung für Hochrisikosysteme — einschließlich technischer Dokumentation (Anhang IV), Risikomanagementsystem (Artikel 9) und, für Betreiber im öffentlichen Sektor, eine Grundrechteverträglichkeitsprüfung (Artikel 27).

Diese Verfahren sind in Form und Zweck verschieden, befassen sich aber mit verwandten Fragen. Eine koordinierte Durchführung — mit denselben Beteiligten und im selben Zeitplan — ermöglicht es, Synergien zu nutzen, die Dokumentation zu bündeln und widersprüchliche Bewertungen zu vermeiden. Einige Organisationen entwickeln bereits übergreifende DSGVO/AI Act-Compliance-Vorlagen zu diesem Zweck.

Verträge zwischen Verantwortlichem und KI-Auftragsverarbeiter

Wenn eine Organisation einen KI-Dienstleister einsetzt, der in ihrem Auftrag personenbezogene Daten verarbeitet, verlangt die DSGVO den Abschluss eines Auftragsverarbeitungsvertrags (Artikel 28), der die Pflichten des Dienstleisters festlegt. Der AI Act erlegt dem Betreiber wiederum Pflichten zur Kontrolle des Systems auf. Diese beiden vertraglichen Dimensionen müssen kohärent sein — ein KI-Dienstleister kann nicht in seinem AI Act-Vertrag eine menschliche Aufsicht zusichern und gleichzeitig im Auftragsverarbeitungsvertrag nach DSGVO jede Verantwortung für die Datenverarbeitung ablehnen.

Sie entwickeln oder betreiben ein KI-System und möchten Ihre übergreifenden AI Act / DSGVO-Pflichten identifizieren? Das kostenlose AiActo-Diagnose-Tool bewertet Ihr Risikoniveau und Ihre Compliance-Prioritäten in unter 3 Minuten.

Eine zu gestaltende, keine zu erduldende Komplementarität

AI Act und DSGVO sind alles andere als redundant — sie fügen sich kohärent in die europäische Regulierungsarchitektur ein. Die DSGVO hat die Grundlagen einer Datenschutzkultur in Europa gelegt. Der AI Act erweitert diese Logik auf die KI-Systeme selbst und fügt Anforderungsschichten hinzu, die spezifisch für deren Natur sind — Robustheit, Erklärbarkeit, menschliche Aufsicht, Risikoeinstufung — die die DSGVO weder abdeckte noch abdecken sollte.

Für Organisationen, die beiden Texten unterliegen, ermöglichen drei strukturierende Prinzipien eine effiziente doppelte Compliance.

1. Datenverarbeitung und KI-Systeme gemeinsam kartieren — Für jedes KI-System feststellen, ob es personenbezogene Daten verarbeitet, in welcher Rolle (Verantwortlicher, Auftragsverarbeiter) und welche AI Act-Einstufung zutrifft. Diese übergreifende Kartierung ist der Ausgangspunkt jeder kohärenten Compliance-Strategie
2. Folgenabschätzungen koordinieren — Wenn die DSGVO eine DSFA und der AI Act eine Konformitätsbewertung verlangen, ermöglicht die parallele Durchführung mit denselben Beteiligten die Identifizierung von Überschneidungen, das Bündeln der Dokumentation und die Erzielung kohärenter Bewertungen
3. Governance ausrichten — Der DSB (Datenschutzbeauftragter, sofern erforderlich) und der KI-Compliance-Verantwortliche dürfen nicht in Silos arbeiten. KI-System-Designentscheidungen haben gleichzeitige DSGVO- und AI Act-Implikationen — die Governance muss diese Realität widerspiegeln

Tools wie das AiActo-Dokumentationsmodul helfen, diesen Ansatz zu strukturieren, indem sie die Anforderungen beider Verordnungen in einer einheitlichen Compliance-Logik zusammenführen.

Häufig gestellte Fragen

Wenn ich bereits DSGVO-konform bin, bin ich automatisch AI Act-konform?

Nein. DSGVO-Konformität deckt die spezifischen AI Act-Pflichten nicht ab: Risikoeinstufung, technische Dokumentation (Anhang IV), Risikomanagement (Artikel 9), CE-Kennzeichnung, menschliche Aufsicht (Artikel 14), Robustheit (Artikel 15). Beide Compliance-Rahmenwerke sind unabhängig. Einige Verfahren können gebündelt werden — insbesondere Folgenabschätzungen — aber es gibt keine Abkürzung: Beide Texte müssen separat behandelt werden.

Gilt der AI Act nur, wenn mein KI-System personenbezogene Daten verarbeitet?

Nein. Der AI Act gilt für jedes KI-System, das auf dem EU-Markt bereitgestellt oder dort eingesetzt wird, unabhängig davon, ob personenbezogene Daten verarbeitet werden. Ein maschinelles Bildverarbeitungssystem zur industriellen Qualitätskontrolle, das keine Personen identifiziert, unterliegt dem AI Act, wenn es in eine Hochrisikokategorie fällt. Die Verarbeitung personenbezogener Daten löst die DSGVO aus — nicht den AI Act.

Welche Behörden können mich sanktionieren, und wofür?

Die zuständige Datenschutzbehörde (z. B. die Bundesbeauftragte oder eine Landesbehörde in Deutschland) kann DSGVO-Verstöße sanktionieren — bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Die KI-Aufsichtsbehörde kann AI Act-Verstöße sanktionieren — bis zu 35 Millionen oder 7 % des Umsatzes für verbotene Praktiken, bis zu 15 Millionen oder 3 % für nicht konforme Hochrisikosysteme. Diese Sanktionen sind unabhängig und können für dasselbe System gleichzeitig verhängt werden.

Ersetzt die DSFA nach DSGVO die Konformitätsbewertung nach AI Act?

Nein. Es handelt sich um zwei verschiedene Verfahren mit unterschiedlichen Zwecken und Inhalten. Die DSFA (Artikel 35 DSGVO) bewertet die Risiken für die Rechte und Freiheiten von Personen aus der Datenverarbeitung. Die AI Act-Konformitätsbewertung betrifft Konzeption, technische Dokumentation und Robustheit des KI-Systems. Sie können jedoch koordiniert durchgeführt werden, um Synergien zu nutzen und Teile der Dokumentation zu bündeln.

Sollte mein DSB in die AI Act-Compliance einbezogen werden?

Der AI Act sieht keine entsprechende rechtliche Verpflichtung vor und enthält keine dem DSB vergleichbare Rolle. Sobald ein KI-System jedoch personenbezogene Daten verarbeitet, hat der DSB legitime Aufgaben in Bezug auf die DSGVO-Implikationen — und die Notwendigkeit der Kohärenz zwischen beiden Compliance-Rahmenwerken macht eine enge Koordination sinnvoll. Einige Organisationen beginnen, Rollen des „KI-Compliance-Beauftragten" zu schaffen, die in Tandem mit dem DSB arbeiten.

Wie sollte ich vertragliche Überschneidungspflichten mit einem KI-Dienstleister behandeln?

Der Vertrag mit einem KI-Dienstleister, der personenbezogene Daten verarbeitet, muss gleichzeitig die Anforderungen des Artikels 28 DSGVO (Auftragsverarbeitungsvertrag) und die AI Act-Bestimmungen für Betreiber erfüllen. Prüfen Sie insbesondere die Kohärenz zwischen den im AI Act-Vertrag vereinbarten menschlichen Aufsichtspflichten und den Haftungsklauseln im DSGVO-Auftragsverarbeitungsvertrag — Widersprüche zwischen beiden Dokumenten schaffen rechtliche Risikobereiche.

AI Act und DSGVO bilden ein kohärentes europäisches Regulierungsrahmenwerk, dessen gemeinsame Beherrschung für jede Organisation, die KI entwickelt oder einsetzt, unverzichtbar geworden ist. Zu verstehen, wo das eine endet und das andere beginnt — und vor allem, wo sie konvergieren — ist der Ausgangspunkt einer wirklich effektiven Compliance-Strategie. Der vollständige AI Act-Zeitplan auf AiActo hilft Ihnen, Ihre Prioritäten rund um die Schlüsseldaten der Verordnung zu planen.