AI Act und DSGVO Vergleichstabelle der sich überschneidenden Pflichten.
Der AI Act und die DSGVO bestehen nebeneinander ohne Vorrang. Wie lassen sich ihre Anforderungen koordinieren, um Doppelarbeit zu vermeiden und Synergien zu nutzen? Detaillierte Korrespondenztabelle und Analyse der Schnittstellen.
Zwei Verordnungen, eine gleichzeitige Anwendung
Der AI Act und die DSGVO bilden einen integrierten regulatorischen Rahmen für KI in Europa.
Artikel 2 Absatz 7 des AI Act stellt klar, dass die Verordnung unbeschadet der DSGVO gilt. Diese Formulierung zeigt ein Nebeneinander ohne Hierarchie. Beide Texte gelten gleichzeitig, sobald ein KI-System personenbezogene Daten verarbeitet, was auf die Mehrheit der Anwendungsfälle zutrifft.
Erwägungsgrund 10 des AI Act betont die Notwendigkeit einer Zusammenarbeit zwischen den Aufsichtsbehörden für KI und den Datenschutzbehörden. Diese Koordinierung zielt darauf ab, Widersprüche zu vermeiden und die Kontrollen zu optimieren. In Frankreich wurde die CNIL im Februar 2026 als zuständige nationale Behörde für den AI Act benannt, was diese institutionelle Synergie stärkt.
Unternehmen müssen daher einen einheitlichen Ansatz für die Compliance verfolgen. Eine getrennte Dokumentation für jede Verordnung würde kostspielige Redundanzen verursachen. Eine intelligente Integration ermöglicht dagegen die Bündelung der Bemühungen und reduziert das Risiko der Nichteinhaltung.
Vergleichstabelle der sich überschneidenden Pflichten
Schnittstellen und Unterschiede zwischen dem AI Act und der DSGVO, nach Themen strukturiert.
| Thema | AI Act (Verordnung (EU) 2024/1689) | DSGVO (Verordnung (EU) 2016/679) | Schnittstellen |
|---|---|---|---|
| Anwendungsbereich | Gilt für KI-Systeme, die in der EU in Verkehr gebracht oder in Betrieb genommen werden, unabhängig vom Sitz des Anbieters (Art. 2). | Gilt für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU (Art. 3). | Kumulativer Anwendungsbereich für KI-Systeme, die personenbezogene Daten verarbeiten. Eine Tätigkeit kann unter beide Verordnungen fallen. |
| Rollen und Verantwortlichkeiten | Anbieter: entwickelt oder entwirft das KI-System (Art. 3 Abs. 3). Betreiber: nutzt das KI-System unter seiner Verantwortung (Art. 3 Abs. 4). Einführer/Vertreiber: stellt das KI-System in der EU bereit (Art. 3 Abs. 5-6). | Verantwortlicher: bestimmt Zwecke und Mittel der Verarbeitung (Art. 4 Abs. 7). Auftragsverarbeiter: verarbeitet Daten im Auftrag des Verantwortlichen (Art. 4 Abs. 8). | Ein KI-Anbieter kann Verantwortlicher nach der DSGVO sein. Ein Betreiber kann je nach Rolle bei der Datenverarbeitung Verantwortlicher oder Auftragsverarbeiter sein. |
| Risikomanagement | FRIA (Fiche de Renseignement sur l'Impact Algorithmique) verpflichtend für Hochrisiko-KI-Systeme (Art. 27). Bewertet Risiken für Gesundheit, Sicherheit und Grundrechte. Muss während des gesamten Lebenszyklus des Systems aktualisiert werden. | DPIA (Datenschutz-Folgenabschätzung) verpflichtend für Verarbeitungen, die voraussichtlich ein hohes Risiko bergen (Art. 35). Bewertet Risiken für die Rechte und Freiheiten betroffener Personen. Muss vor der Verarbeitung durchgeführt und bei Bedarf aktualisiert werden. | Beide Bewertungen können für Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, kombiniert werden. Die FRIA kann Elemente der DPIA integrieren und umgekehrt. |
| Transparenz | Verstärkte Transparenzpflicht für KI-Systeme (Art. 50). Verpflichtende Kennzeichnung für durch KI generierte oder manipulierte Inhalte (Art. 50 Abs. 2). Information der Nutzer über die Interaktion mit einer KI (Art. 50 Abs. 1). | Recht auf Information der betroffenen Personen (Art. 13-14). Transparenzpflicht bezüglich der Logik automatisierter Verarbeitungen (Art. 13 Abs. 2 Buchst. f). | Die Transparenzpflichten ergänzen sich. Die vom AI Act geforderten Informationen können in die DSGVO-Informationspflichten integriert werden, um Redundanzen zu vermeiden. |
| Rechte betroffener Personen | Recht auf Erklärung für Entscheidungen, die von Hochrisiko-KI-Systemen getroffen werden (Art. 68). Recht, automatisierte Entscheidungen anzufechten (Art. 68 Abs. 3). | Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17). Recht auf Einschränkung der Verarbeitung (Art. 18). Recht auf Datenübertragbarkeit (Art. 20). Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden (Art. 22). | Die Rechte betroffener Personen verstärken sich gegenseitig. Das Recht auf Erklärung nach dem AI Act ergänzt das Informationsrecht der DSGVO bei automatisierten Entscheidungen. |
| Dokumentation und Register | Register der KI-Systeme verpflichtend für Anbieter und Betreiber von Hochrisiko-KI-Systemen (Art. 49). Detaillierte technische Dokumentation für Hochrisiko-KI-Systeme (Anhang IV). | Verzeichnis der Verarbeitungstätigkeiten verpflichtend für Verantwortliche und Auftragsverarbeiter (Art. 30). Dokumentation von Datenschutzverletzungen (Art. 33 Abs. 5). | Die Register können für KI-Systeme, die personenbezogene Daten verarbeiten, zusammengeführt werden. Die technische Dokumentation des AI Act kann das DSGVO-Verzeichnis ergänzen. |
| Vorfälle und Verstöße | Meldung schwerwiegender Vorfälle an die zuständigen Behörden innerhalb von 15 Tagen (Art. 73). Weite Definition: jede Fehlfunktion, die Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte hat. | Meldung von Datenschutzverletzungen an die Datenschutzbehörde innerhalb von 72 Stunden (Art. 33). Meldung an betroffene Personen bei hohem Risiko (Art. 34). | Ein Vorfall kann unter beide Meldepflichten fallen. Die Meldung nach dem AI Act kann die DSGVO-Meldung abdecken, wenn sie die erforderlichen Elemente enthält. |
| Sanktionen | Bis zu 35 Mio. € oder 7% des weltweiten Umsatzes für verbotene Praktiken (Art. 99 Abs. 3). Bis zu 15 Mio. € oder 3% des weltweiten Umsatzes für andere Verstöße (Art. 99 Abs. 4). | Bis zu 20 Mio. € oder 4% des weltweiten Umsatzes für schwere Verstöße (Art. 83 Abs. 5). Bis zu 10 Mio. € oder 2% des weltweiten Umsatzes für andere Verstöße (Art. 83 Abs. 4). | Sanktionen können sich für denselben Verstoß kumulieren. Die Höchstgrenzen addieren sich bei gleichzeitiger Verletzung beider Verordnungen. |
"Die Konvergenz zwischen dem AI Act und der DSGVO ist kein Zufall, sondern politischer Wille. Beide Verordnungen teilen eine gemeinsame Philosophie: Technologien so zu regulieren, dass Grundrechte gewahrt bleiben." - Paul Nemitz, Leitender Berater bei der Europäischen Kommission
Dokumentarische Synergien nutzen
Wie lassen sich Compliance-Bemühungen zwischen AI Act und DSGVO bündeln.
Unternehmen können ihre Compliance optimieren, indem sie dokumentarische Schnittstellen identifizieren. Vier zentrale Synergien zeichnen sich ab:
Daten-Governance
Artikel 10 des AI Act legt strenge Anforderungen an die Qualität der Daten fest, die zum Training von KI-Systemen verwendet werden. Diese Anforderungen überschneiden sich mit denen der DSGVO zur Datenminimierung (Art. 5 Abs. 1 Buchst. c) und zum Datenschutz durch Technikgestaltung (Art. 25). Eine einheitliche Dokumentation kann beide Aspekte abdecken.
Risikobewertungen
Die FRIA (AI Act) und die DPIA (DSGVO) folgen einer ähnlichen Methodik. Beide Bewertungen können für Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, zusammengeführt werden. Dieser Ansatz reduziert den Verwaltungsaufwand und gewährleistet eine umfassende Risikoabdeckung.
Verzeichnisse der Tätigkeiten
Das Verzeichnis der KI-Systeme (Art. 49 AI Act) und das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) können kombiniert werden. KI-spezifische Informationen, wie die Klassifizierung des Systems oder Transparenzmaßnahmen, können den bestehenden Einträgen im DSGVO-Verzeichnis hinzugefügt werden.
Transparenz und Information
Die Transparenzpflichten des AI Act (Art. 50) können in die DSGVO-Informationspflichten (Art. 13-14) integriert werden. Beispielsweise kann die Information über den Einsatz eines KI-Systems in derselben Mitteilung wie die Informationen zur Verarbeitung personenbezogener Daten erfolgen.
Diese Synergien ermöglichen eine Rationalisierung der Compliance. Ein integrierter Ansatz senkt die Kosten und begrenzt das Risiko von Widersprüchen zwischen den beiden regulatorischen Rahmenwerken.
Technische Pflichten nach dem AI Act
Einige Anforderungen des AI Act haben keine Entsprechung in der DSGVO.
Der AI Act führt spezifische technische Pflichten ein, die über die Anforderungen der DSGVO hinausgehen. Diese Maßnahmen zielen darauf ab, die Robustheit, Transparenz und menschliche Aufsicht von KI-Systemen zu gewährleisten.
Menschliche Aufsicht
Hochrisiko-KI-Systeme müssen so konzipiert sein, dass eine wirksame menschliche Aufsicht möglich ist (Art. 14). Diese Pflicht umfasst angepasste Schnittstellen und Deaktivierungsmechanismen. Die DSGVO sieht keine vergleichbaren Maßnahmen vor.
Robustheit und Cybersicherheit
KI-Systeme müssen widerstandsfähig gegen Angriffe und Fehler sein (Art. 15). Der AI Act verlangt Belastungstests und spezifische Cybersicherheitsmaßnahmen, die sich von den allgemeinen Sicherheitsanforderungen der DSGVO (Art. 32) unterscheiden.
Genauigkeit und Richtigkeit
KI-Systeme müssen ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen (Art. 15 Abs. 1). Diese technische Pflicht hat keine direkte Entsprechung in der DSGVO, die sich auf den Schutz personenbezogener Daten konzentriert, nicht auf die Leistung von Systemen.
Automatische Protokollierung
Hochrisiko-KI-Systeme müssen automatische Protokollierungsfunktionen integrieren, um die Rückverfolgbarkeit von Vorgängen zu gewährleisten (Art. 12). Diese Protokolle müssen für einen dem Nutzungskontext angemessenen Zeitraum aufbewahrt werden. Die DSGVO sieht keine solchen technischen Anforderungen vor.
Kennzeichnung von KI-Inhalten
Artikel 50 Absatz 2 des AI Act verlangt eine klare Kennzeichnung von durch KI generierten oder manipulierten Inhalten. Diese Pflicht zielt darauf ab, Desinformation zu bekämpfen und Transparenz zu gewährleisten. Die DSGVO behandelt diese Thematik nicht.
Diese technischen Besonderheiten erfordern besondere Aufmerksamkeit. Unternehmen müssen sie in ihre Entwicklungs- und Bereitstellungsprozesse integrieren, zusätzlich zu den Datenschutzmaßnahmen.
Rolle der Aufsichtsbehörden in Frankreich
Die CNIL überwacht sowohl den AI Act als auch die DSGVO und erleichtert die Koordinierung.
In Frankreich wurde die CNIL durch Dekret im Februar 2026 als zuständige nationale Behörde für die Anwendung des AI Act benannt. Diese Benennung folgt einer Logik der Kohärenz, da die CNIL bereits die zuständige Behörde für die DSGVO ist. Sie koordiniert ihre Maßnahmen mit der ARCOM und der DGCCRF, um alle Aspekte der Verordnung abzudecken.
Die CNIL veröffentlichte im März 2026 Leitlinien zur Verzahnung von AI Act und DSGVO. Diese Orientierungshilfen klären die Erwartungen an eine integrierte Compliance. Sie betonen insbesondere:
- Die Möglichkeit, Risikobewertungen (FRIA und DPIA) zusammenzuführen.
- Die Integration der Transparenzpflichten des AI Act in die DSGVO-Informationspflichten.
- Die Koordinierung der Meldungen von Vorfällen zwischen den beiden regulatorischen Rahmenwerken.
Unternehmen können sich auf diese Leitlinien stützen, um ihre Compliance zu strukturieren. Die CNIL bietet zudem Tools und Vorlagen an, um die Umsetzung der sich überschneidenden Pflichten zu erleichtern. Diese Ressourcen sind auf ihrer KI-spezifischen Website verfügbar: www.cnil.fr/fr/intelligence-artificielle.
Die Koordinierung zwischen europäischen Behörden wird ebenfalls gestärkt. Das 2025 gegründete AI Office arbeitet eng mit dem Europäischen Datenschutzausschuss (EDSA) zusammen, um die Auslegungen und Kontrollpraktiken zu harmonisieren.
Identifizieren Sie Ihre sich überschneidenden Pflichten
Unsere kostenlose Diagnose analysiert Ihre KI-Systeme und Datenverarbeitungen, um Ihre Pflichten nach dem AI Act und der DSGVO zu kartieren. Ergebnisse in 3 Minuten.
Häufige Fragen
Antworten auf die häufigsten Fragen zur Verzahnung von AI Act und DSGVO.
Nein. Die DSGVO gilt nur für die Verarbeitung personenbezogener Daten. Ein KI-System, das keine personenbezogenen Daten verwendet (z. B. ein System für vorausschauende Wartung in der Industrie), unterliegt nicht der DSGVO. Der AI Act kann jedoch gelten, wenn das System in der EU in Verkehr gebracht oder in Betrieb genommen wird, abhängig von seiner Klassifizierung (Hochrisiko oder nicht).
Nicht unbedingt. Die FRIA (AI Act) und die DPIA (DSGVO) können für Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, zusammengeführt werden. Beide Bewertungen folgen einer ähnlichen Methodik und können in einem einzigen Dokument dokumentiert werden, sofern alle Anforderungen beider Verordnungen abgedeckt sind. Die CNIL empfiehlt diesen integrierten Ansatz in ihren Leitlinien von 2026.
Der AI Act sieht keine dem Datenschutzbeauftragten entsprechende Rolle vor. Der Datenschutzbeauftragte kann jedoch eine Schlüsselrolle bei der AI-Act-Compliance spielen, insbesondere bei datenschutzrelevanten Aspekten. Seine Aufgaben können erweitert werden, um die Überwachung der AI-Act-Pflichten einzuschließen, insbesondere bei Systemen, die personenbezogene Daten verarbeiten. Dieser Ansatz wird von der CNIL befürwortet, um eine globale Kohärenz zu gewährleisten.
Ein Vorfall kann unter beide Meldepflichten fallen. Die Meldung nach dem AI Act muss innerhalb von 15 Tagen an die zuständige Behörde (in Frankreich die CNIL) erfolgen. Wenn der Vorfall eine Verletzung personenbezogener Daten beinhaltet, muss zusätzlich eine DSGVO-Meldung innerhalb von 72 Stunden erfolgen. Um Redundanzen zu vermeiden, kann die AI-Act-Meldung die von der DSGVO geforderten Elemente enthalten, sofern die 72-Stunden-Frist für letztere eingehalten wird.
Ja. Die im AI Act und in der DSGVO vorgesehenen Sanktionen können sich für denselben Verstoß kumulieren. Beispielsweise könnte ein Verstoß gegen die Transparenzpflichten bei einem Hochrisiko-KI-System, das personenbezogene Daten verarbeitet, Sanktionen nach beiden Verordnungen nach sich ziehen. Die Höchstgrenzen der Sanktionen addieren sich: bis zu 55 Mio. € oder 11% des weltweiten Umsatzes bei Kumulierung der Höchststrafen für verbotene Praktiken.