KI-Gesetz vs. DSGVO: vollständiger Pflichten-Vergleich für Unternehmen

Seit dem Inkrafttreten der DSGVO im Jahr 2018 haben europäische Organisationen gelernt, die Verarbeitung personenbezogener Daten zu regeln. Mit dem KI-Gesetz (Verordnung EU 2024/1689) kommt ein neuer Rechtsrahmen hinzu - er ersetzt die DSGVO jedoch nicht. Er ergänzt sie.

Für Rechts- und Compliance-Teams entsteht dadurch eine verständliche Verwirrung: Brauche ich zwei getrennte Folgenabschätzungen? Zwei getrennte Verzeichnisse? Deckt meine DSGVO-Dokumentation auch das KI-Gesetz ab? Dieser Leitfaden beantwortet diese Fragen mit einem strukturierten Vergleich beider Regelwerke.

Das Wesentliche auf einen Blick

• Zweck der DSGVO: Schutz der Grundrechte natürlicher Personen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten
• Zweck des KI-Gesetzes: Regelung der Entwicklung und Nutzung von KI-Systemen nach einem risikobasierten Ansatz
• Auslöser der DSGVO: Verarbeitung personenbezogener Daten von Personen in der EU
• Auslöser des KI-Gesetzes: Entwicklung, Inverkehrbringen oder Nutzung eines KI-Systems in der EU
• DSGVO in Kraft seit: Mai 2018
• KI-Gesetz in Kraft seit: August 2024 (schrittweise Anwendung bis 2027)

Ein KI-System kann durchaus keine personenbezogenen Daten verarbeiten - und damit nur dem KI-Gesetz unterliegen. Umgekehrt unterliegt eine Datenverarbeitung ohne KI-Komponente nur der DSGVO. In der Praxis verarbeitet die große Mehrheit der KI-Systeme in Unternehmen jedoch personenbezogene Daten: Sie unterliegen dann beiden Regelwerken gleichzeitig.

Die betroffenen Akteure: Wer macht was?

Unter der DSGVO

• Verantwortlicher: bestimmt die Zwecke und Mittel der Datenverarbeitung
• Auftragsverarbeiter: verarbeitet Daten im Auftrag des Verantwortlichen, geregelt durch einen AVV
• Datenschutzbeauftragter (DSB): in bestimmten Fällen obligatorisch, berät und überwacht die Compliance

Unter dem KI-Gesetz

• Anbieter: entwickelt und bringt ein KI-System auf den Markt
• Betreiber: nutzt ein KI-System im Rahmen einer beruflichen Tätigkeit
• Einführer / Händler: ist an der Lieferkette des Systems beteiligt

Dieselbe Stelle kann mehrere Rollen gleichzeitig innehaben. Ein Unternehmen, das eine KI-gestützte HR-Software entwickelt, ist sowohl KI-Gesetz-Anbieter als auch DSGVO-Verantwortlicher - und möglicherweise DSGVO-Auftragsverarbeiter, wenn es Mitarbeiterdaten im Auftrag seiner Kunden verarbeitet.

Vergleich der wichtigsten Pflichten

Dokumentation und Verzeichnisse

• DSGVO (Art. 30): Verzeichnis von Verarbeitungstätigkeiten, geführt von Verantwortlichem und Auftragsverarbeiter. Muss Zweck, Datenkategorien, Empfänger und Aufbewahrungsfristen enthalten.
• KI-Gesetz (Art. 11 + Anhang IV): technische Dokumentation für Hochrisikosystem-Anbieter. 9 Abschnitte zu Architektur, Trainingsdaten, Risikomanagement, Leistungsmetriken und Post-Markt-Überwachung.
• Überschneidung: Ein personenbezogene Daten verarbeitendes KI-System muss in beiden Verzeichnissen erscheinen. KI-Gesetz-Dokumentation kann DSGVO-Elemente integrieren, um Doppelarbeit zu vermeiden.

Folgenabschätzungen

• DSGVO (Art. 35) - DSFA: obligatorisch, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Ausgelöst insbesondere durch Profiling, systematische Überwachung oder Verarbeitung sensibler Daten.
• KI-Gesetz (Art. 27) - FRIA: obligatorisch für öffentliche Stellen, Betreiber wesentlicher Dienste und Bildungseinrichtungen, die Hochrisiko-KI-Systeme einsetzen. Umfasst alle Grundrechte, nicht nur personenbezogene Daten.
• Überschneidung: Beide Bewertungen können gemeinsam durchgeführt werden. Ihr Inhalt überschneidet sich bei Datenschutz und Nichtdiskriminierung. Das KI-Gesetz fördert diese Koordination ausdrücklich.

Transparenz und Information der Betroffenen

• DSGVO (Art. 13/14): Personen über die Datenverarbeitung informieren - Verantwortlicher, Zweck, Rechtsgrundlage, Aufbewahrungsfrist, Rechte.
• KI-Gesetz (Art. 50): Personen informieren, dass sie mit einer KI interagieren (Chatbots), dass Inhalte KI-generiert sind (Deepfakes) oder dass sie einem Emotionserkennungssystem ausgesetzt sind.
• Überschneidung: Für ein personenbezogene Daten verarbeitendes KI-System müssen beide Transparenzpflichten erfüllt werden. Sie können in einem einzigen Informationsdokument zusammengefasst werden, sofern die Anforderungen beider Regelwerke abgedeckt sind.

Datenverwaltung

• DSGVO (Art. 5/6/9): Daten müssen für festgelegte Zwecke auf einer identifizierten Rechtsgrundlage in minimaler Menge erhoben werden. Sensible Daten erfordern verstärkte Schutzmaßnahmen.
• KI-Gesetz (Art. 10): Trainings-, Validierungs- und Testdatensätze für Hochrisikosysteme müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Verfahren zur Erkennung und Korrektur von Verzerrungen sind erforderlich.
• Wesentliche Überschneidung: Enthält der Trainingsdatensatz personenbezogene Daten, gelten beide Regelwerke gleichzeitig. Für das Training muss eine DSGVO-Rechtsgrundlage identifiziert werden, und die Qualitätsanforderungen des KI-Gesetzes müssen eingehalten werden.

Wichtiger Hinweis: Der Digital Omnibus schlägt vor, die Verarbeitung sensibler Daten zur Erkennung und Korrektur von Verzerrungen in KI-Systemen unter strengen Auflagen zu erlauben. Das ist eine Neuerung, die eine explizite Brücke zwischen beiden Regelwerken schafft.

Rechte der Betroffenen

• DSGVO: Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Übertragbarkeits- und Widerspruchsrecht. Recht, keiner ausschließlich automatisierten Entscheidung unterworfen zu werden (Art. 22).
• KI-Gesetz: Recht auf Information über die Nutzung eines KI-Systems (Art. 50), Recht auf menschliche Aufsicht bei Entscheidungen, die durch Hochrisikosysteme beeinflusst werden (Art. 14/26).
• Wechselwirkung: Das Recht, keiner automatisierten Entscheidung unterworfen zu werden (DSGVO Art. 22) und die Pflichten zur menschlichen Aufsicht im KI-Gesetz (Art. 14) verstärken sich gegenseitig.

Sanktionen

• DSGVO: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes für Verstöße gegen organisatorische Pflichten; bis zu 20 Mio. € oder 4 % für Verstöße gegen Grundrechte.
• KI-Gesetz: bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes für verbotene Praktiken (Art. 5); bis zu 15 Mio. € oder 3 % für Verstöße gegen Hochrisikopflichten; bis zu 7,5 Mio. € oder 1 % für unrichtige Angaben.
• Kumulation möglich: Dieselbe Verletzung kann nach beiden Regelwerken von verschiedenen Behörden geahndet werden.

Wie man beide Compliances ohne Doppelarbeit verwaltet

1. Zuerst kartieren: Für jedes KI-System ermitteln, ob personenbezogene Daten verarbeitet werden. Falls ja, gelten beide Regelwerke. Falls nicht, gilt nur das KI-Gesetz.
2. Verzeichnisse zusammenführen, wo möglich: Ihr DSGVO-Verzeichnis kann eine Spalte "KI-Gesetz-Klassifizierung" für KI-bezogene Verarbeitungen enthalten.
3. Gemeinsame Folgenabschätzung durchführen: Wenn sowohl DSFA (DSGVO) als auch FRIA (KI-Gesetz) für dasselbe System erforderlich sind, führen Sie sie gemeinsam durch.
4. Informationshinweise vereinheitlichen: Ihre Datenschutzerklärung kann die von Art. 50 KI-Gesetz geforderten Informationen (KI-Nutzung, Chatbots, Deepfakes) integrieren.
5. DSB und KI-Compliance-Funktion koordinieren: Das KI-Gesetz sieht kein DSB-Äquivalent vor, aber der DSB hat eine natürliche Rolle überall dort, wo KI-Systeme personenbezogene Daten verarbeiten.

Die kostenlose AiActo-Diagnose hilft Ihnen, Ihre KI-Systeme zu klassifizieren und anwendbare KI-Gesetz-Pflichten zu identifizieren - als Ergänzung zu Ihrer bestehenden DSGVO-Compliance, nicht als Ersatz.

Häufig gestellte Fragen

Ersetzt das KI-Gesetz die DSGVO für KI-Systeme?

Nein. Beide Regelwerke koexistieren und gelten komplementär. Das KI-Gesetz regelt KI-Systeme nach Risikoniveau. Die DSGVO schützt personenbezogene Daten. Wenn ein KI-System personenbezogene Daten verarbeitet - was häufig der Fall ist - gelten beide gleichzeitig. Das KI-Gesetz enthält keine Bestimmung, die von der Einhaltung der DSGVO befreit.

Braucht man zwei separate Folgenabschätzungen - eine DSFA und eine FRIA?

Nicht unbedingt. Wenn beide für dasselbe System erforderlich sind, können sie gemeinsam in einem einzigen Dokument durchgeführt werden, sofern der Inhalt die Anforderungen beider Regelwerke abdeckt. Die FRIA hat einen breiteren Anwendungsbereich (alle Grundrechte); die DSFA konzentriert sich auf personenbezogene Daten. Die Überschneidung ist erheblich, insbesondere bei Nichtdiskriminierung und Datenschutz.

Sollte der DSB auch die KI-Gesetz-Compliance übernehmen?

Das KI-Gesetz schafft keine DSB-Äquivalentpflicht. Aber der DSB hat eine natürliche Rolle bei KI-Systemen, die personenbezogene Daten verarbeiten. Einige Organisationen schaffen eine "KI-Compliance-Officer"-Funktion im Tandem mit dem DSB. Wichtig ist die Klärung, wer was vor August 2026 übernimmt.

Kann die DSGVO-Rechtsgrundlage auch das KI-Modelltraining abdecken?

Nicht automatisch. Die Verwendung personenbezogener Daten zum Training eines KI-Modells ist eine gesonderte Verarbeitung, die ihre eigene DSGVO-Rechtsgrundlage benötigt. Der Digital Omnibus schlägt vor, berechtigte Interessen als mögliche Rechtsgrundlage für das Training unter Bedingungen einzuführen.

Können DSGVO- und KI-Gesetz-Sanktionen kumuliert werden?

Ja. Dieselbe Verletzung kann nach beiden Regelwerken von verschiedenen Behörden geahndet werden. Die Sanktionsobergrenzen jedes Regelwerks gelten unabhängig voneinander.

KI-Gesetz und DSGVO sind keine Rivalen - sie ergänzen sich. Das eine regelt, was mit Daten gemacht wird, das andere regelt, was mit den intelligenten Systemen gemacht wird, die sie verarbeiten. Für Organisationen ist der Schlüssel, diese beiden Compliance-Programme nicht als getrennte Silos zu behandeln. Besuchen Sie unser KI-Gesetz-Glossar, um die wichtigsten Definitionen des Regelwerks zu verstehen.