Kontakt
Zurück

Datenschutz trifft KI

Synergien und Unterschiede von DSGVO und AI Act

  • Veröffentlicht:
  • Autor: Theresa Adamietz
  • Kategorie: Deep Dive
Inhaltsverzeichnis
    Datenschutz trifft KI, Deep Dive, Alexander Thamm GmbH
    Alexander Thamm GmbH 2025

    Mit der neuen Trump-Regierung verändert sich die globale Landschaft der KI-Governance spürbar. Zwei dominante Narrative zeichnen sich ab: Auf der einen Seite stehen die USA, die technologische Innovation und wirtschaftliches Wachstum priorisieren und auf eine weitgehende Deregulierung von KI setzen – mit dem Argument, dass regulatorische Hürden den Fortschritt ausbremsen.

    Auf der anderen Seite deutet sich in der EU ein Kurswechsel an: Weg von der bisherigen Betonung sicherer und ethischer KI hin zu einem flexibleren Durchsetzungsansatz – ein klares Signal, dass Europa im globalen KI-Wettlauf mithalten will.

    Diese Entwicklung wurde durch die kürzliche Rücknahme des AI Liability Directives noch verstärkt und unterstreicht den wachsenden Fokus auf die Wettbewerbsfähigkeit Europas im Bereich der Künstlichen Intelligenz.

    Trotz der sich wandelnden politischen Dynamiken behalten etablierte Rechtsrahmen ihren globalen Stellenwert. Insbesondere die Datenschutz-Grundverordnung (DSGVO) und der kürzlich in Kraft getretene EU AI Act setzen zentrale Standards – mit Wirkung weit über die Grenzen Europas hinaus.

    Gerade in einer Zeit, in der Datenverarbeitung ein entscheidender Wachstumsmotor ist und KI-Systeme auf riesige Mengen (personenbezogener) Daten angewiesen sind, entfalten DSGVO und AI Act ihre volle regulatorische Wirkung (Voigt & von dem Bussche, 2017; Voigt & Hullen, 2024). Auch wenn die DSGVO und der AI Act Künstliche Intelligenz aus unterschiedlichen Perspektiven regulieren, verfolgen sie ein gemeinsames Ziel: die verantwortungsvolle Entwicklung, Nutzung und – wenn erforderlich – Außerbetriebnahme von KI-Systemen. Ein fundiertes Verständnis der Synergien und Unterschiede zwischen DSGVO und AI Act ist für alle, die am Lebenszyklus von KI-Systemen beteiligt sind, essenziell – um regulatorische Anforderungen zu erfüllen und gleichzeitig ethische Innovation voranzutreiben. Das gilt sowohl innerhalb der EU als auch darüber hinaus. 

    Hinweis: Dieser Blogbeitrag bietet einen kompakten Einstieg und beantwortet zentrale Fragen zu den Synergien und Unterschieden der beiden Regelwerke. Bitte beachten Sie, dass dieser Inhalt nur zu Informationszwecken dient und keine Rechtsberatung darstellt.

    Was ist die DSGVO?

    Die DSGVO entstand in einer Zeit wachsender Besorgnis über Datenschutzverletzungen und Herausforderungen für den Schutz der Privatsphäre, insbesondere mit dem Wachstum der sozialen Medien und des Internet of Things (IoT) (Sirur, et al., 2018).

    Seit ihrem Inkrafttreten im Mai 2018 hat sich die DSGVO zu einem der weltweit einflussreichsten Datenschutzgesetze entwickelt. Sie setzt neue Maßstäbe für Data Governance – insbesondere in Bezug darauf, wie Organisationen personenbezogene Daten von (EU-)Bürgerinnen und Bürgern handhaben und verarbeiten - in der DSGVO als betroffene Personen (Data Subjects) bezeichnet.

    Im Kern definiert die DSGVO sechs zentrale Grundsätze, die als Maßstab für die Bewertung jeder Datenverarbeitung und – falls erforderlich – für die Durchsetzung der gesetzlichen Vorgaben dienen. Dazu zählen die Rechtmäßigkeit der Datenverarbeitung, Fairness und Transparenz der Verarbeitung (häufig basierend auf der informierten Einwilligung der betroffenen Personen), die Zweckbindung, Datenminimierung, Richtigkeit der Daten, Speicherbegrenzung sowie Integrität und Vertraulichkeit. (Gouddard, 2017). Die DSGVO schreibt ausdrücklich vor, dass diese Grundsätze als Standard für jede Datenerfassung dienen und sowohl in die Gestaltung von IT-Systemen als auch in umfassendere Geschäftspraktiken von Unternehmen eingebettet werden (Gouddard, 2017). Mit anderen Worten: Diese Grundsätze dienen als ethische Grundlage für integrierten Datenschutz (data protection by design and default). Für die betroffenen Personen bedeutet dies eine größere Kontrolle über ihre personenbezogenen Daten, da ihnen ausdrückliche Rechte in Bezug auf ihre Daten eingeräumt werden, wie etwa das Recht auf Zugang, Löschung oder Berichtigung der erhobenen Daten.

    Die Wirkung der DSGVO wird durch ihren extraterritorialen Geltungsbereich zusätzlich verstärkt: Sie gilt für die Verarbeitung personenbezogener Daten von EU-Bürgern – unabhängig davon, wo diese Verarbeitung erfolgt. Dadurch sind auch Organisationen außerhalb der EU verpflichtet, die Vorgaben der DSGVO einzuhalten, sobald sie Daten von EU-Bürger:innen verarbeiten. Das verleiht der Verordnung erheblichen Einfluss auf Datenschutzpraktiken weltweit. Die DSGVO gilt daher als eines der prominentesten Beispiele für den sogenannten „Brüsseler Effekt“, indem sie globale Datenschutzstandards prägt und Gesetzgebern weltweit als Vorlage dient.

    Was ist der EU AI Act?

    Der AI Act ist ein Produktsicherheitsgesetz, das die sichere und verantwortungsvolle technische Entwicklung sowie den Einsatz von KI-Systemen gewährleisten soll. Anders als die DSGVO, die betroffenen Personen umfassende Rechte im Umgang mit ihren Daten einräumt, verleiht das KI-Gesetz dem Einzelnen keine direkten Ansprüche. Stattdessen zielt es auf einen indirekten Schutz – durch verbindliche Anforderungen an die Sicherheit, Transparenz und Verantwortlichkeit von KI-Systemen, sektor- und anwendungsübergreifend.

    Sie steht im Einklang mit dem neuen Rechtsrahmen der EU aus dem Jahr 2008, der die Produktsicherheitsvorschriften in den Mitgliedstaaten harmonisiert, um den Schutz von Gesundheit, Sicherheit und Verbraucherrechten zu gewährleisten. Ein zentrales Prinzip dieses Rahmens ist ein kohärenter, risikobasierter Ansatz im Umgang mit potenziellen Gefährdungen für Individuen und die Gesellschaft (Voigt & Hullen, 2024). Diesem Ansatz folgend, stuft der AI Act KI-Systeme nach Risikostufen ein - inakzeptabel, hohes Risiko, geringes Risiko und minimales Risiko - und führt Maßnahmen zur Schadensbegrenzung ein, die gleichzeitig den Schutz der grundlegenden Menschenrechte (einschließlich der Privatsphäre) gewährleisten. Der AI Act ist am 1. August 2024 in Kraft getreten. Erste Regelungen – mit einem Schwerpunkt auf KI-Kompetenz (AI Literacy) – finden seit Februar 2025 Anwendung. Unser Whitepaper liefert Ihnen einen fundierten Überblick über die wichtigsten Verpflichtungen des AI Acts – ideal für alle, die sich intensiver mit den praktischen Auswirkungen befassen möchten.

    Wie die DSGVO hat auch der AI Act einen extraterritorialen Anwendungsbereich. Das bedeutet, dass seine Vorschriften auch für Unternehmen außerhalb der EU gelten, wenn sie KI-Systeme auf dem EU-Markt anbieten, ihre Systeme Auswirkungen auf Menschen in der EU haben oder ihre Ergebnisse innerhalb der EU genutzt werden.

    Zukunftssicher dank technologieneutraler Regulierung

    Sowohl die DSGVO als auch der AI Act verfolgen einen technologieneutralen Ansatz, der sicherstellt, dass ihre Vorschriften unabhängig von der jeweils verwendeten Technologie gelten (Globocnik, 2024).

    Für die DSGVO bedeutet dies, dass ihre Bestimmungen alle Formen der Verarbeitung personenbezogener Daten abdecken, unabhängig von der zugrunde liegenden Technologie. Infolgedessen werden KI-Systeme in der DSGVO nicht ausdrücklich definiert oder erwähnt. Artikel 22 bezieht sich jedoch indirekt auf KI durch seine Vorschriften über die automatisierte Entscheidungsfindung, ein grundlegendes Merkmal vieler KI-gesteuerter Systeme. Darüber hinaus umfasst die weit gefasste Definition von „Verarbeitung“ in der DSGVO „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten [...]“ (DSGVO, S. 33, 2016).

    Im Gegensatz dazu enthält der AI Act eine ausdrückliche, wenn auch sehr weit gefasste Definition von Künstlicher Intelligenz. Laut Artikel 3 Absatz 1 ist ein KI-System ein „maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das […] anpassungsfähig sein kann und das aus den erhaltenen Eingaben […] Ziele ableitet, […] die physische oder virtuelle Umgebungen beeinflussen können.“ Diese Definition umfasst ein breites Spektrum an Technologien und Methoden – darunter maschinelles Lernen, Deep Learning, natürliche Sprachverarbeitung (NLP) und symbolisches Schlussfolgern (symbolic reasoning).

    Der AI Act ist zwar technologieneutral, aber nicht anwendungsneutral. Stattdessen erkennt er an, dass der Einsatz von KI nur bei bestimmten Anwendungen gefährlich ist. Je risikoreicher die Anwendung ist, desto strenger sind folglich die Verpflichtungen (Voigt & Hullen, 2024). KI-Systeme, die im Gesundheitswesen, bei der Personalbeschaffung oder in kritischen Infrastrukturen eingesetzt werden, gelten als hochriskant und müssen daher strenge Transparenz-, Risikomanagement- und menschliche Aufsichtspflichten erfüllen - unabhängig davon, ob sie auf Deep Learning, Entscheidungsbäumen oder anderen KI-Techniken beruhen.

    Infolgedessen sind sowohl die DSGVO als auch der AI Act zukunftssicher gestaltet und gelten sowohl für bestehende als auch für neue Technologien, einschließlich solcher, die noch nicht entwickelt wurden. Die Nichteinhaltung hat schwerwiegende rechtliche und finanzielle Folgen für Unternehmen (Voigt & Bussche, 2017).

    Gemeinsame Ziele und Prinzipien

    Der AI Act und die DSGVO verfolgen ein gemeinsames Ziel: den Schutz der Grundrechte und -freiheiten des Einzelnen im Kontext von Künstlicher Intelligenz und digitalen Technologien. Während die DSGVO dies aus datenschutzrechtlicher Perspektive angeht, fungiert der AI Act als Produktsicherheitsgesetz, das sich auf die technischen Risiken von KI-Systemen konzentriert. Trotz ihrer unterschiedlichen Ausgangspunkte ergänzen sich beide Regelwerke:

    Die DSGVO deckt Datenschutzaspekte ab, auf die der AI Act nicht ausdrücklich eingeht. Da die Grenze zwischen personenbezogenen und nicht personenbezogenen Daten zunehmend verschwimmt, ist es sehr wahrscheinlich, dass KI-Systeme irgendwann in ihrem Lebenszyklus personenbezogene Daten verarbeiten. Umso wichtiger ist es für Unternehmen, die Einhaltung beider Vorschriften zu gewährleisten. Denn: Die Einhaltung des AI Acts impliziert nicht automatisch die Einhaltung der DSGVO. Ein KI-System kann die Anforderungen des AI Acts erfüllen, aber dennoch nach der DSGVO rechtswidrig sein – zum Beispiel, wenn eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten fehlt.

    Diese Unterscheidung wird durch Artikel 2 des AI Acts unterstrichen, der ausdrücklich festhält, dass KI-Systeme bei der Verarbeitung personenbezogener Daten den Grundsätzen der DSGVO genügen müssen. Zugleich greift der AI Act zentrale Prinzipien auf – etwa Transparenz, Erklärbarkeit, Fairness und Rechenschaftspflicht –, die bereits in der DSGVO verankert sind. Darüber hinaus definiert er jedoch auch umfassendere regulatorische Anforderungen, die den gesamten Lebenszyklus von KI-Systemen betreffen und über Fragen des Datenschutzes hinausgehen (Punie, 2025). Um die Einhaltung der Vorschriften und einen verantwortungsvollen Einsatz von KI zu gewährleisten, ist es wichtig zu verstehen, wie die einzelnen Vorschriften diese Grundsätze anwenden und welche spezifischen Regeln und Verpflichtungen sie auferlegen

    Transparenz

    Transparenz beschreibt die Verpflichtung, zentrale Informationen über ein KI-System offenzulegen – darunter seine Funktionsweise, seinen Zweck, die verwendeten Datenquellen sowie potenzielle Risiken. Sie dient als übergeordneter Begriff, der auch Erklärbarkeit (Explainability) und Rechenschaftspflicht (Accountability) einschließt, die jeweils eigenständige Funktionen erfüllen. Die Gewährleistung von Zugänglichkeit für Nutzer:innen, Aufsichtsbehörden und betroffene Personen stärkt die Nachvollziehbarkeit und das Vertrauen in KI-Systeme.

    DSGVO

    Die Transparenzbestimmungen der DSGVO stellen sicher, dass Einzelpersonen nicht im Unklaren darüber gelassen werden, welche Art von Daten erhoben werden und wie diese Daten verarbeitet werden. Daher müssen alle Informationen und Mitteilungen im Zusammenhang mit der Verarbeitung personenbezogener Daten leicht zugänglich, klar formuliert und in einfacher und verständlicher Sprache abgefasst sein (DSGVO, 2016).

    Insbesondere die Artikel 13 und 15 enthalten wichtige Transparenzanforderungen. Artikel 13 schreibt vor, dass der für die Verarbeitung Verantwortliche, wenn personenbezogene Daten direkt bei einer Person erhoben werden, klare Informationen über die Identität des für die Verarbeitung Verantwortlichen, die Zwecke der Verarbeitung und alle weiteren relevanten Details bereitstellen muss, die für eine faire und transparente Datenverarbeitung erforderlich sind. In ähnlicher Weise gewährt Artikel 15 natürlichen Personen ein Auskunftsrecht, das es ihnen ermöglicht, eine Bestätigung darüber zu verlangen, ob ihre personenbezogenen Daten verarbeitet werden, und eine Kopie dieser Daten zusammen mit zusätzlichen Informationen über ihre Verwendung zu erhalten (DSGVO, 2016).

    AI Act

    Auch wenn das Transparenzverständnis im AI Act weitgehend mit dem der DSGVO übereinstimmt, geht es inhaltlich deutlich darüber hinaus: Gefordert wird nicht nur Transparenz im Hinblick auf personenbezogene Daten, sondern auch die Offenlegung der Funktionalität, des Zwecks, der Datenquellen und der potenziellen Risiken eines KI-Systems. Dabei wird zwischen zwei Dimensionen der Transparenz unterschieden - der technischen Transparenz und der Nutzertransparenz.

    Die technische Transparenz ist in Artikel 13 des AI Acts verankert. Er verpflichtet Anbieter hochriskanter KI-Systeme dazu, klare und verständliche Anleitungen bereitzustellen. Diese müssen die Funktionsweise des Systems, seinen vorgesehenen Einsatzzweck sowie bekannte Einschränkungen detailliert erläutern – mit dem Ziel, eine informierte Nutzung zu ermöglichen und regulatorische Vorgaben einzuhalten. Ergänzend stärkt Artikel 11 die technische Transparenz, indem er Anbieter dazu verpflichtet, eine umfassende technische Dokumentation zu führen. Diese soll sicherstellen, dass sowohl Aufsichtsbehörden als auch Anwender die Systemleistung, potenzielle Risiken und die Einhaltung rechtlicher Anforderungen nachvollziehen und überprüfen können (Verordnung über Künstliche Intelligenz, 2024).

    Die Nutzertransparenz ist in Artikel 52 des AI Acts geregelt. Er schreibt vor, dass Personen ausdrücklich darüber informiert werden müssen, wenn sie mit einem KI-System anstelle eines Menschen interagieren. Diese Vorgabe spiegelt den Transparenzgrundsatz der DSGVO wider, der sicherstellen soll, dass betroffene Personen über automatisierte Prozesse, die sie betreffen, aufgeklärt sind. Ziel der Anforderung im AI Act ist es, Nutzer umfassend über KI-generierte Interaktionen zu informieren und sie wirksam vor potenzieller Irreführung oder Täuschung zu schützen.

    Erklärbarkeit

    Erklärbarkeit (Explainability) ist ein zentraler Bestandteil von Transparenz. Sie bezeichnet die Fähigkeit, nachvollziehbar darzustellen, wie ein KI-System Daten verarbeitet und zu bestimmten Ergebnissen gelangt. Dabei kann Erklärbarkeit technisch ausgerichtet sein – wie es der AI Act verlangt –, indem sie die interne Logik des Systems offenlegt, etwa bei Vorhersagen oder Klassifizierungen. Sie kann aber auch nutzerzentriert sein – wie in der DSGVO –, um verständliche Begründungen für KI-basierte Entscheidungen zu liefern. Obwohl Erklärbarkeit ein wesentlicher Baustein von Transparenz ist, sind beide Konzepte nicht gleichzusetzen: Transparenz umfasst eine breitere Offenlegung, etwa den Einsatz von KI, deren Zweck sowie mögliche Risiken. Ein KI-System kann also formal transparent sein, indem es seine Funktion beschreibt, gleichzeitig aber nicht erklärbar, wenn die Entscheidungsprozesse zu komplex oder intransparent sind, um von Nutzer:innen oder anderen Stakeholdern verstanden zu werden.Weitere Einblicke in die Erklärbarkeit von KI-Systemen finden Sie in unserem Blog Post über LLM Explainability.

    DSGVO

    Die DSGVO verweist zwar nicht ausdrücklich auf die Erklärungspflicht im Zusammenhang mit der technischen Erklärungspflicht, räumt Nutzern aber das Recht ein, ausreichende Informationen über die automatisierte Entscheidungsfindung zu erhalten (Nisevic et al., 2024), um zumindest ein grundlegendes Verständnis dafür zu gewährleisten, wie ihre Daten verarbeitet und wie KI-gestützte Entscheidungen getroffen werden. Insbesondere Artikel 13 Absatz 2(f) verpflichtet die für die Verarbeitung Verantwortlichen, bei der Erhebung personenbezogener Daten „aussagekräftige Informationen über die Logik“ der automatisierten Entscheidungsfindung bereitzustellen. Darüber hinaus räumt Artikel 22 Absatz 1 dem Einzelnen das Recht ein, keinen Entscheidungen unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhen, wenn diese Entscheidungen rechtliche oder vergleichbare erhebliche Auswirkungen auf ihn haben. 

    Zur Verstärkung dieses Schutzes verpflichtet Artikel 22 Absatz 3 die für die Verarbeitung Verantwortlichen, die betroffenen Personen über den Einsatz der automatisierten Entscheidungsfindung zu informieren und Maßnahmen zum Schutz ihrer Rechte, Freiheiten und berechtigten Interessen zu ergreifen. Die Datenschutz-Grundverordnung legt jedoch nicht ausdrücklich fest, wie detailliert solche Erklärungen sein müssen, was Raum für Interpretationen und unterschiedliche Grade der Einhaltung lässt (Nisevic et.al., 2024).

    AI Act

    Während sich die Erklärbarkeit in der DSGVO auf das Recht des Einzelnen konzentriert, sinnvolle Einblicke in die Auswirkungen von KI-Entscheidungen zu erhalten, geht die Erklärbarkeit im AI Act einen Schritt weiter und zielt auf die technische Erklärbarkeit ab, um Blackbox-KI zu vermeiden. KI-Systeme mit hohem Risiko müssen demnach so konzipiert sein, dass ihre Funktionsweise, die zugrundeliegende Logik und die Entscheidungsprozesse verständlich, nachvollziehbar und, wenn nötig, von Regulierungsbehörden, Anwendern und Nutzern überprüfbar sind. Ein wichtiger Mechanismus, um dies zu erreichen, ist die in Artikel 12 vorgeschriebene Aufzeichnungspflicht, die von Anbietern verlangt, Protokolle zu führen, in denen der Systembetrieb, die wichtigsten Parameter, die Schulungsmethoden und die Entscheidungsprozesse detailliert beschrieben werden. Dies gewährleistet die langfristige Einhaltung der Vorschriften und ermöglicht eine rückwirkende Analyse des KI-Verhaltens.  

    Die Artikel 14 und 86 des AI Acts stärken die Erklärbarkeitspflichten, indem sie sowohl menschliche Aufsicht als auch das individuelle Recht auf eine Erklärung fordern. Artikel 14 verpflichtet dazu, dass Hochrisiko-KI-Systeme mit geeigneten Mechanismen zur menschlichen Kontrolle ausgestattet sind. Dadurch soll sichergestellt werden, dass Betreiber die von der KI generierten Ergebnisse nachvollziehen, bewerten und bei Bedarf eingreifen können. Dies erhöht die Rechenschaftspflicht und verhindert intransparente Entscheidungsprozesse. Artikel 86 gewährt betroffenen Personen das Recht auf eine Erklärung, wenn eine Entscheidung, die sie betrifft, unter Einsatz eines Hochrisiko-KI-Systems getroffen wurde. So erhalten sie klare und verständliche Informationen darüber, wie die Entscheidung zustande kam und welche Rolle die KI dabei gespielt hat (Nisevic et al., 2024). 

    Rechenschaftspflicht

    Rechenschaftspflicht (Accountability) ist ein weiterer zentraler Aspekt von Transparenz. Sie dient als Mechanismus, um sicherzustellen, dass KI-Entwickler, -Betreiber und -Anbieter für ihre Handlungen, die Einhaltung gesetzlicher Vorgaben sowie für die Ergebnisse und Entscheidungen ihrer Systeme zur Rechenschaft gezogen werden können. Gleichzeitig müssen betroffene Personen die Möglichkeit haben, unfaire oder fehlerhafte Ergebnisse anzufechten und korrigieren zu lassen. Sowohl die DSGVO als auch der AI Act verankern Prinzipien der Rechenschaftspflicht – unterscheiden sich jedoch darin, auf wen sich diese in erster Linie beziehen. Der nächste Abschnitt beleuchtet diese Rollenverteilung im Detail. 

    Schlüsselrollen in der DSGVO und dem AI Act

    Beide Verordnungen definieren spezifische Rollen, um Zuständigkeiten und Verantwortungsbereiche klar abzugrenzen (Punie, 2025).

    DSGVO

    Die DSGVO unterscheidet zwischen zwei zentralen Rollen: dem Verantwortlichen und dem Auftragsverarbeiter. Der Verantwortliche ist die Stelle, die über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet – und trägt damit auch die Hauptverantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben. Zu seinen Pflichten zählt, geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen und deren Umsetzung sicherzustellen. Dazu gehören insbesondere die rechtmäßige Ausgestaltung der Verarbeitung, die Kontrolle der datenschutzkonformen Arbeitsweise des Auftragsverarbeiters sowie die ordnungsgemäße Dokumentation aller Verarbeitungstätigkeiten. (DSGVO, 2026).

    Im Gegensatz dazu führt der Auftragsverarbeiter die Datenverarbeitung im Auftrag des für die Verarbeitung Verantwortlichen durch, ohne den Zweck oder die Mittel zu bestimmen. Wenn Ihr Unternehmen beispielsweise Google Workspace, wie Gmail, für die Kundenkommunikation nutzt, fungiert Ihr Unternehmen als für die Verarbeitung Verantwortlicher - es entscheidet, welche Daten erhoben und wie sie verwendet werden. Google fungiert in diesem Fall als Auftragsverarbeiter, der Aufgaben wie die Übermittlung und Speicherung von E-Mails in seiner Infrastruktur übernimmt.

    AI Act

    Der AI Act führt die Rollen von Anbietern und Betreibern ein. Der Anbieter ist die Organisation, die das KI-System entwickelt oder in Verkehr bringt. Der Betreiber hingegen ist die Stelle, die das System in ihre eigenen Geschäftsprozesse oder Dienstleistungen integriert und praktisch einsetzt. Anbieter sind dafür verantwortlich, dass ihre KI-Systeme alle gesetzlichen Anforderungen erfüllen, bevor sie auf den Markt gebracht werden. Dazu gehören die Durchführung gründlicher Risikobewertungen, die Erstellung detaillierter technischer Unterlagen und die Umsetzung von Maßnahmen zur Transparenz, menschlichen Kontrolle und Risikominderung. Ihre Rolle ist proaktiv und darauf ausgerichtet, potenzielle Risiken frühzeitig zu erkennen und sicherzustellen, dass die Systeme sicher und ethisch vertretbar arbeiten.

    Die Betreiber hingegen sind für den tatsächlichen Einsatz von KI-Systemen in der Praxis verantwortlich. Zu ihren Pflichten gehören die kontinuierliche Überwachung, die Anwendung einer angemessenen menschlichen Aufsicht während des Betriebs und die Meldung aller Vorfälle oder Risiken, die auftreten können. Auf diese Weise wird sichergestellt, dass KI-Systeme während ihres gesamten Lebenszyklus wie vorgesehen funktionieren und die Vorschriften einhalten.

    Wenn beispielsweise ein Softwareunternehmen einen KI-Chatbot für den Kundensupport entwickelt, fungiert es als Anbieter. Wenn ein Einzelhandelsunternehmen diesen Chatbot erwirbt und in seinem Kundenservice einsetzt, wird es zum Betreiber und ist dafür verantwortlich, dass der Chatbot in einer Weise eingesetzt wird, die mit den rechtlichen und ethischen Anforderungen übereinstimmt.

    Diese Rollen überschneiden sich oft, sodass Unternehmen bei der Entwicklung oder Nutzung von KI-Systemen, die personenbezogene Daten verarbeiten, ihre Verpflichtungen sowohl nach der DSGVO als auch nach dem AI Act bewerten müssen. So könnte das Unternehmen, das den KI-Chatbot einsetzt, als Betreiber im Sinne des AI Acts und gleichzeitig als Verantwortlicher im Sinne der DSGVO handeln.

    Wie DSGVO und AI Act Risiken unterschiedlich definieren

    Sowohl die DSGVO als auch der AI Act verfolgen einen risikobasierten Ansatz zum Schutz der Grundrechte und Freiheiten, wobei der Begriff des Risikos in beiden Verordnungen eine unterschiedliche Bedeutung hat (Globocnik, 2024).

    In der DSGVO sind verschiedene Datenverarbeitungstätigkeiten mit unterschiedlichen Risiken verbunden. Um diesem Umstand Rechnung zu tragen, führt die Verordnung spezifische Maßnahmen ein - wie etwa Datenschutz-Folgenabschätzungen (DPIA) -, die zur Anwendung kommen, wenn die Verarbeitung ein hohes Risiko trägt (Maldoff, 2016). So sieht sie beispielsweise erhöhte Verpflichtungen für Tätigkeiten wie die „systematische Überwachung eines öffentlich zugänglichen Bereichs“ vor (Maldoff, 2016, S.2). Viele Anforderungen der DSGVO gelten jedoch einheitlich, unabhängig vom Risiko. Verpflichtungen wie die Schaffung einer Rechtsgrundlage für die Verarbeitung (Artikel 6), die Erfüllung von Informations- und Transparenzpflichten (Artikel 12-14) und die Wahrung der Rechte der betroffenen Personen (Artikel 15-22) gelten für alle Datenverarbeitungstätigkeiten, unabhängig von der Höhe des damit verbundenen Risikos.

    Der AI Act verfolgt ebenfalls einen risikobasierten Ansatz und stuft KI-Systeme in vier Kategorien ein: verboten, hohes Risiko, begrenztes Risiko und minimales Risiko. Im Gegensatz zur DSGVO, bei der viele Kernverpflichtungen unabhängig vom Risiko gelten, richtet das KI-Gesetz seine Anforderungen nach dem jeweiligen Risikoniveau aus. Je höher das Risiko, desto strenger die Pflichten. KI-Systeme mit hohem Risiko müssen umfangreiche Anforderungen in Bezug auf Risikomanagement, Transparenz und menschliche Aufsicht erfüllen. Im Gegensatz dazu sind Systeme mit geringem Risiko, wie z. B. Spam-Filter oder KI in Videospielen, weitgehend von verbindlichen Verpflichtungen befreit, obwohl sie weiterhin allgemeinen Grundsätzen unterliegen und freiwilligen Verhaltenskodizes folgen können (Globocnik, 2024).

    Sowohl die DSGVO als auch der AI Act sehen spezifische Verfahren zur Identifikation und Minderung von Risiken vor – Verfahren, die sich inhaltlich überschneiden und einander ergänzen. Der folgende Abschnitt beleuchtet dieses Zusammenspiel näher.

    Koordinierte Risikobewertungen

    Bereits die Einhaltung eines einzelnen Regelwerks kann für Unternehmen herausfordernd sein – erst recht, wenn zwei sich überschneidende gesetzliche Vorgaben parallel zu erfüllen sind. Dennoch bieten die Datenschutz-Grundverordnung (DSGVO) und der AI Act zahlreiche inhaltliche Schnittmengen, insbesondere im Hinblick auf Dokumentationspflichten. Diese Gemeinsamkeiten eröffnen die Chance, Compliance-Maßnahmen effizient aufeinander abzustimmen und den administrativen Aufwand spürbar zu reduzieren.

    Nach der DSGVO sind Unternehmen verpflichtet, eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) durchzuführen, wenn eine geplante Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt. Diese Bewertung erfolgt vor Beginn der Verarbeitung und dient dazu, potenzielle Risiken frühzeitig zu identifizieren und geeignete Maßnahmen zu deren Minderung zu treffen. Die Verantwortung für die ordnungsgemäße Durchführung und Dokumentation der DPIA liegt beim Verantwortlichen – im Sinne des Rechenschaftspflichtprinzips der DSGVO.

    Der AI Act sieht eine Konformitätsbewertung (Conformity Assessment, CA) für Hochrisiko-KI-Systeme vor, die abgeschlossen sein muss, bevor ein solches System in Verkehr gebracht oder in Betrieb genommen werden darf. Diese Bewertung dient der Sicherstellung, dass das System zentrale Anforderungen wie Transparenz, Robustheit und menschliche Aufsicht erfüllt. Verarbeitet das betreffende KI-System personenbezogene Daten, schreibt der AI Act zudem ausdrücklich vor, dass zusätzlich eine Datenschutz-Folgenabschätzung (DPIA) nach den Maßgaben der DSGVO durchzuführen ist.

    Unternehmen, die bereits eine Datenschutz-Folgenabschätzung gemäß der DSGVO durchführen, können dadurch einen klaren Vorteil bei der Umsetzung der Anforderungen des AI Acts haben. Wenn ein KI-Anbieter gleichzeitig als Verantwortlicher im Sinne der DSGVO agiert, liegt die Verantwortung für sowohl die Datenschutz-Folgenabschätzung als auch die Konformitätsbewertung nach dem AI Act bei derselben Stelle – was den Abstimmungsaufwand reduziert und Synergien ermöglicht. In bestimmten Fällen verlangt der AI Act zusätzlich eine Folgenabschätzung in Bezug auf die Grundrechte (Fundamental Rights Impact Assessment, FRIA). Gemäß Artikel 29 sind Betreiber von Hochrisiko-KI-Systemen verpflichtet, eine solche Bewertung durchzuführen, wenn die Systeme in öffentlichen Bereichen wie Strafverfolgung, Migrationskontrolle, Bildung oder öffentlicher Verwaltung zum Einsatz kommen. Diese Anforderung lässt sich jedoch häufig dadurch erfüllen, dass die FRIA in eine umfassende Datenschutz-Folgenabschätzung integriert wird, die sowohl die Vorgaben der DSGVO als auch des AI Acts abdeckt. In der Praxis ermöglicht dieser kombinierte Ansatz es Organisationen, mit einem einzigen Dokument die Einhaltung beider Regelwerke nachzuweisen – und so den Aufwand zu verringern und doppelten Aufwand zu vermeiden.

    DSGVO und AI Act Compliance - Powered by [at]

    Auch wenn die gleichzeitige Einhaltung von DSGVO und AI Act auf den ersten Blick komplex und überwältigend wirken mag – mit unklaren Vorgaben, vermeintlichen Schlupflöchern und hohem Dokumentationsaufwand –, zeigt sich bei genauerer Betrachtung, dass sich viele Überschneidungen effizient und praxisnah koordinieren lassen.

    Unsere Expert:innen unterstützen Sie dabei umfassend: von maßgeschneiderten Mitarbeiterschulungen zu Datenschutz und KI-Kompetenz – beides Anforderungen in DSGVO und AI Act – über rechtliche Beratung in Kooperation mit unserem Partner Lausen Rechtsberatung bis hin zu ganzheitlichen Data-Governance-Lösungen.

    Wir haben zahlreiche Projekte erfolgreich mit Blick auf DSGVO- und AI-Act-Compliance umgesetzt. Wenn Sie sich für spezifische Anwendungsfälle interessieren, laden Sie noch heute unser Whitepaper „State of AI“ herunter – oder informieren Sie sich hier über den AI Act und den Zeitplan für dessen Umsetzung.

    Referenzen

    Verordnung über Künstliche Intelligenz, Regulation (EU) 2024/1689. Official Journal of the European Union. https://eur-lex.europa.eu/eli/reg/2024/1689/oj

    Datenschutz-Grundverordnung, Regulation (EU) 2016/679 (2016). Official Journal of the European Union. https://eur-lex.europa.eu/eli/reg/2016/679/oj

    Globocnik, J. (2024, October 16). GDPR and AI Act: similarities and differences. https://www.activemind.legal/guides/gdpr-ai-act/#elementor-toc__heading-anchor-0

    Gouddard, M. (2017). The EU General Data Protection Regulation (GDPR): European regulation that has a global impact. International Journal of Market Research, 59(6), 703-705. DOI: 10.2501/IJMR-2017-050.

    Maldoff, G. (2016). The Risk-Based Approach in the GDPR: Interpretation and Implications. IAPP. https://iapp.org/resources/article/the-risk-based-approach-in-the-gdpr-interpretation-and-implications/

    Nisevic, M., Cuypers, A., De Bruyne, J. (2024). Explainable AI: Can the AI Act and the GDPR go out for a date? International Joint Conference on Neural Networks (IJCNN), pp. 1-8. DOI: 10.1109/IJCNN60899.2024.10649994.

    Punie, M. (2025, January 22). The GDPR and the AI Act: A Harmonized Yet Complex Regulatory Relationship. https://www.datenschutz-notizen.de/the-gdpr-and-the-ai-act-a-harmonized-yet-complex-regulatory-landscape-1151788/

    Sirur, S., Nurse, J., Webb, H. (2018). Are we there yet? Understanding the challenges faced in complying with the General Data Protection Regulation (GDPR). Proceedings of the 2nd International workshop on multimedia privacy and security, pp. 88-95.DOI: 10.48550/arXiv.1808.07338

    Voigt, P. & Hullen, N. (2024). The EU AI Act. Answers to Frequently Asked Questions. Springer.

    Voigt, P., von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR). A Practical Guide. Springer.

    Diesen Beitrag teilen:

    Autorin

    Theresa Adamietz

    Theresa ist seit Anfang 2024 als Content & Communication Manager bei [at] tätig. Sie verantwortet den Bereich Content – von der Themenfindung für unsere Zielgruppen über das Verfassen von Blogbeiträgen und Whitepapern bis hin zur Unterstützung unserer Experten bei der Erstellung eigener Inhalte. Mit ihrem Hintergrund in Journalismus, redaktioneller Arbeit, AI Audits und AI-Governance verbindet sie technisches Verständnis mit einem geschulten Blick für Sprache – und schafft so Inhalte, die klar, strukturiert und gleichzeitig spannend sind.

    Cookieeinstellungen
    X

    Cookie Freigabe

    Diese Website verwendet notwendige Cookies zur Sicherstellung des Betriebs der Website. Eine Analyse des Nutzerverhaltens durch Dritte findet nicht statt. Detaillierte Informationen über den Einsatz von Cookies finden Sie in unseren Datenschutzerklärung.

    Alle Cookies akzeptieren

    Individuelle Cookie Einstellungen

    Nur notwendige Cookies akzeptieren

    Datenschutzerklärung Impressum

    X

    Datenschutzeinstellungen

    Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Zustimmung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.

    Notwendige Cookies

    Diese Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

    Cookie Informationen anzeigen

    Cookie Informationen verbergen

    Hubspot CMS

    HubSpot CMS ist ein Content-Management-System, das verschiedene Cookies zur Verfolgung von Besucherinteraktionen verwendet.

    Anbieter:HubSpot, Inc., 25 First Street, Cambridge, MA 02141, USA
    Cookiename:__hstc; hubspotutk; __hssc; __hssrc; __cf_bm; __cfruid
    Laufzeit:6 Monate; 6 Monate; 30 Minuten; Sitzungsende; 30 Minuten; Sitzungsende
    Datenschutzlink:https://legal.hubspot.com/de/privacy-policy
    Host:.hubspot.com

    Matomo Analytics

    Matomo ist eine Open-Source-Webanalyselösung, die Datenschutz und Datenhoheit betont und statistische Nutzer-Informationen festhält.

    Anbieter:InnoCraft Ltd., 150 Willis St, 6011 Wellington, New Zealand
    Cookiename:_pk_id..; _pk_ses..
    Laufzeit:13 Monate; 30 Minuten
    Datenschutzlink:https://matomo.org/gdpr-analytics/
    Host:.matomo.cloud

    Cookies für Externe Inhalte

    Inhalte von Videoplattformen und Social Media Plattformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Zustimmung mehr.

    Cookie Informationen anzeigen

    Cookie Informationen verbergen

    YouTube

    YouTube setzt verschiedene Cookies zur Verwaltung von Benutzereinstellungen und zur Verfolgung von Nutzerinteraktionen. Und wird verwendet, um YouTube-Inhalte freizuschalten.

    Anbieter:Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
    Cookiename:YSC; VISITOR_INFO1_LIVE; PREF
    Laufzeit:Sitzungsende; 6 Monate; 8 Monate
    Datenschutzlink:https://policies.google.com/privacy?hl=de
    Host:.youtube.com

    Podigee

    Podigee ist ein Podcast-Hosting-Dienst, der Cookies für die Freischaltung von Inhalten gesetzt.

    Anbieter:Podigee GmbH, Revaler Straße 28, 10245 Berlin, Deutschland
    Cookiename:Nicht spezifiziert
    Laufzeit:Nicht spezifiziert
    Datenschutzlink:https://www.podigee.com/de/ueber-uns/datenschutz/
    Host:.podigee.com

    Google Maps

    Dient zum Entsperren von Google Maps-Inhalten. Google Maps verwendet Cookies, um Benutzerpräferenzen zu speichern und die Nutzung zu erleichtern.

    Anbieter:Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
    Cookiename:SID; HSID; NID
    Laufzeit:2 Jahre; 2 Jahre; 6 Monate
    Datenschutzlink:https://policies.google.com/privacy?hl=de
    Host:.google.com

    Speichern

    ZurückNur notwendige Cookies akzeptieren

    Datenschutzerklärung Impressum

    Ihre Cookie-Einstellungen erlauben keine externen Inhalte von Google Maps.

    Ihre Cookie-Einstellungen erlauben keine externen Inhalte von Matomo Analytics.