DSGVO und EU AI Act: Wo sich Datenschutz und KI-Regulierung überschneiden

Der EU AI Act gilt neben der Datenschutz-Grundverordnung (DSGVO) — er ersetzt sie nicht. Für Unternehmen, die KI-Systeme entwickeln oder betreiben, entstehen dadurch überlagernde Compliance-Pflichten: Anforderungen, die beide Regelungsregime gleichzeitig betreffen, aber unterschiedliche Rechtsbegriffe, Verantwortlichkeiten und Durchsetzungsmechanismen verwenden. Dieser Artikel zeigt die wichtigsten Überschneidungsbereiche und erklärt, worauf es in der Praxis ankommt.

Zwei Rechtsrahmen, ein KI-System

Ein KI-System, das personenbezogene Daten verarbeitet — etwa ein Kreditbewertungsmodell, ein HR-Screening-Tool oder ein medizinisches Diagnose-System — muss gleichzeitig den Anforderungen der DSGVO und, sofern als Hochrisiko-System eingestuft, den Anforderungen des EU AI Act entsprechen. Beide Verordnungen sind unmittelbar anwendbares EU-Recht. Eine Verletzung eines Regelungsrahmens schließt eine Verletzung des anderen nicht aus.

Überschneidung 1: Transparenz und Informationspflichten

Die DSGVO verpflichtet Verantwortliche zur Information betroffener Personen über die Logik automatisierter Entscheidungen (Art. 13, 14, 22 DSGVO). Der EU AI Act fordert von Anbietern Hochrisiko-KI-Systeme, Betreibern hinreichende Informationen über die Funktionsweise des Systems bereitzustellen (Art. 13 EU AI Act). Die Zielgruppen dieser Transparenzpflichten sind unterschiedlich — die DSGVO schützt die betroffene Person, der EU AI Act adressiert primär den Betreiber. In der Praxis können beide Informationspflichten gleichzeitig ausgelöst werden, wenn ein KI-System eine materiell relevante Entscheidung über eine natürliche Person trifft.

Überschneidung 2: Rechtsgrundlage der Verarbeitung und Daten-Governance

Der EU AI Act verlangt, dass Trainings-, Validierungs- und Testdatensätze geeigneten Daten-Governance-Praktiken entsprechen (Art. 10 EU AI Act). Die DSGVO setzt voraus, dass jede Verarbeitung personenbezogener Daten auf einer Rechtsgrundlage gemäß Art. 6 DSGVO beruht. Für das Training von KI-Modellen mit personenbezogenen Daten muss daher vor Beginn der Entwicklung geprüft werden, ob eine hinreichende Rechtsgrundlage besteht — und ob die Datenverarbeitung mit dem ursprünglichen Zweck der Erhebung vereinbar ist (Zweckbindungsgrundsatz, Art. 5 Abs. 1 lit. b DSGVO).

Überschneidung 3: Automatisierte Einzelentscheidungen

Art. 22 DSGVO gewährt betroffenen Personen das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Der EU AI Act klassifiziert bestimmte KI-Systeme mit erheblichem Einfluss auf Einzelpersonen als Hochrisiko-Systeme (Anhang III). Beide Regelungsrahmen adressieren denselben tatsächlichen Vorgang — eine KI-basierte Entscheidung mit Auswirkung auf Einzelpersonen — aus unterschiedlichen regulatorischen Perspektiven. Die DSGVO verleiht individuelle Rechte; der EU AI Act normiert systemische Anforderungen.

Überschneidung 4: Auftragsverarbeitung und Drittanbieter-Modelle

Viele Unternehmen setzen Large Language Models oder andere Drittanbieter-KI-Systeme ein, ohne selbst Anbieter im Sinne des EU AI Act zu sein. In dieser Konstellation können sie als Betreiber (Deployer) nach EU AI Act und gleichzeitig als Auftragsverarbeiter oder Verantwortlicher nach DSGVO handeln — je nach Konfiguration des Systems. Die vertragliche Gestaltung (Auftragsverarbeitungsvertrag nach Art. 28 DSGVO einerseits, Nutzungsvertrag mit AI-Act-Konformitätsklauseln andererseits) muss beide Dimensionen abbilden.

Konsequenzen für die Praxis

Unternehmen sollten ihre KI-Compliance nicht sequenziell angehen — erst DSGVO, dann EU AI Act. Beide Regelungsrahmen greifen strukturell ineinander. Eine DPIA (Datenschutz-Folgenabschätzung) nach Art. 35 DSGVO und ein Risikomanagementprozess nach Art. 9 EU AI Act können und sollten koordiniert durchgeführt werden. Dies reduziert Doppelarbeit und identifiziert Konfliktpotenziale früh.

Häufig gestellte Fragen (FAQ)

Muss ich bei jedem KI-System sowohl DSGVO als auch EU AI Act beachten?

Nicht zwingend. Der EU AI Act gilt nur für KI-Systeme im Anwendungsbereich der Verordnung. Die DSGVO gilt nur, wenn personenbezogene Daten verarbeitet werden. Viele KI-Systeme berühren beide Regelungsrahmen — eine Analyse der konkreten Datenverarbeitungsprozesse und der Risikoklassifizierung des Systems ist der notwendige Ausgangspunkt.

Gilt der EU AI Act auch im Vereinigten Königreich?

Das Vereinigte Königreich hat nach dem Brexit einen eigenen regulatorischen Ansatz für KI entwickelt, der auf sektoraler Aufsicht und Prinzipienorientierung beruht. Unternehmen, die sowohl im EU-Markt als auch im UK tätig sind, müssen beide Regelungsrahmen separat analysieren. Die UK-DSGVO ist weitgehend mit der EU-DSGVO harmonisiert; ein entsprechendes UK-KI-Äquivalent zum EU AI Act existiert derzeit nicht.

Was passiert, wenn DSGVO und EU AI Act unterschiedliche Anforderungen stellen?

Beide Verordnungen gelten nebeneinander. Konflikte werden nach allgemeinen Grundsätzen der Normenkollision aufgelöst. Spezifischere oder aktuellere Vorschriften können vorgehen. In der Praxis ist eine kohärente Auslegung anzustreben, die beiden Regelungszwecken gerecht wird. Im Zweifel ist rechtliche Beratung geboten.