AI Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)
EU AI Act und DSGVO gelten kumulativ, nicht alternativ. Der AI Act ergänzt die DSGVO um KI-spezifische Pflichten (Risikoklassen, Konformität, Transparenz), ohne die datenschutzrechtlichen Vorgaben zu verdrängen. Wer eine hochrisiko-KI mit personenbezogenen Daten betreibt, muss beide Regime erfüllen: AI-Act-Pflichten (Art. 8–15) PLUS DSGVO-Rechtsgrundlagen (Art. 6), besondere Datenkategorien (Art. 9), Datenschutz-Folgenabschätzung (Art. 35), automatisierte Entscheidungen (Art. 22), Beschäftigtendatenschutz (Art. 88). Zentrale Schnittstellen: Art. 10 AI Act (Daten-Governance besonderer Daten) verlangt DSFA nach Art. 35 DSGVO; Art. 86 AI Act (Erklärungsrecht) ergänzt Art. 22 DSGVO; Art. 85 AI Act (Beschwerde) entspricht Art. 77 DSGVO. Eine AI-Act-konforme KI kann an der DSGVO scheitern — und umgekehrt.
Steve Baka
Kumulatives Verhältnis
AI Act und DSGVO sind komplementär. Der AI Act regelt die KI-spezifische Dimension (Risikoklassen, Konformität, Pflichtenbündel, Transparenz, GPAI); die DSGVO regelt die Verarbeitung personenbezogener Daten (Zulässigkeit, Betroffenenrechte, Aufsicht). Beide gelten gleichzeitig, soweit KI personenbezogene Daten verarbeitet. Der AI Act verdrängt die DSGVO nicht, sondern ergänzt sie (Erwägungsgrund 9, 10, 108). Praktisch heißt das: jede hochrisiko-KI mit Personenbezug braucht (1) eine AI-Act-Konformität und (2) eine DSGVO-Rechtsgrundlage und -Folgenabschätzung. Die Doppelprüfung ist Standard, nicht Ausnahme.
Die zentralen Schnittstellen
Drei besonders enge Schnittstellen: (1) Art. 10 Abs. 5 AI Act — Trainings- hochrisiko-KI mit besonderen Datenkategorien (Art. 9 DSGVO) erfordert eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. (2) Art. 22 DSGVO — Recht, nicht ausschließlich automatisiert entschieden zu werden, wird durch Art. 86 AI Act (Erklärungsrecht hochrisiko-Entscheidungen) ergänzt. (3) Art. 88 DSGVO (Beschäftigtendatenschutz) wird durch die AI-Act-Betreiber-Pflichten (Art. 26 Abs. 8 Information von Betriebsrat/Beschäftigten) und § 87 BetrVG ergänzt. Weitere: Art. 9 DSGVO (biometrische Daten) als Schnittstelle zu Art. 5/Anhang III Nr. 1 AI Act; Art. 77/85 (Beschwerderecht); Art. 35/27 (DSFA/Grundrechts-Folgenabschätzung).
Dual Compliance in der Praxis
Praktisch empfiehlt sich eine integrierte Compliance: eine kombinierte Folgenabschätzung (DSFA nach DSGVO + Grundrechts-Folgenabschätzung nach AI Act Art. 27), gemeinsame Betroffeneninformation, eine Datenschutz-fähige Daten-Governance, und die frühzeitige Einbindung des Datenschutzbeauftragten in die AI-Act-Konformität. Aufsichtlich wirken Marktüberwachungsbehörden (AI Act) und Datenschutz-Aufsichten (DSGVO) parallel — im Konfliktfall kann die eine Behörde genehmigen, was die andere untersagt. Für Betreiber bedeutet das: dokumentieren Sie beide Regime gemeinsam, nicht in getrennten Silos. Eine saubere Schnittstellen-Compliance ist der häufigste Beschleuniger und der häufigste Stolperstein.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Häufige Fragen
Verdrängt der AI Act die DSGVO?
Nein. Beide gelten kumulativ. Der AI Act ergänzt die DSGVO um KI-spezifische Pflichten, ohne die datenschutzrechtlichen Vorgaben zu ersetzen (Erwägungsgrund 9, 10).
Brauche ich eine DSFA bei hochrisiko-KI?
Ja, bei Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO). Art. 10 Abs. 5 AI Act verlangt ausdrücklich eine DSFA nach Art. 35 DSGVO.
Wer ist zuständig: Datenschutz- oder AI-Aufsicht?
Beide parallel. Marktüberwachungsbehörden (AI Act) und Datenschutz-Aufsichten (DSGVO) wirken nebeneinander — eine saubere Schnittstellen-Compliance ist entscheidend.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.