glossaryDefinedTermmaschinenlesbar

DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Die DSGVO (Verordnung (EU) 2016/679) regelt die Verarbeitung personenbezogener Daten durch öffentliche und private Stellen. Kernprinzipien (Art. 5): Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht. Rechtsgrundlagen (Art. 6): Einwilligung, Vertrag, gesetzliche Pflicht, lebenswichtige Interessen, öffentliche Aufgabe, berechtigte Interessen. Besondere Datenkategorien (Art. 9: Gesundheitsdaten, biometrische Daten, ethnische Herkunft u. a.) sind grundsätzlich verboten mit engen Ausnahmen. Betroffenenrechte (Art. 12–22): Auskunft, Berichtigung, Löschung, Beschränkung, Datenübertragbarkeit, Widerspruch, Recht, nicht ausschließlich automatisiert entschieden zu werden (Art. 22). Bußgelder bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes. Die DSGVO ist die datenschutzrechtliche Basis jeder KI mit Personenbezug und gilt kumulativ zum AI Act.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
prinzipien

Grundprinzipien (Art. 5) und Rechtsgrundlagen

Art. 5 DSGVO formuliert sieben Grundprinzipien: Rechtmäßigkeit/Verarbeitung nach Treu und Glauben/Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit, Rechenschaftspflicht. Rechtsgrundlagen nach Art. 6: (a) Einwilligung, (b) Vertragserfüllung, (c) gesetzliche Pflicht, (d) lebenswichtige Interessen, (e) öffentliche Aufgabe, (f) berechtigte Interessen. Für besondere Datenkategorien (Art. 9) brauchen Sie zusätzlich eine Ausnahme (z. B. ausdrückliche Einwilligung, erhebliches öffentliches Interesse, medizinische Zwecke). Die Wahl der Rechtsgrundlage ist eine der wichtigsten datenschutzrechtlichen Entscheidungen — bei KI greifen oft Vertrag, berechtigtes Interesse oder Einwilligung; für sensible Daten nur die engen Art. 9-Ausnahmen.

rechte

Betroffenenrechte und automatisierte Entscheidungen

Betroffenenrechte (Art. 12–22): Transparenz- und Informationspflicht, Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), automatisierte Entscheidungen (Art. 22). Für KI besonders wichtig: Art. 22 — Recht, nicht ausschließlich automatisierten Entscheidungen mit rechtlicher/ähnlich weitreichender Wirkung unterworfen zu werden, mit Ausnahmen (Vertrag, Gesetz, Einwilligung) und Pflicht zu angemessenen Schutzmaßnahmen (menschliche Stellungnahme, Widerspruchsmöglichkeit). Ergänzt durch Art. 86 AI Act (Erklärungsrecht hochrisiko-Entscheidungen). Beschäftigtendatenschutz: Art. 88 (member-state-Ausgestaltung). Kinder: Art. 8 (Einwilligung ab 16, member-state-Absenkung).

aufsicht sanktionen

Aufsicht und Sanktionen

Aufsichtlich wirken die nationalen Datenschutzbehörden (in DE: BfDI und Landesdatenschutzbeauftragte, koordiniert durch die DSK; in AT: Datenschutzbehörde; in CH: EDÖB/FDPIC — Nicht-EU). Der Europäische Datenschutzausschuss (EDSA) harmonisiert EU-weit. Bußgelder: bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (der höhere Betrag), gestaffelt nach Schwere. Datenschutz-Folgenabschätzung (DSFA, Art. 35) bei hohem Risiko — bei hochrisiko-KI mit besonderen Daten verlangt Art. 10 Abs. 5 AI Act ausdrücklich eine DSFA. Datenschutzbeauftragter (Art. 37) bei umfangreicher Verarbeitung. Meldepflicht von Datenschutzverletzungen (Art. 33, 72 Stunden). Die DSGVO bleibt die datenschutzrechtliche Grundschicht jeder personenbezogenen KI-Verarbeitung.

Sources

Quellen

FAQ

Häufige Fragen

Was sind die Grundprinzipien der DSGVO?

Rechtmäßigkeit/Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit, Rechenschaftspflicht (Art. 5). Rechtsgrundlagen in Art. 6.

Wie hoch sind DSGVO-Bußgelder?

Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (der höhere Betrag), gestaffelt nach Schwere. Aufsichtlich die nationalen Datenschutzbehörden + EDSA.

Gilt Art. 22 (automatisierte Entscheidungen) bei KI?

Ja. Betroffene haben das Recht, nicht ausschließlich automatisiert entschieden zu werden (rechtliche/ähnlich weitreichende Wirkung) — mit Ausnahmen und menschlicher Eingriffsmöglichkeit. Ergänzt durch Art. 86 AI Act.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related