Datenschutz & Compliance

DSGVO und AI Act: Wie beide Regelwerke beim KI-Einsatz zusammenwirken

6 Min. Lesezeit
Kurze Antwort

AI Act regelt Sicherheit und Transparenz von KI-Systemen. DSGVO regelt die Verarbeitung personenbezogener Daten dahinter. Bei KI die Personendaten verarbeitet gelten beide gleichzeitig. Eine Datenschutz-Folgenabschätzung kann Pflicht sein.

Der AI Act ist kein Ersatz für die DSGVO — er ist eine Ergänzung. Wer KI mit Personendaten einsetzt, muss beide Regelwerke gleichzeitig im Blick haben.

Zwei Regelwerke, eine Realität

Der EU AI Act ist seit August 2024 in Kraft und wird schrittweise anwendbar — die wichtigsten Pflichten für Hochrisiko-KI greifen ab August 2026. Er reguliert KI-Systeme nach ihrem Risikopotenzial: von verbotenen Systemen (biometrische Massenüberwachung) über Hochrisiko-KI (Kreditbewertung, Personalentscheidungen, medizinische Diagnose) bis zu KI mit minimalem Risiko (Spam-Filter, Empfehlungssysteme). Transparenzpflichten für KI-generierte Inhalte gelten bereits ab 2025.

Die DSGVO existiert seit 2018 und ist unverändert in Kraft. Sie reguliert nicht die KI als solche, sondern die Verarbeitung personenbezogener Daten — unabhängig davon, ob diese durch Menschen, Software oder KI erfolgt. Wenn ein KI-System Daten über Personen verarbeitet, analysiert oder bewertet, greifen DSGVO-Pflichten: Rechtsgrundlage, Informationspflicht, Betroffenenrechte, Datensparsamkeit, Speicherbegrenzung.

Die meisten KI-Anwendungen im Unternehmensalltag tun genau das: Sie verarbeiten Personendaten. Ein KI-Chatbot, der Kundenanfragen beantwortet, speichert Gesprächsverläufe. Ein KI-Recruiting-Tool bewertet Bewerber. Ein KI-Analysetool wertet Nutzerdaten aus. In all diesen Fällen gelten DSGVO und AI Act parallel — und die Anforderungen überschneiden sich bei Transparenz, Dokumentation und Risikobewertung.

Wo DSGVO und AI Act sich berühren

  • Transparenz: AI Act fordert Kennzeichnung von KI-generierten Inhalten, DSGVO fordert Information über automatisierte Entscheidungen
  • Risikobewertung: AI Act verlangt Konformitätsbewertung für Hochrisiko-KI, DSGVO verlangt DSFA bei hohem Risiko für Betroffene
  • Dokumentation: AI Act fordert technische Dokumentation und Protokollierung, DSGVO fordert Verzeichnis der Verarbeitungstätigkeiten
  • Art. 22 DSGVO: Automatisierte Entscheidungen mit erheblicher Auswirkung auf Personen müssen hinterfragbar und anfechtbar sein
  • Datensparsamkeit (Art. 5 DSGVO): KI-Systeme dürfen nur Daten verarbeiten, die für den Zweck notwendig sind — Trainingsdaten eingeschlossen
  • Betroffenenrechte: Auskunft, Berichtigung, Löschung gelten auch für KI-verarbeitete Daten — Modelle müssen ggf. aktualisierbar sein
  • Hochrisiko-KI (AI Act Anhang III): Kreditbewertung, Recruiting, Strafverfolgung — hier greifen die schärfsten Pflichten beider Regelwerke gleichzeitig

Art. 22 DSGVO und automatisierte Entscheidungen

Artikel 22 der DSGVO ist beim KI-Einsatz besonders relevant: Er schützt Personen vor rein automatisierten Entscheidungen, die ihnen gegenüber rechtliche Wirkung haben oder sie erheblich beeinträchtigen. Klassische Beispiele: automatisierte Kreditablehnung, KI-basiertes Bewerber-Ranking ohne menschliche Überprüfung, automatisierte Versicherungsbewertung.

Die Anforderung ist klar: Bei solchen Entscheidungen muss immer eine menschliche Überprüfung möglich sein. Betroffene haben das Recht, den eigenen Standpunkt darzulegen, die Entscheidung anzufechten und eine menschliche Überprüfung zu verlangen. Wer KI für solche Entscheidungen nutzt und diese Rechte nicht implementiert, verstößt gegen die DSGVO — unabhängig davon, was der AI Act vorschreibt.

Der AI Act ergänzt das: Hochrisiko-KI-Systeme müssen so gebaut sein, dass menschliche Aufsicht möglich ist. Das ist keine bloße Dokumentationspflicht, sondern eine technische Anforderung. KI-Systeme in Hochrisikobereichen müssen protokollieren, nachvollziehbar sein und eine menschliche Override-Option bereitstellen. Wer also ein Hochrisiko-KI-System einsetzt, muss beide Anforderungen erfüllen: Art. 22 DSGVO und die AI-Act-Transparenzpflichten.

Achtung beim Einsatz von KI-Tools mit Kundendaten: Viele populäre KI-Dienste (ChatGPT, Claude, Gemini) nutzen eingegebene Daten standardmäßig für das Training ihrer Modelle — zumindest in den kostenlosen Varianten. Wer Kundendaten, Verträge oder personenbezogene Informationen in solche Tools eingibt, riskiert eine DSGVO-Verletzung. Nutzen Sie ausschließlich API-Zugang oder Unternehmensversionen mit abgeschlossenem Auftragsverarbeitungsvertrag und deaktiviertem Modell-Training.

Checkliste: KI mit Personendaten DSGVO-konform einsetzen

  1. Rechtsgrundlage klären

    Für jede KI-Anwendung die Personendaten verarbeitet, brauchen Sie eine Rechtsgrundlage nach Art. 6 DSGVO — meist Einwilligung (Art. 6 Abs. 1 lit. a) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Bei besonderen Kategorien (Gesundheit, Religion, politische Meinung) greift Art. 9 DSGVO mit strengeren Anforderungen. Dokumentieren Sie die Rechtsgrundlage im Verzeichnis der Verarbeitungstätigkeiten.

  2. Datenschutz-Folgenabschätzung prüfen

    Bei KI-Systemen mit hohem Risiko für Betroffene ist eine DSFA (Datenschutz-Folgenabschätzung, Art. 35 DSGVO) Pflicht — und bei Hochrisiko-KI nach AI Act sowieso vorgesehen. Die DSFA analysiert Risiken, bewertet Gegenmaßnahmen und muss dokumentiert werden. Im Zweifel ist die Durchführung der Nicht-Durchführung immer vorzuziehen.

  3. Auftragsverarbeitungsvertrag mit KI-Anbieter abschließen

    Wenn ein externer KI-Dienst personenbezogene Daten für Sie verarbeitet (auch per API), ist er Ihr Auftragsverarbeiter. Gemäß Art. 28 DSGVO benötigen Sie einen AVV. Prüfen Sie die Datenschutzdokumentation des Anbieters und schließen Sie den AVV ab, bevor Sie produktiv gehen.

  4. Art. 22-Konformität sicherstellen

    Wenn Ihr KI-System automatisierte Entscheidungen trifft, die erhebliche Auswirkungen auf Personen haben: Implementieren Sie eine menschliche Review-Funktion, dokumentieren Sie das Verfahren und informieren Sie Betroffene in der Datenschutzerklärung darüber. Ohne diese Mechanismen ist der KI-Einsatz in diesem Bereich nicht rechtskonform.

  5. AI-Act-Risikoklasse bestimmen

    Prüfen Sie, ob Ihr KI-System unter den Hochrisiko-Bereich des AI Act fällt (Anhang III: Bildung, Beschäftigung, Kreditwesen, Strafverfolgung, Grenzschutz, Rechtspflege). Wenn ja, gelten ab August 2026 erhöhte Pflichten: technische Dokumentation, Konformitätsbewertung, Registrierung in der EU-Datenbank, menschliche Aufsicht.

  6. Mitarbeiter schulen und Prozesse dokumentieren

    KI-Konformität ist kein einmaliges Projekt. Schulen Sie Mitarbeiter im Umgang mit KI-Tools (was darf eingespeist werden, was nicht), dokumentieren Sie Prozesse und überprüfen Sie die Konformität bei jedem neuen KI-Tool, das eingeführt wird. Viele Verstöße entstehen nicht aus bösem Willen, sondern weil Mitarbeiter die Tragweite nicht kennen.

Der pragmatische Einstieg: Erstellen Sie eine Liste aller KI-Tools die Ihr Unternehmen nutzt — auch inoffiziell, auch im Homeoffice. Markieren Sie bei jedem Tool, ob Personendaten eingegeben werden (auch Mitarbeiterdaten zählen). Für jedes markierte Tool prüfen Sie: Gibt es einen AVV? Ist die Rechtsgrundlage dokumentiert? Diese Inventur ist der erste Schritt — und oft ernüchternd genug um Handlungsbedarf zu erkennen. INREMA begleitet diese Bestandsaufnahme im Rahmen von Webprojekten und digitaler Infrastrukturberatung.
Zusammenfassung
  • DSGVO und AI Act gelten parallel — bei KI mit Personendaten müssen beide Regelwerke erfüllt sein
  • Art. 22 DSGVO schützt vor unkontrollierten automatisierten Entscheidungen — menschliche Überprüfung muss technisch möglich sein
  • Praktische Sofortmaßnahme: Keine Kundendaten in KI-Tools ohne AVV eingeben und Rechtsgrundlage für jeden KI-Einsatz dokumentieren

INREMA unterstützt bei der technischen Umsetzung DSGVO-konformer KI-Integrationen — von der API-Anbindung bis zur Datenschutzarchitektur. Rechtliche Beratung zu DSGVO und AI Act übernehmen spezialisierte Anwälte.

Beratung anfragen

Häufige Fragen

Ab wann gilt der AI Act vollständig?
Die ersten Verbote (Hochrisiko-KI-Systeme, verbotene Praktiken) galten ab Februar 2025. Hochrisiko-KI-Pflichten aus Anhang III greifen ab August 2026. Bis dahin sollten Unternehmen mit Hochrisiko-KI die Anforderungen bereits umsetzen.
Darf ich ChatGPT für die Arbeit mit Kundendaten nutzen?
Nur mit Enterprise-Account oder API-Zugang, abgeschlossenem Auftragsverarbeitungsvertrag und deaktiviertem Modelltraining. Die kostenlose Version und das Standard-Plus-Abo sind für die Verarbeitung personenbezogener Daten in der Regel nicht geeignet.
Was ist eine Datenschutz-Folgenabschätzung (DSFA) und wann ist sie Pflicht?
Eine DSFA analysiert Datenschutzrisiken einer Verarbeitung systematisch. Sie ist Pflicht bei voraussichtlich hohem Risiko für Betroffene — u.a. bei Profiling, biometrischer Datenverarbeitung und systematischer Überwachung. Bei Hochrisiko-KI nach AI Act ist sie faktisch immer sinnvoll.
Gilt der AI Act auch für kleine Unternehmen?
Ja, aber abgestuft. KMU sind bei einigen Pflichten privilegiert (z.B. reduzierte Gebühren, vereinfachte Dokumentation). Wer jedoch Hochrisiko-KI-Systeme entwickelt oder einsetzt, kommt an den Kernpflichten nicht vorbei — unabhängig von der Unternehmensgröße.

War dieser Artikel hilfreich?

Verwandte Artikel
Digitalisierung & KI
AI Act Schulungspflicht: Was Ihr Unternehmen jetzt umsetzen muss
5 Min. Lesezeit
Digitalisierung & KI
EU AI Act: Bin ich betroffen — und was muss ich jetzt tun?
7 Min. Lesezeit
Digitalisierung & KI
KI und Datenschutz: Was Mitarbeiter wissen müssen bevor sie Kundendaten eingeben
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen