MTMartin TomczakKI-Softwareentwickler
Erstgespräch buchen

KI-Compliance

EU AI Act und DSGVO: Unterschied, Zusammenhang und was beides zusammen bedeutet

DSGVO kennen die meisten. EU AI Act kommt dazu. Aber die beiden Regelwerke regeln nicht dasselbe — und das zu verstehen spart erheblich Compliance-Aufwand.

7 Min. LesezeitAutor: Martin TomczakAktualisiert: 08.05.2026
EU AI Act und DSGVO Unterschiede und Gemeinsamkeiten für Unternehmen

Die Kernfrage: Was reguliert wer?

DSGVO reguliert Daten. Konkret: die Verarbeitung personenbezogener Daten. Die DSGVO interessiert sich nicht dafür, ob Ihr System ein KI-System ist oder ein klassisches Datenbankabfragesystem. Was sie interessiert: Ob personenbezogene Daten verarbeitet werden, auf welcher Rechtsgrundlage, mit welchen Schutzmaßnahmen.

EU AI Act reguliert Systeme. Konkret: bestimmte Eigenschaften von KI-Systemen — Transparenz, Dokumentation, menschliche Aufsicht, Datenqualität. Der EUAIA interessiert sich nicht primär dafür, ob personenbezogene Daten verarbeitet werden. Er fragt: Welche Risiken hat dieses System für die betroffenen Personen oder die Gesellschaft?

Das bedeutet: Ein KI-System kann DSGVO-konform sein, ohne EUAIA-konform zu sein — und umgekehrt.

Wo sich beide überschneiden: Die doppelte Compliance-Zone

Es gibt eine Schnittmenge: KI-Systeme, die personenbezogene Daten verarbeiten UND in eine EUAIA-Risikokategorie fallen. Hier gelten beide Regelwerke parallel.

Praktische Beispiele für die Schnittmenge:

In diesen Fällen müssen Sie beide Regelwerke erfüllen. Die DSGVO-Anforderungen decken dabei nicht automatisch die EUAIA-Anforderungen ab — es gibt unterschiedliche Pflichten.

  • HR-KI-System zur Bewerberselektion: EUAIA (Anhang III, Kategorie 4) + DSGVO (Bewerberdaten sind personenbezogen)
  • KI-gestützte Kreditwürdigkeitsprüfung: EUAIA + DSGVO + eventuell Bankaufsichtsrecht
  • Mitarbeiterüberwachungssystem mit KI: EUAIA + DSGVO (erhöhte Anforderungen bei Mitarbeiterdaten)

DSGVO Art. 22: Die Brücke zwischen beiden Regelwerken

Art. 22 DSGVO war schon vor dem EUAIA relevant: Er regelt das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu sein, die rechtliche Wirkung entfalten oder ähnlich erheblich beeinflussen.

Der EUAIA erweitert diesen Ansatz erheblich. Während Art. 22 DSGVO reaktiv ist (Betroffene können widersprechen), schreibt der EUAIA proaktiv vor, wie das System gebaut sein muss, um menschliche Aufsicht zu ermöglichen.

Für Ihre Praxis: Wenn Sie bereits DSGVO Art. 22 für automatisierte Entscheidungen umgesetzt haben, haben Sie die konzeptionelle Basis für EUAIA-Human-Override-Anforderungen — die technische Umsetzung kann aber weitere Schritte erfordern.

Was die DSGVO für KI-Systeme schon heute verlangt

Auch ohne EUAIA gibt es DSGVO-Anforderungen, die speziell auf KI-Systeme zutreffen:

Datenschutz-Folgeabschätzung (Art. 35): Bei Hochrisiko-Verarbeitung — und KI-Systeme, die umfangreiche Verarbeitung personenbezogener Daten für automatisierte Entscheidungen nutzen, sind oft betroffen — ist eine DSFA Pflicht.

Auskunftsrecht (Art. 15): Betroffene können Auskunft verlangen, welche ihrer Daten verarbeitet wurden. Bei KI-Systemen müssen Sie nachvollziehen können, welche Daten einer Person in welche Entscheidung eingeflossen sind. Das erfordert Logging.

Zweckbindung (Art. 5): Daten, die für einen Zweck erhoben wurden, dürfen nicht einfach fürs KI-Training verwendet werden. Das scheitert in der Praxis regelmäßig — CRM-Daten für Vertriebszwecke erhoben, dann fürs Churn-Prediction-Modell genutzt.

Governance: Wer kümmert sich um was?

Eine praktische Frage in vielen Unternehmen: Wer verantwortet EUAIA-Compliance? Datenschutzbeauftragter, IT, Legal?

Meine Einschätzung: Der Datenschutzbeauftragte ist ein natürlicher Ausgangspunkt, weil er das Methodenwissen für risikobasierte Compliance-Bewertung hat und die Systeme kennt, die mit personenbezogenen Daten arbeiten. Aber der EUAIA umfasst auch KI-Systeme ohne personenbezogene Daten — also reicht die DSB-Zuständigkeit nicht immer.

Pragmatische Lösung für den Mittelstand: Erweitern Sie das bestehende Datenschutz-Governance-Framework um einen EUAIA-Anhang. Dasselbe Verzeichnis, dieselben Review-Prozesse — aber mit EUAIA-spezifischen Prüfpunkten ergänzt.

Was Sie jetzt tun können

Wenn Sie schon ein solides DSGVO-Verzeichnis haben: Bauen Sie darauf auf. Ergänzen Sie für jedes KI-System die EUAIA-Risikoklassifikation als zusätzliches Feld. Das spart erheblich Aufwand gegenüber einer parallelen EUAIA-Dokumentation.

Wenn das DSGVO-Verzeichnis noch Lücken hat: Fangen Sie jetzt an — für beide Regelwerke gleichzeitig. Ein vollständiges KI-Inventar mit DSGVO- und EUAIA-Bewertung, einmal aufgebaut, deckt beide Compliance-Anforderungen.

---

Vollständiger EU AI Act Leitfaden: Hochrisiko-Klassifikation, Strafen, Checkliste und Compliance-by-Design: EU AI Act: Der Praxis-Leitfaden für deutsche Unternehmen

Nächster Schritt

Sollen wir Ihren KI-Use-Case einordnen?

Ich schaue mit Ihnen auf Ziel, Daten, Systeme und den sinnvollsten ersten Umsetzungsschritt.

Projekt anfragenAlle Artikel
LeistungenErstgespräch