Kritische Infrastrukturen: AI Act, Data Act & DSGVO-Pflichten
KI-Systeme, die als Sicherheitskomponente in kritischer digitaler Infrastruktur, in Wasserversorgungssysteme oder als Notstromversorgung eingesetzt werden, sind nach Anhang III Nr. 2 AI Act hochriskant und unterliegen spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) den Pflichten aus Art. 8–15. Betroffen sind Betreiber essenzieller Dienste (Energie, Wasser, Verkehr, Telekommunikation, Gesundheitswesen, Finanzen) nach NIS2. Der AI Act überlappt hier mit der NIS2-Richtlinie (Risikomanagement, Meldung erheblicher Vorfälle), der DSGVO und Sektorrecht. Anbieter müssen Konformitätsbewertung und CE-Kennzeichnung nachweisen; Betreiber übernehmen die Art. 26-Pflichten sowie die NIS2-Meldepflichten.
Steve Baka
Wann kritische Infrastruktur-KI hochriskant ist
Anhang III Nr. 2 AI Act erfasst KI-Systeme, die als Sicherheitskomponente der Versorgungs- und IT-Infrastruktur verwendet werden — also als Sicherheitskomponente von kritischer digitaler Infrastruktur, von Wasserversorgungssystemen oder als Notstromversorgung. Das können u. a. sein: Anomalieerkennung in Stromnetzen, KI-basierte Netzwerküberwachung in Telekommunikation, Steuerung von Wasseraufbereitungs- oder Schutzeinrichtungen. KI, die nur am Rande mitläuft (z. B. reine Auswertungs-Dashboards ohne Sicherheitsfunktion), fällt oft nicht darunter; die Grenze ist die Sicherheitsfunktion.
Überschneidung mit NIS2 und Sektorrecht
Wer kritische Infrastruktur betreibt, ist meist „sehr wichtiger Anbieter" oder „wichtiger Anbieter" nach der NIS2-Richtlinie (RL (EU) 2022/2555). NIS2 verlangt angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Cybersicherheit sowie die Meldung erheblicher Vorfälle. Der AI Act ergänzt dies KI-spezifisch: Anomalieerkennung oder Steuerungs-KI muss die Art. 8–15-Pflichten erfüllen, schwere Vorfälle sind zusätzlich nach Art. 73 AI Act zu melden. Hinzu kommen Sektorrecht (z. B. EnWG/BsiG in Deutschland) und die DSGVO. Compliance heißt hier: die Pflichtenbündel konsistent verbinden, nicht doppelt pflegen.
Pflichten, Fristen und Aufsichten
Anbieter erfüllen Art. 8–15, Konformitätsbewertung, CE-Kennzeichnung und Registrierung (spätestens 2. Dezember 2027 (AI Omnibus 2026)). Betreiber treffen die Art. 26-Pflichten sowie die NIS2-Maßnahmen- und Meldepflichten. In Deutschland sind das BSI, die Bundesnetzagentur und die Sektoraufsichten zentral; in Österreich der Rat für KI und sektorale Regulatoren; in der Schweiz das nationale Cybersicherheits-Zentrum (NCSC) und sektorale Stellen. Schwere KI-Vorfälle (z. B. Systemausfälle mit Versorgungsfolge) sind mehrfach zu melden — an die Marktüberwachung (AI Act) und an die Cybersicherheits-/Sektoraufsicht (NIS2).
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Wann ist KI in der kritischen Infrastruktur hochriskant?
Wenn sie als Sicherheitskomponente in kritischer digitaler Infrastruktur, Wasserversorgung oder Notstromversorgung eingesetzt wird (Anhang III Nr. 2 AI Act). Maßgeblich ist die Sicherheitsfunktion.
Wie hängen AI Act und NIS2 zusammen?
Sie überlappen: NIS2 verlangt Cybersicherheitsmaßnahmen und Vorfallsmeldung; der AI Act ergänzt KI-spezifische Pflichten (Art. 8–15) und die Meldung schwerer KI-Vorfälle (Art. 73). Beide sind für Betreiber kritischer Dienste gemeinsam zu erfüllen.
Wer überwacht in Deutschland?
Wichtig sind BSI, Bundesnetzagentur und Sektoraufsichten für Cybersicherheit/Versorgungssicherheit sowie die Marktüberwachungsbehörden für den AI Act. Schwere Vorfälle sind mehrfach zu melden.
KI-Compliance für Kritische Infrastrukturen?
Wenn du im Sektor Kritische Infrastrukturen KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.