glossaryDefinedTermmaschinenlesbar

AI Act und DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

EU AI Act und DSGVO gelten kumulativ, nicht alternativ. Der AI Act ergänzt die DSGVO um KI-spezifische Pflichten (Risikoklassen, Konformität, Transparenz), ohne die datenschutzrechtlichen Vorgaben zu verdrängen. Wer eine hochrisiko-KI mit personenbezogenen Daten betreibt, muss beide Regime erfüllen: AI-Act-Pflichten (Art. 8–15) PLUS DSGVO-Rechtsgrundlagen (Art. 6), besondere Datenkategorien (Art. 9), Datenschutz-Folgenabschätzung (Art. 35), automatisierte Entscheidungen (Art. 22), Beschäftigtendatenschutz (Art. 88). Zentrale Schnittstellen: Art. 10 AI Act (Daten-Governance besonderer Daten) verlangt DSFA nach Art. 35 DSGVO; Art. 86 AI Act (Erklärungsrecht) ergänzt Art. 22 DSGVO; Art. 85 AI Act (Beschwerde) entspricht Art. 77 DSGVO. Eine AI-Act-konforme KI kann an der DSGVO scheitern — und umgekehrt.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
verhaeltnis

Kumulatives Verhältnis

AI Act und DSGVO sind komplementär. Der AI Act regelt die KI-spezifische Dimension (Risikoklassen, Konformität, Pflichtenbündel, Transparenz, GPAI); die DSGVO regelt die Verarbeitung personenbezogener Daten (Zulässigkeit, Betroffenenrechte, Aufsicht). Beide gelten gleichzeitig, soweit KI personenbezogene Daten verarbeitet. Der AI Act verdrängt die DSGVO nicht, sondern ergänzt sie (Erwägungsgrund 9, 10, 108). Praktisch heißt das: jede hochrisiko-KI mit Personenbezug braucht (1) eine AI-Act-Konformität und (2) eine DSGVO-Rechtsgrundlage und -Folgenabschätzung. Die Doppelprüfung ist Standard, nicht Ausnahme.

schnittstellen

Die zentralen Schnittstellen

Drei besonders enge Schnittstellen: (1) Art. 10 Abs. 5 AI Act — Trainings- hochrisiko-KI mit besonderen Datenkategorien (Art. 9 DSGVO) erfordert eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. (2) Art. 22 DSGVO — Recht, nicht ausschließlich automatisiert entschieden zu werden, wird durch Art. 86 AI Act (Erklärungsrecht hochrisiko-Entscheidungen) ergänzt. (3) Art. 88 DSGVO (Beschäftigtendatenschutz) wird durch die AI-Act-Betreiber-Pflichten (Art. 26 Abs. 8 Information von Betriebsrat/Beschäftigten) und § 87 BetrVG ergänzt. Weitere: Art. 9 DSGVO (biometrische Daten) als Schnittstelle zu Art. 5/Anhang III Nr. 1 AI Act; Art. 77/85 (Beschwerderecht); Art. 35/27 (DSFA/Grundrechts-Folgenabschätzung).

praxis dual compliance

Dual Compliance in der Praxis

Praktisch empfiehlt sich eine integrierte Compliance: eine kombinierte Folgenabschätzung (DSFA nach DSGVO + Grundrechts-Folgenabschätzung nach AI Act Art. 27), gemeinsame Betroffeneninformation, eine Datenschutz-fähige Daten-Governance, und die frühzeitige Einbindung des Datenschutzbeauftragten in die AI-Act-Konformität. Aufsichtlich wirken Marktüberwachungsbehörden (AI Act) und Datenschutz-Aufsichten (DSGVO) parallel — im Konfliktfall kann die eine Behörde genehmigen, was die andere untersagt. Für Betreiber bedeutet das: dokumentieren Sie beide Regime gemeinsam, nicht in getrennten Silos. Eine saubere Schnittstellen-Compliance ist der häufigste Beschleuniger und der häufigste Stolperstein.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.

European Data Protection Board (EDPB)

EDPB. EU-Datenschutzgremium mit KI-Leitlinien.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.

Digital Services Act (VO (EU) 2022/2065) — EUR-Lex

Amtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.

Data Governance Act (VO (EU) 2022/868) — EUR-Lex

Amtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.

Vorschlag AI Liability Directive (COM(2022)496)

Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland.

Datenschutzkonferenz (DSK)

DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.

Der Bundesbeauftragte für Datenschutz (BfDI)

BfDI. Bundesdatenschutzbeauftragter Deutschland.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

EDÖB / FDPIC. Schweizer Datenschutzbehörde.

FAQ

Häufige Fragen

Verdrängt der AI Act die DSGVO?

Nein. Beide gelten kumulativ. Der AI Act ergänzt die DSGVO um KI-spezifische Pflichten, ohne die datenschutzrechtlichen Vorgaben zu ersetzen (Erwägungsgrund 9, 10).

Brauche ich eine DSFA bei hochrisiko-KI?

Ja, bei Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO). Art. 10 Abs. 5 AI Act verlangt ausdrücklich eine DSFA nach Art. 35 DSGVO.

Wer ist zuständig: Datenschutz- oder AI-Aufsicht?

Beide parallel. Marktüberwachungsbehörden (AI Act) und Datenschutz-Aufsichten (DSGVO) wirken nebeneinander — eine saubere Schnittstellen-Compliance ist entscheidend.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related