DSGVO: Definition und rechtliche Bedeutung (AI Act / Data Act)
Die DSGVO (Verordnung (EU) 2016/679) regelt die Verarbeitung personenbezogener Daten durch öffentliche und private Stellen. Kernprinzipien (Art. 5): Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht. Rechtsgrundlagen (Art. 6): Einwilligung, Vertrag, gesetzliche Pflicht, lebenswichtige Interessen, öffentliche Aufgabe, berechtigte Interessen. Besondere Datenkategorien (Art. 9: Gesundheitsdaten, biometrische Daten, ethnische Herkunft u. a.) sind grundsätzlich verboten mit engen Ausnahmen. Betroffenenrechte (Art. 12–22): Auskunft, Berichtigung, Löschung, Beschränkung, Datenübertragbarkeit, Widerspruch, Recht, nicht ausschließlich automatisiert entschieden zu werden (Art. 22). Bußgelder bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes. Die DSGVO ist die datenschutzrechtliche Basis jeder KI mit Personenbezug und gilt kumulativ zum AI Act.
Steve Baka
Grundprinzipien (Art. 5) und Rechtsgrundlagen
Art. 5 DSGVO formuliert sieben Grundprinzipien: Rechtmäßigkeit/Verarbeitung nach Treu und Glauben/Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit, Rechenschaftspflicht. Rechtsgrundlagen nach Art. 6: (a) Einwilligung, (b) Vertragserfüllung, (c) gesetzliche Pflicht, (d) lebenswichtige Interessen, (e) öffentliche Aufgabe, (f) berechtigte Interessen. Für besondere Datenkategorien (Art. 9) brauchen Sie zusätzlich eine Ausnahme (z. B. ausdrückliche Einwilligung, erhebliches öffentliches Interesse, medizinische Zwecke). Die Wahl der Rechtsgrundlage ist eine der wichtigsten datenschutzrechtlichen Entscheidungen — bei KI greifen oft Vertrag, berechtigtes Interesse oder Einwilligung; für sensible Daten nur die engen Art. 9-Ausnahmen.
Betroffenenrechte und automatisierte Entscheidungen
Betroffenenrechte (Art. 12–22): Transparenz- und Informationspflicht, Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), automatisierte Entscheidungen (Art. 22). Für KI besonders wichtig: Art. 22 — Recht, nicht ausschließlich automatisierten Entscheidungen mit rechtlicher/ähnlich weitreichender Wirkung unterworfen zu werden, mit Ausnahmen (Vertrag, Gesetz, Einwilligung) und Pflicht zu angemessenen Schutzmaßnahmen (menschliche Stellungnahme, Widerspruchsmöglichkeit). Ergänzt durch Art. 86 AI Act (Erklärungsrecht hochrisiko-Entscheidungen). Beschäftigtendatenschutz: Art. 88 (member-state-Ausgestaltung). Kinder: Art. 8 (Einwilligung ab 16, member-state-Absenkung).
Aufsicht und Sanktionen
Aufsichtlich wirken die nationalen Datenschutzbehörden (in DE: BfDI und Landesdatenschutzbeauftragte, koordiniert durch die DSK; in AT: Datenschutzbehörde; in CH: EDÖB/FDPIC — Nicht-EU). Der Europäische Datenschutzausschuss (EDSA) harmonisiert EU-weit. Bußgelder: bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (der höhere Betrag), gestaffelt nach Schwere. Datenschutz-Folgenabschätzung (DSFA, Art. 35) bei hohem Risiko — bei hochrisiko-KI mit besonderen Daten verlangt Art. 10 Abs. 5 AI Act ausdrücklich eine DSFA. Datenschutzbeauftragter (Art. 37) bei umfangreicher Verarbeitung. Meldepflicht von Datenschutzverletzungen (Art. 33, 72 Stunden). Die DSGVO bleibt die datenschutzrechtliche Grundschicht jeder personenbezogenen KI-Verarbeitung.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Häufige Fragen
Was sind die Grundprinzipien der DSGVO?
Rechtmäßigkeit/Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit, Rechenschaftspflicht (Art. 5). Rechtsgrundlagen in Art. 6.
Wie hoch sind DSGVO-Bußgelder?
Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (der höhere Betrag), gestaffelt nach Schwere. Aufsichtlich die nationalen Datenschutzbehörden + EDSA.
Gilt Art. 22 (automatisierte Entscheidungen) bei KI?
Ja. Betroffene haben das Recht, nicht ausschließlich automatisiert entschieden zu werden (rechtliche/ähnlich weitreichende Wirkung) — mit Ausnahmen und menschlicher Eingriffsmöglichkeit. Ergänzt durch Art. 86 AI Act.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.