DSGVO und AI Act: Was KMU jetzt doppelt beachten müssen
Kurz zusammengefasst: DSGVO-Compliance macht Sie nicht automatisch AI Act-konform — und umgekehrt. Beide Regelwerke greifen oft gleichzeitig: Die DSGVO schützt personenbezogene Daten, der AI Act reguliert KI-Systeme die diese Daten verarbeiten. Wo sich die Anforderungen überschneiden, wo sie kollidieren und was KMU konkret für beides brauchen — dieser Artikel gibt den Überblick. Frist AI Act: 2. August 2026.
Zwei Gesetze, eine KI — wie DSGVO und AI Act zusammenspielen
Viele KMU denken: "Wir haben unsere Datenschutzerklärung aktualisiert, wir sind compliant." Das stimmt für die DSGVO — aber der AI Act ist ein eigenes Gesetz mit eigenen Anforderungen. Ein konkretes Beispiel verdeutlicht den Unterschied:
Ein Steuerberater nutzt ChatGPT um Mandantenkorrespondenz zu optimieren. DSGVO-Perspektive: Werden personenbezogene Daten an OpenAI übertragen? Wenn ja, braucht er eine Rechtsgrundlage und einen Auftragsverarbeitungsvertrag. AI Act-Perspektive: Er ist KI-Betreiber — er braucht ein KI-Inventar, muss Mitarbeiter schulen und den Einsatzzweck auf Hochrisiko prüfen.
Beide Gesetze greifen gleichzeitig. Wer nur eines beachtet, hat eine Lücke.
Die Logik dahinter: Die DSGVO reguliert Daten — wer sie verarbeitet, auf welcher Grundlage, für wie lang. Der AI Act reguliert Systeme — welche KI-Systeme eingesetzt werden, mit welchem Risiko, mit welcher Aufsicht. Ein KI-System das personenbezogene Daten verarbeitet, fällt unter beide Regelwerke gleichzeitig.
Wo DSGVO und AI Act sich überschneiden
1. Automatisierte Entscheidungen
Art. 22 DSGVO gibt betroffenen Personen das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu sein, die rechtliche oder ähnlich erhebliche Auswirkungen haben. Der AI Act geht weiter: Hochrisiko-KI-Systeme müssen generell unter menschlicher Aufsicht stehen — unabhängig davon, ob Art. 22 DSGVO greift.
Praxisbeispiel: Eine Versicherung setzt KI ein um Schadensmeldungen automatisch zu bewerten. Art. 22 DSGVO: Versicherungsnehmer hat Recht auf menschliche Überprüfung. Art. 26 KI-VO: Menschliche Aufsicht ist ohnehin Pflicht wenn das System Hochrisiko ist.
2. Datenschutz-Folgenabschätzung (DPIA) und FRIA
Wenn ein Hochrisiko-KI-System nach AI Act eingesetzt wird und personenbezogene Daten verarbeitet, brauchen Sie zwei Dokumente:
- DPIA nach Art. 35 DSGVO — wenn die Verarbeitung ein hohes Risiko für die Rechte der betroffenen Personen darstellt
- FRIA nach Art. 27 KI-VO — Fundamental Rights Impact Assessment für bestimmte Hochrisiko-Systeme im öffentlichen Einsatz
Diese Dokumente überschneiden sich inhaltlich stark — viele der Risikofragen sind identisch. Ein gut strukturiertes DPIA-Dokument liefert die meisten Grundlagen für das FRIA mit. Das Compliance Kit enthält eine kombinierte Vorlage.
3. Transparenzpflichten
Beide Regelwerke verlangen Transparenz — aber über unterschiedliche Aspekte:
| Regelwerk | Pflicht | Was betroffene Personen erfahren müssen |
|---|---|---|
| DSGVO Art. 13/14 | Informationspflicht bei Datenerhebung | Wer Daten verarbeitet, wozu, auf welcher Grundlage, wie lange |
| AI Act Art. 50 | Transparenzhinweis bei KI-Interaktion | Dass sie mit einem KI-System interagieren — zum Zeitpunkt der Interaktion |
| Beide kombiniert | Vollständige Transparenz bei KI mit Personendaten | Datenschutzerklärung + Hinweis "KI-generiert" |
4. Auftragsverarbeitungsvertrag und Anbieter-Verantwortung
Wer ChatGPT oder andere KI-Tools nutzt und dabei personenbezogene Daten eingibt, braucht nach DSGVO einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. OpenAI, Microsoft und Google bieten entsprechende Verträge an — aber Sie müssen diese aktiv abschließen und dokumentieren.
Der AI Act ergänzt: Als Betreiber haben Sie das Recht, vom Anbieter technische Informationen und Compliance-Dokumentation zu erhalten [Art. 26 Abs. 6 KI-VO]. Diese sollten Sie zusammen mit dem AVV aufbewahren.
Wo DSGVO und AI Act kollidieren können
Datensparsamkeit vs. Dokumentationspflicht
Die DSGVO fordert Datensparsamkeit — nur so viele personenbezogene Daten wie nötig verarbeiten. Der AI Act fordert umfangreiche Dokumentation — besonders bei Hochrisiko-Systemen müssen Protokolle, Logs und Prüfberichte aufbewahrt werden. Das kann in Spannung geraten: Wie lang dürfen KI-Protokolle aufbewahrt werden?
Lösung: Art. 27 KI-VO und Art. 5 DSGVO sind beide einzuhalten. In der Praxis bedeutet das: Protokolldaten für KI-Aufsichtszwecke so lang aufbewahren wie der AI Act es verlangt, aber nicht länger als für den Zweck notwendig, und mit klar definierten Löschfristen.
Recht auf Erklärung bei automatisierten Entscheidungen
Art. 22 DSGVO gibt Betroffenen das Recht, die Logik automatisierter Entscheidungen erklärt zu bekommen. Bei komplexen KI-Modellen (insbesondere neuronalen Netzen) ist eine echte Erklärung technisch schwierig — das sogenannte "Black-Box-Problem". Der AI Act adressiert das für Hochrisiko-Systeme durch Anforderungen an Erklärbarkeit und menschliche Aufsicht.
Für KMU relevant: Wer KI für Entscheidungen mit Personenbezug nutzt, muss sowohl DSGVO-Auskunftspflichten als auch KI-VO-Transparenzanforderungen erfüllen können.
Checkliste: DSGVO + AI Act für KI-Systeme mit Personendaten
| Maßnahme | Basis | Status prüfen |
|---|---|---|
| AVV mit KI-Anbieter abgeschlossen | DSGVO Art. 28 | Liegt Vertrag vor? |
| Datenschutzerklärung um KI-Nutzung ergänzt | DSGVO Art. 13 | KI-Tools genannt? |
| KI-Inventar mit Datenschutz-Angaben | AI Act + DSGVO | Anbieter, Zweck, Datentypen erfasst? |
| Risikoklassifizierung nach AI Act | AI Act Art. 6 | Hochrisiko geprüft? |
| DPIA bei hohem Datenschutzrisiko | DSGVO Art. 35 | Bei Hochrisiko-KI erforderlich |
| Mitarbeiter geschult (KI-Kompetenz) | AI Act Art. 4 | Schulung + Dokumentation vorhanden? |
| Transparenzhinweis bei KI-Kundenkontakt | AI Act Art. 50 | Hinweis sichtbar eingebaut? |
| Datentransfer USA/Drittland beachtet | DSGVO Art. 44 ff. | SCCs vorhanden? (OpenAI, Google, Microsoft) |
Praxisbeispiel: Arztpraxis mit KI-Terminbuchung und Diagnosesupport
Dr. Müller (Allgemeinmedizin, 3 Mitarbeiter) setzt zwei KI-Systeme ein:
System 1 — KI-Terminbuchung: Ein Chatbot auf der Website der Praxis vereinbart Termine automatisch. Personenbezogene Daten werden übertragen. DSGVO: AVV mit dem Chatbot-Anbieter erforderlich, Datenschutzerklärung anpassen. AI Act: Transparenzhinweis "Sie kommunizieren mit einem KI-System" ist Pflicht nach Art. 50. Risikoklasse: begrenzt (Art. 50).
System 2 — KI-gestützte Diagnoseunterstützung: Ein KI-Tool analysiert Symptombeschreibungen und schlägt Diagnosen vor. DSGVO: Gesundheitsdaten sind besondere Kategorie (Art. 9 DSGVO) — erhöhte Anforderungen, DPIA erforderlich. AI Act: Medizinische KI-Systeme sind möglicherweise Hochrisiko nach Anhang III Nr. 2 — umfangreiche Dokumentationspflichten.
Wichtig für Arztpraxen, Steuerberater und Anwälte: Wer mit besonders schützenswerten Daten (Gesundheit, Finanzen, Rechtsfälle) KI einsetzt, hat die schärfste Kombination: DSGVO Art. 9 für sensible Datenkategorien UND potenziell Hochrisiko nach AI Act. In diesen Bereichen empfehlen wir, eine Fachperson hinzuzuziehen.
Was kostet die kombinierte DSGVO + AI Act Compliance?
Die gute Nachricht: Wer bereits DSGVO-dokumentiert ist, hat einen erheblichen Vorsprung. Viele Grundlagen — AVV, Datenschutzerklärung, Verzeichnis von Verarbeitungstätigkeiten — können mit wenigen Ergänzungen AI Act-tauglich gemacht werden.
| Was Sie brauchen | DSGVO | AI Act | Kombination nötig? |
|---|---|---|---|
| Verzeichnis (VVT / KI-Inventar) | VVT Art. 30 | KI-Inventar | Zusammenführen möglich |
| Datenschutzerklärung | Art. 13 DSGVO | Art. 50 Hinweis | Ergänzen genügt |
| Schulungen | DSGVO-Schulung | KI-Kompetenz Art. 4 | Separater Nachweis nötig |
| Folgenabschätzung | DPIA Art. 35 | FRIA Art. 27 | Inhaltlich kombinierbar |
| AVV / Anbieterdokumentation | AVV Art. 28 | Anbieter-Compliance-Dok. | Zusammen aufbewahren |
Der effiziente Weg: Wer DSGVO-dokumentiert ist, braucht für den AI Act primär drei neue Dinge: ein KI-Inventar mit Risikoklassifizierung, den Nachweis der KI-Schulungen, und bei Kundenkontakt den Transparenzhinweis. Das ist überschaubar — und exakt das, was das AI Act Compliance Kit liefert.
DSGVO + AI Act in einem Durchgang erledigen
Das AI Act Compliance Kit enthält alle Vorlagen die KMU für den AI Act brauchen — aufeinander abgestimmt mit Ihrer bestehenden DSGVO-Dokumentation. KI-Inventar, Risikoklassifizierung, Schulungsdokumentation. Einmalkauf ab 149 €.
Compliance Kit ansehen – ab 149 €Häufige Fragen zu DSGVO und AI Act
Muss ich meinen Datenschutzbeauftragten über KI-Einsatz informieren?
Wenn Sie einen DSB haben (pflichtend ab 20 Mitarbeitern in der Datenverarbeitung oder bei sensiblen Datenkategorien): Ja. Der DSB sollte in die KI-Compliance eingebunden werden — insbesondere bei DPIA-pflichtigen Anwendungen. Der AI Act sieht keine eigene "KI-Beauftragter"-Pflicht für KMU vor, aber die DSGVO-Pflichten bleiben vollständig erhalten.
Reicht der bestehende AVV mit ChatGPT/Microsoft für den AI Act?
Der AVV deckt die DSGVO-Seite ab. Für den AI Act brauchen Sie zusätzlich die technische Dokumentation des Anbieters zu dessen Compliance — die sogenannte "technical documentation" nach Art. 11 KI-VO (Anbieter-Pflicht). OpenAI und Microsoft stellen diese über ihre Trust Center bereit. Herunterladen und zu Ihrer Compliance-Dokumentation ablegen.
Was gilt bei US-amerikanischen KI-Anbietern wie OpenAI?
Beide Regelwerke müssen eingehalten werden. DSGVO: Datentransfer in die USA braucht geeignete Garantien — Standard Contractual Clauses (SCC) oder EU-US Data Privacy Framework. AI Act: Die KI-Verordnung gilt für alle in der EU eingesetzten Systeme — Sitz des Anbieters ist irrelevant. Prüfen Sie: Bietet der Anbieter SCCs und AI Act-Dokumentation an? (OpenAI: ja. Microsoft: ja. Google: ja.)
Weiterführende Artikel:
KI-Inventar erstellen: Anleitung für KMU
AI Act Pflichten für KMU 2026: Vollständiger Überblick
AI Act Checkliste für KI-Betreiber