EU AI Act vs. DSGVO: Wo sie sich unterscheiden und überschneiden
Die DSGVO schützt personenbezogene Daten; der EU AI Act reguliert KI-Systeme als Produkte mit risikobasiertem Ansatz. Wer DSGVO-konform ist, ist nicht automatisch AI-Act-konform — beide gelten parallel. Überschneidungen bestehen bei automatisierten Entscheidungen (DSGVO Art. 22), Folgenabschätzungen (DSFA vs. FRIA) und Transparenz. Der AI Act gilt auch ohne Personenbezug, die DSGVO nur bei personenbezogenen Daten.
Zwei Regelwerke, zwei Logiken
Eine der häufigsten Fragen von KMU lautet: "Wir sind DSGVO-konform — reicht das für den AI Act?" Die Antwort ist nein. DSGVO und EU AI Act verfolgen unterschiedliche Ziele, haben unterschiedliche Anknüpfungspunkte und gelten parallel. Sie ergänzen sich, ersetzen sich aber nicht.
Der grundlegende Unterschied
Die DSGVO ist ein Datenschutzrecht. Sie greift, sobald personenbezogene Daten verarbeitet werden, und schützt die informationelle Selbstbestimmung der betroffenen Person. Ihr Anknüpfungspunkt ist das Datum.
Der EU AI Act ist ein Produktsicherheitsrecht mit risikobasiertem Ansatz. Er reguliert das KI-System als Produkt — unabhängig davon, ob personenbezogene Daten verarbeitet werden. Eine KI zur Qualitätskontrolle in der Fertigung ohne jeden Personenbezug fällt unter den AI Act, aber nicht unter die DSGVO.
Wo sie sich überschneiden
Drei Bereiche greifen ineinander:
- Automatisierte Entscheidungen: DSGVO Art. 22 verbietet grundsätzlich rein automatisierte Einzelentscheidungen mit erheblicher Wirkung. Der AI Act verlangt für Hochrisiko-Systeme menschliche Aufsicht (Art. 14). Beide ziehen in dieselbe Richtung, aber mit unterschiedlicher Begründung.
- Folgenabschätzungen: Die DSFA nach DSGVO Art. 35 betrachtet Datenschutzrisiken; die FRIA nach AI Act Art. 27 betrachtet alle Grundrechte. Eine bestehende DSFA kann als Grundlage für die FRIA dienen, ersetzt sie aber nicht.
- Transparenz: Beide verlangen Transparenz, aber in unterschiedlicher Form — die DSGVO gegenüber der betroffenen Person über die Datenverarbeitung, der AI Act über die KI-Natur und Funktionsweise des Systems.
Wo sie auseinanderlaufen
Der AI Act greift ohne Personenbezug (Produktlogik), die DSGVO nicht. Umgekehrt regelt die DSGVO jede Datenverarbeitung, auch ganz ohne KI. Der AI Act kennt zudem Kategorien wie "verbotene Praktiken" und "Konformitätsbewertung", die der DSGVO fremd sind. Und: Der AI Act adressiert Rollen (Provider, Deployer), die DSGVO Verantwortliche und Auftragsverarbeiter — diese Rollen decken sich nicht deckungsgleich.
Die besondere Datenschutz-Erlaubnis im AI Act
Ein interessanter Berührungspunkt: Für die Bias-Erkennung und -Korrektur in Hochrisiko-Systemen erlaubt der AI Act unter strengen Voraussetzungen die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 10(5)) — soweit unbedingt erforderlich. Der Digital Omnibus hält dabei am strengen Maßstab "unbedingt erforderlich" fest, statt ihn aufzuweichen. Das ist eine eng begrenzte Brücke zwischen beiden Regimen.
Praxis: ein gemeinsames Evidenz-System
Statt zwei getrennte Compliance-Silos zu führen, lohnt sich ein konsolidiertes Evidenz-System: Datenflüsse, Folgenabschätzungen (DSFA + FRIA), Rollenzuordnung und Transparenzartefakte einmal sauber erfassen und auf beide Regime abbilden. Wer ISO 42001, DSGVO und AI Act in einer Quelle führt, vermeidet Doppelarbeit und Widersprüche.
Fazit
DSGVO-Konformität ist eine notwendige, aber keine hinreichende Bedingung für AI-Act-Konformität. Behandeln Sie beide als sich ergänzende Schichten: die DSGVO schützt die Daten, der AI Act macht das KI-System als Produkt sicher und vertrauenswürdig. Wer nur eines erfüllt, hat eine Lücke.
Häufig gestellte Fragen
Bin ich AI-Act-konform, wenn ich DSGVO-konform bin?+
Nein. Die DSGVO schützt personenbezogene Daten, der AI Act reguliert KI-Systeme als Produkte mit risikobasiertem Ansatz. Beide gelten parallel und stellen unterschiedliche Anforderungen. DSGVO-Konformität ist notwendig, aber nicht hinreichend.
Gilt der AI Act auch ohne personenbezogene Daten?+
Ja. Der AI Act knüpft am KI-System als Produkt an, nicht am Personenbezug. Eine KI ohne jede Verarbeitung personenbezogener Daten — etwa in der industriellen Qualitätskontrolle — kann unter den AI Act fallen, während die DSGVO nicht greift.
Ersetzt die FRIA die Datenschutz-Folgenabschätzung?+
Nein. Die DSFA (DSGVO Art. 35) betrachtet Datenschutzrisiken, die FRIA (AI Act Art. 27) alle Grundrechte. Eine bestehende DSFA kann als Grundlage dienen und ergänzt werden, ersetzt die FRIA aber nicht vollständig.
Wer überwacht den AI Act im Vergleich zur DSGVO?+
Die DSGVO wird von den Datenschutzaufsichtsbehörden überwacht. Der AI Act wird über nationale Marktüberwachungsbehörden und das europäische AI Office durchgesetzt. Die Zuständigkeiten können sich überschneiden, sind aber institutionell getrennt.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: Juni 2026