EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →

EU AI Act vs. DSGVO: Was ist der Unterschied?

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

EU AI Act und DSGVO gelten parallel. Die DSGVO regelt Datenverarbeitung; der AI Act regelt KI-Systeme. Wer KI mit personenbezogenen Daten einsetzt, muss beide Regime erfüllen. Bussgelder kumulieren — bis 7% (AI Act) plus 4% (DSGVO) globaler Umsatz möglich.

Die häufigste Compliance-Frage 2026: Was muss ich, wenn ich beides erfüllen muss? Die Verordnungen überschneiden sich, ersetzen sich aber nicht. Dieser Vergleich zeigt die wichtigsten Unterschiede und Schnittstellen.

Schutzobjekt

DSGVO: Personenbezogene Daten. Unabhängig von der Technologie.

EU AI Act: KI-Systeme nach Art. 3 Nr. 1. Unabhängig vom Daten-Typ.

Schnittstelle: Wenn KI personenbezogene Daten verarbeitet (was meist der Fall ist), gelten beide.

Pflichtige

DSGVO: Verantwortlicher und Auftragsverarbeiter (Art. 4 Nr. 7-8).

EU AI Act: Provider, Deployer, Importeur, Händler, EU-Bevollmächtigter (Art. 3 Nr. 3-5).

Mapping: Provider ≈ oft auch Verantwortlicher; Deployer kann Verantwortlicher oder Auftragsverarbeiter sein, je nach Konstellation.

Bussgelder

DSGVO (Art. 83): - Stufe 1: bis 10 Mio. EUR oder 2% globaler Umsatz - Stufe 2: bis 20 Mio. EUR oder 4% globaler Umsatz

EU AI Act (Art. 99): - Verbot Art. 5: bis 35 Mio. EUR oder 7% globaler Umsatz - Hochrisiko-Verstoss: bis 15 Mio. EUR oder 3% globaler Umsatz - Falsche Angaben: bis 7,5 Mio. EUR oder 1%

Kumulation: Bei Verstössen gegen beide Regime können beide Bussgelder verhängt werden — KMU-Killer-Risiko.

FRIA vs. DPIA

DPIA (Art. 35 DSGVO): - Fokus Datenschutz-Risiken - Bei hohem Risiko zwingend vor Verarbeitung - Pflicht: Verantwortlicher

FRIA (Art. 27 EU AI Act): - Fokus Grundrechte (breiter als Datenschutz) - Bei Hochrisiko-KI in bestimmten Sektoren - Pflicht: Deployer (öffentliche Stellen, Banken, Versicherer)

Bei Überschneidung können beide Dokumente gemeinsam erstellt werden, ersetzen sich aber nicht.

Aufsicht

DSGVO: Datenschutzbehörden (BfDI, BayLDA, EDÖB, DSB).

EU AI Act: Marktaufsichtsbehörden (Bundesnetzagentur in DE, RTR in AT, mehrere kantonale plus FINMA in CH).

EDPB-Position: Datenschutzbehörden behalten bei KI mit personenbezogenen Daten Zuständigkeit. Koordinierung mit AI-Act-Aufsicht ist im Aufbau.

Häufige Fragen

Ersetzt der AI Act die DSGVO?
Nein. Beide gelten parallel. Wer KI mit personenbezogenen Daten einsetzt, muss beide Regime erfüllen.
Was hat Vorrang bei Konflikten?
Es gibt keine generelle Hierarchie. In der Praxis: AI Act regelt das System, DSGVO die Datenverarbeitung. Wo Pflichten kollidieren, gilt die strengere — meist die DSGVO bei Datenthemen.
Ist Art. 22 DSGVO durch AI Act ersetzt?
Nein. Art. 22 DSGVO bleibt unverändert. CJEU C-634/21 SCHUFA hat klargestellt, dass auch automatisierte Vorbereitungs-Scoring betroffen ist.
Brauche ich beide Folgenabschätzungen?
Ja, wenn die Voraussetzungen beider greifen. Sie können gemeinsam dokumentiert werden, müssen aber jeweils die spezifischen Inhaltsanforderungen erfüllen.

Relevante Rechtsgrundlagen

EU AI ActDSGVOCJEU C-634/21

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle VergleichQuick-Check