EU AI Act + DSGVO-Compliance

Die Überschneidung von EU AI Act und DSGVO schafft eine Compliance-Lücke. So schliessen Sie sie

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die EU AI Act und DSGVO-Compliance über Konzerne mit mehreren Einheiten hinweg vereint und doppelte Beurteilungen sowie Audit-Lücken beseitigt.

Ihre Organisation steuert die DSGVO bereits über mehrere Einheiten und Rechtsräume hinweg. Nun bringt der EU AI Act neue Pflichten mit sich, die sich direkt mit Ihrem bestehenden Datenschutzprogramm überschneiden – von Datenschutz-Folgenabschätzungen über Transparenzanforderungen bis hin zur Dokumentation von Hochrisiko-Verarbeitungen. Den meisten Compliance-Teams fehlt eine klare Übersicht darüber, wo diese beiden Rahmenwerke konvergieren – und genau dort potenziert sich das Risiko.

Diese Seite zeigt im Detail, wo die kritischen Überschneidungen zwischen EU AI Act und DSGVO liegen, erklärt, warum die isolierte Steuerung der schnellste Weg zum Audit-Scheitern ist, und liefert Ihnen einen praxisnahen Rahmen für einheitliche Compliance. Wir haben das Wissen in einem kostenlosen, herunterladbaren Leitfaden zusammengefasst, der für Datenschutzbeauftragte und Compliance-Verantwortliche mit Programmen über mehrere Einheiten konzipiert ist.

68%

der Datenschutzfachleute erwarten, Verantwortung für KI-Governance zu übernehmen

IAPP-Umfrage, 2024

23%

verfügen über einen einheitlichen Rahmen, um AI Act und DSGVO gemeinsam zu steuern

IAPP-Umfrage, 2024

7%

des weltweiten Umsatzes, die maximale Sanktion unter dem AI Act

EU AI Act, Artikel 99

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Zwei regulatorische Rahmenwerke. Ein Compliance-Team. Kein Spielraum für Fehler.

Der Aufbau Ihres DSGVO-Programms hat Jahre gedauert. Nun bringt der EU AI Act parallele Pflichten mit sich, die an jedem kritischen Punkt aufeinandertreffen: Beurteilungen, Dokumentation, Transparenz, Governance. Hier öffnet sich die Lücke.

Parallele Folgenabschätzungen verdoppeln Ihren Arbeitsaufwand

Die DSGVO verlangt DSFAs für Hochrisiko-Verarbeitungen. Der AI Act verlangt Grundrechte-Folgenabschätzungen für Hochrisiko-KI. Verarbeitet ein KI-System Personendaten, werden beide ausgelöst – und teilen sich dieselben Eingaben, Datenkategorien und Risikodimensionen. Ohne einheitlichen Arbeitsablauf führen Teams doppelte Beurteilungen für dieselben Verarbeitungstätigkeiten durch und erzeugen Inkonsistenzen, die Prüfern auffallen werden.

68% der Datenschutzfachleute erwarten, Verantwortung für KI-Governance zu übernehmen, doch nur 23% verfügen über einen einheitlichen Rahmen, um beides zu steuern.

Quelle: IAPP 2024 Privacy Governance Survey

Transparenzpflichten, die nicht ganz deckungsgleich sind

Die DSGVO-Artikel 13–14 verlangen aussagekräftige Informationen über die Logik automatisierter Entscheidungen. Der AI Act fügt neue Transparenzebenen für KI-Systeme hinzu, die mit Menschen interagieren, sowie für Emotionserkennung und KI-generierte Inhalte. Diese Anforderungen überschneiden sich, sind jedoch nicht identisch, und Ihr Compliance-Team benötigt eine einzige verlässliche Quelle dafür, was wem und unter welcher Regulierung offengelegt werden muss. Wer hier Fehler macht, scheitert gleich an zwei Aufsichtsbehörden.

Nationale Datenschutzbehörden werden in mehreren EU-Mitgliedstaaten als Marktüberwachungsbehörden für den AI Act benannt: dieselbe Behörde prüft beide Rahmenwerke.

Quelle: EU AI Act Artikel 70, Benennungen der Mitgliedstaaten 2024

Dokumentation in Silos wird ein Audit nicht bestehen

Der DSGVO-Artikel 30 verlangt ein Verzeichnis von Verarbeitungstätigkeiten. Der AI Act verlangt von Anbietern und Betreibern, technische Dokumentation, Aktivitätsprotokolle und Aufzeichnungen zum Risikomanagement zu führen. Für jedes KI-System, das Personendaten verarbeitet, müssen diese Aufzeichnungen aufeinander Bezug nehmen. Liegt Ihr Verarbeitungsverzeichnis in der einen Tabelle und Ihre KI-Dokumentation in einer anderen – über 10, 20 oder mehr als 50 Tochtergesellschaften hinweg –, werden Prüfer die Lücken vor Ihnen finden.

Sanktionen unter dem AI Act erreichen bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Quelle: EU AI Act Artikel 99, Sanktionsrahmen

Konzerne mit mehreren Einheiten stehen vor exponentieller Komplexität

Jede Tochtergesellschaft, die KI-Systeme einsetzt oder beschafft, muss sowohl nach der DSGVO als auch nach dem AI Act beurteilt werden – mit länderspezifischen Feinheiten in jedem Mitgliedstaat. Wenn Sie Compliance über Dutzende von Einheiten hinweg steuern, macht die Kombination aus zwei konvergierenden Rahmenwerken und mehreren Aufsichtsbehörden Tabellen und geteilte Laufwerke strukturell unzulänglich. Das Problem ist nicht der Aufwand, sondern die Architektur.

Schätzungsweise 6'000 bis 10'000 Hochrisiko-KI-Systeme sind bereits in der gesamten EU im Einsatz und müssen nun nach beiden Rahmenwerken dokumentiert werden.

Quelle: Folgenabschätzung der Europäischen Kommission zum AI Act, 2024

Die Durchsetzung konvergiert: Ihre Aufsichtsbehörden erwarten Kohärenz

Dies ist kein theoretisches Risiko. Nationale Datenschutzbehörden werden als Marktüberwachungsbehörden für den AI Act benannt. Dieselbe Behörde, die Ihr DSGVO-Verarbeitungsverzeichnis prüft, wird auch Ihre AI-Act-Dokumentation überprüfen. Sie wird erwarten, dass diese Aufzeichnungen eine kohärente Geschichte erzählen. Wenn Ihr Datenschutzprogramm und Ihr KI-Governance-Programm als getrennte Arbeitsstränge laufen, werden die Inkonsistenzen zu Audit-Feststellungen.

DSGVO-Bussgelder überstiegen bis Ende 2024 kumuliert 4,5 Milliarden Euro, und die Durchsetzung des AI Act fügt durch dieselben Behörden eine zweite Sanktionsebene hinzu.

Quelle: GDPR Enforcement Tracker, CMS Law, kumuliert bis Dezember 2024

Datengovernance-Kollisionen in der Design-Phase

Der AI Act Artikel 10 stellt spezifische Governance-Anforderungen an Trainings-, Validierungs- und Testdatensätze von Hochrisiko-KI. Wenn diese Datensätze Personendaten enthalten (und das tun sie fast immer), gelten gleichzeitig die DSGVO-Grundsätze der Datenminimierung, Zweckbindung und Richtigkeit. Diese Pflichten können in Konflikt geraten. Ihre Auflösung erfordert eine rahmenübergreifende Analyse in der Design-Phase des Systems – kein nachträgliches Compliance-Flickwerk.

Die KI-gestützten DSFA- und FRIA-Arbeitsabläufe von Priverion teilen sich Eingaben von Grund auf und beseitigen die Doppelarbeit, die Audit-Risiken schafft.

Priverion-Plattformfähigkeit: KI unterstützt, Menschen entscheiden

Diese überschneidenden Pflichten über Tabellen und isolierte Tools hinweg zu steuern, ist der Weg, auf dem aus Compliance-Lücken Durchsetzungsmassnahmen werden.

Kostenlosen Überschneidungs-Leitfaden herunterladen

200+

Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Medtec gewann während der Vorbereitung auf ISO 27001 über 200 Stunden zurück, die zuvor für manuelle Aktualisierungen des Verarbeitungsverzeichnisses aufgewendet wurden – Zeit, die nun in strategische Datenschutzarbeit fliesst.

60%

Geringere Kosten gegenüber Altsystemen

Basierend auf veröffentlichten Preisvergleichen mit OneTrust für mittelständische Organisationen, die mehr als 10 Einheiten verwalten. Keine Gebühren pro Nutzer, keine Erweiterung pro Modul.

3 Mt.

Vorsprung im Zeitplan bei ISO 27001

Medtec beschleunigte den Zeitplan für die ISO-27001-Zertifizierung um drei Monate, indem das Unternehmen die automatisierte Nachweisaufbereitung und die audit-fertige Dokumentation von Priverion nutzte.

Warum Unternehmen wechseln

Datenschutzmanagement auf Enterprise-Niveau ohne Enterprise-Komplexität

Mittelständische Organisationen brauchen leistungsstarke Compliance-Tools, nicht 300 Funktionen, die sie nie nutzen werden. Hier erfahren Sie, warum Teams, die Datenschutz über mehrere Einheiten hinweg steuern, sich für Priverion statt für OneTrust entscheiden.

Mit Priverion

Schweizer Datensouveränität, garantiert

Vollständig in der Schweiz entwickelt und gehostet. In einer Welt nach Schrems II verlässt Ihre Daten nie den europäischen Rechtsraum. Schweizer Hosting ist kein Häkchen auf einer Liste, sondern unser Fundament.

Konzipiert für konzernweite Steuerung

Einheitsübergreifendes Datenmapping, automatisierte Rezertifizierung des Verarbeitungsverzeichnisses über Tochtergesellschaften hinweg und ein einziges Dashboard, das Ihrem Datenschutzbeauftragten den Überblick über jede Einheit verschafft. AXA erreichte eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100%, vollständig automatisiert.

AXA, automatisierte Rezertifizierung über alle Konzerneinheiten hinweg

Einsatzbereit in Wochen, nicht Monaten

Intuitive Bedienung sorgt dafür, dass Ihr Team das Tool tatsächlich nutzt. Kein sechsmonatiges Implementierungsprojekt, kein dedizierter Administrator. Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance in den ersten sechs Monaten um 60%.

Flugzeughersteller, 60% Reduktion in den ersten 6 Monaten

Planbare Preise, die mit Ihnen skalieren

Die Preisgestaltung richtet sich nach der Anzahl der Unternehmen und der Organisationsgrösse, nicht nach Lizenzen pro Nutzer oder Zusatzmodulen. Ihr CFO kann für das nächste Jahr budgetieren, ohne sich auf Erweiterungskosten gefasst machen zu müssen.

KI, die unterstützt, aber nie entscheidet

KI-gestützte DSFA-Erstellung, Risikobewertung und regulatorisches Mapping – alles innerhalb der Schweizer Infrastruktur verarbeitet. Jedes KI-Ergebnis wird überprüft, bevor es zu einem Compliance-Datensatz wird. Es werden niemals Kundendaten für das Training von Modellen verwendet.

Das typische Erlebnis mit einer Enterprise-Plattform

In den USA gehostet, komplexe Übermittlungsmechanismen

Die meisten Enterprise-Plattformen haben ihren Hauptsitz in den USA und werden dort gehostet. Das bedeutet zusätzliche Standardvertragsklauseln, Transfer-Folgenabschätzungen und laufende Übermittlungs-Folgenabschätzungen, nur um Ihr Compliance-Tool zu nutzen – und fügt damit dem System, das den Aufwand reduzieren soll, rechtlichen Mehraufwand hinzu.

Für Unternehmen mit einer einzigen Einheit gebaut

Die Steuerung über mehrere Einheiten ist oft ein nachträglicher Gedanke, der über Behelfslösungen angeflanscht statt in die Architektur eingebaut wird. Datenschutzbeauftragte verwalten die Compliance ihrer Tochtergesellschaften am Ende genauso wie zuvor in Tabellen – nur in einem teureren Tool.

Sechsmonatige Implementierungen, dedizierte Administratoren

Komplexe Plattformen erfordern Spezialschulungen, dedizierte Administratoren und monatelange Konfiguration, bevor Sie einen Nutzen sehen. Mittelständische Teams haben diese Ressourcen nicht; sie brauchen Tools, die ab dem ersten Tag funktionieren.

Preise pro Nutzer, die Wachstum bestrafen

Preise pro Nutzer und pro Modul bedeuten, dass jedes neue Teammitglied, jede neue Tochtergesellschaft und jeder zusätzliche Arbeitsablauf Ihre Rechnung in die Höhe treibt. Was als vernünftige Investition beginnt, wird zu einem unkalkulierbaren Kostenfaktor.

Undurchsichtige KI mit unklaren Datenpraktiken

Viele Plattformen rühmen sich «KI-gestützter» Funktionen, ohne klarzustellen, wo Daten verarbeitet werden, ob Ergebnisse überprüft werden oder ob Kundendaten ihre Modelle trainieren. Für ein Compliance-Tool ist das eine ironische blinde Stelle.

Ihr Compliance-Team verdient mehr als Tabellen

Schluss mit dem Hinterherlaufen. Steuern Sie Datenschutz aktiv.

Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance in sechs Monaten um 60%. AXA erreichte eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100%, vollständig automatisiert. Medtec sparte über 200 Stunden bei der Vorbereitung auf ISO 27001.

In 30 Minuten zeigen wir Ihnen genau, wie konzernweites Datenschutzmanagement funktioniert, wenn es für Organisationen mit mehreren Einheiten gebaut und nicht nachträglich angeflanscht wurde. In der Schweiz gehostet, KI-gestützt und ohne Überraschungen bei den Preisen pro Nutzer.

30-minütige Tour buchen

Keine Verpflichtung. Kein Verkaufsgespräch. Nur ein klarer Blick darauf, was sich für Ihr Team verändert.

Wochen statt Monate

Durchschnittliche Zeit bis zum Live-Betrieb, basierend auf Kundenimplementierungen

In der Schweiz gehostet

Die gesamte Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur

Planbare Preise

Preise pro Unternehmen, keine Erweiterungsfallen pro Nutzer oder pro Modul

Leitfaden zur Überschneidung von EU AI Act und DSGVO herunterladen

Ein praxisnaher Rahmen für Datenschutzbeauftragte und Compliance-Verantwortliche, die beide Regulierungen über mehrere Einheiten hinweg steuern. Aus echter Implementierungserfahrung entwickelt, nicht aus theoretischen Ratschlägen.

  • Die 7 kritischen Bereiche, in denen EU AI Act und DSGVO konvergieren
  • Ein einheitlicher Beurteilungsablauf für DSFAs und FRIAs
  • Checkliste zur Querverweisung der Dokumentation für die Audit-Bereitschaft
  • Koordinationsleitfaden für mehrere Einheiten mit länderspezifischen Überlegungen
  • Zeitleiste der Durchsetzungsmeilensteine bis 2027

Mit dem Absenden erklären Sie sich damit einverstanden, den Leitfaden sowie gelegentlich Einblicke zur Datenschutz-Compliance von Priverion zu erhalten. Wir behandeln Ihre Daten mit Respekt. Lesen Sie unsere Datenschutzerklärung. Sie können sich jederzeit abmelden.

Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick: Überschneidung von EU AI Act und DSGVO

EU AI Act und DSGVO konvergieren in sieben kritischen Bereichen, die Compliance-Teams als einheitliches Programm steuern müssen: Folgenabschätzungen, Transparenz, Dokumentation, Datengovernance, Durchsetzung, Komplexität mehrerer Einheiten und Pflichten in der Design-Phase. Organisationen, die diese Rahmenwerke als getrennte Arbeitsstränge behandeln, sehen sich mit Doppelarbeit, inkonsistenten Aufzeichnungen und sich potenzierendem Durchsetzungsrisiko durch Behörden konfrontiert, die nun beide Gesetze überwachen. Eine einheitliche Compliance-Architektur – nicht noch mehr Tabellen – ist die strukturelle Lösung.

Definitionen

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Er klassifiziert KI-Systeme nach Risikostufe – inakzeptabel, hoch, begrenzt und minimal – und erlegt Anbietern und Betreibern entsprechende Pflichten auf. Hochrisiko-KI-Systeme unterliegen den strengsten Anforderungen, darunter Konformitätsbewertungen, technische Dokumentation und menschliche Aufsicht. Quelle: EUR-Lex, Verordnung (EU) 2024/1689

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA ist ein nach DSGVO-Artikel 35 vorgeschriebenes Verfahren zur Ermittlung und Minimierung von Datenschutzrisiken bei Hochrisiko-Verarbeitungstätigkeiten. Sie muss die Verarbeitung beschreiben, Notwendigkeit und Verhältnismässigkeit beurteilen sowie die Risiken für die Rechte und Freiheiten von Einzelpersonen bewerten.

Was ist eine Grundrechte-Folgenabschätzung (FRIA)?

Eine Grundrechte-Folgenabschätzung (FRIA) ist nach Artikel 27 des EU AI Act für Betreiber von Hochrisiko-KI-Systemen vorgeschrieben. Sie bewertet die Auswirkungen des KI-Systems auf die Grundrechte, einschliesslich des Rechts auf Privatsphäre, der Nichtdiskriminierung und der Menschenwürde. Verarbeitet das KI-System auch Personendaten, teilen sich FRIA und DSFA überlappende Eingaben.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?

Das Verarbeitungsverzeichnis ist ein nach DSGVO-Artikel 30 obligatorisches Register der Verarbeitung von Personendaten. Verantwortliche und Auftragsverarbeiter müssen für jede Verarbeitungstätigkeit Zwecke, Datenkategorien, Empfänger, Übermittlungen und Aufbewahrungsfristen dokumentieren.

Was ist ein Hochrisiko-KI-System nach dem EU AI Act?

Ein Hochrisiko-KI-System ist ein KI-System, das in Anhang III des EU AI Act aufgeführt ist oder als Sicherheitsbauteil eines Produkts verwendet wird, das unter die in Anhang I aufgeführten EU-Harmonisierungsvorschriften fällt. Zu den Kategorien gehören KI, die bei biometrischer Identifizierung, kritischer Infrastruktur, Beschäftigung, Bildung, Strafverfolgung und Migration eingesetzt wird. Quelle: EU AI Act, Anhang III

Statistiken und Belege

Laut dem IAPP-EY Privacy Governance Report 2024 erwarten 68% der Datenschutzfachleute, Verantwortung für KI-Governance zu übernehmen, doch nur 23% berichten, über einen einheitlichen Rahmen für die Steuerung der Pflichten aus AI Act und DSGVO zu verfügen. Die Folgenabschätzung der Europäischen Kommission zum AI Act schätzte, dass zwischen 6'000 und 10'000 Hochrisiko-KI-Systeme bereits in der gesamten EU im Einsatz sind und nun nach beiden Rahmenwerken dokumentiert werden müssen. DSGVO-Bussgelder überstiegen bis Ende 2024 kumuliert 4,5 Milliarden Euro, und der AI Act fügt eine zweite Sanktionsebene hinzu – bis zu 35 Millionen Euro oder 7% des weltweiten Umsatzes nach Artikel 99 –, durchgesetzt von denselben nationalen Behörden.

Häufig gestellte Fragen

Wo überschneiden sich EU AI Act und DSGVO?

Die beiden Rahmenwerke konvergieren in sieben kritischen Bereichen: (1) Folgenabschätzungen – DSFAs nach DSGVO-Artikel 35 und FRIAs nach AI-Act-Artikel 27; (2) Transparenzpflichten – DSGVO-Artikel 13–14 und AI-Act-Artikel 50–52; (3) Dokumentation – Verarbeitungsverzeichnis nach DSGVO-Artikel 30 und technische Dokumentation nach AI-Act-Anhang IV; (4) Datengovernance für Trainingsdatensätze nach AI-Act-Artikel 10, die sich mit der Datenminimierung und Zweckbindung der DSGVO überschneidet; (5) Durchsetzungskonvergenz, da nationale Datenschutzbehörden nach Artikel 70 zu Marktüberwachungsbehörden für den AI Act werden; (6) Komplexität mehrerer Einheiten über Tochtergesellschaften in verschiedenen Mitgliedstaaten hinweg; und (7) Governance in der Design-Phase, in der beide Rahmenwerke Anforderungen vor dem Einsatz stellen.

Brauche ich sowohl eine DSFA als auch eine Grundrechte-Folgenabschätzung für Hochrisiko-KI?

Ja. Verarbeitet ein Hochrisiko-KI-System Personendaten, sind sowohl eine DSFA (DSGVO-Artikel 35) als auch eine FRIA (AI-Act-Artikel 27) erforderlich. Diese Beurteilungen teilen sich überlappende Eingaben – Datenkategorien, Risikodimensionen und betroffene Bevölkerungsgruppen –, dienen jedoch unterschiedlichen regulatorischen Zwecken. Werden sie als getrennte Arbeitsstränge geführt, entstehen Doppelarbeit und Inkonsistenzrisiken. Der EDSA hat auf die Notwendigkeit kohärenter Beurteilungsmethoden über beide Rahmenwerke hinweg hingewiesen. Quelle: EDSA

Wie hoch sind die maximalen Sanktionen unter dem EU AI Act?

Der EU AI Act sieht eine gestaffelte Sanktionsstruktur nach Artikel 99 vor. Die höchste Stufe – für verbotene KI-Praktiken – erreicht 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für andere Verstösse können die Sanktionen 15 Millionen Euro oder 3% des Umsatzes erreichen. Diese gelten zusätzlich zu DSGVO-Bussgeldern (bis zu 20 Millionen Euro oder 4% des Umsatzes nach Artikel 83) und schaffen ein doppeltes Durchsetzungsrisiko. Quelle: EU AI Act, Artikel 99

Wer setzt den EU AI Act neben der DSGVO durch?

Nach Artikel 70 des EU AI Act muss jeder Mitgliedstaat nationale zuständige Behörden als Marktüberwachungsbehörden benennen. Mehrere Mitgliedstaaten haben ihre bestehenden nationalen Datenschutzbehörden für diese Rolle benannt. Das bedeutet, dass dieselbe Behörde, die Ihre DSGVO-Compliance prüft – mit Blick auf Verarbeitungsverzeichnis, DSFAs und Meldungen von Datenschutzverletzungen –, auch Ihre AI-Act-Dokumentation, Risikomanagementsysteme und Konformitätsbewertungen inspiziert.

Wie wirkt sich der EU AI Act auf die Governance von Trainingsdaten unter der DSGVO aus?

Artikel 10 des EU AI Act verlangt, dass Trainings-, Validierungs- und Testdatensätze für Hochrisiko-KI-Systeme bestimmte Qualitätskriterien erfüllen, darunter Relevanz, Repräsentativität und Fehlerfreiheit. Wenn diese Datensätze Personendaten enthalten – was nahezu immer der Fall ist –, gelten gleichzeitig die DSGVO-Grundsätze: Datenminimierung (Artikel 5 Abs. 1 Bst. c), Zweckbindung (Artikel 5 Abs. 1 Bst. b) und Richtigkeit (Artikel 5 Abs. 1 Bst. d). Diese Pflichten können Spannungen erzeugen – beispielsweise können AI-Act-Anforderungen an repräsentative Datensätze mit dem Grundsatz der Datenminimierung der DSGVO in Konflikt geraten –, was eine rahmenübergreifende Analyse in der Design-Phase erfordert.

Kann ich die Compliance von EU AI Act und DSGVO in einer einzigen Plattform steuern?

Ja. Einheitliche GRC-Plattformen wie Priverion sind darauf ausgelegt, beide Rahmenwerke in einer einzigen Umgebung zu steuern. Gemeinsame DSFA- und FRIA-Arbeitsabläufe beseitigen doppelte Beurteilungen, querverwiesene Verarbeitungsverzeichnis- und technische KI-Dokumentation sorgen für Audit-Kohärenz, und konzernweite Dashboards bieten Transparenz über alle Tochtergesellschaften hinweg. Priverion wird vollständig in der Schweiz gehostet und gewährleistet so Datensouveränität in einer Welt nach Schrems II.

Wie sieht der Zeitplan für die Durchsetzung des EU AI Act aus?

Der EU AI Act trat am 01.08.2024 in Kraft. Verbotene KI-Praktiken sind seit dem 02.02.2025 durchsetzbar. Pflichten für KI-Modelle mit allgemeinem Verwendungszweck gelten ab dem 02.08.2025. Der vollständige Pflichtenkatalog für Hochrisiko-KI-Systeme gilt ab dem 02.08.2026. Organisationen, die Hochrisiko-KI-Systeme einsetzen, die Personendaten verarbeiten, müssen bis zu diesen Terminen die Compliance sowohl mit dem AI Act als auch mit der DSGVO sicherstellen. Quelle: EU AI Act, Artikel 113

Wie unterscheiden sich die Transparenzanforderungen der DSGVO von den Transparenzpflichten des AI Act?

Die DSGVO-Artikel 13–14 verlangen, dass Verantwortliche betroffenen Personen aussagekräftige Informationen über die Logik automatisierter Entscheidungsfindung einschliesslich Profiling bereitstellen. Der AI Act fügt zusätzliche Transparenzebenen hinzu: Artikel 50 verlangt, dass Personen, die mit KI-Systemen interagieren, darüber informiert werden; Systeme zur Emotionserkennung und biometrischen Kategorisierung müssen ihren Betrieb offenlegen; und KI-generierte Inhalte (einschliesslich Deepfakes) müssen gekennzeichnet werden. Diese Anforderungen überschneiden sich, sind jedoch nicht identisch – die DSGVO konzentriert sich auf die Rechte betroffener Personen, während der AI Act eine breitere gesellschaftliche Transparenz adressiert. Compliance-Teams benötigen eine einzige verlässliche Quelle dafür, was wem und unter welcher Regulierung offengelegt werden muss.

Vergleich: Pflichten von DSGVO und EU AI Act

PflichtbereichDSGVO-AnforderungEU-AI-Act-AnforderungAuswirkung der Überschneidung
FolgenabschätzungenDSFA nach Artikel 35FRIA nach Artikel 27Beide werden für Hochrisiko-KI ausgelöst, die Personendaten verarbeitet; gemeinsame Eingaben
TransparenzArtikel 13–14: Logik automatisierter EntscheidungenArtikel 50: Offenlegung von KI-Interaktion, Kennzeichnung von DeepfakesÜberschneidend, aber nicht identisch; einheitlicher Offenlegungsrahmen erforderlich
DokumentationVerarbeitungsverzeichnis nach Artikel 30Technische Dokumentation nach Anhang IV; AktivitätsprotokolleMüssen aufeinander Bezug nehmen; isolierte Aufzeichnungen schaffen Audit-Lücken
DatengovernanceMinimierung, Zweckbindung, Richtigkeit (Art. 5)Qualitätsanforderungen an Trainingsdaten (Art. 10)Mögliche Konflikte; rahmenübergreifende Analyse in der Design-Phase erforderlich
DurchsetzungNationale DatenschutzbehördenNationale Datenschutzbehörden als Marktüberwachungsbehörden (Art. 70)Dieselbe Behörde prüft beides; erwartet kohärente Aufzeichnungen
SanktionenBis zu 20 Mio. € oder 4% des weltweiten Umsatzes (Art. 83)Bis zu 35 Mio. € oder 7% des weltweiten Umsatzes (Art. 99)Doppeltes Sanktionsrisiko durch eine einzige Behörde
AnwendungsbereichVerarbeitung von PersonendatenLebenszyklus des KI-Systems (Anbieter + Betreiber)Nahezu jede Hochrisiko-KI verarbeitet Personendaten