Das Wichtigste auf einen Blick: Überschneidung von EU AI Act und DSGVO
EU AI Act und DSGVO konvergieren in sieben kritischen Bereichen, die Compliance-Teams als einheitliches Programm steuern müssen: Folgenabschätzungen, Transparenz, Dokumentation, Datengovernance, Durchsetzung, Komplexität mehrerer Einheiten und Pflichten in der Design-Phase. Organisationen, die diese Rahmenwerke als getrennte Arbeitsstränge behandeln, sehen sich mit Doppelarbeit, inkonsistenten Aufzeichnungen und sich potenzierendem Durchsetzungsrisiko durch Behörden konfrontiert, die nun beide Gesetze überwachen. Eine einheitliche Compliance-Architektur – nicht noch mehr Tabellen – ist die strukturelle Lösung.
Definitionen
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Er klassifiziert KI-Systeme nach Risikostufe – inakzeptabel, hoch, begrenzt und minimal – und erlegt Anbietern und Betreibern entsprechende Pflichten auf. Hochrisiko-KI-Systeme unterliegen den strengsten Anforderungen, darunter Konformitätsbewertungen, technische Dokumentation und menschliche Aufsicht. Quelle: EUR-Lex, Verordnung (EU) 2024/1689
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Eine DSFA ist ein nach DSGVO-Artikel 35 vorgeschriebenes Verfahren zur Ermittlung und Minimierung von Datenschutzrisiken bei Hochrisiko-Verarbeitungstätigkeiten. Sie muss die Verarbeitung beschreiben, Notwendigkeit und Verhältnismässigkeit beurteilen sowie die Risiken für die Rechte und Freiheiten von Einzelpersonen bewerten.
Was ist eine Grundrechte-Folgenabschätzung (FRIA)?
Eine Grundrechte-Folgenabschätzung (FRIA) ist nach Artikel 27 des EU AI Act für Betreiber von Hochrisiko-KI-Systemen vorgeschrieben. Sie bewertet die Auswirkungen des KI-Systems auf die Grundrechte, einschliesslich des Rechts auf Privatsphäre, der Nichtdiskriminierung und der Menschenwürde. Verarbeitet das KI-System auch Personendaten, teilen sich FRIA und DSFA überlappende Eingaben.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?
Das Verarbeitungsverzeichnis ist ein nach DSGVO-Artikel 30 obligatorisches Register der Verarbeitung von Personendaten. Verantwortliche und Auftragsverarbeiter müssen für jede Verarbeitungstätigkeit Zwecke, Datenkategorien, Empfänger, Übermittlungen und Aufbewahrungsfristen dokumentieren.
Was ist ein Hochrisiko-KI-System nach dem EU AI Act?
Ein Hochrisiko-KI-System ist ein KI-System, das in Anhang III des EU AI Act aufgeführt ist oder als Sicherheitsbauteil eines Produkts verwendet wird, das unter die in Anhang I aufgeführten EU-Harmonisierungsvorschriften fällt. Zu den Kategorien gehören KI, die bei biometrischer Identifizierung, kritischer Infrastruktur, Beschäftigung, Bildung, Strafverfolgung und Migration eingesetzt wird. Quelle: EU AI Act, Anhang III
Statistiken und Belege
Laut dem IAPP-EY Privacy Governance Report 2024 erwarten 68% der Datenschutzfachleute, Verantwortung für KI-Governance zu übernehmen, doch nur 23% berichten, über einen einheitlichen Rahmen für die Steuerung der Pflichten aus AI Act und DSGVO zu verfügen. Die Folgenabschätzung der Europäischen Kommission zum AI Act schätzte, dass zwischen 6'000 und 10'000 Hochrisiko-KI-Systeme bereits in der gesamten EU im Einsatz sind und nun nach beiden Rahmenwerken dokumentiert werden müssen. DSGVO-Bussgelder überstiegen bis Ende 2024 kumuliert 4,5 Milliarden Euro, und der AI Act fügt eine zweite Sanktionsebene hinzu – bis zu 35 Millionen Euro oder 7% des weltweiten Umsatzes nach Artikel 99 –, durchgesetzt von denselben nationalen Behörden.
Häufig gestellte Fragen
Wo überschneiden sich EU AI Act und DSGVO?
Die beiden Rahmenwerke konvergieren in sieben kritischen Bereichen: (1) Folgenabschätzungen – DSFAs nach DSGVO-Artikel 35 und FRIAs nach AI-Act-Artikel 27; (2) Transparenzpflichten – DSGVO-Artikel 13–14 und AI-Act-Artikel 50–52; (3) Dokumentation – Verarbeitungsverzeichnis nach DSGVO-Artikel 30 und technische Dokumentation nach AI-Act-Anhang IV; (4) Datengovernance für Trainingsdatensätze nach AI-Act-Artikel 10, die sich mit der Datenminimierung und Zweckbindung der DSGVO überschneidet; (5) Durchsetzungskonvergenz, da nationale Datenschutzbehörden nach Artikel 70 zu Marktüberwachungsbehörden für den AI Act werden; (6) Komplexität mehrerer Einheiten über Tochtergesellschaften in verschiedenen Mitgliedstaaten hinweg; und (7) Governance in der Design-Phase, in der beide Rahmenwerke Anforderungen vor dem Einsatz stellen.
Brauche ich sowohl eine DSFA als auch eine Grundrechte-Folgenabschätzung für Hochrisiko-KI?
Ja. Verarbeitet ein Hochrisiko-KI-System Personendaten, sind sowohl eine DSFA (DSGVO-Artikel 35) als auch eine FRIA (AI-Act-Artikel 27) erforderlich. Diese Beurteilungen teilen sich überlappende Eingaben – Datenkategorien, Risikodimensionen und betroffene Bevölkerungsgruppen –, dienen jedoch unterschiedlichen regulatorischen Zwecken. Werden sie als getrennte Arbeitsstränge geführt, entstehen Doppelarbeit und Inkonsistenzrisiken. Der EDSA hat auf die Notwendigkeit kohärenter Beurteilungsmethoden über beide Rahmenwerke hinweg hingewiesen. Quelle: EDSA
Wie hoch sind die maximalen Sanktionen unter dem EU AI Act?
Der EU AI Act sieht eine gestaffelte Sanktionsstruktur nach Artikel 99 vor. Die höchste Stufe – für verbotene KI-Praktiken – erreicht 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für andere Verstösse können die Sanktionen 15 Millionen Euro oder 3% des Umsatzes erreichen. Diese gelten zusätzlich zu DSGVO-Bussgeldern (bis zu 20 Millionen Euro oder 4% des Umsatzes nach Artikel 83) und schaffen ein doppeltes Durchsetzungsrisiko. Quelle: EU AI Act, Artikel 99
Wer setzt den EU AI Act neben der DSGVO durch?
Nach Artikel 70 des EU AI Act muss jeder Mitgliedstaat nationale zuständige Behörden als Marktüberwachungsbehörden benennen. Mehrere Mitgliedstaaten haben ihre bestehenden nationalen Datenschutzbehörden für diese Rolle benannt. Das bedeutet, dass dieselbe Behörde, die Ihre DSGVO-Compliance prüft – mit Blick auf Verarbeitungsverzeichnis, DSFAs und Meldungen von Datenschutzverletzungen –, auch Ihre AI-Act-Dokumentation, Risikomanagementsysteme und Konformitätsbewertungen inspiziert.
Wie wirkt sich der EU AI Act auf die Governance von Trainingsdaten unter der DSGVO aus?
Artikel 10 des EU AI Act verlangt, dass Trainings-, Validierungs- und Testdatensätze für Hochrisiko-KI-Systeme bestimmte Qualitätskriterien erfüllen, darunter Relevanz, Repräsentativität und Fehlerfreiheit. Wenn diese Datensätze Personendaten enthalten – was nahezu immer der Fall ist –, gelten gleichzeitig die DSGVO-Grundsätze: Datenminimierung (Artikel 5 Abs. 1 Bst. c), Zweckbindung (Artikel 5 Abs. 1 Bst. b) und Richtigkeit (Artikel 5 Abs. 1 Bst. d). Diese Pflichten können Spannungen erzeugen – beispielsweise können AI-Act-Anforderungen an repräsentative Datensätze mit dem Grundsatz der Datenminimierung der DSGVO in Konflikt geraten –, was eine rahmenübergreifende Analyse in der Design-Phase erfordert.
Kann ich die Compliance von EU AI Act und DSGVO in einer einzigen Plattform steuern?
Ja. Einheitliche GRC-Plattformen wie Priverion sind darauf ausgelegt, beide Rahmenwerke in einer einzigen Umgebung zu steuern. Gemeinsame DSFA- und FRIA-Arbeitsabläufe beseitigen doppelte Beurteilungen, querverwiesene Verarbeitungsverzeichnis- und technische KI-Dokumentation sorgen für Audit-Kohärenz, und konzernweite Dashboards bieten Transparenz über alle Tochtergesellschaften hinweg. Priverion wird vollständig in der Schweiz gehostet und gewährleistet so Datensouveränität in einer Welt nach Schrems II.
Wie sieht der Zeitplan für die Durchsetzung des EU AI Act aus?
Der EU AI Act trat am 01.08.2024 in Kraft. Verbotene KI-Praktiken sind seit dem 02.02.2025 durchsetzbar. Pflichten für KI-Modelle mit allgemeinem Verwendungszweck gelten ab dem 02.08.2025. Der vollständige Pflichtenkatalog für Hochrisiko-KI-Systeme gilt ab dem 02.08.2026. Organisationen, die Hochrisiko-KI-Systeme einsetzen, die Personendaten verarbeiten, müssen bis zu diesen Terminen die Compliance sowohl mit dem AI Act als auch mit der DSGVO sicherstellen. Quelle: EU AI Act, Artikel 113
Wie unterscheiden sich die Transparenzanforderungen der DSGVO von den Transparenzpflichten des AI Act?
Die DSGVO-Artikel 13–14 verlangen, dass Verantwortliche betroffenen Personen aussagekräftige Informationen über die Logik automatisierter Entscheidungsfindung einschliesslich Profiling bereitstellen. Der AI Act fügt zusätzliche Transparenzebenen hinzu: Artikel 50 verlangt, dass Personen, die mit KI-Systemen interagieren, darüber informiert werden; Systeme zur Emotionserkennung und biometrischen Kategorisierung müssen ihren Betrieb offenlegen; und KI-generierte Inhalte (einschliesslich Deepfakes) müssen gekennzeichnet werden. Diese Anforderungen überschneiden sich, sind jedoch nicht identisch – die DSGVO konzentriert sich auf die Rechte betroffener Personen, während der AI Act eine breitere gesellschaftliche Transparenz adressiert. Compliance-Teams benötigen eine einzige verlässliche Quelle dafür, was wem und unter welcher Regulierung offengelegt werden muss.
Vergleich: Pflichten von DSGVO und EU AI Act
| Pflichtbereich | DSGVO-Anforderung | EU-AI-Act-Anforderung | Auswirkung der Überschneidung |
|---|
| Folgenabschätzungen | DSFA nach Artikel 35 | FRIA nach Artikel 27 | Beide werden für Hochrisiko-KI ausgelöst, die Personendaten verarbeitet; gemeinsame Eingaben |
| Transparenz | Artikel 13–14: Logik automatisierter Entscheidungen | Artikel 50: Offenlegung von KI-Interaktion, Kennzeichnung von Deepfakes | Überschneidend, aber nicht identisch; einheitlicher Offenlegungsrahmen erforderlich |
| Dokumentation | Verarbeitungsverzeichnis nach Artikel 30 | Technische Dokumentation nach Anhang IV; Aktivitätsprotokolle | Müssen aufeinander Bezug nehmen; isolierte Aufzeichnungen schaffen Audit-Lücken |
| Datengovernance | Minimierung, Zweckbindung, Richtigkeit (Art. 5) | Qualitätsanforderungen an Trainingsdaten (Art. 10) | Mögliche Konflikte; rahmenübergreifende Analyse in der Design-Phase erforderlich |
| Durchsetzung | Nationale Datenschutzbehörden | Nationale Datenschutzbehörden als Marktüberwachungsbehörden (Art. 70) | Dieselbe Behörde prüft beides; erwartet kohärente Aufzeichnungen |
| Sanktionen | Bis zu 20 Mio. € oder 4% des weltweiten Umsatzes (Art. 83) | Bis zu 35 Mio. € oder 7% des weltweiten Umsatzes (Art. 99) | Doppeltes Sanktionsrisiko durch eine einzige Behörde |
| Anwendungsbereich | Verarbeitung von Personendaten | Lebenszyklus des KI-Systems (Anbieter + Betreiber) | Nahezu jede Hochrisiko-KI verarbeitet Personendaten |