Zum Hauptinhalt springen

EU AI Act vs. DSGVO 2026: Wo überschneidet sich, wo unterscheidet?

Beide Verordnungen gelten gleichzeitig — aber für verschiedene Schutzgüter. Dieser Detailvergleich zeigt, wann die DSGVO greift, wann der EU AI Act, und wann beide kumulativ Pflichten auslösen — mit konkreten Use-Case-Beispielen für KMU.

DSGVO+EU-AI-Act-Compliance buchenKostenloser Wito Digital Audit (WDA)

Zwei Verordnungen, zwei Schutzgüter: Die DSGVO (Verordnung (EU) 2016/679) schützt personenbezogene Daten und die Privatsphäre natürlicher Personen. Der EU AI Act (Verordnung (EU) 2024/1689) schützt die Sicherheit von Personen und ihre Grundrechte gegenüber KI-Systemen — unabhängig davon, ob personenbezogene Daten verarbeitet werden.

Beide Verordnungen — was schützen sie, und wann gelten beide?

Die DSGVO ist seit dem 25. Mai 2018 in Kraft und schützt die informationelle Selbstbestimmung: Jede Verarbeitung personenbezogener Daten — ob analog oder digital, ob mit oder ohne KI — unterliegt ihr. Kernanforderungen sind Zweckbindung, Datensparsamkeit, Auskunftsrechte und die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrags (AVV) bei Drittanbietern.

Der EU AI Act ist am 01. August 2024 in Kraft getreten und schützt Sicherheit und Grundrechte gegenüber KI-Systemen. Er reguliert nicht Datenpunkte, sondern das KI-System selbst — seine Risikoklasse, seine Dokumentation, die menschliche Aufsicht über seine Entscheidungen. Der zentrale Stichtag für KMU ist der 02. August 2026, wenn alle Hochrisiko-Pflichten vollständig in Kraft treten.

Die entscheidende Erkenntnis für mittelständische Unternehmen: Setzt ein KI-System personenbezogene Daten ein — Bewerberdaten, Kundendaten, Mitarbeiterdaten — gelten beide Verordnungen kumulativ. Compliance-Anforderungen addieren sich, sie substituieren sich nicht. Wer bereits DSGVO-konform ist, hat damit einen Teil des Fundaments gelegt — aber nicht alle Pflichten nach dem EU AI Act erfüllt.

Laut Bitkom Leitfaden EU AI Act + DSGVO 2024 sind die Überschneidungsbereiche besonders groß bei Hochrisiko-KI-Systemen in den Bereichen HR, Marketing-Personalisierung und automatisierter Kundenkommunikation. Gerade für KMU, die KI-Tools über Cloud-Dienste einsetzen, entsteht hier ein komplexes Compliance-Geflecht.

4% Umsatz (DSGVO) vs. 7% (AI Act)

Maximale Bußgelder im Vergleich

Quelle: Art. 83 DSGVO + Art. 99 Verordnung (EU) 2024/1689, 2024
2018 (DSGVO) vs. 2025–2027 (AI Act)

Gestaffelte Inkrafttretensjahre

Quelle: EU-Kommission — EU AI Act Übergangsfristen 2024, 2024
99 Artikel DSGVO vs. 113 Artikel AI Act

Umfang der beiden Regelwerke

Quelle: Verordnung (EU) 2016/679 + Verordnung (EU) 2024/1689, 2024
27 EU-Mitgliedsstaaten

Geltungsbereich beider Verordnungen

Quelle: EU-Kommission — Geltungsbereich DSGVO + AI Act 2024, 2024

Vergleichstabelle: DSGVO vs. EU AI Act — die 7 wichtigsten Dimensionen

Der direkte Gegenüberstellung zeigt, wo die beiden Regelwerke parallel laufen und wo sie sich fundamental unterscheiden. Alle Angaben nach aktuellem Rechtsstand Q2 2026:

| Kriterium | DSGVO | EU AI Act |

|---|---|---|

| Schutzgut | Personenbezogene Daten und Privatsphäre | Sicherheit von Personen und Grundrechte gegenüber KI |

| Anwendungsbereich | Alle Verantwortlichen, die personenbezogene Daten verarbeiten | KI-Anbieter und KI-Betreiber (auch ohne personenbezogene Daten) |

| Risiko-Klassen | Keine formalen Risikoklassen (aber DSFA bei hohem Risiko) | 4 Klassen: Unakzeptables / Hohes / Begrenztes / Minimales Risiko |

| Zentrale Pflichten | AVV, DSFA, Verarbeitungsverzeichnis, TOMs, Betroffenenrechte | Risikomgmt.-System, Technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung |

| Zuständige Behörde (DE) | BfDI + Landesdatenschutzbehörden | BNetzA + BfDI (bei personenbezogenen Daten) |

| Sanktionen | Bis 20 Mio. EUR oder 4 % Jahresumsatz (je nachdem, was höher ist) | Bis 35 Mio. EUR / 7 % (verbotene Praktiken) bzw. 15 Mio. EUR / 3 % (Hochrisiko) |

| Inkrafttreten | 25.05.2018 (unmittelbar anwendbar) | 01.08.2024 → gestaffelt bis 02.08.2026 (Vollwirkung Hochrisiko) |

Was die Tabelle nicht zeigt: kumulative Wirkung

Bei KI-Systemen, die personenbezogene Daten verarbeiten, läuft die Compliance auf zwei Ebenen gleichzeitig. Laut BMWK FAQ EU AI Act 2024 ist die kumulative Anwendung ausdrücklich gewollt: Der EU AI Act "tritt neben" die DSGVO — er schränkt deren Anforderungen nicht ein und setzt sie nicht außer Kraft.

Für KMU bedeutet das: Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO für ein KI-Recruiting-System deckt noch nicht die Konformitätsbewertung nach Art. 43 EU AI Act ab. Beide Prüfungen sind eigenständig — auch wenn sie dasselbe System betreffen und Teile der Dokumentation wiederverwendet werden können.

Positiv formuliert: Unternehmen mit sauberer DSGVO-Dokumentation haben einen erheblichen Vorsprung. Verarbeitungsverzeichnis, AVV-Register und DSFA-Strukturen lassen sich erweitern, anstatt von Null zu beginnen. Laut Heinrich-Böll-Stiftung Verordnungs-Vergleich 2024 können Unternehmen mit belastbarer DSGVO-Compliance den AI-Act-Erstaufwand um 30–50 % reduzieren.

Die Anforderungen des EU AI Act treten neben die der DSGVO — bei KI-Systemen mit personenbezogenen Daten gelten beide Verordnungen kumulativ. Die DSGVO-Behörden sind dabei auch für die Durchsetzung der AI-Act-Anforderungen zuständig, soweit diese den Datenschutz berühren.
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), BfDI Tätigkeitsbericht 2024 — Stellungnahme zum EU AI Act, BfDI, 2024

Use Case 1: Bewerber-Screening-KI — beide Verordnungen kumulativ

Ein mittelständisches Unternehmen setzt ein KI-Tool ein, das eingehende Bewerbungen automatisch nach Passung zur Stellenbeschreibung bewertet und eine Kurzliste priorisierter Kandidaten erstellt. Dieses Szenario löst Pflichten aus beiden Verordnungen gleichzeitig aus.

DSGVO-Pflichten

  • Rechtsgrundlage nach Art. 6 DSGVO: Verarbeitung von Bewerberdaten nur mit Einwilligung (Art. 6 Abs. 1 lit. a) oder zur Durchführung des Beschäftigungsverhältnisses (Art. 6 Abs. 1 lit. b)
  • Auskunftsrechte (Art. 15 DSGVO): Bewerber haben das Recht, Auskunft darüber zu erhalten, welche Daten verarbeitet werden und auf welcher Logik die KI-Entscheidung basiert
  • Löschungspflicht (Art. 17 DSGVO): Abgelehnte Bewerberdaten sind nach klar definiertem Zeitraum zu löschen (typisch: 6 Monate nach Ablehnung)
  • DSFA (Art. 35 DSGVO): Automatisierte Entscheidungsfindung mit weitreichenden Folgen für Bewerber erfordert eine Datenschutz-Folgenabschätzung

EU AI Act-Pflichten

  • Hochrisiko-Klassifizierung (Anhang III Nr. 4a): Systeme zur automatisierten Bewerberauswahl im Beschäftigungskontext gelten als Hochrisiko — ohne Ausnahme
  • Konformitätsbewertung (Art. 43 EU AI Act): Vor dem Einsatz oder der erheblichen Änderung ist eine Konformitätsbewertung durchzuführen
  • Transparenz (Art. 13 EU AI Act): Das Unternehmen als Betreiber muss Bewerber darüber informieren, dass ein KI-System eingesetzt wird
  • Menschliche Aufsicht (Art. 14 EU AI Act): HR-Mitarbeitende müssen die KI-Entscheidungen überprüfen und korrigieren können — keine vollautomatische Ablehnung ohne menschliche Kontrolle

Ergebnis: Wer diese KI einsetzt, benötigt sowohl eine DSFA nach DSGVO als auch eine Konformitätsbewertung nach EU AI Act — zwei eigenständige Dokumente, auch wenn sich Inhalte überschneiden. Laut Bitkom Leitfaden EU AI Act + DSGVO 2024 empfiehlt sich ein integrierter Dokumentationsprozess, der beide Anforderungsprofile systematisch abarbeitet.

Use Case 2: Marketing-Automation mit ChatGPT — getrennte Verantwortlichkeiten

Ein KMU nutzt ChatGPT (GPT-4o) über die OpenAI API, um automatisiert personalisierte E-Mails an Bestandskunden zu generieren: Produktempfehlungen basierend auf Kaufhistorie, personalisierte Anreden, segmentspezifische Inhalte. Auch hier greifen beide Regelwerke — aber mit unterschiedlichem Fokus.

DSGVO-Pflichten

  • AVV mit OpenAI (Art. 28 DSGVO): Wenn Kundendaten — auch nur E-Mail-Adresse und Kaufhistorie — an die OpenAI API übermittelt werden, ist OpenAI Auftragsverarbeiter. Ein Auftragsverarbeitungsvertrag ist zwingend erforderlich. OpenAI bietet einen Standard-AVV an, der explizit abgeschlossen werden muss
  • Datensparsamkeit (Art. 5 DSGVO): Es dürfen nur die Daten übermittelt werden, die für die Personalisierung tatsächlich erforderlich sind — keine Übertragung vollständiger Kundendossiers
  • Rechtsgrundlage für Profiling (Art. 6 + Art. 22 DSGVO): Automatisierte Profilerstellung für Marketingzwecke erfordert entweder Einwilligung oder berechtigtes Interesse mit Interessenabwägung

EU AI Act-Pflichten

  • GPAI-Regeln (Art. 53 EU AI Act): ChatGPT gilt als KI-Allzweckmodell (General Purpose AI). Ab 02. August 2025 muss OpenAI als Anbieter Transparenzpflichten erfüllen und Nutzungsrichtlinien veröffentlichen. Als Nutzer müssen Sie prüfen, ob OpenAI diese Pflichten erfüllt
  • Keine Hochrisiko-Klassifizierung: Marketing-E-Mail-Generierung fällt nicht unter Anhang III des EU AI Act — keine Konformitätsbewertung erforderlich
  • Transparenz gegenüber Empfängern: Wenn KI-generierte Texte von Empfängern als menschlich verfasst missverstanden werden könnten, ist eine Kennzeichnung nach Art. 50 EU AI Act zu prüfen

Ergebnis: Bei Marketing-Automation mit ChatGPT steht die DSGVO im Vordergrund — insbesondere der AVV und die Datensparsamkeit. Der EU AI Act spielt eine untergeordnete Rolle (keine Hochrisiko-Pflichten), aber die GPAI-Anforderungen an OpenAI als Anbieter müssen nachprüfbar sein.

Praktische Konsequenzen für KMU: Compliance effizient kombinieren

Die gute Nachricht: Eine kluge Compliance-Strategie behandelt DSGVO und EU AI Act als integriertes System, nicht als zwei getrennte Projekte. Folgende Synergiepotenziale sind für KMU besonders relevant:

Dokumentation integrieren

  • DSFA erweiterbar: Bestehende Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO können mit den Risikomanagementsanforderungen nach Art. 9 EU AI Act kombiniert werden — gleiches Risikoassessment, zwei regulatorische Anforderungen erfüllt
  • Verarbeitungsverzeichnis als Basis: Das DSGVO-Verarbeitungsverzeichnis (Art. 30 DSGVO) liefert die Systemliste, auf der das KI-Inventar für den EU AI Act aufgebaut werden kann
  • AVV und Betreiberpflichten: Der OpenAI-AVV nach DSGVO kann zusammen mit der EU-AI-Act-Betreiberdokumentation in einer Anbieterdokumentation gebündelt werden

Verantwortlichkeiten bündeln

Der EU AI Act schreibt keinen formalen "KI-Beauftragten" vor, empfiehlt aber eine benannte Verantwortlichkeit für KI-Compliance. In der Praxis empfiehlt sich: Der Datenschutzbeauftragte (DSB) übernimmt die AI-Act-Compliance-Verantwortung oder wird durch einen "AI Officer" ergänzt, der eng mit dem DSB zusammenarbeitet. Laut BMWK FAQ EU AI Act 2024 ist diese Rollenüberlappung ausdrücklich zulässig und spart erhebliche Koordinationskosten.

Ergebnis: Unternehmen, die DSGVO und EU AI Act als integriertes Compliance-Framework behandeln, reduzieren den Gesamtaufwand um 30–50 % gegenüber einer getrennten Bearbeitung — bei gleichzeitig höherer Konsistenz der Dokumentation.

Häufige Fragen: EU AI Act vs. DSGVO für KMU

Nein. Der EU AI Act schreibt keine eigene Beauftragten-Rolle vor. In der Praxis empfiehlt sich, die AI-Act-Compliance-Verantwortung beim bestehenden Datenschutzbeauftragten (DSB) anzusiedeln oder einen "AI Officer" zu benennen, der eng mit dem DSB kooperiert. Das BMWK bestätigt in seinen FAQ 2024 ausdrücklich, dass eine Kombination beider Rollen zulässig und sinnvoll ist. Für KMU ohne Pflicht-DSB genügt eine benannte interne Person oder ein externer Compliance-Dienstleister.
Teilweise ja. Ein AVV nach Art. 28 DSGVO und die EU-AI-Act-Betreiberdokumentation decken unterschiedliche Pflichten ab, aber beide können in einer strukturierten Anbieterdokumentation zusammengefasst werden. Insbesondere das Verarbeitungsverzeichnis (DSGVO) und das KI-Systemregister (AI Act) lassen sich als integriertes Dokument führen. Vollständig identisch sind sie nicht — der EU AI Act fordert zusätzlich Nachweise zur Konformitätsbewertung und zur menschlichen Aufsicht, die über DSGVO-Anforderungen hinausgehen.
Die DSGVO wird seit 2018 aktiv durchgesetzt — in Deutschland durch die Landesdatenschutzbehörden und den BfDI. Der EU AI Act wird ab 2025 schrittweise durchgesetzt: Verbotene Praktiken ab Februar 2025, Hochrisiko-Pflichten ab August 2026. In Deutschland wird voraussichtlich die Bundesnetzagentur (BNetzA) als Marktüberwachungsbehörde fungieren; der BfDI ist für Überschneidungen mit dem Datenschutz zuständig. Erste nennenswerte AI-Act-Bußgelder werden für 2026/2027 erwartet. Die DSGVO-Behörden werden auch AI-Act-Aspekte prüfen, soweit personenbezogene Daten betroffen sind.
Eine DSFA (Datenschutz-Folgenabschätzung, englisch: DPIA — Data Protection Impact Assessment) ist eine strukturierte Risikobewertung nach Art. 35 DSGVO. Sie ist verpflichtend, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt — insbesondere bei automatisierten Entscheidungen, umfangreichem Profiling und Verarbeitung sensibler Datenkategorien. Die DSFA dokumentiert: welche Daten verarbeitet werden, welche Risiken bestehen, welche technischen und organisatorischen Maßnahmen (TOMs) dagegen ergreifen werden und ob das Restrisiko akzeptabel ist. Bei Hochrisiko-KI-Systemen empfiehlt sich eine Erweiterung der DSFA um AI-Act-spezifische Risikobewertungen.
Eine Konformitätsbewertung nach Art. 43 EU AI Act ist die formale Prüfung, ob ein Hochrisiko-KI-System den Anforderungen der Verordnung entspricht — bezüglich Risikomanagement, Datenqualität, technischer Dokumentation, Transparenz und menschlicher Aufsicht. Für viele Hochrisiko-Systeme ist eine Selbstbewertung durch den Anbieter zulässig (ohne externe Prüfstelle). Als Betreiber müssen Sie die Konformitätserklärung des Anbieters prüfen und sicherstellen, dass Sie das System nur im vorgesehenen Verwendungszweck einsetzen. Die Konformitätsbewertung ist nicht dasselbe wie eine DSFA — sie deckt andere Anforderungsbereiche ab.
Wenn Ihr KI-System keine personenbezogenen Daten verarbeitet, greift die DSGVO nicht (für dieses System). Der EU AI Act gilt jedoch unabhängig davon. Ein KI-Qualitätskontrollsystem in der Produktion, das ausschließlich Produktbilder analysiert und keine Personendaten verarbeitet, unterliegt trotzdem dem EU AI Act. In diesem konkreten Fall ist die Risikoklasse zu prüfen: Sicherheitskritische Produktionssysteme können als Hochrisiko eingestuft sein (Anhang III Nr. 2). Für reine Bild- oder Prozessanalytik ohne Personenbezug ist das Risiko oft minimal — aber eine explizite Prüfung ist erforderlich.
Die größten Überschneidungen entstehen bei Hochrisiko-KI-Systemen mit personenbezogenen Daten. Sowohl die DSFA (DSGVO) als auch das Risikomanagement-System (EU AI Act) erfordern eine Risikoanalyse — unterschiedlich fokussiert, aber strukturell ähnlich. Technische und organisatorische Maßnahmen (TOMs nach DSGVO) und technische Robustheitsanforderungen (EU AI Act) überschneiden sich bei Sicherheit, Zugriffsschutz und Verschlüsselung. Transparenzpflichten gegenüber betroffenen Personen (DSGVO) und Transparenzpflichten gegenüber Nutzern (EU AI Act) können in einem integrierten Dokument erfüllt werden. Protokollierungspflichten (DSGVO) und Log-Anforderungen (EU AI Act) lassen sich technisch kombinieren.
Das hängt von der Art des Verstoßes ab. DSGVO-Verstöße werden bei der zuständigen Landesdatenschutzbehörde (je nach Unternehmensstandort) oder beim BfDI gemeldet. Schwere Datenpannen mit personenbezogenen Daten müssen innerhalb von 72 Stunden gemeldet werden (Art. 33 DSGVO). EU-AI-Act-Verstöße werden bei der nationalen Marktüberwachungsbehörde (in Deutschland voraussichtlich die BNetzA) gemeldet. Wenn ein KI-System sowohl Datenschutzverstöße als auch AI-Act-Verstöße aufweist, sind potenziell beide Behörden zuständig — und der BfDI koordiniert für die Datenschutzaspekte des AI Act. Eine frühzeitige Abstimmung mit einem Compliance-Berater ist bei schwerwiegenden Vorfällen dringend empfohlen.

DSGVO + EU-AI-Act-Compliance: integriert, effizient, rechtssicher

Wito AI begleitet KMU durch die kombinierte Compliance mit DSGVO und EU AI Act — von der integrierten Risikoanalyse bis zur vollständigen Dokumentation. Nutzen Sie Ihre bestehende DSGVO-Grundlage und reduzieren Sie den AI-Act-Compliance-Aufwand um 30–50 %.

DSGVO+EU-AI-Act-Compliance buchenKostenloser Wito Digital Audit (WDA)
  • Integrierte DSFA + Konformitätsbewertung
  • AVV + AI-Act-Betreiberdokumentation kombiniert
  • 30–50 % Aufwandsreduktion durch Integration
  • Vorbereitung auf den Stichtag 02. August 2026

EU AI Act vs. DSGVO 2026: Wo überschneidet sich, wo unterscheidet?

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen