Die digitale Transformation verändert die Art und Weise, wie Unternehmen Daten nutzen und KI-Systeme einsetzen. Mit dem
EU AI Act und der
Datenschutz-Grundverordnung (DSGVO) existieren zwei zentrale Regelwerke, die Compliance und Governance maßgeblich beeinflussen.
Problem: Viele Unternehmen sind unsicher, wie sich die beiden Gesetze unterscheiden und wo sie sich überschneiden.
Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Es verfolgt das Ziel, den Einsatz von KI sicher, transparent und vertrauenswürdig zu gestalten. Die Kernpunkte:
- Risikoklassen für KI-Systeme: Minimal, begrenzt, hoch, verboten
- Pflichten für Anbieter und Nutzer: Transparenz, technische Dokumentation, Human Oversight
- Konformitätsbewertung: Vor dem Inverkehrbringen von Hochrisiko-KI
- Post-Market Monitoring: Kontinuierliche Überwachung nach Markteinführung
- Schnittstellen zu IT-Sicherheit und NIS2: Ergänzende Sicherheitsanforderungen
Mehr Details finden Sie in unserem Artikel: Was ist der EU AI Act? Einfach erklärt für Unternehmen.
Die
DSGVO regelt den Umgang mit personenbezogenen Daten und stärkt die Rechte der Betroffenen.
Wichtige Aspekte:
- Rechtmäßigkeit der Verarbeitung
- Rechte der Betroffenen: Auskunft, Löschung, Datenübertragbarkeit
- Technische und organisatorische Maßnahmen
- Meldepflichten bei Datenschutzverletzungen
| Aspekt |
EU AI Act |
DSGVO |
| Regelungsgegenstand |
KI-Systeme und deren Risiken |
Verarbeitung personenbezogener Daten |
| Ziel |
Sicherheit, Transparenz, Vertrauenswürdigkeit |
Schutz der Privatsphäre |
| Adressaten |
Nutzer von KI, Anbieter, Importeure |
Verantwortliche, Auftragsverarbeiter |
| Sanktionsrahmen |
Bis zu 35 Mio. € oder 7 % des Jahresumsatzes |
Bis zu 20 Mio. € oder 4 % des Jahresumsatzes |
Die beiden Regelwerke sind
komplementär, aber nicht deckungsgleich.
Wichtige Schnittstellen:
- Datenverarbeitung in KI-Systemen: DSGVO regelt die Rechtmäßigkeit, AI Act die Sicherheit und Transparenz.
- Bias und Diskriminierung: Beide Gesetze adressieren faire Verarbeitung.
- Dokumentationspflichten: AI Act fordert technische Dokumentation, DSGVO verlangt Verarbeitungsverzeichnisse.
- IT-Sicherheit: Schnittstellen zu NIS2 und Datenschutzmaßnahmen.
- Inventarisierung aller KI-Systeme → Erstellen eines KI-Register und Prüfung der Risikoklassen.
- Datenschutz-Folgenabschätzung (DSFA) erweitern → Ergänzende KI-spezifische Risiken.
- Governance-Strukturen aufbauen → Rolle des AI Officer definieren.
- Schulungen für Mitarbeiter → Unsere EU AI Act Pflichtschulung bietet praxisnahe Inhalte inkl. Vorlagen und Zertifikat.
- Technische Dokumentation vorbereiten → Nutzung von ISO 42001 als Rahmen für KI-Managementsysteme.
Frage 1: Muss ich für KI-Systeme eine Datenschutz-Folgenabschätzung durchführen?
Antwort: Ja, wenn personenbezogene Daten verarbeitet werden. Ergänzen Sie KI-spezifische Risiken.
Frage 2: Gelten die Transparenzpflichten des AI Act auch für interne Tools?
Antwort: Ja, sofern sie als „Hochrisiko-KI“ eingestuft sind.
Ein ausführliches FAQ zum Thema EU AI Act finden Sie
hier.
Der EU AI Act und die DSGVO sind zwei zentrale Säulen der europäischen Regulierung, die sich gegenseitig ergänzen. Während die DSGVO den Schutz personenbezogener Daten sicherstellt, schafft der AI Act verbindliche Standards für den Einsatz von Künstlicher Intelligenz.
Für Unternehmen bedeutet dies: Die Anforderungen sind nicht isoliert zu betrachten, sondern müssen in eine ganzheitliche Compliance-Strategie integriert werden.
Schulen Sie jetzt Ihre Mitarbeitenden, um Wissen und Verantwortlichkeiten zu verankern.
