AI Sigil Logo
Contact Us
Back to all insights
A lock and key set to illustrate the themes of security and privacy inherent in both the EU AI Act and GDPR.

Sections

EU KI-Gesetz und DSGVO: Konflikt oder Einklang?

Der EU AI Act und die DSGVO: Kollision oder Harmonie?

Künstliche Intelligenz ist das omnipräsente Buzzword in der Rechtsbranche. Der EU AI Act steht daher im Mittelpunkt des Interesses vieler Juristen. Doch wie steht es um die Allgemeine Datenschutzverordnung (DSGVO), die 2018 ein heißes Thema war?

Nach über sieben Jahren ist die Einhaltung der DSGVO für viele in-house Counsel und andere Fachleute vertrautes Terrain. Es gibt zahlreiche Ähnlichkeiten und Wechselwirkungen zwischen dem neu eingeführten AI Act und der DSGVO, sowie explizite Verweise auf die DSGVO im AI Act. In diesem Artikel werden einige der bedeutendsten Interaktionen besprochen.

Allgemeines

Es ist auffällig, inwieweit die Gesamtstruktur des AI Act von der DSGVO beeinflusst ist. Viele der Datenprinzipien (Transparenz, Genauigkeit, Sicherheit) spiegeln sich im AI Act wider, der, ähnlich wie die DSGVO, einen risikobasierten Ansatz verfolgt.

Die offensichtliche Schnittstelle in Bezug auf die Einhaltung des AI Acts ergibt sich aus der Tatsache, dass die Entwicklung und Nutzung von KI-Systemen wahrscheinlich das Training von KI-Modellen mit Daten umfasst, von denen einige mit Sicherheit personenbezogene Daten sein werden, die gemäß der DSGVO verarbeitet werden müssen. Dies erfordert angemessene Datenschutzvorkehrungen, nicht nur intern, sondern auch in der Beziehung zu Lieferanten und anderen Beteiligten im KI-Ökosystem.

Bemerkenswert ist, dass Artikel 47 des AI Acts von Anbietern von Hochrisiko-KI-Systemen verlangt, eine Konformitätserklärung zu erstellen, die eine Erklärung zur DSGVO-Konformität enthalten muss, wenn das System personenbezogene Daten umfasst (Anhang V). In vielen Mitgliedstaaten wird die Datenschutzbehörde auch die Marktüberwachungsbehörde für den AI Act sein.

Transparenz

Die DSGVO und der AI Act haben jeweils eigene Transparenzregime. In beiden Fällen müssen die Betroffenen angemessene Informationen darüber erhalten, wie ihre personenbezogenen Daten verarbeitet werden und wie die Nutzung von KI sie beeinflusst.

  • Unter der DSGVO (Artikel 12-14) müssen betroffene Personen klare und zugängliche Informationen über die Verarbeitung ihrer personenbezogenen Daten erhalten, einschließlich der Zwecke, der rechtlichen Grundlagen, der Empfänger, der Speicherfristen und der Rechte der betroffenen Personen.
  • Unter dem AI Act gelten mehrere Transparenzpflichten. Zum Beispiel verlangt Artikel 13, dass den Nutzern Anweisungen zur Verwendung von Hochrisiko-KI-Systemen gegeben werden. Darüber hinaus verlangt Artikel 50, dass die Nutzer darüber informiert werden, dass sie mit einem KI-System interagieren (es sei denn, dies ist aus dem Kontext offensichtlich).

Risikomanagement

Aus der Perspektive des Risikomanagements verfolgen die DSGVO und der AI Act beide einen risikobasierten Ansatz in Bezug auf die Einhaltung. Es gibt jedoch einen grundlegenden Unterschied in Bezug auf den Zeitpunkt, an dem das Risiko angesprochen wird.

  • Die DSGVO ist risikobasiert und erfordert eine vorherige und fortlaufende Bewertung der Risiken, die mit der Verarbeitung personenbezogener Daten verbunden sind. Dies erfordert technische und organisatorische Maßnahmen, um Risiken verhältnismäßig zu adressieren.
  • Unter dem AI Act werden KI-Systeme in verschiedene Risikokategorien eingeteilt: unzulässiges Risiko, Hochrisiko oder niedriges/minimales Risiko. Die strengsten Verpflichtungen sind an Hochrisiko-KI-Systeme gebunden, die umfassende Verpflichtungen in Bezug auf Risikomanagement, Bewertung und Minderung einhalten müssen.

Rechenschaftspflicht

Sowohl die DSGVO als auch der AI Act verlangen Rechenschaftspflicht. Dies umfasst im Großen und Ganzen die Dokumentation Ihrer verschiedenen Schritte, Prozesse und Richtlinien, um die Einhaltung nachzuweisen.

  • Wo die DSGVO die Einrichtung von Datenverarbeitungsverträgen zwischen Verantwortlichen und (Unter-)Verarbeitern verlangt, erfordert der AI Act angemessene vertragliche Sicherheitsvorkehrungen zwischen den in dem AI Act definierten verschiedenen Rollen.
  • Während die DSGVO die Dokumentation von Elementen wie Datenschutz-Folgenabschätzungen (DPIAs) und Verarbeitungsspeicher verlangt, erfordert der AI Act eine umfassendere Dokumentation von z.B. Entwicklungs- und Designentscheidungen für Hochrisiko-KI-Systeme und GPAI-Modelle, um die Rechenschaftspflicht nachzuweisen.

DPIA und Bewertungen der Grundrechte

Sowohl die DSGVO als auch der AI Act verlangen Risikoabschätzungen.

  • Unter der DSGVO müssen Verantwortliche in bestimmten Fällen eine Datenschutz-Folgenabschätzung (DPIA) durchführen.
  • Artikel 26(8) des AI Acts besagt, dass die Nutzer von Hochrisiko-KI-Systemen die Informationen gemäß Artikel 13 des AI Acts verwenden müssen, um ihrer Verpflichtung zur Durchführung einer DPIA nach der DSGVO nachzukommen.
  • Darüber hinaus verlangt der AI Act von bestimmten Nutzern, vor der Bereitstellung von Hochrisiko-KI-Systemen, die in Anhang III des AI Acts aufgeführt sind, eine „Bewertung der Grundrechte“ (FRIA) durchzuführen.

Verarbeitung sensibler personenbezogener Daten

Der AI Act (Artikel 10(5)) erlaubt unter bestimmten Bedingungen die Verarbeitung sensibler personenbezogener Daten, jedoch nur, wenn dies unbedingt notwendig ist, um Vorurteile in Hochrisiko-KI-Systemen zu erkennen und zu korrigieren, und unter bestimmten Bedingungen. Diese gelten zusätzlich zu den Anforderungen des Artikels 9 der DSGVO, die Ausnahmen von dem allgemeinen Verbot der Verarbeitung sensibler (besonderer) personenbezogener Daten vorsehen.

Automatisierte Entscheidungsfindung und menschliche Aufsicht

Sowohl der AI Act als auch die DSGVO verfügen über eine Form von menschlichen Aufsichtmechanismen.

  • Artikel 22 der DSGVO gibt den betroffenen Personen das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die rechtliche oder ähnlich signifikante Auswirkungen auf sie hat. Sie haben das Recht, eine neue Entscheidung zu verlangen, die menschlicher Intervention unterliegt, wenn sie einer solchen ausschließlich automatisierten Entscheidung widersprechen.
  • Der AI Act hat ein stärkeres Regime in Artikel 14, unter dem Hochrisiko-KI-Systeme so gestaltet werden müssen, dass sie effektive Aufsicht durch Mensch-Maschine-Schnittstellenwerkzeuge ermöglichen, und die Nutzer müssen kompetentes Aufsichtspersonal zuweisen.

Vorfallberichterstattung

Beide Regime implementieren ein System zur Vorfallberichterstattung, das die Einreichung von Erst- und Folgeberichten ermöglicht, falls der volle Umfang oder das Ausmaß eines Vorfalls zum Zeitpunkt der erforderlichen Berichterstattung noch nicht bekannt ist.

  • Unter der DSGVO (Artikel 33) kann der Hauptvorfall, der auftreten kann, ein Datenleck sein. Grundsätzlich sollte eine Benachrichtigung über ein solches Datenleck unverzüglich und, wenn möglich, spätestens 72 Stunden nach Bekanntwerden des Vorfalls an die zuständige Datenschutzbehörde (DPA) erfolgen.
  • Unter dem AI Act (Artikel 73) müssen schwerwiegende Vorfälle den Aufsichtsbehörden sofort nach Feststellung eines ursächlichen Zusammenhangs zwischen dem KI-System und dem schwerwiegenden Vorfall (oder einer vernünftigen Wahrscheinlichkeit eines solchen Zusammenhangs) und in jedem Fall spätestens 15 Tage gemeldet werden.

Bewältigung der doppelten Compliance-Belastung

Dies ist nur ein Überblick über einige der Bereiche, in denen die Konzepte der DSGVO mit denen im AI Act überlappen. In Bezug auf die Compliance-Belastung gibt es jedoch nur wenige Situationen, in denen die Einhaltung eines Gesetzes ausreicht, um die Anforderungen des anderen zu erfüllen. Wahrscheinlicher ist es, dass die Compliance-Prozesse der DSGVO bei Bedarf erweitert werden können, um die Anforderungen des AI Acts zu erfüllen.

Nützliche Maßnahmen umfassen:

  • Mapping der Rollen im AI Act (Anbieter, Nutzer, Importeur/Distributor) mit den Rollen der DSGVO (Verantwortlicher/Verarbeiter).
  • Sammlung angemessener Informationen und Verarbeitung dieser Informationen in relevanten Leitfäden für Nutzer/Datenbetroffene. Regelmäßige Überprüfung, ob die Informationen aktuell sind.
  • Sicherstellen, dass die AI-Trainingsdaten, die personenbezogene Daten enthalten (was oft der Fall ist), angemessenen Datenschutzvorkehrungen unterliegen, sowohl aus vertraglicher als auch aus technischer Sicht.
  • Dokumentation der AI-Entwicklung und -Überwachung, um die Einhaltung sowohl während der Entwicklungs- als auch der Bereitstellungsphase nachzuweisen.
  • Überprüfung, ob die Verarbeitung sensibler personenbezogener Daten im Kontext des AI Acts unter den Anforderungen sowohl der DSGVO als auch des AI Acts erlaubt ist.
  • Unterscheidung zwischen der menschlichen Intervention nach der Verarbeitung gemäß der DSGVO und der menschlichen Überwachung gemäß dem AI Act.
  • Implementierung eines ordnungsgemäßen Zeitmanagements innerhalb Ihrer Organisation, unter Berücksichtigung der grundlegenden Unterschiede zwischen den Arten von Vorfällen, die im Zusammenhang mit KI-Systemen sowohl aus der DSGVO- als auch der AI Act-Perspektive auftreten können.

More Insights

A pair of interconnected gears to illustrate the interplay of competition and collaboration in advancing AI governance.

Zukunft der KI: Kooperation statt Wettbewerb

November 27, 2025 Éthique IA,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Mejores Prácticas de Gobernanza de IA,Política Global de IA,Politica Globale sull'IA,Regolamentazione dell'IA,Régulation IA
In der heutigen schnelllebigen Welt verändert die Technologie, insbesondere die künstliche Intelligenz (KI), unsere Gesellschaft grundlegend und stellt unsere Ethik in Frage. Anstatt den Fortschritt...
Read More
A light bulb.

Pakistans nationale KI-Politik: Ein ehrgeiziger Plan für Innovation und Arbeitsplatzschaffung

November 27, 2025 Éthique IA,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,KI-Konformität,Política Global de IA,Politica Globale sull'IA,Regolamentazione dell'IA,Regulación de IA,Régulation IA
Pakistan hat eine ehrgeizige nationale KI-Politik eingeführt, die darauf abzielt, innerhalb von fünf Jahren einen Binnenmarkt für KI im Wert von 2,7 Milliarden USD aufzubauen. Die Politik umfasst...
Read More
A magnifying glass symbolizing the need for scrutiny and transparency in AI governance.

Ethik im KI-Management: Ein Leitfaden für Unternehmen

November 27, 2025 Éthique IA,Ethische AI,Ética de IA,Etica dell'IA,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Mejores Prácticas de Gobernanza de IA
Dieser Leitfaden erläutert, warum ethische Governance ein entscheidender Faktor für skalierbare KI ist und was Unternehmen tun können, um langfristige Resilienz zu gewährleisten. Er bietet umsetzbare...
Read More
A robot or AI figure embodying the role of artificial intelligence in transforming educational strategies.

Umfassende KI-Strategien für die Hochschulbildung

November 27, 2025 Gobernanza de IA,Governance dell'IA,IA,Innovazione in Medtech,Inteligencia Artificial,Politica Tecnologica
Künstliche Intelligenz revolutioniert das Lernen, Lehren und die Abläufe im Hochschulbereich, indem sie personalisierte Lernbegleiter bietet und die institutionelle Resilienz stärkt. Hochschulen...
Read More
A blueprint

KI-Governance: Verantwortungsvoll mit globalen Standards ausrichten

November 27, 2025 Conformità Regolatoria,Cumplimiento Regulatorio,Éthique IA,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,KI-Konformität,Politica Tecnologica,Régulation IA,Technologiepolitik
Künstliche Intelligenz (KI) prägt zunehmend die Finanzdienstleistungen, die Landwirtschaft, die Bildung und sogar die Regierungsführung in Afrika. Ghana hat im Mai 2025 seine erste nationale...
Read More
Die bevorstehende KI-Krise

Die bevorstehende KI-Krise

November 27, 2025 Concienciación sobre Regulación de IA,Éthique IA,Etica dell'IA,Governance dell'IA,IA,Impact commercial de la régulation IA,Inteligencia Artificial,Régulation IA
Die wirtschaftliche Transformation durch KI hat begonnen, wobei Unternehmen wie IBM und Salesforce Mitarbeiter durch KI-Chatbots ersetzt haben. Arbeitnehmer befürchten massenhafte Entlassungen durch...
Read More
A magnifying glass – illustrating the need for scrutiny and accountability in the deployment of AI technologies.

Ethik der digitalen Arbeit: Verantwortung für die KI-Arbeitskraft

November 27, 2025 Éthique IA,Ethische AI,Ética de IA,Etica dell'IA,IA,IA Ética,Inteligencia Artificial,Responsabilidad de IA,Responsabilità dell'IA
Die digitale Arbeit wird im Arbeitsplatz immer häufiger, jedoch gibt es nur wenige allgemein akzeptierte Regeln für ihre Governance. Die größte Herausforderung für Führungskräfte besteht darin, die...
Read More
A safety helmet

Anthropic bringt Petri-Tool zur Automatisierung von KI-Sicherheitsaudits

November 27, 2025 Conformità Regolatoria,Conformité IA pour la sécurité,Cumplimiento Regulatorio,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,KI-Konformität,Regolamentazione dell'IA,Régulation IA,Responsabilidad de IA
Anthropic hat Petri, ein Open-Source-Tool zur automatisierten Prüfung der Sicherheit von KI, vorgestellt, das große Sprachmodelle (LLMs) auf riskantes Verhalten testet. Das Tool nutzt autonome...
Read More
A lock and key set to illustrate the themes of security and privacy inherent in both the EU AI Act and GDPR.

EU KI-Gesetz und DSGVO: Konflikt oder Einklang?

November 27, 2025 Conformità Regolatoria,Conformità UE,Conformité EU IA,Cumplimiento de la UE,Cumplimiento Regulatorio,Datenschutz,IA,Inteligencia Artificial,Regolamentazione dell'IA,Regulación de IA,Régulation IA
Künstliche Intelligenz ist das allgegenwärtige Schlagwort in der Rechtsbranche, und der EU AI Act steht im Fokus vieler Juristen. In diesem Artikel werden die bedeutendsten Wechselwirkungen zwischen...
Read More