Der EU AI Act ist in Kraft, die DSGVO gilt unverändert weiter – und doch greift in den meisten KI-Projekten das Datenschutz-Thema erst dann, wenn es knallt. Dieser Leitfaden fasst zusammen, was Unternehmen jetzt konkret beachten müssen.
Warum DSGVO und AI Act zusammengedacht werden müssen
Sobald ein KI-System personenbezogene Daten verarbeitet, greift die DSGVO in vollem Umfang. Der EU AI Act addiert eine zweite Ebene: Er klassifiziert KI nach Risiko und verpflichtet Betreiber ab 2. August 2026 zu dokumentierten Risikomanagement-Prozessen. Die ersten Pflichten (Transparenz, Verbot unzulässiger Praktiken) gelten bereits seit 2. August 2025.
Die vier Risikokategorien des EU AI Act
- Unzulässig: Social Scoring, manipulative KI, unbesehenes Gesichtserkennungs-Scraping.
- Hoch (High-Risk): Recruiting, Kreditwürdigkeit, biometrische Identifikation, kritische Infrastruktur.
- Transparent: Chatbots, Deepfakes – Kennzeichnungspflicht.
- Minimal: Spam-Filter, Empfehlungen – kaum Regulierung.
Die 10-Schritte-Checkliste
- Zweckbindung & Rechtsgrundlage (Art. 6 DSGVO): Welche Daten, für welchen Zweck, auf welcher Erlaubnis?
- Risikokategorie bestimmen: Fällt das System unter High-Risk? Dann gelten zusätzliche Pflichten.
- DPIA durchführen (Art. 35): Bei systematischer Bewertung natürlicher Personen zwingend.
- Privacy by Design (Art. 25): Datenminimierung, Pseudonymisierung, frühes Löschen.
- TOM dokumentieren: Verschlüsselung, Zugriffskontrolle, Audit-Logs.
- Kein Training mit Produktionsdaten: Lieber synthetische oder anonymisierte Datensätze.
- Drittlandtransfer prüfen: US-Cloud nur mit SCC + Transfer-Impact-Assessment – besser EU-Hosting/On-Premise.
- Betroffenenrechte sicherstellen: Art. 13–22, besonders Widerspruchsrecht bei automatisierten Entscheidungen.
- Dokumentation & Verzeichnis: VVT (Art. 30), Modell-Kartei, Decision-Logs.
- Monitoring & Governance: Model-Drift-Checks, Audits, DSB benennen bei Risiko.
Die 5 häufigsten Fehler
- Training mit echten Kundendaten ohne Rechtsgrundlage
- Keine Dokumentation der Modell-Entscheidungen
- US-Cloud ohne Transfer-Impact-Assessment
- DPIA vergessen, weil „es ist ja nur ein Chatbot“
- Kein Notfall-Prozess bei Halluzinationen mit Personenbezug
Compliance ist kein Bremsklotz, sondern Wettbewerbsvorteil: Wer heute sauber aufsetzt, vermeidet Bußgelder bis 35 Mio. € bzw. 7 % des weltweiten Jahresumsatzes (AI Act) und baut Vertrauen bei Kunden. Unsere DSGVO-Cheatsheet fasst alle Punkte kompakt zusammen.