EuroComply
Konto erstellen
Back to blog
EU KI-Verordnung 7 min read

DSGVO vs. EU KI-Verordnung: Wo sich die beiden Verordnungen überschneiden

What you need to know: DSGVO vs. EU KI-Verordnung: Wo sich die beiden Verordnungen überschneiden

Viele KI-Systeme verarbeiten personenbezogene Daten — und unterliegen damit gleichzeitig der DSGVO und der EU KI-Verordnung. Dieser Leitfaden kartiert die Überschneidungen, erläutert, wo sich Pflichten kumulieren, und zeigt, wie Sie beiden Verordnungen effizient entsprechen können.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Die meisten KI-Systeme verarbeiten personenbezogene Daten. Ein Bewerberauswahlsystem verarbeitet persönliche Daten von Kandidatinnen und Kandidaten. Ein Kreditbewertungsmodell verarbeitet Finanz- und Verhaltensdaten. Ein Chatbot im Kundendienst verarbeitet Namen, Kontodaten und Gesprächsinhalte. Für all diese Systeme gelten DSGVO und EU KI-Verordnung gleichzeitig — und schaffen damit eine mehrschichtige Compliance-Pflicht, mit der viele Unternehmen noch ringen.

Dieser Leitfaden kartiert die Überschneidungen, erläutert, wie die beiden Verordnungen miteinander interagieren, und zeigt, wo ein einheitlicher Ansatz beiden gerecht werden kann.

Die beiden Verordnungen im Überblick

| Dimension | DSGVO | EU KI-Verordnung | |-----------|-------|------------------| | Vollständiger Name | Datenschutz-Grundverordnung (2016/679) | KI-Verordnung (2024/1689) | | In Kraft | 25. Mai 2018 | 1. August 2024 (stufenweise) | | Was sie schützt | Personenbezogene Daten und Rechte Betroffener | Sicherheit, Grundrechte und Transparenz bei KI-Systemen | | Durchsetzung | Datenschutzaufsichtsbehörden (national) | Nationale KI-Aufsichtsbehörden + KI-Amt (EU-Ebene) | | Höchstbußgeld | 20 Mio. € oder 4 % des weltweiten Jahresumsatzes | 35 Mio. € oder 7 % (verbotene KI); 15 Mio. € oder 3 % (Hochrisiko) | | Aufsichtsbehörde | Datenschutzaufsichtsbehörde (z. B. BfDI, LfDI) | Nationale KI-Behörde + Europäisches KI-Amt |

Beide Verordnungen gelten unabhängig voneinander. Die Einhaltung der einen erfüllt nicht automatisch die Anforderungen der anderen. Wo sich die Pflichten jedoch überschneiden, kann eine einzige Compliance-Maßnahme beide Anforderungen erfüllen — sofern sie richtig konzipiert ist.

Wo sie sich überschneiden

Die Überschneidung besteht überall dort, wo ein KI-System personenbezogene Daten verarbeitet — was in der Praxis auf den Großteil kommerzieller KI-Systeme zutrifft. Die DSGVO regelt die Daten; die KI-Verordnung regelt das KI-System, das diese Daten verarbeitet. Beide Regelwerke gelten für dieselbe Grundtätigkeit.

1. Automatisierte Entscheidungsfindung

Art. 22 DSGVO gibt betroffenen Personen das Recht, keiner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt — und verlangt, dass betroffene Personen bei derartigen Entscheidungen das Recht auf menschliche Überprüfung, Äußerung ihres Standpunkts und Anfechtung der Entscheidung haben.

Hochrisikopflichten der EU KI-Verordnung (Anhang III enthält u. a. Kreditbewertung, Einstellungsauswahl und Zugang zu wesentlichen Dienstleistungen) verlangen Mechanismen zur menschlichen Aufsicht: Eine Person muss in der Lage sein, die Ausgabe des Systems zu verstehen, zu überwachen und zu übersteuern.

Kombinierte Compliance-Maßnahme: Gestalten Sie Human-in-the-Loop-Prozesse, die gleichzeitig Art. 22 DSGVO und die Anforderungen der KI-Verordnung an die menschliche Aufsicht erfüllen. Dokumentieren Sie beides in der technischen Dokumentation des KI-Systems und in Ihren DSGVO-Verzeichnissen.

2. Datenverwaltung

DSGVO verlangt Datenminimierung (Art. 5 Abs. 1 lit. c) — es dürfen nur Daten erhoben und verwendet werden, die dem angegebenen Zweck angemessen, erheblich und auf das notwendige Maß beschränkt sind.

EU KI-Verordnung verlangt, dass Trainings-, Validierungs- und Testdatensätze für Hochrisiko-KI-Systeme Qualitätskriterien erfüllen — fehlerfrei, ausreichend repräsentativ und für den vorgesehenen Zweck relevant (Art. 10).

Kombinierte Compliance-Maßnahme: Eine einheitliche Datenverwaltungsrichtlinie, die Auswahlkriterien für KI-Trainingsdaten definiert, Repräsentativitäts- und Verzerrungsbewertungen dokumentiert und mit den Grundsätzen der Zweckbindung und Datenminimierung der DSGVO in Einklang steht, erfüllt beide Anforderungen.

3. Transparenz

DSGVO verlangt, dass betroffene Personen klare Informationen über die automatisierte Verarbeitung erhalten, einschließlich aussagekräftiger Angaben zur Logik sowie zur Tragweite und den angestrebten Auswirkungen einer solchen Verarbeitung (Art. 13–14, 22 Abs. 3).

EU KI-Verordnung verlangt, dass Betreiber von Hochrisiko-KI-Systemen natürliche Personen, die dem Ergebnis eines solchen Systems ausgesetzt sind, darüber informieren, dass sie einem Hochrisiko-KI-System unterliegen (Art. 26 Abs. 7), und dass Anbieter die Fähigkeiten und Grenzen des KI-Systems dokumentieren.

Kombinierte Compliance-Maßnahme: Gestalten Sie eine mehrstufige Offenlegung, die beiden Anforderungen gerecht wird: eine DSGVO-konforme Datenschutzmitteilung, die die automatisierte Verarbeitung erläutert, ergänzt durch eine KI-Verordnungs-konforme Transparenzinformation, die beschreibt, was das KI-System tut und welche Grenzen es hat.

4. Folgenabschätzungen

Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA) für Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben — einschließlich systematischer und umfangreicher automatisierter Profilerstellung mit erheblichen Auswirkungen, Verarbeitung besonderer Kategorien personenbezogener Daten in großem Maßstab sowie systematischer Überwachung öffentlich zugänglicher Bereiche.

EU KI-Verordnung — Registrierung von Hochrisikosystemen und Konformitätsbewertungen verlangen ebenfalls die Dokumentation von Risiken, Abhilfemaßnahmen und Grundrechtsauswirkungen.

Kombinierte Compliance-Maßnahme: Führen Sie eine einheitliche KI- und Datenschutz-Folgenabschätzung durch, die gleichzeitig die DSFA-Anforderungen nach Art. 35 DSGVO und die Risikomanagement-Dokumentation der KI-Verordnung abdeckt. Strukturieren Sie die Abschnitte so, dass beide Rechtsrahmen adressiert werden, nutzen Sie die gemeinsame Risikoanalyse und erstellen Sie zwei aufeinander verweisende Dokumente. Dies vermeidet Doppelarbeit und gewährleistet Konsistenz.

Compliance-Effizienz: Ein einheitlicher KI-Governance-Rahmen

Anstatt separate Compliance-Programme für DSGVO und KI-Verordnung zu betreiben, empfiehlt es sich, einen einheitlichen KI-System-Governance-Rahmen aufzubauen, der:

  1. Ein zentrales KI-System-Inventar führt, das für jedes System sowohl die DSGVO-Datenflüsse als auch die KI-Verordnungs-Risikoeinstufungen erfasst
  2. Eine kombinierte Folgenabschätzungsvorlage verwendet, die sowohl eine DSFA als auch eine KI-Verordnungs-Risicodokumentation erzeugt
  3. Einen einheitlichen menschlichen Aufsichtsprozess etabliert, der gleichzeitig Art. 22 DSGVO und Art. 14 KI-Verordnung erfüllt
  4. Einen einheitlichen Transparenzstandard auf alle KI-gesteuerten Kommunikationen mit betroffenen Personen anwendet
  5. Vorfälle in einem kombinierten Meldeablauf für DSGVO-Datenpannen und Meldungen schwerwiegender Vorfälle gemäß KI-Verordnung zusammenführt

Beispiel: Sechs KI-Systeme — kombinierte Klassifizierung

| KI-System | DSGVO-Klassifizierung | KI-Verordnungs-Klassifizierung | Kombinierte Compliance-Maßnahmen | |-----------|----------------------|-------------------------------|----------------------------------| | Bewerberauswahlsystem | Hohes Risiko (Profilerstellung, erhebliche Auswirkungen) | Hochrisiko (Anhang III — Beschäftigung) | DSFA + KI-Verordnungs-Konformitätsbewertung; menschliche Aufsicht; Transparenz gegenüber Bewerbenden | | Kundendienst-Chatbot | Standardverarbeitung | Begrenztes Risiko (Art. 50) | DSGVO-Datenschutzmitteilung; Offenlegung der KI-Interaktion gegenüber Nutzenden | | Kreditbewertungsmodell | Hohes Risiko (erhebliche finanzielle Auswirkungen) | Hochrisiko (Anhang III — wesentliche Dienstleistungen) | DSFA + Konformitätsbewertung; Rechte nach Art. 22; menschliche Übersteuerung | | Betrugserkennung (intern) | Standardverarbeitung | Voraussichtlich minimales Risiko | Sicherheitsmaßnahmen nach Art. 32 DSGVO; keine zusätzlichen KI-Verordnungs-Pflichten | | Produktempfehlungsmaschine | Standardverarbeitung | Minimales Risiko | DSGVO-Einwilligung/berechtigtes Interesse; freiwillige KI-Verordnungs-Verhaltenskodizes | | Mitarbeiterleistungsüberwachung | Hohes Risiko (Beschäftigungsprofilerstellung) | Hochrisiko (Anhang III — Beschäftigung) | DSFA + Konformitätsbewertung; Betriebsratsanhörung (nationales Recht, z. B. § 87 BetrVG — deutsches Arbeitsrecht, kein allgemeines EU-Recht); Rechte nach Art. 22 |


Zuletzt aktualisiert: April 2026. Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.

Häufig gestellte Fragen

Haben DSGVO und EU KI-Verordnung dieselbe Aufsichtsbehörde?

Nein. Die DSGVO wird von nationalen Datenschutzaufsichtsbehörden (DSBs) durchgesetzt — z. B. dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) auf Bundesebene sowie den Landesbeauftragten auf Länderebene. Die EU KI-Verordnung wird von nationalen KI-Aufsichtsbehörden durchgesetzt, die gemäß Art. 70 benannt werden, sowie vom Europäischen KI-Amt auf EU-Ebene für KI-Modelle mit allgemeinem Verwendungszweck. Wenn ein KI-System, das personenbezogene Daten verarbeitet, untersucht wird, können sowohl die Datenschutzaufsichtsbehörde als auch die nationale KI-Behörde gleichzeitig zuständig sein; eine Koordinierung zwischen beiden ist vorgesehen, in der Praxis aber noch nicht vollständig kodifiziert.

Erfüllt die Rechtsgrundlage nach DSGVO auch die Datenverwaltungsanforderungen der EU KI-Verordnung?

Nicht vollständig. Die DSGVO verlangt eine Rechtsgrundlage nach Art. 6 für jede Verarbeitung personenbezogener Daten sowie nach Art. 9 für besondere Kategorien personenbezogener Daten. Die EU KI-Verordnung fügt separate Datenverwaltungsanforderungen für Hochrisiko-KI-Systeme nach Art. 10 hinzu — Trainings-, Validierungs- und Testdatensätze müssen Qualitätskriterien erfüllen, einschließlich Repräsentativität, Fehlerfreiheit und Relevanz für den vorgesehenen Zweck. Eine gültige DSGVO-Rechtsgrundlage erfüllt nicht automatisch die Datenqualitätsstandards des Art. 10; beide Anforderungen müssen unabhängig voneinander in Ihrer Dokumentation adressiert werden.

Welche Verordnung hat Vorrang, wenn DSGVO und EU KI-Verordnung in Konflikt geraten?

Die DSGVO gilt als Verordnung mit unmittelbarer Wirkung in allen EU-Mitgliedstaaten und wird durch die KI-Verordnung nicht verdrängt. Erwägungsgrund 9 der EU KI-Verordnung stellt ausdrücklich klar, dass sie die DSGVO ergänzt und keine Datenschutzpflichten vermindert. Wo Pflichten scheinbar in Konflikt stehen — etwa wenn die Transparenzanforderungen der KI-Verordnung mit dem Grundsatz der Datenminimierung der DSGVO interagieren — müssen beide gleichzeitig erfüllt werden. Entsteht ein echter Konflikt, ist rechtliche Beratung spezifisch für die jeweilige Rechtsordnung und den Kontext erforderlich; keines der beiden Instrumente räumt dem anderen ausdrücklich Vorrang ein.

Quellen

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: DSGVO vs. EU KI-Verordnung: Wo sich die beiden Verordnungen überschneiden

This article covers: Die beiden Verordnungen im Überblick, Wo sie sich überschneiden, Compliance-Effizienz: Ein einheitlicher KI-Governance-Rahmen.

  • Die beiden Verordnungen im Überblick
  • Wo sie sich überschneiden
  • Compliance-Effizienz: Ein einheitlicher KI-Governance-Rahmen
  • Beispiel: Sechs KI-Systeme — kombinierte Klassifizierung
  • Häufig gestellte Fragen
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.