KI & DSGVO: Der Überblick für Unternehmen (2026)
Wer KI-Systeme mit personenbezogenen Daten betreibt, muss den Datenschutz nach DSGVO und die KI-Verordnung gleichzeitig einhalten. Dieser Überblick zeigt, welche Pflichten gelten, welche Fristen anstehen und wie Unternehmen beide Regelwerke zusammen umsetzen.
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar und ersetzt keine individuelle Prüfung durch einen Datenschutzexperten oder Rechtsanwalt.
Das Wichtigste in Kürze
- →DSGVO und KI-Verordnung greifen zusammen – die DSGVO regelt den Datenschutz, die KI-VO regelt das KI-System. Unternehmen müssen beide erfüllen.
- →Vier Risikoklassen im EU AI Act – je höher die Klasse, desto häufiger gehen damit auch erhöhte DSGVO-Pflichten einher. Verbote gelten bereits seit 2025.
- →DSFA und GRFA sind zentrale Prüfverfahren – die DSFA für Datenschutzrisiken, die GRFA für Grundrechte bei bestimmten Betreibern von Hochrisiko-KI.
- →Schatten-KI ist ein Hauptrisiko – Mitarbeiter nutzen unautorisierte KI-Tools. Eine KI-Richtlinie und genehmigte Tools sind die Lösung.
- →Nächste Frist: August 2026 – dann greift die Hochrisiko-Regulierung vollständig. Unternehmen sollten jetzt vorbereiten.
- →Bußgelder kumulieren – bis zu 35 Millionen Euro (KI-VO) und 20 Millionen Euro (DSGVO) können zusammen anfallen.
Warum DSGVO und KI zusammengehören
Die DSGVO schützt personenbezogene Daten. Die KI-Verordnung (KI-VO) reguliert KI-Systeme als Technologie. Sobald ein KI-System personenbezogene Daten verarbeitet, gelten beide Regelwerke gleichzeitig. Das betrifft die Mehrheit der KI-Anwendungen in Unternehmen, weil fast jede Geschäftsanwendung irgendwann mit Kunden-, Mitarbeiter- oder Bewerberdaten arbeitet.
Art. 22 DSGVO untersagt grundsätzlich ausschließlich automatisierte Entscheidungen mit rechtlicher Wirkung, erlaubt sie aber in engen Ausnahmefällen – etwa bei Vertragserfüllung, gesetzlicher Grundlage oder ausdrücklicher Einwilligung. Art. 22 greift nur, wenn keine sinnvolle menschliche Beteiligung an der Entscheidung erfolgt. In den erlaubten Ausnahmefällen bestehen zusätzliche Informations- und Schutzpflichten sowie häufig das Recht auf menschliches Eingreifen.
Die KI-VO ergänzt die DSGVO, ersetzt sie aber nicht. Während die DSGVO fragt „Werden personenbezogene Daten rechtskonform verarbeitet?", fragt die KI-VO „Ist das KI-System selbst sicher, transparent und nicht diskriminierend?". Beide Fragen muss ein Unternehmen beantworten können.
Beispiel: KI-Screening in der HR-Abteilung
Ein Unternehmen setzt eine KI ein, die Bewerbungen automatisch vorsortiert. Das löst gleichzeitig drei Pflichten aus:
- →DSGVO Art. 22: Bewerber müssen über die automatisierte Verarbeitung informiert werden und können eine menschliche Überprüfung verlangen.
- →DSGVO Art. 35: Eine Datenschutz-Folgenabschätzung (DSFA) kann erforderlich sein, weil personenbezogene Daten systematisch bewertet werden.
- →KI-VO: KI im Personalwesen fällt in der Regel unter die Hochrisiko-Kategorie nach Anhang III, insbesondere wenn sie Bewerber oder Beschäftigte bewertet oder profiliert. Ab August 2026 gelten Dokumentations-, Transparenz- und Überwachungspflichten. Eine GRFA-Pflicht besteht für private Arbeitgeber nicht automatisch, kann aber als freiwillige Risikoabsicherung sinnvoll sein.
Diese Überlappung bedeutet: Unternehmen, die sich nur um die DSGVO kümmern, decken die KI-spezifischen Anforderungen nicht ab. Umgekehrt schützt die reine KI-VO-Konformität nicht vor DSGVO-Verstößen. Beide Regelwerke müssen gemeinsam betrachtet werden.
EU AI Act Risikoklassen – was für die DSGVO relevant ist
Der EU AI Act teilt KI-Systeme in vier Risikoklassen ein. Je höher die KI-Risikoklasse, desto häufiger gehen damit auch erhöhte DSGVO-Pflichten einher – etwa eine DSFA oder erweiterte Dokumentation.
| Risikoklasse | Beispiele | DSGVO-Konsequenz | Status |
|---|---|---|---|
| Verboten | Social Scoring, biometrische Echtzeit-Fernidentifikation, manipulative KI | Einsatz untersagt. Jede Datenverarbeitung ist rechtswidrig. | Seit Feb 2025 |
| Hochrisiko | KI im Personalwesen, Kreditwürdigkeitsprüfung, Strafverfolgung, Bildung | DSFA häufig erforderlich, GRFA für bestimmte Betreiber, Protokollierung, menschliche Aufsicht | Ab Aug 2026/2027 |
| Begrenztes Risiko | Chatbots, KI-generierte Inhalte, Deepfakes | Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren. | Aktiv |
| Minimales Risiko | Spamfilter, KI-gestützte Textkorrekturen, Empfehlungssysteme | Keine besonderen KI-VO-Pflichten. DSGVO gilt weiterhin bei Personenbezug. | Keine Frist |
Die Verbote gelten als erste Stufe der KI-VO und treten frühzeitig in Kraft (ab 2025). Social Scoring, also das Bewerten von Personen anhand ihres Sozialverhaltens durch staatliche Stellen, ist in der EU untersagt. Ebenso verboten: KI-Systeme, die Emotionen am Arbeitsplatz oder in Bildungseinrichtungen erkennen sollen, sowie manipulative Techniken, die das Verhalten von Personen unbewusst beeinflussen.
Die Hochrisiko-Kategorie ist für Unternehmen die relevanteste Klasse. Sie betrifft KI-Systeme in sensiblen Bereichen wie Personalwesen, Kreditvergabe, Versicherung, Bildung und kritischer Infrastruktur. Für anwendungsbezogene Hochrisiko-KI nach Anhang III (z. B. HR, Kreditvergabe) greifen die Pflichten ab August 2026. Für Hochrisiko-KI, die über das Produktsicherheitsrecht eingestuft wird (Art. 6 Abs. 1), gilt eine verlängerte Frist bis August 2027. Betreiber müssen eine technische Dokumentation vorhalten, die Datenqualität sicherstellen und eine menschliche Aufsicht gewährleisten. Wird das KI-System mit personenbezogenen Daten trainiert oder betrieben, kommt die DSGVO mit DSFA-Pflicht und Betroffenenrechten dazu.
Für die meisten Unternehmen, die KI-Chatbots wie ChatGPT oder Claude einsetzen, greift die Kategorie „begrenztes Risiko". Die Transparenzpflicht bedeutet: Kunden und Mitarbeiter müssen wissen, dass sie mit einem KI-System interagieren. Wird der Chatbot mit Kundendaten gefüttert, gilt zusätzlich die DSGVO.
Abgrenzung: KI-VO und DSGVO im Detail
Dieser Artikel behandelt den DSGVO-Fokus beim KI-Einsatz. Die KI-Verordnung selbst, ihre Governance-Struktur und die vollständige Hochrisiko-Regulierung werden in unserem EU AI Act Guide ausführlich behandelt.
DSFA und GRFA – die zwei Pflicht-Prüfungen
Beim Einsatz von KI mit personenbezogenen Daten gibt es zwei zentrale Prüfverfahren: die Datenschutz-Folgenabschätzung (DSFA) nach DSGVO und die Grundrechte-Folgenabschätzung (GRFA) nach KI-Verordnung. Beide haben unterschiedliche Rechtsgrundlagen, unterschiedliche Schwerpunkte und unterschiedliche Auslöser.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Die DSFA nach Art. 35 DSGVO ist erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Das trifft häufig auf KI-Systeme zu, die personenbezogene Daten verarbeiten, weil KI in der Regel systematisch und automatisiert Daten auswertet.
Die DSFA dokumentiert, welche Daten verarbeitet werden, warum die Verarbeitung nötig ist, welche Risiken bestehen und welche Maßnahmen diese Risiken mindern. Bei KI-Systemen kommt die Besonderheit hinzu, dass die Verarbeitung oft nicht vollständig transparent ist. Ein Machine-Learning-Modell trifft Entscheidungen auf Basis von Mustern, die sich nicht immer nachvollziehen lassen. Die DSFA muss dieses Risiko adressieren und erklären, wie das Unternehmen damit umgeht.
Mehrere europäische Aufsichtsbehörden, darunter auch deutsche, betonen, dass beim Einsatz von ChatGPT und vergleichbaren generativen KI-Tools regelmäßig zu prüfen ist, ob eine DSFA erforderlich ist. Wer diese Prüfung unterlässt, riskiert Nachfragen der Aufsichtsbehörde.
Was ist eine Grundrechte-Folgenabschätzung (GRFA)?
Die GRFA nach Art. 27 KI-VO ist ein neues Prüfverfahren, das es unter der DSGVO nicht gibt. Der Adressatenkreis ist eng begrenzt: Zur GRFA verpflichtet sind Einrichtungen des öffentlichen Rechts, private Einrichtungen, die öffentliche Dienste erbringen, sowie Betreiber bestimmter Hochrisiko-KI-Systeme nach Anhang III – insbesondere bei Kreditwürdigkeitsprüfung und Lebens-/Krankenversicherung, nach Maßgabe von Art. 27 KI-VO. Der Kreis kann durch delegierte Rechtsakte erweitert werden. Die GRFA prüft, ob das KI-System Grundrechte beeinträchtigt, insbesondere das Recht auf Gleichbehandlung und Nichtdiskriminierung. Für alle anderen Unternehmen ist die GRFA freiwillig, kann aber als Risikoabsicherung sinnvoll sein.
Während die DSFA auf Datenschutzrisiken fokussiert, geht die GRFA weiter: Sie untersucht, ob das KI-System bestimmte Personengruppen benachteiligt, ob die Ergebnisse fair und nachvollziehbar sind und ob ausreichende Schutzmechanismen existieren. Ein Beispiel: Eine KI, die Kreditanträge bewertet, könnte Antragsteller aus bestimmten Postleitzahlen systematisch schlechter bewerten. Die GRFA muss solche Muster erkennen und Gegenmaßnahmen dokumentieren.
DSFA vs. GRFA – die Unterschiede auf einen Blick
| Kriterium | DSFA | GRFA |
|---|---|---|
| Rechtsgrundlage | Art. 35 DSGVO | Art. 27 KI-VO |
| Fokus | Datenschutzrisiken für Betroffene | Grundrechte (Gleichbehandlung, Nichtdiskriminierung) |
| Auslöser | Jede KI mit Personenbezug und hohem Risiko | Bestimmte Betreiber von Hochrisiko-KI (öffentl. Stellen, Kredit, Versicherung) |
| Verantwortlich | Verantwortlicher (i. d. R. das Unternehmen) | Betreiber des KI-Systems |
| Pflicht seit | 2018 (DSGVO) | August 2026 |
| Ergebnis | Risikobewertung + Maßnahmen | Grundrechte-Bewertung + Schutzmechanismen |
Unternehmen, die Hochrisiko-KI einsetzen, müssen in der Regel beide Prüfungen durchführen. Die Ergebnisse können teilweise aufeinander aufbauen, ersetzen sich aber gegenseitig nicht. Eine DSFA, die Diskriminierungsrisiken nicht adressiert, erfüllt nicht die GRFA-Anforderungen. Umgekehrt deckt eine GRFA ohne Datenschutz-Analyse nicht die DSFA-Pflicht ab. Ob Ihr spezifisches Unternehmen zur GRFA verpflichtet ist oder ob eine freiwillige Prüfung zur Risikoabsicherung ratsam ist, sollte im Einzelfall juristisch geklärt werden.
KI-Beauftragter – braucht mein Unternehmen einen?
Die KI-Verordnung verpflichtet Betreiber zur Sicherstellung ausreichender KI-Kompetenz. Das bedeutet: Mitarbeiter, die KI-Systeme einsetzen oder überwachen, müssen ausreichend geschult sein. Eine formal benannte Person wie beim Datenschutzbeauftragten (DSB) schreibt die KI-VO nicht zwingend vor.
In der Praxis wird ein KI-Beauftragter trotzdem sinnvoll, sobald ein Unternehmen mehrere KI-Systeme einsetzt, weil die Dokumentations-, Schulungs- und Überwachungspflichten sonst verteilt und schwer nachvollziehbar werden. Wer drei verschiedene KI-Tools in vier Abteilungen nutzt, braucht eine zentrale Stelle, die den Überblick behält.
Bei Hochrisiko-KI verschärft sich die Lage: Hier verlangt die KI-VO eine menschliche Aufsicht, lückenlose Protokollierung und regelmäßige Qualitätsprüfungen. Ohne eine verantwortliche Person, die diese Pflichten koordiniert, ist die Einhaltung kaum realisierbar.
Kann der bestehende Datenschutzbeauftragte auch KI-Beauftragter sein? Grundsätzlich ja, sofern die Person die nötige KI-Kompetenz mitbringt. Die Rollen überschneiden sich bei Themen wie DSFA, Betroffenenrechten und Verarbeitungsverzeichnis. Die KI-spezifischen Aufgaben wie Risikobewertung nach KI-VO, Überwachung der Modellqualität und GRFA gehen aber über das klassische Datenschutzwissen hinaus. Eine Doppelrolle funktioniert bei kleinen KI-Portfolios. Wer Hochrisiko-KI betreibt, sollte beide Rollen trennen.
DSB vs. KI-Beauftragter
- →Datenschutzbeauftragter (DSB): Pflicht nach DSGVO Art. 37. Überwacht die Einhaltung der DSGVO, berät zur DSFA, ist Ansprechpartner für Aufsichtsbehörden.
- →KI-Beauftragter: Keine formale Pflicht nach KI-VO, aber empfohlen. Koordiniert KI-Kompetenz, überwacht Hochrisiko-KI, führt GRFA durch, dokumentiert KI-Systeme.
- →Überschneidung: Beide befassen sich mit Risikobewertungen und Dokumentation. Die Trennung empfiehlt sich, wenn das Unternehmen Hochrisiko-KI einsetzt.
KI-Tools & DSGVO: Datenschutzrisiken und Einordnung
Die großen KI-Anbieter unterscheiden sich erheblich in Bezug auf Datenschutz, Serverstandort und Vertragsbedingungen. Für Unternehmen ist die Wahl des richtigen Tools auch eine DSGVO-Entscheidung, weil ein fehlender Auftragsverarbeitungsvertrag (DPA) oder Server außerhalb der EU sofort ein Compliance-Problem auslösen.
| Tool | Serverstandort | Opt-out Training | DPA verfügbar | Besonderheiten |
|---|---|---|---|---|
| ChatGPT | USA, EU (Business/Enterprise) | Ja | Ja (Business/Enterprise) | EU Data Residency verfügbar, DSK empfiehlt DSFA-Prüfung |
| Claude | USA, EU (API) | Ja (Opt-Out verfügbar) | Ja | API-Daten nicht fürs Training, Business-Tarif mit DPA |
| Copilot | EU (Microsoft Azure) | Ja (Business) | Ja | In Microsoft 365 integriert, EU Data Boundary |
| Gemini | USA, EU (Workspace) | Ja | Ja (Workspace) | Google Workspace-Daten nicht fürs Training bei Business-Tarif |
| DeepSeek | China | Unklar | Nein | Chinesisches Datenschutzrecht, kein DPA, keine EU-Infrastruktur |
Stand: Februar 2026. Angaben basieren auf Herstellerinformationen und können sich ändern. Unternehmen sollten die Angaben im Einzelfall selbst verifizieren. DeepSeek fällt durch fehlenden DPA und Serverstandort in China aus dem Rahmen. Für DSGVO-pflichtige Unternehmen in der EU ist der Einsatz regelmäßig mit erheblichen Compliance-Risiken und zusätzlichen Absicherungsmaßnahmen verbunden, weil Datentransfers nach China häufig nicht durch Standardvertragsklauseln oder einen Angemessenheitsbeschluss abgesichert sind. Mehr zu DeepSeek im DeepSeek Test 2026.
ChatGPT und DSGVO
OpenAI hat in den letzten Monaten nachgebessert: EU Data Residency und DPA für Business-Tarife sowie eine laufende Kooperation mit der DSK-Taskforce. Trotzdem bleiben offene Fragen, insbesondere bei der Rechtsgrundlage für das Modelltraining mit personenbezogenen Daten. Die italienische Datenschutzbehörde hat OpenAI 2024 ein Bußgeld von 15 Millionen Euro auferlegt. Für eine ausführliche Analyse des ChatGPT-Datenschutzes mit konkreten Einstellungsempfehlungen siehe ChatGPT & Datenschutz 2026.
Claude, Copilot und Gemini
Anthropic (Claude), Microsoft (Copilot) und Google (Gemini) bieten jeweils Business-Tarife mit DPA und Training-Opt-Out. Copilot hat den Vorteil der EU Data Boundary über Microsoft Azure, Claude setzt bei API-Nutzung keine Daten fürs Training ein. Gemini profitiert von der tiefen Workspace-Integration, was die Datenhoheit innerhalb des Google-Ökosystems vereinfacht. Alle drei Anbieter sind für den Unternehmenseinsatz grundsätzlich geeignet, sofern der Business-Tarif mit DPA gewählt wird. Eine detaillierte DSGVO-Bewertung der einzelnen Tools ist in unserem geplanten KI-Tools-DSGVO-Vergleich vorgesehen.
Wer eine Übersicht der besten Chatbots für den Unternehmenseinsatz sucht, findet bei Die besten KI-Chatbots für Unternehmen einen ausführlichen Vergleich mit Preisen und DSGVO-Check.
Schatten-KI erkennen und verhindern
Schatten-KI bezeichnet den Einsatz von KI-Tools durch Mitarbeiter ohne Wissen oder Genehmigung der IT-Abteilung. Das Muster ist immer gleich: Ein Mitarbeiter kopiert Kundendaten in die kostenlose ChatGPT-Version, um eine Zusammenfassung zu erstellen. Oder eine Führungskraft lädt Quartalszahlen in ein KI-Tool, das keine Vertragsbeziehung zum Unternehmen hat.
Das Risiko: Daten landen bei einem Drittanbieter ohne DPA, ohne Opt-Out fürs Training und ohne Kontrolle über Speicherort und Löschfristen. Ein einzelner Vorfall kann eine meldepflichtige Datenschutzverletzung darstellen, wenn ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. In der Regel haftet das Unternehmen, nicht der einzelne Mitarbeiter.
Vier Maßnahmen gegen Schatten-KI
- ✓KI-Richtlinie verabschieden: Klare Regeln, welche Tools erlaubt sind, welche Daten eingegeben werden dürfen und welche Konsequenzen ein Verstoß hat.
- ✓Genehmigte Tools bereitstellen: Wenn Mitarbeiter offiziell zugelassene KI-Tools mit Business-Tarif nutzen können, sinkt der Anreiz, auf eigene Faust zu handeln.
- ✓Schulungen durchführen: Mitarbeiter müssen verstehen, warum Kundendaten nicht in ein beliebiges KI-Tool kopiert werden dürfen. Abstrakte Regeln reichen nicht. Was die KI-Schulungspflicht nach Artikel 4 konkret umfasst, erklären wir in einem eigenen Artikel.
- ✓Technische Maßnahmen: URL-Filter, DLP-Systeme (Data Loss Prevention) und Netzwerk-Monitoring können den Zugriff auf unautorisierte KI-Dienste einschränken.
Der erste Schritt ist die KI-Richtlinie. Sie schafft die Grundlage für alles Weitere: Genehmigungsprozesse, Schulungskonzepte und technische Kontrollen. Ohne klare Regeln gibt es keinen Maßstab, an dem sich Mitarbeiter orientieren können. Ob der Arbeitgeber KI auch komplett verbieten darf und welche Rolle der Betriebsrat dabei spielt, erklärt unser Artikel zum KI-Verbot am Arbeitsplatz.
Datenfluss dokumentieren – so geht es Schritt für Schritt
Art. 5 Abs. 2 DSGVO verlangt die Rechenschaftspflicht: Unternehmen müssen nachweisen können, dass sie personenbezogene Daten rechtskonform verarbeiten. Bei KI-Systemen bedeutet das, jeden Datenfluss zu dokumentieren, von der Eingabe über die Verarbeitung bis zur Speicherung und Löschung.
- 1.KI-Systeme inventarisieren: Welche KI-Tools werden im Unternehmen eingesetzt? In welchen Abteilungen? Von wie vielen Mitarbeitern? Auch inoffizielle Nutzung erfassen.
- 2.Personenbezug prüfen: Werden personenbezogene Daten eingegeben, verarbeitet oder ausgegeben? Wenn ja: Welche Kategorien (Kundendaten, Mitarbeiterdaten, Bewerberdaten)?
- 3.Verarbeitungsverzeichnis erweitern: KI-Systeme ins Verarbeitungsverzeichnis nach Art. 30 DSGVO aufnehmen. Zweck, Rechtsgrundlage, Empfänger und Speicherdauer dokumentieren.
- 4.TOMs festlegen: Technisch-organisatorische Maßnahmen definieren. Zugriffskontrollen, Verschlüsselung, Pseudonymisierung und Löschkonzepte für KI-verarbeitete Daten.
Schritt eins ist oft der aufschlussreichste: Viele Unternehmen entdecken bei der Inventarisierung KI-Tools, von denen die IT-Abteilung nichts wusste. Das bestätigt, warum Schatten-KI ein ernstes Problem ist und warum die Dokumentation bei der Bestandsaufnahme beginnen muss.
Timeline – alle Fristen bis August 2026
Die KI-Verordnung tritt schrittweise in Kraft. Die DSGVO gilt bereits seit 2018. Die folgende Timeline zeigt, welche KI-VO-Pflichten wann greifen und was das für DSGVO-pflichtige Unternehmen bedeutet.
- →Februar 2025: Verbote in Kraft. Social Scoring, manipulative KI und biometrische Echtzeit-Fernidentifikation sind in der EU untersagt.
- →August 2025: GPAI-Regeln greifen. Anbieter von General Purpose AI (wie OpenAI, Anthropic, Google) müssen Trainingsdaten dokumentieren und mit dem EU AI Office kooperieren.
- →August 2025: Governance-Strukturen. Nationale Aufsichtsbehörden sind zu benennen, das EU AI Office ist operativ, Meldekanäle werden eingerichtet.
- →August 2026: Hochrisiko-KI nach Anhang III (HR, Kreditvergabe, Bildung). Dokumentation, menschliche Aufsicht und Qualitätsmanagement werden Pflicht. GRFA für bestimmte Betreiber.
- →August 2027: Hochrisiko-KI nach Produktsicherheitsrecht (Art. 6 Abs. 1). Verlängerte Übergangsfrist für KI-Systeme, die über bestehende EU-Produktvorschriften eingestuft werden.
Mögliche Verschiebung: Digital Omnibus (Stand: Februar 2026)
Die EU-Kommission hat im November 2025 im Rahmen des „Digital Omnibus"-Pakets vorgeschlagen, die Hochrisiko-Fristen für Anhang-III-Systeme um bis zu 16 Monate auf maximal Dezember 2027 zu verschieben. Dieser Vorschlag durchläuft derzeit das EU-Gesetzgebungsverfahren und ist noch nicht verabschiedet.
Unternehmen sollten weiterhin die ursprüngliche Frist August 2026 als Planungsgrundlage nutzen, bis die Verschiebung rechtskräftig wird. Sich auf verlängerte Fristen zu verlassen, ist mit Risiko verbunden.
Planungsgrundlage: August 2026
- Solange das Digital-Omnibus-Paket nicht verabschiedet ist, gilt August 2026 als Stichtag für Hochrisiko-KI nach Anhang III: Dokumentation, Qualitätsmanagement und menschliche Aufsicht. Die GRFA-Pflicht betrifft nur bestimmte Betreiber.
- Wer diese Systeme bereits einsetzt, sollte jetzt mit der Vorbereitung beginnen – unabhängig von einer möglichen Verschiebung. Rückwirkende Dokumentation und Risikobewertungen unter Zeitdruck führen zu Lücken.
- Die DSGVO-Pflichten (DSFA, Verarbeitungsverzeichnis, Betroffenenrechte) gelten bereits heute und werden durch die Hochrisiko-Anforderungen ergänzt.
Bußgelder und Haftung bei Verstößen
Die KI-Verordnung bringt einen eigenen Bußgeldrahmen mit, der neben die DSGVO tritt. Das bedeutet: Ein Verstoß kann gleichzeitig unter beide Regelwerke fallen und doppelt sanktioniert werden.
| Regelwerk | Maximales Bußgeld | Bezugsgröße |
|---|---|---|
| KI-Verordnung (schwere Verstöße) | 35 Millionen Euro | oder 7 % des weltweiten Jahresumsatzes |
| KI-Verordnung (andere Verstöße) | 15 Millionen Euro | oder 3 % des weltweiten Jahresumsatzes |
| DSGVO | 20 Millionen Euro | oder 4 % des weltweiten Jahresumsatzes |
Die Kumulierung ist der entscheidende Punkt: Wenn ein Unternehmen eine Hochrisiko-KI ohne GRFA betreibt und gleichzeitig personenbezogene Daten ohne DSFA verarbeitet, verstoßen beide Handlungen gegen unterschiedliche Regelwerke. Die Bußgelder addieren sich nicht automatisch, aber die Aufsichtsbehörden können beide Verstöße separat ahnden.
Für KMU sieht die KI-VO Erleichterungen vor: Die Bußgelder sollen verhältnismäßig sein. In der Praxis bedeutet das, dass ein Verstoß eines mittelständischen Unternehmens nicht mit dem gleichen Betrag geahndet wird wie ein Verstoß eines Technologiekonzerns. Der Bußgeldrahmen bleibt aber derselbe.
Doppeltes Risiko beachten
- Ein einziger KI-Einsatz ohne Dokumentation kann gleichzeitig gegen DSGVO und KI-VO verstoßen.
- Die Aufsichtsbehörden in der EU sind vernetzt. Nationale Datenschutzbehörden und das EU AI Office tauschen Informationen aus.
- Prävention ist günstiger: Eine DSFA kostet einen Bruchteil des niedrigsten Bußgeldes.
Fazit
DSGVO und KI-Verordnung sind keine getrennten Welten. Wer KI-Systeme mit personenbezogenen Daten betreibt, muss beide Regelwerke gleichzeitig einhalten. Die DSGVO-Pflichten gelten bereits heute. Die Hochrisiko-Anforderungen der KI-VO kommen im August 2026 dazu. Die Zeit zur Vorbereitung läuft.
Die drei wichtigsten Handlungsschritte: Erstens alle KI-Systeme inventarisieren und den Personenbezug prüfen. Zweitens DSFA für bestehende KI-Anwendungen durchführen. Drittens eine KI-Richtlinie verabschieden, die Schatten-KI verhindert und genehmigte Tools benennt. Wer diese drei Schritte umsetzt, hat eine solide Grundlage für die Hochrisiko-Anforderungen ab August 2026.
Für die vollständige Regulierungsperspektive empfehlen wir unseren geplanten EU AI Act Guide, der die KI-Verordnung jenseits des Datenschutzes behandelt. Wer sofort mit der Tool-Auswahl beginnen will, findet bei KI-Chatbots für Unternehmen eine DSGVO-geprüfte Übersicht.
Häufige Fragen
Was ist der Unterschied zwischen DSFA und GRFA?
Die DSFA (Datenschutz-Folgenabschätzung) prüft nach Art. 35 DSGVO die Risiken für personenbezogene Daten. Die GRFA (Grundrechte-Folgenabschätzung) prüft nach Art. 27 KI-VO die Auswirkungen auf Grundrechte. Die DSFA kann bei KI mit Personenbezug erforderlich sein. Die GRFA-Pflicht betrifft nur bestimmte Betreiber von Hochrisiko-KI – insbesondere öffentliche Stellen und Betreiber im Bereich Kreditwürdigkeit und Versicherung. Für andere Unternehmen ist sie freiwillig, aber als Risikoabsicherung empfehlenswert.
Welche Risikoklassen gibt es im EU AI Act?
Der EU AI Act unterscheidet vier Risikoklassen: Verbotene KI-Systeme (z. B. Social Scoring, seit Februar 2025 in Kraft), Hochrisiko-KI (z. B. KI im Personalwesen, ab August 2026 vollständig reguliert), KI mit begrenztem Risiko (z. B. Chatbots, Transparenzpflicht) und KI mit minimalem Risiko (z. B. Spamfilter, keine besonderen Pflichten).
Braucht mein Unternehmen einen KI-Beauftragten?
Die KI-Verordnung verpflichtet Betreiber zur Sicherstellung ausreichender KI-Kompetenz. Ein formaler KI-Beauftragter ist nicht vorgeschrieben, aber bei mehreren KI-Systemen sinnvoll, weil die Dokumentations- und Überwachungspflichten sonst verteilt und schwer nachvollziehbar werden. Der bestehende DSB kann die Rolle übernehmen, sofern er die nötige KI-Kompetenz mitbringt.
Wie dokumentiere ich KI-Datenflüsse richtig?
In vier Schritten: Erstens alle KI-Systeme inventarisieren, zweitens den Personenbezug der verarbeiteten Daten prüfen, drittens die KI-Systeme ins Verarbeitungsverzeichnis nach Art. 30 DSGVO aufnehmen und viertens technisch-organisatorische Maßnahmen wie Zugriffskontrollen und Verschlüsselung festlegen.
Wie hoch sind die Bußgelder bei Verstößen gegen DSGVO und KI-Verordnung?
Die KI-Verordnung sieht Bußgelder bis 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes vor. Die DSGVO ahndet Verstöße mit bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. Beide Bußgeldrahmen können kumuliert werden, wenn ein Verstoß beide Regelwerke betrifft.
Kann ich ChatGPT DSGVO-konform im Unternehmen einsetzen?
Ja, abhängig vom Einsatz. ChatGPT Business und Enterprise bieten einen Auftragsverarbeitungsvertrag (DPA) und EU Data Residency. Die kostenlose Version und ChatGPT Plus sind ohne AV-Vertrag in der Regel nicht DSGVO-konform einsetzbar. Datenschutzaufsichtsbehörden empfehlen, eine DSFA-Prüfung durchzuführen. Alle Details in ChatGPT & Datenschutz 2026.
Quellen
- →Verordnung (EU) 2024/1689 (KI-Verordnung / AI Act) – Europäisches Parlament und Rat, 13. Juni 2024. Volltext im Amtsblatt der EU: EUR-Lex
- →Datenschutz-Grundverordnung (DSGVO) – Verordnung (EU) 2016/679. Insbesondere Art. 22 (automatisierte Entscheidungen), Art. 35 (DSFA), Art. 30 (Verarbeitungsverzeichnis). EUR-Lex
- →Art. 27 KI-VO (Grundrechte-Folgenabschätzung) – Pflicht für bestimmte Betreiber von Hochrisiko-KI. Adressatenkreis: öffentliche Stellen, Kreditwürdigkeitsprüfung (Anhang III Nr. 5b), Lebens-/Krankenversicherung (Anhang III Nr. 5c). EUR-Lex Art. 27
- →Art. 6 KI-VO (Hochrisiko-Einstufung) – Abs. 2 (Anhang III, Frist August 2026) und Abs. 1 (Produktsicherheitsrecht, Frist August 2027). EUR-Lex Art. 6
- →Datenschutzkonferenz (DSK) – Orientierungshilfe „Künstliche Intelligenz und Datenschutz", Mai 2024. Orientierungshilfe (PDF)
- →Garante per la protezione dei dati personali – Bußgeldbescheid gegen OpenAI, 15 Mio. Euro, Dezember 2024. Comunicato Stampa (garanteprivacy.it)
- →EU AI Office – Zentrale Aufsichtsstelle für die KI-Verordnung, operativ seit 2025. EU AI Office
- →BfDI (Bundesbeauftragter für den Datenschutz) – Kurzmeldung zur EU KI-Verordnung, Dezember 2024. BfDI: Die neue KI-Verordnung der EU
Stand aller Angaben: Februar 2026. Alle Artikel- und Absatzverweise beziehen sich auf die konsolidierte Fassung der jeweiligen Verordnung.
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar und ersetzt keine individuelle Prüfung durch einen Datenschutzexperten oder Rechtsanwalt. Die konkrete Umsetzung sollte im Einzelfall juristisch begleitet werden. Trotz sorgfältiger Recherche kann keine Gewähr für Vollständigkeit und Aktualität übernommen werden.
Über den Autor
Testet und erklärt KI-Tools, damit du sie sofort einsetzen kannst. Begeistert sich für Web Development und KI-Automatisierungen.
Mehr über das Team →
