EU-KI-Verordnung vs. DSGVO
EU-KI-Verordnung und DSGVO sind eigenständige Verordnungen mit eigenen Aufsichtsbehörden, Bussgeld-Regimen und Schutz-Zwecken. Sie greifen oft auf dieselben Systeme zu, aber sie ersetzen sich nicht. Wer 2026 KI in Europa baut, muss beide Regelwerke gleichzeitig erfüllen, und in mehreren Punkten widersprechen sich Anforderungen scheinbar. Eine integrierte Compliance-Architektur löst diese Spannung sauber.
Schutz-Zwecke
DSGVO schützt Grundrechte natürlicher Personen bei der Verarbeitung personenbezogener Daten. EU-KI-Verordnung schützt Gesundheit, Sicherheit und Grundrechte vor Risiken durch KI-Systeme, unabhängig davon, ob personenbezogene Daten betroffen sind. Wo beide greifen, gilt das jeweils strengere Regime.
Aufsichts-Architektur
DSGVO liegt bei Datenschutz-Aufsichten (BfDI Bund, Landes-Aufsichten). EU-KI-Verordnung liegt beim AI Office (EU-Ebene) und bei nationalen Marktüberwachungs-Behörden. In Deutschland werden die nationalen Behörden 2026 noch geklärt, BNetzA und BfDI sind die wahrscheinlichsten Kandidaten. Beide Aufsichten können zugleich prüfen.
Pflichten-Überlappungen
Beide Regime verlangen Risiko-Bewertung, Dokumentation, menschliche Aufsicht und Transparenz. EU-KI-Verordnung Art. 14 (menschliche Aufsicht) und DSGVO Art. 22 (automatisierte Entscheidungen) decken denselben Schutz aus zwei Perspektiven. EU-KI-Verordnung Art. 13 (Transparenz) ergänzt DSGVO Art. 13/14 (Informationspflichten).
Wo es Spannung gibt
Trainings-Daten-Pflicht nach EU-KI-Verordnung Art. 10 verlangt repräsentative, vollständige Daten. DSGVO-Datenminimierung verlangt minimal erforderliche Daten. Auflösung: minimal erforderlich für den Zweck der Repräsentativität, mit Pseudonymisierung und Aggregation. EuGH hat das in mehreren Urteilen bestätigt.
Bussgeld-Risiken kombiniert
DSGVO bis 20 Mio EUR oder 4 Prozent des weltweiten Konzernumsatzes. EU-KI-Verordnung bis 35 Mio EUR oder 7 Prozent für verbotene Praktiken. Beide Bussgelder können bei demselben Verstoss verhängt werden, wenn der Verstoss beide Regime betrifft. Konzentrations-Risiko ist erheblich.
Integrierte Compliance-Praxis
DSGVO-Folgenabschätzung und EU-KI-Verordnung-Konformitätsbewertung in einem Verfahren mit überlappenden Sektionen. Ein gemeinsames Modell-Inventar. Eine Aufsichts-Eskalations-Matrix, die je nach Vorfall-Art DSB und Marktüberwachung gleichzeitig informiert. Das spart Aufwand und stellt Konsistenz sicher.
Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.