AI ACT UND DSGVO BZW. KDG: SO SETZEN ORGANISATIONEN KÜNSTLICHE INTELLIGENZ DATENSCHUTZKONFORM EIN.

Ab 2025 greift mit dem AI Act das erste umfassende Regelwerk der EU für den Einsatz von Künstlicher Intelligenz (KI). Parallel bleibt die DSGVO bzw. das KDG weiterhin maßgeblich, sobald personenbezogene Daten verarbeitet werden. Für Unternehmen bedeutet das: Datenschutz und KI-Regulierung gehören zusammen gedacht.

Was genau regelt der AI Act ? Welche Rolle spielt die DSGVO bzw. das KDG weiterhin? Und worauf sollten Organisationen beim Einsatz von KI jetzt achten? Wir geben einen Überblick – praxisnah und verständlich.

WAS REGELT DER AI ACT KONKRET?

Der AI Act  verfolgt drei zentrale Ziele:

✅ KI-Systeme sollen sicher und nachvollziehbar sein.
✅ Grundrechte, Privatsphäre und Fairness müssen geschützt werden.
✅ Innovation wird gefördert – aber nicht auf Kosten von Sicherheit oder Datenschutz.

Wen betrifft der AI Act ?
Vor allem Unternehmen, Vereine oder Verbände, die KI-Systeme entwickeln, vertreiben oder selbst einsetzen. Dies gilt nicht nur für Organisationen, die KI in sensiblen Bereichen wie:

➡️ Personalrekrutierung
➡️ Gesundheitswesen
➡️ Finanzbranche

einsetzen, sondern für ALLE User:innen von KI Systemen.

Welche Kategorien von KI-Systemen gibt es? (Art. 5–7 AI Act )
Der AI Act teilt KI-Systeme basierend auf ihrem Risiko in folgende Kategorien ein:

1.     Verbotene KI: Systeme, die grundlegende Rechte verletzen, wie Social Scoring, manipulative Verhaltenssteuerung oder diskriminierende biometrische Identifikation (Art. 5 AI Act ).

2.    Hochrisiko-KI: Anwendungen in kritischen Bereichen wie Gesundheit, Bildung, Beschäftigung oder biometrische Identifikation. Diese unterliegen strengen Anforderungen, z. B. in Bezug auf Transparenz und Robustheit (Art. 6 und Anhang III AI Act ).

3.    Regulierte KI: Systeme mit mittlerem Risiko, wie generative KI (z. B. ChatGPT) oder Chatbots. Diese müssen Transparenz- und Aufklärungsanforderungen erfüllen (Art. 52 AI Act ).

4.    KI mit geringem Risiko: KI mit geringem Risiko: Systeme, die keine besonderen regulatorischen Auflagen erfüllen müssen, wie KI-gestützte Rechtschreibprüfungen. Es wird jedoch empfohlen, sie ohne personenbezogene Daten zu verwenden (Anonymisierung oder Pseudonymisierung). Die Datenschutzkonferenz (DSK) empfiehlt auch hier eine genaue Prüfung möglicher Risiken.

➡️ Mehr dazu: Orientierungshilfe der Datenschutzkonferenz zu KI und Datenschutz

AI ACT UND DSGVO BZW. KDG: KEIN ENTWEDER-ODER – SONDERN TEAMWORK

Ein Missverständnis sehen wir immer wieder: Der AI Act  ersetzt die DSGVO bzw. das KDG nicht. Beide Verordnungen gehen Hand in Hand.

Konkret bedeutet das für Unternehmen, Vereine oder Verbände:

✅ Es braucht immer eine klare Rechtsgrundlage (Art. 6 DSGVO/§ 6 KDG) für jede Datenverarbeitung.

✅ Es müssen auch bereits bestehende KI-Systeme berücksichtigt sowie eine Risikoklassifizierung nach Einsatzzweck durchgeführt werden. (Art. 35 DSGVO/§ 25 KDG, Art. 5-7 AI Act )
✅ Betroffene müssen verständlich informiert werden (Art. 13 & 14 DSGVO/§ 14 & 15 KDG, Art. 52 AI Act ) und alle Betroffenen Rechte gemäß DSGVO bzw. KDG bleiben bestehen. (Art. 12 ff. DSGVO/§ 14 ff. KDG)
✅ Bei vollautomatisierten Entscheidungen (z. B. Kreditscoring) greift zusätzlich Art. 22 DSGVO/§ 24 KDG.

✅ Mitarbeitende müssen im Umgang geschult werden und Nutzungsregelungen festgeschrieben werden (Art. 62 AI Act , Art. 32 DSGVO/§ 26 KDG).

Kurz gesagt:
➡️ Die DSGVO bzw. KDG schützt die User:innen und deren Daten.
➡️ Der AI Act  regelt, wie die KI mit den Daten arbeiten darf.

➡️ Die Organisation selbst ist für die Planung, Durchführung und Überprüfung sowie die Rahmenbedingungen für die Beschäftigten verantwortlich.

TRAININGSDATEN: DATENSCHUTZ BEGINNT VOR DEM ERSTEN KI-OUTPUT

Schon beim Training einer KI gelten die Vorgaben der DSGVO bzw. des KDG – wenn personenbezogene Daten verwendet werden. Unternehmen, Vereine oder Verbände sollten daher bereits vor Auswahl und Entwicklung von KI-Systemen genau hinsehen und dokumentieren:

✅ Woher stammen die Trainingsdaten?
Sollen oder werden echte Daten von Menschen verwendet – Dann braucht es bereits im Voraus eine saubere Rechtsgrundlage und Dokumentation. Auch öffentliche Daten aus dem Internet sind nicht automatisch frei nutzbar.

✅ Wer trägt die Verantwortung?
Auch bei zugekauften KI-Lösungen liegt die Verantwortung für datenschutzkonforme Nutzung bei der Organisation selbst.

✅ Automatisierte Entscheidungen?
Wenn eine KI vollautomatisch entscheidet, ob jemand einen Kredit bekommt oder zu einem Bewerbungsgespräch eingeladen wird, müssen immer Menschen eingebunden sein – mit echtem Entscheidungsspielraum. Hier gilt es neben dem Art. 22 DSGVO/§ 24 KDG auch weitere Rechtsgrundlagen z. B. das AGG in den Blick zu nehmen.

✅ Offene oder geschlossene Systeme?
KI-Systeme in der Cloud (offene Systeme) bergen höhere Datenschutzrisiken als Inhouse-Lösungen. In beiden Fällen braucht es klare Regeln und Verträge – besonders bei Datenübertragungen in Drittstaaten.

WANN BRAUCHT ES EINE DATENSCHUTZ-FOLGENABSCHÄTZUNG (DSFA)?

Setzen Organisationen eine Hochrisiko-KI ein, ist eine DSFA Pflicht. Die Datenschutzkonferenz empfiehlt die DSFA bereits ab der Verwendung von KI-Systemen mit geringem Risiko. Das heißt um den Vorgaben der DSGVO bzw. des KDG und des AI Act s gerecht zu werden und um das Risiko für Betroffene und die Organisation richtig einschätzen zu können, wird eine DSFA auch für alle anderen KI Klassifikationen empfohlen.

Dabei wird u.a. geprüft:

✔️ Welche Daten verarbeitet die KI?
✔️ Wo liegen die Risiken für die Betroffenen?
✔️ Welche Schutzmaßnahmen werden umgesetzt?

Typische Fälle für eine DSFA:
➡️ Verarbeitung sensibler Daten (Gesundheit, Religion, Herkunft, Daten Minderjähriger)

➡️ Verarbeitung großer Datenmengen sowie Vernetzung aller personenbezogener Daten in der Organisation
➡️ Vollautomatisierte Entscheidungen mit rechtlicher Wirkung

➡️ Profiling oder Scoring, z. B. bei Bonitätsprüfungen

Tipp: Die DSFA sollte kein reiner Pflicht-Check sein, sondern ein echtes Werkzeug zur Risikosteuerung.

Sollte sich gegen eine dokumentierte DSFA entschieden werden, muss das lückenlos dokumentiert und verargumentiert werden.

BETROFFENENRECHTE & TRANSPARENZ: KI DARF KEINE BLACKBOX SEIN.

Datenschutz lebt von Transparenz – das gilt auch (und besonders) für KI:
✅ Woher stammen die Daten?
✅ Nach welchen Kriterien entscheidet die KI?
✅ Sollen personenbezogene Daten verarbeitet werden – und wenn ja, wie?

✅ Wird der gesamte Lebenszyklus des KI-Systems überwacht?

✅ Welche Maßnahmen zum Schutz für Betroffene müssen ergriffen werden?

✅ Kann der Hersteller bei der Umsetzung der Transparenzpflichten unterstützen und diese gemeinsam mit der Organisation erfüllen?

Betroffene können neben den DSGVO bzw. des KDG Rechten zudem Auskunft verlangen, ob ihre Daten ins Training eingeflossen sind.

Herausforderung:
Bei großen, vortrainierten Modellen (z. B. GPT-4, Gemini oder LLaMA) ist das nicht immer einfach nachvollziehbar. Trotzdem gilt: Technische Komplexität entbindet nicht von der Pflicht zur Transparenz. Organisationen müssen sich mit ihren Datenschutz- und IT-Teams eng abstimmen, um diese Anforderungen zu erfüllen.

DIESE KI-PRAKTIKEN VERBIETET DER AI ACT.

Der AI Act  zieht klare Grenzen – einige Anwendungen sind ab Februar 2025 europaweit verboten, weil sie Grundrechte massiv gefährden könnten:

❌ Social Scoring
❌ Versteckte Manipulation von Verhalten
❌ Massenüberwachung ohne gesetzliche Grundlage

Organisationen sollten daher frühzeitig prüfen, ob geplante Anwendungen hier problematisch sein könnten. Hier ist eine ausführliche Dokumentation das A und O.

WAS SIE JETZT TUN SOLLTEN:

Auch wenn viele Pflichten des AI Acts erst ab August 2026 greifen, lohnt sich die Vorbereitung jetzt, da der Einsatz geplant werden sollte:

✔️ Bestandsaufnahme: Welche KI-Systeme sind zu welchen Zwecken im Einsatz? Wie müssen diese klassifiziert werden? Wurde der Einsatz oder die Planung bereits dokumentiert?
✔️ Rechtsgrundlage prüfen: Gibt es für jede Datenverarbeitung eine DSGVO bzw. KDG-konforme Grundlage?
✔️ Transparenz sicherstellen: Können die Funktionsweise und Entscheidungskriterien der KI erklärt werden?
✔️ Dokumentation aktualisieren: DSFA, Verarbeitungsverzeichnis & interne Richtlinien anpassen.
✔️ Mitarbeitende schulen: Alle, die mit KI arbeiten, sollten die rechtlichen Anforderungen kennen.
✔️ Technische Prozesse prüfen: Implementieren Sie technische und organisatorische Maßnahmen wie Monitoring, Tests und regelmäßige Audits einplanen.

Bei Nichteinhaltung greifen neben den Bußgeldern des DSGVO bzw. des KDG auch die Sanktionen und Bußgelder des AI Act s (Art. 99ff AI Act ).

DATAFRESHUP: IHR PARTNER FÜR DATENSCHUTZKONFORMEN KI-EINSATZ

Bei der DataFreshup GmbH unterstützen wir Unternehmen, Vereine oder Verbände dabei, KI-Systeme von Anfang an datenschutzkonform aufzustellen – und das mit klarem Blick auf die Anforderungen von DSGVO oder KDG und AI Act.

Unsere Leistungen im Überblick:

🔗 Analyse: Klassifizierung der KI-Systeme
🔗 Datenschutz-Dokumentation: Hilfe bei DSFA, Verarbeitungsverzeichnis & Co.
🔗 Schulungen: Praxisnahe Trainings zu DSGVO oder KDG & AI Act .
🔗 Prozessberatung: Aufbau von Prüf- und Dokumentationsroutinen.
🔗 Transparenz-Check: Unterstützung bei Betroffeneninformation und Kommunikation.

Alle Leistungen der Datafreshup im Überblick:
https://www.datafreshup.de/leistungen

➡️ Jetzt Kontakt aufnehmen und Erstgespräch vereinbaren.

FAZIT: DATENSCHUTZ UND AI ACT  – KEIN WIDERSPRUCH, SONDERN ZWEI PUZZLETEILE

Mit dem AI Act  kommen neue Anforderungen auf Organisationen zu. Wer bereits datenschutzkonform arbeitet, hat jedoch einen klaren Vorteil: Viele Prozesse sind schon vorhanden – sie müssen nur erweitert und an die neuen KI-spezifischen Vorgaben angepasst werden. Eine enge Verknüpfung der Vorgaben aus dem AI Act und der DSGVO bzw. KDG ist unerlässlich, um rechtliche Risiken zu minimieren.

➡️ Unser Tipp: Datenschutz von Anfang an mitdenken – dann wird aus Pflicht schnell ein Wettbewerbsvorteil.

KI DATENSCHUTZKONFORM EINSETZEN - STARTEN SIE JETZT!

Die Anforderungen aus AI Act und DSGVO bzw. KDG sind komplex, bieten jedoch auch die Chance, KI verantwortungsvoll und sicher einzusetzen. Bereiten Sie sich jetzt optimal vor und schaffen Sie Rechtssicherheit und Vertrauen bei Ihren Kund:innen, Mitarbeitenden und Partner:innen.

Vereinbaren Sie noch heute ein unverbindliches Beratungsgespräch und machen Sie KI zur Stärke Ihrer Organisation!

➡️ Jetzt Termin vereinbaren