DSGVO + EU AI Act bei KI-Anwendungen: Doppel-Pflicht 2026

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Doppel-Pflicht: DSGVO (Personenbezug) + EU AI Act (Risikoklasse) parallel
Pflicht-Matrix: DSFA + FRIA, AVV + AI-Anbieter-Vertrag, VVT + KI-Inventar
Schnittstelle Art. 22 DSGVO: automatisierte Einzelentscheidung + AI Act Art. 26
Bußgeld-Doppelung möglich: 4 % DSGVO + 7 % AI Act parallel
EuGH C-203/22 + C-634/21: KI-Score-Werte sind regulierte Entscheidungen

Hauptartikel: Hauptartikel: KI-Inventar in 8 Schritten — der vollständige Pillar-Artikel zum Thema.

1. Verzahnung DSGVO + EU AI Act

DSGVO Art. 22 + Art. 35 + EU AI Act Art. 14 + Art. 27. Beide Rechtsakte gelten parallel und ergänzen sich.

2. DSFA + FRIA Doppel-Pflicht

Bei Hochrisiko-KI mit personenbezogenen Daten: BEIDE Bewertungen erforderlich. DSFA (DSGVO) + FRIA (EU AI Act).

3. Art. 22 DSGVO + Art. 14 EU AI Act

Beide fordern menschliche Aufsicht / Eingriffs-Möglichkeit. EuGH C-634/21 SCHUFA: KI-Score = automatisierte Einzelentscheidung.

4. Sondersensible Daten Art. 9 DSGVO + Art. 10 Abs. 5 EU AI Act

Trainingsdaten dürfen Art. 9 enthalten zur Bias-Prüfung, aber strenge Voraussetzungen.

5. Doppel-Aufsicht

BfDI/Landes-DSB für DSGVO + BNetzA für EU AI Act. Bei Vorfall: beide informieren.

6. Praktische Umsetzung

Kombinierte DSFA+FRIA-Vorlage. Gemeinsame Doku im KI-Inventar. Schulung Personal beide Rechtsakte. AUP-Verzahnung.

Zusammenfassung

Kernpunkte dieses Artikels:

KI-Anwendungen, die personenbezogene Daten verarbeiten, unterliegen einer echten Doppel-Pflicht: DSGVO + EU AI Act (VO (EU) 2024/1689).
Hochrisiko-KI nach Anhang III braucht sowohl DSFA (Art. 35 DSGVO) als auch FRIA (Art. 27 EU AI Act) — eine kombinierte Bewertung ist möglich.
Art. 22 DSGVO (automatisierte Einzelentscheidung) und Art. 14 EU AI Act (Human Oversight) müssen gemeinsam designed werden.
Doppel-Aufsicht: BfDI/Landes-DSB für DSGVO + BNetzA als künftige AI-Aufsicht — Vorfall-Meldung an beide Stellen.

Die meisten KMU unterschätzen den FRIA-Umfang — beginnen Sie dort, legen Sie die DSFA oben drauf, und nutzen Sie die AUP (Acceptable Use Policy) als verbindenden Anker für beide Audits.

Häufig gestellte Fragen

Reicht eine kombinierte Bewertung?

Empfohlen aber nicht zwingend. Beide Rechtsakte fordern eigene Inhalte.

Bei Vorfall meld?

Beide Aufsichten parallel. BfDI 72h, BNetzA + AB-AI sektorspezifisch.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
Europäische Kommission — Digital Omnibus Pressemitteilung (Stand: 02.05.2026, Trilog laufend)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.