WWitness
Erste SchritteFunktionenAkademieFree ToolsExperten-ChatPreiseBlog
Anmelden
Zurück zum Blog
3. April 2026

EU-KI-Verordnung vs. DSGVO: Unterschiede und Schnittmengen

Wie EU-KI-Verordnung und DSGVO zusammenwirken. Unterschiede in Anwendungsbereich, Bußgeldern und Rollen — und was DSGVO-konforme Unternehmen zusätzlich erledigen müssen.

Witness Team·7 Min. Lesezeit·EU-KI-Verordnung vs DSGVOKI-Verordnung DSGVO UnterschiedKI-Verordnung DSGVO ÜberschneidungDSGVO KI-RegulierungKI-Verordnung Datenschutz

Aktualisiert am 25. Mai 2026 nach der Digital-Omnibus-Einigung der EU (7. Mai 2026): Die Compliance-Frist für Anhang-III-Hochrisikosysteme verschiebt sich vom 2. August 2026 auf den 2. Dezember 2027 (Anhang I auf den 2. August 2028). Die Transparenzpflichten nach Artikel 50(2) gelten weiterhin ab 2. August 2026. Siehe unser Omnibus-Update für die vollständige Zeitachse.

Zwei Verordnungen, unterschiedliche Zielobjekte

Die DSGVO (Datenschutz-Grundverordnung) und die EU-KI-Verordnung sind beide europäische Verordnungen mit extraterritorialer Reichweite, erheblichen Bußgeldandrohungen und nachweispflichtigen Compliance-Anforderungen. Geregelt wird aber Unterschiedliches.

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Sie greift, sobald eine Organisation Informationen erhebt, speichert, nutzt oder weitergibt, die eine natürliche Person identifizieren oder identifizierbar machen.

Die EU-KI-Verordnung regelt KI-Systeme. Sie greift, sobald eine Organisation ein maschinenbasiertes System mit einem gewissen Maß an Autonomie entwickelt oder einsetzt, das durch Inferenz Ergebnisse erzeugt — unabhängig davon, ob personenbezogene Daten betroffen sind.

Ein KI-System, das personenbezogene Daten verarbeitet, fällt gleichzeitig unter beide Verordnungen. Ein KI-System, das Satellitenbilder ohne Personenbezug auswertet, unterliegt nur der KI-Verordnung. Eine reine Kundendatenbank ohne KI-Verarbeitung unterliegt nur der DSGVO. Wer unsicher ist, ob die KI-Verordnung überhaupt einschlägig ist, findet die Prüfung im Beitrag „Gilt die EU-KI-Verordnung für mein Unternehmen?".

Die wesentlichen Unterschiede

AspektDSGVOEU-KI-Verordnung
RegelungsgegenstandVerarbeitung personenbezogener DatenKI-Systeme
GrundansatzRechtmäßigkeit der DatenverarbeitungRisikoklassifizierung von KI-Systemen
RisikobewertungDatenschutz-Folgenabschätzung (DSFA)Risikoklassifizierung (vier Stufen) + FRIA
RollenVerantwortlicher / AuftragsverarbeiterAnbieter / Betreiber / Einführer / Händler
Maximales Bußgeld20 Millionen € oder 4 % des weltweiten Jahresumsatzes35 Millionen € oder 7 % des weltweiten Jahresumsatzes
DokumentationVerzeichnis von Verarbeitungstätigkeiten (VVT)Technische Dokumentation (Anhang IV)
AufsichtsbehördeNationale DatenschutzbehördenNationale KI-Marktüberwachungsbehörden (oft eigene Stellen)
In Kraft seitMai 2018Gestaffelt: Februar 2025 — August 2027
Personenbezug erforderlich?Ja (das ist der Kern)Nein (gilt für alle KI-Systeme)
EinwilligungsmodellRechtsgrundlage erforderlichKein Einwilligungsmodell — Pflichten sind strukturell

Die Bußgeldlücke

Die Bußgelder der KI-Verordnung sind deutlich höher als die der DSGVO. Verbotene KI-Praktiken können mit bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes geahndet werden — fast das Doppelte der DSGVO-Obergrenze. Bereits Verstöße gegen die Standardpflichten für Hochrisiko-KI-Systeme können bis zu 15 Millionen € oder 3 % des Umsatzes kosten — vergleichbar mit der oberen DSGVO-Stufe.

Unterschiedliche Rollen, unterschiedliche Pflichten

Die DSGVO ordnet Pflichten danach zu, wer über die Datenverarbeitung entscheidet (Verantwortliche) und wer in deren Auftrag verarbeitet (Auftragsverarbeiter). Die KI-Verordnung knüpft Pflichten an, wer KI-Systeme entwickelt (Anbieter) und wer sie einsetzt (Betreiber).

Diese Rollen sind nicht eins zu eins aufeinander abbildbar. Ein Unternehmen kann gleichzeitig DSGVO-Verantwortlicher und KI-Verordnungs-Betreiber sein — typisch beim Einsatz eines Drittanbieter-KI-Tools für Entscheidungen über Kundinnen und Kunden. Es kann ebenso DSGVO-Auftragsverarbeiter und KI-Verordnungs-Anbieter sein — typisch für SaaS-Unternehmen, die KI-Tools für andere Firmen entwickeln.

Die Pflichten jeder Verordnung knüpfen unabhängig voneinander an die jeweilige Rolle an.

Wo sich die Verordnungen überschneiden

Trotz unterschiedlicher Zielobjekte gibt es erhebliche Berührungspunkte.

Folgenabschätzungen

Beide Verordnungen verlangen strukturierte Risikobewertungen:

  • Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt
  • Art. 27 KI-Verordnung verlangt eine Grundrechte-Folgenabschätzung (FRIA) für bestimmte Betreiber von Hochrisiko-KI-Systemen

Entscheidend: Artikel 27 Abs. 4 der KI-Verordnung stellt ausdrücklich klar, dass die FRIA eine bestehende DSFA ergänzt. Die beiden Bewertungen sind so angelegt, dass sie zusammenwirken — nicht doppelt erstellt werden müssen. Wer für ein KI-System bereits eine DSFA durchgeführt hat, baut die FRIA darauf auf. Die kostenlose FRIA-Vorlage bringt die Struktur aus Artikel 27 mit und ist auf das Anschließen an bestehende DSFAs ausgelegt.

Transparenzpflichten

Beide Verordnungen schreiben Transparenz über automatisierte Entscheidungen vor:

  • Art. 13 und 14 DSGVO verpflichten zur Information der betroffenen Person über automatisierte Entscheidungen einschließlich Profiling
  • Art. 22 DSGVO gibt Betroffenen das Recht, nicht ausschließlich automatisierten Entscheidungen mit rechtlicher oder erheblicher Wirkung unterworfen zu werden
  • Art. 50 KI-Verordnung verlangt einen Hinweis, wenn Personen mit einem KI-System interagieren oder KI-generierte Inhalte sehen
  • Art. 26 Abs. 11 KI-Verordnung verpflichtet Betreiber von Hochrisiko-Systemen, betroffene Personen zu informieren

Wenn das KI-System Entscheidungen über Personen mit deren personenbezogenen Daten trifft, gelten beide Transparenzregime gleichzeitig.

Extraterritoriale Reichweite

Beide Verordnungen wirken über die EU-Grenzen hinaus:

  • Die DSGVO gilt für Organisationen außerhalb der EU, die Daten von in der EU ansässigen Personen verarbeiten
  • Die KI-Verordnung gilt für Organisationen außerhalb der EU, deren KI-Systemoutput in der EU genutzt wird

Ein US-Unternehmen, das einen KI-gestützten Dienst an europäische Kundinnen und Kunden verkauft, fällt unter beide Verordnungen.

Daten-Governance

Die Daten-Governance-Anforderungen der KI-Verordnung (Art. 10) müssen DSGVO-konform umgesetzt werden. Bei Trainings-, Validierungs- und Testdaten, die personenbezogen sind, gelten alle DSGVO-Grundsätze: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Sicherheit. Artikel 10 Abs. 5 erlaubt ausdrücklich die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheit, Biometrie etc.) zur Bias-Erkennung und -Korrektur — aber nur unter strengen Voraussetzungen und mit angemessenen Schutzmaßnahmen.

Profiling

Die DSGVO-Definition des Profiling (Art. 4 Nr. 4) wird unmittelbar in die KI-Verordnung übernommen. Nach Art. 6 Abs. 3 ist ein KI-System, das natürliche Personen profilet, immer als hochriskant einzustufen, sofern es in eine Anhang-III-Kategorie fällt — die Ausnahme zur Herabstufung greift bei Profiling nicht. Das schafft eine direkte inhaltliche Brücke zwischen DSGVO-Begriffen und der Klassifizierung nach der KI-Verordnung.

Wenn Sie bereits DSGVO-konform sind

DSGVO-Compliance verschafft einen Vorsprung bei der KI-Verordnung — sie reicht aber nicht aus. Hier ist, was Sie wahrscheinlich schon haben und was noch fehlt:

Was DSGVO-Compliance liefert

  • Daten-Governance-Praxis — Die DSGVO verlangt dokumentierte Verarbeitungstätigkeiten, Rechtsgrundlagen und Schutzmaßnahmen. Das fließt unmittelbar in die Anforderungen aus Art. 10 KI-Verordnung ein.
  • Erfahrung mit Folgenabschätzungen — Wer DSFAs durchgeführt hat, kennt die Methodik für FRIAs. Art. 27 Abs. 4 erlaubt das Aufsetzen auf bestehende DSFAs.
  • Transparenzinfrastruktur — Datenschutzhinweise, Cookie-Banner und Auskunftsprozesse lassen sich auf die Transparenzpflichten der KI-Verordnung erweitern.
  • Dokumentationskultur — Das Rechenschaftsprinzip nach Art. 5 Abs. 2 DSGVO sorgt dafür, dass Compliance-Nachweise bereits Routine sind.
  • Datenschutzbeauftragten-Expertise — Ein vorhandener DSB versteht die Regulierungslogik in der Regel gut genug, um die KI-Verordnungs-Compliance zu koordinieren.

Was zusätzlich erforderlich ist

  • KI-Systeme klassifizieren — Die DSGVO verlangt keinen risikobasierten KI-Bestand. Die KI-Verordnung schon. Der kostenlose Risikoklassifikator erledigt diesen Schritt in drei Minuten.
  • Technische Dokumentation (Anhang IV) — Vollständig neu. Das DSGVO-VVT bildet Datenverarbeitung ab; Anhang IV bildet Konzeption, Entwicklung, Tests, Genauigkeitsmetriken, Cybersicherheit und mehr ab.
  • Risikomanagementsystem (Art. 9) — Ein fortlaufender, dokumentierter Risikomanagementprozess speziell für KI-Systeme: Identifikation, Schätzung, Bewertung und Minderung.
  • Konformitätsbewertung (Art. 43) — Selbst- oder Drittbewertung, dass das Hochrisiko-KI-System alle Anforderungen erfüllt. Es gibt keinen DSGVO-Pendant.
  • CE-Kennzeichnung und EU-Datenbank-Eintrag — Anbieter müssen vor dem Inverkehrbringen das CE-Kennzeichen anbringen und das System in der EU-Datenbank registrieren.
  • Konzeption der menschlichen Aufsicht (Art. 14) — Dokumentierte Maßnahmen, die es Menschen ermöglichen, KI-Systeme zu verstehen, zu interpretieren, zu übersteuern und anzuhalten.
  • Beobachtung nach dem Inverkehrbringen (Art. 72) — Ein dokumentiertes System zur Erhebung und Analyse von Leistungsdaten nach dem Einsatz.
  • KI-Kompetenz (Art. 4) — Schulung der mit KI befassten Mitarbeitenden, seit Februar 2025 durchsetzbar.

Die größte Lücke: technische Dokumentation

Für die meisten DSGVO-konformen Organisationen ist die Anhang-IV-Dokumentation der größte neue Aufwand. Verlangt sind detaillierte Beschreibungen der Systemarchitektur, der Entwicklungsmethoden, der Trainingsdaten, der Genauigkeitsmetriken, der Bias-Erkennung und -Minderung, der Cybersicherheitsmaßnahmen und der Testverfahren. In dieser Tiefe gibt es nichts Vergleichbares in der DSGVO.

Datenschutzbeauftragter und KI-Compliance: dieselbe Person?

Ein gesetzlicher Anspruch auf einen „KI-Beauftragten" analog zum DSB existiert nicht. Trotzdem braucht es jemanden, der Verantwortung für die KI-Compliance trägt.

In vielen Organisationen — gerade in KMU — ist der DSB der naheliegende Kandidat. Er kennt regulatorische Compliance, Folgenabschätzungen und Dokumentationsanforderungen. Die KI-Verordnung fügt eine technische Dimension hinzu (Systemarchitektur, Genauigkeitsmetriken, KI-spezifisches Risikomanagement), die Weiterbildung oder Unterstützung aus dem Engineering-Team erfordert.

Für größere Organisationen mit mehreren Hochrisiko-KI-Systemen lohnt sich eine eigenständige KI-Compliance-Funktion. Für KMU ist die Kombination aus DSB-Rolle und KI-Verordnungs-Verantwortung pragmatisch, sofern die Person Zugang zu den Engineering-Teams hat, die die Systeme bauen und betreiben.

Praktische Empfehlungen

  1. Behandeln Sie die KI-Verordnung nicht als „DSGVO 2.0". Anwendungsbereich, Rollen und Anforderungen unterscheiden sich. Wer KI-Compliance in den bestehenden DSGVO-Rahmen pressen will, lässt Lücken offen.

  2. Nutzen Sie, was vorhanden ist. DSFAs, Daten-Governance-Dokumente und Transparenzpraxis sind echte Bausteine für die KI-Verordnungs-Compliance. Nichts muss bei null beginnen. Die Compliance-Checkliste zur EU-KI-Verordnung ordnet jeden neuen Anforderungspunkt dem zu, was DSGVO-konforme Teams meist schon haben.

  3. Erst inventarisieren und klassifizieren. Bevor Dokumente entstehen, muss klar sein, welche KI-Systeme existieren, in welche Risikostufe sie fallen und welche Rolle (Anbieter/Betreiber) das Unternehmen jeweils hat. Diese Bestandsaufnahme bestimmt den gesamten Compliance-Aufwand.

  4. Bewertungen koordinieren. Verweisen Sie in der FRIA ausdrücklich auf die DSFA zum selben System. Artikel 27 Abs. 4 setzt diesen ergänzenden Ansatz voraus.

  5. Mit den kostenlosen Tools beginnen. Der Witness-Klassifizierer bestimmt Risikostufe und Rolle in wenigen Minuten. Von dort aus führen geleitete Compliance-Tools durch genau die Dokumentation, die Ihre Situation erfordert — aufbauend auf dem, was Sie aus der DSGVO bereits haben.

Prüfen Sie, ob die EU-KI-Verordnung für Sie gilt

Kostenlose Klassifizierung in 3 Minuten. Keine Anmeldung erforderlich.

Jetzt starten