KI-VO vs. DSGVO - Pflichten, Schulung & Haftung im direkten Vergleich
Die EU-KI-Verordnung ersetzt die DSGVO nicht - sie ergänzt sie. Dieser Leitfaden zeigt, wo sich die beiden Regime überschneiden, wo sie sich unterscheiden, und wie Sie KI-VO-Pflichten effizient in bestehende Datenschutz-Prozesse integrieren.
Zwei Regime, ein Compliance-Ziel
Die DSGVO regelt seit 2018 den Schutz personenbezogener Daten. Die EU-KI-Verordnung (KI-VO / AI Act) ist seit Februar 2025 in Kraft und regelt erstmals horizontal den Einsatz von KI-Systemen - unabhängig davon, ob personenbezogene Daten verarbeitet werden. In der Praxis greifen beide Regime ineinander: Wer ChatGPT mit Kunden-E-Mails füttert, fällt gleichzeitig unter DSGVO (Datenverarbeitung) und KI-VO (Einsatz eines General-Purpose-AI-Systems).
KI-VO und DSGVO im Überblick
Die wichtigsten Unterschiede auf einen Blick.
| Kriterium | DSGVO | KI-VO (AI Act) |
|---|---|---|
| Schutzgut | Personenbezogene Daten natürlicher Personen | Sicherer, transparenter, grundrechtskonformer KI-Einsatz |
| Inkrafttreten | 25.05.2018 | 02.02.2025 (Art. 4); gestaffelt bis 2027 |
| Aufsicht (DE) | Landesdatenschutzbehörden, BfDI | Bundesnetzagentur ab 08/2026 |
| Anwendungsbereich | Jede Verarbeitung personenbezogener Daten | Anbieter, Betreiber, Importeure & Händler von KI-Systemen |
| Risikoansatz | Risikobasiert pro Verarbeitungstätigkeit | Vier Risikoklassen: minimal · begrenzt · hoch · verboten |
| Schulungspflicht | Implizit (Art. 32, 39) - Sensibilisierung | Explizit (Art. 4) - ausreichende KI-Kompetenz |
| Dokumentationspflicht | Verarbeitungsverzeichnis, DSFA, TOMs | Konformitätsbewertung, technische Doku, Logging, KI-Kompetenznachweis |
| Bußgeld max. | 20 Mio. € oder 4 % weltweiter Jahresumsatz | 35 Mio. € oder 7 % (verbotene Praktiken); 15 Mio. € / 3 % (Art. 4) |
| Betroffene Unternehmen | Praktisch alle | Praktisch alle, die KI einsetzen - auch ChatGPT, Copilot, etc. |
Dokumentationspflichten im Vergleich
DSGVO
- Verarbeitungsverzeichnis (Art. 30)
- Datenschutz-Folgenabschätzung bei hohem Risiko (Art. 35)
- Technische und organisatorische Maßnahmen (Art. 32)
- Meldepflicht binnen 72h bei Datenpannen (Art. 33)
- Auftragsverarbeitungsverträge (Art. 28)
KI-VO
- Risikoklassifizierung der eingesetzten KI-Systeme
- Technische Dokumentation für Hochrisiko-KI (Anhang IV)
- Konformitätsbewertung & EU-Konformitätserklärung
- Logging & Aufbewahrung der KI-Outputs
- Nachweis ausreichender KI-Kompetenz (Art. 4)
Schulung: DSGVO sensibilisiert, KI-VO fordert Kompetenz
Die DSGVO verlangt, dass Mitarbeitende, die mit personenbezogenen Daten arbeiten, „zur Vertraulichkeit verpflichtet“ sind (Art. 32, 39). In der Praxis bedeutet das jährliche Datenschutz-Unterweisungen. Die KI-VO geht weiter: Art. 4 verlangt ausreichende KI-Kompetenz aller Personen, die im Auftrag des Unternehmens mit KI-Systemen arbeiten.
DSGVO-Schulung (typisch)
- Jährliche Pflichtunterweisung
- Grundlagen Datenschutz & Betroffenenrechte
- Meldepflichten bei Datenpannen
- Sensibilisierung statt Kompetenznachweis
KI-VO-Schulung (Art. 4)
- Rollenbasiert: Geschäftsführung, Power-User, Allgemein, IT
- Inhalte: Funktionsweise, Risiken, Halluzinationen, Bias, Grenzen
- Bezug zu konkret eingesetzten KI-Systemen (ChatGPT, Copilot, Branchen-Tools)
- Auditfähiger Nachweis mit Datum, Inhalt, Teilnehmenden, Kompetenzstand
Haftungsrisiken: Persönliche Verantwortung verschärft sich
Bußgelder kumulieren
DSGVO- und KI-VO-Verstöße können parallel geahndet werden. Bei einer KI-Anwendung mit Personenbezug drohen Bußgelder aus beiden Regimen.
Geschäftsführer-Haftung
Ohne dokumentierte KI-Kompetenz droht im Schadensfall persönliche Haftung der Geschäftsleitung - parallel zur DSGVO-Verantwortlichkeit.
Beweislastumkehr
Fehlende Schulungsnachweise schwächen die Verteidigungsposition bei Audits, Kundenbeschwerden und in zivilrechtlichen Streitigkeiten.
Versicherungsschutz
Cyber- und D&O-Policen verlangen zunehmend Nachweise zu KI-Governance - fehlen sie, kann der Versicherer leistungsfrei werden.
KI-VO in bestehende DSGVO-Prozesse integrieren
Wer DSGVO-Strukturen etabliert hat, muss das Rad nicht neu erfinden. So lassen sich die Pflichten effizient zusammenführen:
- 1Verarbeitungsverzeichnis um KI-Systeme erweitern (Spalte: Risikoklasse)
- 2DSFA + KI-Risikoanalyse als gemeinsamen Prozess aufsetzen
- 3Datenschutzbeauftragter + KI-Beauftragter / AI Officer benennen
- 4Schulungsprogramm: Datenschutz-Basis + KI-Kompetenzmodul kombinieren
- 5Auftragsverarbeitung um KI-Subdienstleister erweitern (z. B. OpenAI, Microsoft)
- 6Auditfähige Nachweisstruktur für beide Regime gemeinsam pflegen
Häufige Fragen
Ersetzt die KI-VO die DSGVO?
Nein. Beide Verordnungen gelten parallel. Die DSGVO regelt den Schutz personenbezogener Daten, die KI-VO regelt den Einsatz von KI-Systemen. Bei KI-Anwendungen mit personenbezogenen Daten müssen Sie beide Regime gleichzeitig erfüllen.
Reicht meine DSGVO-Schulung als KI-Schulung aus?
Nein. Art. 4 KI-VO verlangt explizit Kompetenz im Umgang mit KI-Systemen - Funktionsweise, Risiken, Grenzen, Halluzinationen, Bias. Datenschutz-Inhalte sind nur ein Teilaspekt. Ein dedizierter KI-Kompetenz-Nachweis ist erforderlich.
Wer ist Aufsichtsbehörde für die KI-VO in Deutschland?
Ab August 2026 übernimmt die Bundesnetzagentur die zentrale Marktaufsicht. Die Landesdatenschutzbehörden bleiben für DSGVO-Verstöße zuständig - bei KI-Systemen mit Personenbezug entsteht eine Doppelzuständigkeit.
Wie hoch sind die Bußgelder im Vergleich?
DSGVO: bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. KI-VO: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken; bis zu 15 Mio. € oder 3 % bei Verstößen gegen Art. 4 (Schulungspflicht).
Kann ich KI-VO und DSGVO in einem Prozess abbilden?
Ja - und das ist sogar empfohlen. Datenschutz-Folgenabschätzung (DSFA), Verarbeitungsverzeichnis und KI-Risikoklassifizierung lassen sich gemeinsam pflegen. Die Schulungsnachweise sollten jedoch klar getrennt dokumentiert sein.
Bereit für den auditfähigen Nachweis?
Holen Sie sich den kostenlosen Guide zur KI-Schulungspflicht oder prüfen Sie Ihren aktuellen Stand mit dem KI-Readiness-Check.