Am 1. August 2024 trat die Verordnung (EU) 2024/1689 — die EU-KI-Verordnung — in Kraft und wurde damit zum weltweit ersten horizontalen Regulierungsrahmen für künstliche Intelligenz. Ihre Überschneidung mit der Datenschutz-Grundverordnung (DSGVO) schafft eine doppelte Compliance-Schicht, die jede Organisation betrifft, die KI-Systeme entwickelt, einsetzt oder nutzt, die personenbezogene Daten verarbeiten. Die gleichzeitige Einhaltung beider Rahmenwerke ist nicht fakultativ: Die Sanktionen der KI-Verordnung erreichen 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bei den schwersten Verstößen — damit vergleichbar mit der höchsten Sanktionsstufe der DSGVO.
Der Stufenweise Zeitplan der KI-Verordnung: Was Wann Gilt
Die KI-Verordnung tritt nicht auf einmal in Kraft. Ihr gestuftes Inkrafttreten ist der Schlüssel zur Priorisierung der Compliance-Bemühungen:
- Februar 2025: Verbot von KI-Systemen mit unannehmbarem Risiko (Art. 5), einschließlich subliminaler Manipulation, Social Scoring und Emotionserkennung in Arbeitsplatz- und Bildungsumgebungen außer in eng definierten Fällen.
- August 2025: Vollständige Anwendung der Pflichten für KI-Allzweckmodelle (GPAI), einschließlich technischer Dokumentation und Urheberrechts-Compliance in Bezug auf Trainingsdaten.
- August 2026: Inkrafttreten der Pflichten für Hochrisiko-KI-Systeme des Anhangs III (Personal, Kredit, Bildung, kritische Infrastruktur, Biometrie).
- August 2027: Anwendung auf Hochrisiko-KI-Systeme, die bereits vor August 2026 auf dem Markt waren.
Kritische Schnittpunkte Zwischen DSGVO und KI-Verordnung
DSGVO und KI-Verordnung sind keine parallelen Regelwerke, die unabhängig voneinander angewendet werden; in zahlreichen Szenarien überschneiden sich ihre Pflichten, verstärken sich gegenseitig oder erzeugen Spannungen, die eine koordinierte Lösung erfordern.
Folgenabschätzungen. Die DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA) für umfangreiche Verarbeitungs- oder Profilierungsaktivitäten (Art. 35 DSGVO). Die KI-Verordnung erfordert eine Konformitätsbewertung für Hochrisikosysteme. In vielen Fällen betreffen beide Bewertungen dasselbe KI-System. Die spanische Datenschutzbehörde (AEPD) hat Leitlinien zur Integration beider Bewertungen in ein einziges Verfahren veröffentlicht, die die Compliance-Belastung reduzieren, ohne die Strenge zu beeinträchtigen.
Automatisierte Entscheidungen und Auskunftsrecht. Art. 22 DSGVO gewährt betroffenen Personen das Recht, nicht ausschließlich automatisierten Verarbeitungsentscheidungen unterworfen zu sein, wenn diese Entscheidungen erhebliche Auswirkungen haben. Die KI-Verordnung fügt Transparenzpflichten für Hochrisikosysteme und ein Recht auf menschliche Aufsicht hinzu. Wenn ein KI-System automatische Entscheidungen im Personalbereich (Kandidatenscreening, Leistungsbeurteilung) oder bei der Kreditgewährung trifft, muss der Verantwortliche die Logik des Systems dokumentieren, die betroffenen Personen informieren und sicherstellen, dass Entscheidungen von einem Menschen überprüft werden können.
Rechtsgrundlage für KI-Training. Die Verwendung personenbezogener Daten zum Training oder Fine-Tuning eines KI-Modells erfordert eine gültige Rechtsgrundlage nach Art. 6 DSGVO. Die Einwilligung erscheint als intuitivste Option, bringt jedoch das Problem der Widerruflichkeit mit sich: Wenn eine betroffene Person ihre Einwilligung zurückzieht, muss der Verantwortliche in der Lage sein, deren Beitrag zum Modell zu entfernen oder zu anonymisieren — was in vielen Fällen technisch komplex oder unmöglich ist. Das berechtigte Interesse ist eine operativ robustere Alternative, erfordert jedoch das Bestehen des Verhältnismäßigkeits-Abwägungstests, und für besondere Kategorien personenbezogener Daten (Gesundheit, ethnische Herkunft, sexuelle Orientierung) ist es ohne ausdrückliche Einwilligung praktisch nicht verfügbar.
Spezifische Pflichten für Betreiber von KI-Systemen
Organisationen, die Hochrisiko-KI-Systeme einsetzen, müssen:
Das System registrieren. Die EU-Datenbank (verwaltet vom Europäischen KI-Büro) verlangt die Registrierung von Hochrisikosystemen vor der Markteinführung oder Inbetriebnahme. Die Registrierungsdetails umfassen den vorgesehenen Verwendungszweck des Systems, den verantwortlichen Anbieter oder Betreiber und die wichtigsten Leistungsmerkmale.
Technische Dokumentation pflegen. Die KI-Verordnung erfordert eine umfassende technische Dokumentation, die die Systembeschreibung, verwendete Trainingsdaten (einschließlich Datenquellen und Qualitätssicherungsmaßnahmen), Leistungskennzahlen und Ergebnisse von Robustheit- und Genauigkeitstests umfasst. Diese Dokumentation muss aktuell gehalten und auf Anfrage der Marktüberwachungsbehörden zur Verfügung gestellt werden.
Menschliche Aufsicht sicherstellen. Hochrisikosysteme müssen so gestaltet sein, dass natürliche Personen deren Betrieb überwachen und eingreifen oder sie bei Bedarf stoppen können. Dieses Prinzip steht im Konflikt mit der Vollautomatisierungslogik vieler KI-Systeme und erfordert ein Überdenken von Workflow-Architekturen, bei denen KI folgenreiche Entscheidungen trifft oder empfiehlt.
KI-Interaktion offenlegen. Wenn Benutzer mit einem KI-System interagieren (Chatbot, virtueller Assistent, Emotionserkennung), verlangt die KI-Verordnung, dass die Benutzer darüber informiert werden, dass sie mit KI interagieren. Datenschutzrichtlinien und rechtliche Hinweise müssen entsprechend aktualisiert werden.
Die Sich Wandelnde Rolle des DSB im Zeitalter der KI-Verordnung
Der Datenschutzbeauftragte (DSB), eine nach Art. 37 DSGVO für bestimmte Verantwortliche und Auftragsverarbeiter obligatorische Ernennung, erhält im Kontext der KI-Verordnung eine neue Dimension. Seine natürliche Rolle bei der Überwachung der DSGVO-Compliance erstreckt sich nun auf die Koordinierung von KI-Konformitätsbewertungen, die Verwaltung des KI-Systemregisters und die interne Schulung zur verantwortungsvollen KI-Nutzung.
Organisationen, die bisher nicht zur Bestellung eines DSB verpflichtet waren, aber nun Hochrisiko-KI-Systeme einsetzen, sollten prüfen, ob der Umfang ihrer Compliance-Pflichten eine freiwillige Benennung dieser Funktion oder den Einsatz eines externen DSB-Dienstes rechtfertigt.
Compliance-Fahrplan für 2025–2026
Der Ausgangspunkt ist eine Bestandsaufnahme aller in der Organisation eingesetzten KI-Systeme, klassifiziert nach Risikoniveau gemäß der KI-Verordnung. Für Hochrisikosysteme besteht der nächste Schritt in der Durchführung einer integrierten Konformitätsbewertung (die DSFA und die KI-Bewertung kombinierend), der Überprüfung von Verträgen mit KI-Lieferanten zur Aufnahme der von beiden Rahmenwerken geforderten Klauseln (einschließlich Garantien bezüglich Trainingsdaten und menschlicher Aufsichtsmechanismen) und der Aktualisierung der DSGVO-Verarbeitungsverzeichnisse, um neue KI-Anwendungsfälle zu erfassen.
Bei BMC begleitet unser spezialisiertes Datenschutz- und KI-Compliance-Team Organisationen durch jeden Schritt dieses dualen Regulierungsrahmens. Unsere Datenschutzdienstleistungen erkunden.
