KI-Verordnung 2025: DSGVO-Pflichten & Bußgeldfallen vermeiden

1. Hintergrund

Mit dem Inkrafttreten der ersten Regelungen der EU-KI-Verordnung (AI Act) am 2. Februar 2025 beginnt eine neue Ära der Regulierung von Künstlicher Intelligenz. Ziel ist der Schutz der Grundrechte, insbesondere des Datenschutzes, vor Risiken durch KI-Anwendungen. Der AI Act steht in engem Wechselspiel mit der Datenschutz-Grundverordnung (DSGVO), die weiterhin uneingeschränkt gilt, sobald personenbezogene Daten verarbeitet werden.
Die Verordnung ist als Verordnung (EU) 2024/1689 erlassen worden und gilt unmittelbar in allen Mitgliedstaaten. Ergänzend bleiben die Bestimmungen der DSGVO (VO (EU) 2016/679) einschlägig.

2. Zentrale Pflichten nach der KI-Verordnung

a) Verbot bestimmter KI-Systeme

Nach Art. 5 AI Act sind bestimmte KI-Praktiken verboten, darunter Systeme zur manipulativen Beeinflussung von Personen (Art. 5 Abs. 1 lit. a), Social Scoring durch öffentliche Stellen (Art. 5 Abs. 1 lit. c) sowie biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen (Art. 5 Abs. 1 lit. d), soweit keine gesetzliche Ausnahme besteht.

b) Pflichten zur KI-Kompetenz (AI Literacy)

Art. 4 Abs. 4 AI Act verpflichtet Anbieter und Betreiber von KI-Systemen sicherzustellen, dass Nutzerinnen und Nutzer sowie Beschäftigte über ausreichende Kenntnisse zur Funktionsweise, den Risiken und den rechtlichen Rahmenbedingungen verfügen. Diese Verpflichtung knüpft an die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO an.

c) Anforderungen an Hochrisiko-KI

Art. 8 ff. AI Act regeln Hochrisiko-KI-Systeme. Unternehmen müssen vor Inverkehrbringen oder Einsatz eine Konformitätsbewertung durchführen (Art. 43 AI Act) und technische Dokumentationen erstellen (Art. 11 AI Act). Bei der Verarbeitung personenbezogener Daten sind zusätzlich Art. 6 und 9 DSGVO zu beachten, insbesondere hinsichtlich der Rechtsgrundlagen und des Umgangs mit besonderen Kategorien personenbezogener Daten.

d) Transparenzpflichten

Art. 13 AI Act schreibt vor, dass Nutzer erkennen können müssen, dass sie mit einer KI interagieren. Werden personenbezogene Daten verarbeitet, ergänzt Art. 13 DSGVO diese Pflicht durch die Vorgabe, Betroffene über Zwecke, Rechtsgrundlagen, Speicherdauer und Betroffenenrechte zu informieren.

e) Marktaufsicht und Governance

Nach Art. 59 ff. AI Act werden nationale Marktaufsichtsbehörden benannt, die die Einhaltung überwachen. Unternehmen müssen geeignete interne Kontrollmechanismen (Art. 17 AI Act) implementieren und den Behörden auf Verlangen umfassende Auskünfte erteilen.

f) Sanktionsrahmen

Art. 71 AI Act sieht Bußgelder bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes vor. Bei Verstößen gegen die DSGVO können zusätzlich Bußgelder nach Art. 83 DSGVO von bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes verhängt werden. Damit droht eine kumulative Sanktion.

3. Zusammenspiel mit der DSGVO

Die DSGVO bleibt der zentrale Rechtsrahmen für jede Verarbeitung personenbezogener Daten. Der AI Act erweitert diesen um spezifische Vorgaben für KI. Insbesondere gilt:

  • Die Grundprinzipien des Art. 5 DSGVO (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Transparenz, Integrität, Vertraulichkeit und Rechenschaftspflicht) müssen auch bei KI-Prozessen eingehalten werden.

  • Art. 25 DSGVO („Privacy by Design und Privacy by Default“) verpflichtet zur datenschutzfreundlichen Gestaltung von KI-Systemen schon in der Entwicklungsphase.

  • Art. 35 DSGVO schreibt für Hochrisiko-KI-Systeme regelmäßig eine Datenschutz-Folgenabschätzung (DSFA) vor.

  • Art. 32 DSGVO verpflichtet zu geeigneten technischen und organisatorischen Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

4. Besondere Compliance-Herausforderungen

Unternehmen müssen ab sofort parallel zwei Regulierungsregime im Blick haben: den AI Act und die DSGVO. Die größten Risiken bestehen im Bereich der Hochrisiko-KI, der fehlenden Dokumentation, der mangelhaften Schulung der Mitarbeitenden und unzureichender Transparenz gegenüber Nutzern.

5. Fazit

Die KI-Verordnung setzt neue Maßstäbe im europäischen Technologierecht. Zusammen mit der DSGVO entsteht ein engmaschiges Regelwerk, das Unternehmen zu einer präzisen Dokumentation, transparenten Kommunikation und umfassenden Risikokontrolle verpflichtet. Wer jetzt handelt, kann nicht nur Bußgelder vermeiden, sondern auch Vertrauen bei Kunden, Geschäftspartnern und Aufsichtsbehörden aufbauen.

To-Do-Liste für Unternehmen

  1. Bestandsaufnahme durchführen: Alle eingesetzten oder geplanten KI-Systeme erfassen und in verbotene, Hochrisiko- oder sonstige KI-Systeme kategorisieren.

  2. Rechtsgrundlagen prüfen: Für jede KI-Anwendung die DSGVO-konforme Rechtsgrundlage festlegen (Art. 6 DSGVO, ggf. Art. 9 DSGVO).

  3. Konformitätsbewertung: Für Hochrisiko-KI eine Bewertung nach Art. 43 AI Act durchführen.

  4. Dokumentation erstellen: Technische Dokumentation gemäß Art. 11 AI Act und Nachweisdokumente nach Art. 5 Abs. 2 DSGVO.

  5. DSFA durchführen: Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, insbesondere bei sensiblen Daten oder hohem Risiko.

  6. Transparenzpflichten umsetzen: Hinweise nach Art. 13 AI Act und Art. 13 DSGVO kombinieren.

  7. Schulungskonzept implementieren: Mitarbeitende schulen, um die Vorgaben des Art. 4 Abs. 4 AI Act zu erfüllen.

  8. TOMs anpassen: Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO und Art. 17 AI Act anpassen.

  9. Vertragsmanagement prüfen: Verträge mit KI-Anbietern und -Dienstleistern auf Konformität mit AI Act und DSGVO prüfen.

  10. Monitoring etablieren: Laufende Überwachung der KI-Systeme und regelmäßige Audits durchführen.

  11. Meldemechanismen einrichten: Interne Prozesse zur schnellen Reaktion auf Datenschutz- und KI-Verstöße schaffen.

  12. Vorbereitung auf Behördenanfragen: Prozesse für Auskunfts- und Mitwirkungspflichten nach Art. 59 ff. AI Act festlegen.

Autorin des Beitrags

Anahita Lotfi
▪️Juristin
▪️Externe Datenschutzbeauftragte
▪️Fachexpertin auf dem Gebiet der Cyberkriminalität und KI
▪️Unternehmensberaterin für StartUp & KMU
▪️Gründerin von LEXAL LAW \ CONSULTINGS

Lesen Sie auch