Pflicht seit Februar 2025: Artikel 4 EU AI Act verlangt KI-Kompetenz im Unternehmen.

AI

AI Governance Schulung

EU AI Act Training für Unternehmen

Erstgespräch buchen
← Zur Wissens-Übersicht
AI Act DatenschutzbeauftragterAI Act DatenschutzbeauftragteAI Act DSGVO Zusammenspiel

AI Act für Datenschutzbeauftragte: Diese neuen Aufgaben entstehen jetzt

Der AI Act macht den Datenschutzbeauftragten nicht automatisch zum KI-Beauftragten. Trotzdem entstehen neue Aufgaben bei Art. 4, DSFA, Grundrechte-Folgenabschätzung und Transparenz.

Veröffentlicht: 2. Februar 2026Letzte Aktualisierung: 3. März 20266 Min. Lesezeit

Der AI Act gibt dem Datenschutzbeauftragten keine eigene Sonderrolle, erweitert aber seine Aufgaben in der Praxis deutlich. Seit dem 2. Februar 2025 müssen Unternehmen gemäß Art. 4 der EU-VO 2024/1689 KI-Kompetenz sicherstellen, während Datenschutz- und KI-Governance parallel organisiert werden müssen.

Letzte Aktualisierung: 16. März 2026

Wer die Grundpflicht zuerst im Gesamtbild einordnen will, findet den Überblick in unserer FAQ, den operativen Einstieg im Kurs und die Basis zu Art. 4 im Beitrag zur KI-Schulungspflicht nach Artikel 4.

Wird der Datenschutzbeauftragte durch den AI Act automatisch zum KI-Beauftragten?

Nein. Der AI Act adressiert Anbieter und Betreiber von KI-Systemen, nicht den Datenschutzbeauftragten als eigenständige Pflichtrolle. Das zeigt schon der Anwendungsbereich in Art. 2 der EU-VO 2024/1689 und die Formulierung von Art. 4, die Maßnahmen zur KI-Kompetenz vom Unternehmen verlangt.

Daraus folgt aber in der Praxis eine neue Relevanz für Datenschutzbeauftragte. Diese Aussage ist eine Schlussfolgerung aus den Rechtsquellen, keine ausdrücklich benannte DSB-Funktion im AI Act: Wo KI-Systeme personenbezogene Daten verarbeiten, Betroffenenrechte berühren oder Transparenzpflichten auslösen, landen die ersten Governance-Fragen regelmäßig bei Datenschutz, Compliance oder Legal.

Für Unternehmen ist deshalb vor allem eines wichtig: Der Datenschutzbeauftragte kann koordinieren, beraten und priorisieren, er sollte aber nicht automatisch alleiniger Eigentümer aller AI-Act-Pflichten werden. Die Verantwortung bleibt organisatorisch beim Unternehmen als Anbieter oder Betreiber.

Welche neuen Aufgaben entstehen für Datenschutzbeauftragte konkret?

Neue Aufgaben entstehen vor allem dort, wo KI personenbezogene Daten verarbeitet, Entscheidungen über Menschen vorbereitet oder zusätzliche Informationspflichten auslöst. Für Datenschutzbeauftragte werden deshalb fünf Felder sofort relevant.

| Neue Aufgabe | Praktische Bedeutung | Rechtsanker | | --- | --- | --- | | KI-Einsätze mit Personenbezug inventarisieren | Der Datenschutzbeauftragte muss schneller erkennen, wo Chatbots, Copilots, HR-Tools oder Bewertungsmodelle personenbezogene Daten verarbeiten. | Art. 2, Art. 4 | | DSFA und KI-Dokumentation verzahnen | Bei riskanten Verarbeitungen reicht die klassische DSGVO-Sicht oft nicht mehr; KI-Funktionen, Anbieterinformationen und reale Nutzungskontexte müssen mitgedacht werden. | Art. 13, Art. 26 | | Grundrechte-Folgenabschätzung mitprüfen | Bei bestimmten Hochrisiko-Systemen kommt neben der Datenschutz-Folgenabschätzung eine zusätzliche Prüfung der Grundrechtsfolgen hinzu. | Art. 6, Art. 27 | | Art.-4-Schulungen fachlich mitgestalten | KI-Kompetenz muss rollenbezogen, dokumentiert und an den konkreten Einsatz angepasst werden. Datenschutzbeauftragte sind dafür oft die naheliegende Mitwirkungsstelle. | Art. 3, Art. 4 | | Transparenz- und Eskalationswege mitdefinieren | Teams brauchen Regeln, wann Nutzer informiert werden, wann menschliche Prüfung nötig ist und wie Vorfälle eskaliert werden. | Art. 14, Art. 50 |

Besonders neu ist die Verbindung der Rollenlogiken. Datenschutzbeauftragte denken bisher in Verantwortlichen, Auftragsverarbeitern, Betroffenenrechten und Datenschutz-Folgenabschätzungen. Der AI Act ergänzt diese Perspektive um Anbieter, Betreiber, Risikoklassen, menschliche Aufsicht und KI-Kompetenz. Genau diese Übersetzungsarbeit wird im Unternehmen zur neuen Kernaufgabe.

Wo Datenschutzbeauftragte besonders früh eingebunden werden sollten

Datenschutzbeauftragte sollten nicht erst bei einer Richtlinie oder einem Audit auftauchen, sondern schon bei der Auswahl und Einführung relevanter Systeme. Drei Anwendungsfelder sind besonders sensibel.

1. HR, Recruiting und Beschäftigtendaten

Im Personalbereich steigt das Risiko am schnellsten. Bewerbervorauswahl, Leistungsbewertung, Schichtplanung oder Eignungsscorings können sowohl datenschutzrechtlich als auch AI-Act-seitig kritisch sein. Spätestens wenn ein System in Richtung Hochrisiko nach Art. 6 der EU-VO 2024/1689 und Anhang III kippt, muss der Datenschutzbeauftragte sehr früh mit am Tisch sitzen.

Für die Praxis heißt das: Nicht nur den Anbieter prüfen, sondern den konkreten Einsatz im Unternehmen. Dieselbe Software kann im Marketing unkritisch und im Recruiting hochsensibel sein. Wenn Sie die Rollen und Pflichten im Unternehmen erst ordnen wollen, hilft danach unsere AI-Act-Checkliste für Unternehmen.

2. Generative KI im Alltag

ChatGPT, Microsoft Copilot oder ähnliche Systeme wirken harmlos, erzeugen aber sofort neue Datenschutz- und Governance-Fragen. Wer gibt welche Daten ein? Welche Ausgaben dürfen produktiv genutzt werden? Wann muss ein Mensch kontrollieren? Und wie wird dokumentiert, dass Mitarbeiter die Grenzen solcher Systeme verstehen?

Gerade hier greift Art. 4 der EU-VO 2024/1689 unmittelbar. Datenschutzbeauftragte sollten deshalb an Nutzungsregeln, Freigaben und Schulungsinhalten mitwirken, statt nur im Nachgang einzelne Tools zu beanstanden. Für die operative Grundlage lohnt sich der Abgleich mit unserer FAQ und dem Kurs.

3. Chatbots, Transparenz und Außenkommunikation

Sobald Unternehmen KI in Kundenservice, Self-Service-Portalen oder Marketing-Automatisierung einsetzen, wird Transparenz zum Pflichtenthema. Art. 50 der EU-VO 2024/1689 macht deutlich, dass bestimmte KI-Interaktionen und künstlich erzeugte Inhalte erkennbar sein müssen.

Datenschutzbeauftragte werden hier oft zum Schnittstellenmanager zwischen Fachbereich, Recht und Kommunikation. Die eigentliche neue Aufgabe ist nicht das Schreiben eines Hinweises, sondern das Aufsetzen eines belastbaren Prozesses: Wer prüft, wann Kennzeichnung nötig ist, wer gibt Texte frei und wie werden Beschwerden dokumentiert?

Was Datenschutzbeauftragte jetzt organisatorisch aufsetzen sollten

Der beste Ansatz ist nicht ein neues Großprojekt, sondern ein klarer Minimalstandard. Datenschutzbeauftragte sollten jetzt fünf Bausteine anstoßen, die später mit Compliance, HR, IT und Fachbereichen skaliert werden können.

  1. KI-Inventar mit Datenschutz-Priorisierung erstellen. Erfassen Sie, welche Systeme personenbezogene Daten verarbeiten, Entscheidungen vorbereiten oder extern kommunizieren.
  2. Rollen sauber trennen. Legen Sie fest, wer für Tool-Freigabe, Schulung, Dokumentation und Eskalation verantwortlich ist. Der Datenschutzbeauftragte berät, koordiniert und kontrolliert, ist aber nicht automatisch alleiniger Prozess-Owner.
  3. DSFA-Trigger und FRIA-Trigger definieren. Wenn der Einsatz besonders risikoreich ist, sollte klar sein, wann eine Datenschutz-Folgenabschätzung ausreicht und wann zusätzlich eine Grundrechte-Folgenabschätzung nach Art. 27 geprüft werden muss.
  4. Art.-4-Schulung rollenbezogen ausrollen. Ein einheitliches Awareness-Deck reicht nicht. HR, Führungskräfte, operative Nutzer und Beschaffung brauchen unterschiedliche Tiefen und Beispiele.
  5. Nachweise revisionsfähig ablegen. Inhalte, Zielgruppe, Datum, Version und Testergebnis sollten nachvollziehbar archiviert werden. Genau dafür ist ein Schulungszertifikat als dokumentierter Abschluss praktisch.

Ein besonders wichtiger Punkt ist die Verzahnung von DSFA und AI-Act-Informationen. Der AI Act sieht in Art. 26 Abs. 8 der EU-VO 2024/1689 ausdrücklich vor, dass Betreiber die vom Anbieter nach Art. 13 bereitgestellten Informationen auch für eine Datenschutz-Folgenabschätzung nutzen sollen. Für Datenschutzbeauftragte ist das neu, weil Anbieterunterlagen damit viel unmittelbarer in die eigene Prüf- und Nachweiskette einfließen.

Wenn Sie diese Arbeitslinie kompakt in Datenschutz, Compliance, HR und Management ausrollen wollen, ist unser Kurs der schnellste Einstieg. Der 90-Minuten-Kurs vermittelt Art. 4, typische Risikofelder, Dokumentation und einen nachvollziehbaren Abschluss mit Schulungszertifikat. Wer zuerst die Einordnung vertiefen will, findet ergänzend den Hintergrund auf Über uns und die schnellen Antworten in der FAQ.

Fazit: Der Datenschutzbeauftragte wird wichtiger, aber nicht allein verantwortlich

Der AI Act macht den Datenschutzbeauftragten nicht automatisch zum KI-Beauftragten, erhöht seine praktische Bedeutung aber spürbar. Seit dem 2. Februar 2025 müssen Unternehmen KI-Kompetenz sicherstellen; ab dem 2. August 2026 werden zusätzliche operative Pflichten bei Hochrisiko-Systemen und Transparenzfällen scharf. Genau zwischen diesen beiden Ebenen entsteht die neue Aufgabe des Datenschutzbeauftragten.

Für Unternehmen ist der sinnvollste Weg deshalb klar: Datenschutzbeauftragte früh einbinden, Rollen sauber verteilen, DSFA und KI-Governance miteinander verzahnen und Art.-4-Schulungen dokumentiert ausrollen. Wenn Sie das pragmatisch statt akademisch lösen wollen, kombinieren Sie den Kurs mit unserer FAQ und der AI-Act-Checkliste.

FAQ: AI Act Datenschutzbeauftragter

Hat der Datenschutzbeauftragte nach dem AI Act eine gesetzliche Sonderrolle?

Nein. Der AI Act nennt Anbieter und Betreiber von KI-Systemen, aber keinen Datenschutzbeauftragten als eigene Pflichtrolle. In der Praxis wird der Datenschutzbeauftragte trotzdem wichtig, weil Datenschutz, KI-Kompetenz und risikoreiche Verarbeitungen parallel gesteuert werden müssen.

Muss der Datenschutzbeauftragte die Art.-4-Schulung selbst durchführen?

Nein. Art. 4 der EU-VO 2024/1689 verpflichtet das Unternehmen zu angemessenen Maßnahmen, nicht den Datenschutzbeauftragten persönlich zur Durchführung. In vielen Unternehmen gestaltet der Datenschutzbeauftragte Inhalte, Zielgruppen und Nachweise aber fachlich mit.

Wann sind Datenschutz-Folgenabschätzung und Grundrechte-Folgenabschätzung gleichzeitig relevant?

Beide Prüfungen können bei Hochrisiko-KI mit Personenbezug zusammen relevant werden. Die Grundrechte-Folgenabschätzung nach Art. 27 ergänzt die Datenschutz-Folgenabschätzung, ersetzt sie aber nicht. Genau deshalb sollten Datenschutzbeauftragte und Fachbereiche den Prüfpfad früh gemeinsam definieren.

Welche Frist ist für Datenschutzbeauftragte jetzt entscheidend?

Die erste zentrale Frist ist der 2. Februar 2025, weil seit diesem Datum die Pflicht zur KI-Kompetenz nach Art. 4 gilt. Der zweite wichtige Stichtag ist der 2. August 2026, wenn weitere operative AI-Act-Pflichten breit anwendbar werden.

Naechster Schritt

KI-Kompetenz sauber dokumentieren, statt die Pflicht nur zu diskutieren.

Wenn Sie für Ihr Team einen belastbaren Schulungsnachweis aufsetzen wollen, schauen Sie zuerst in den Kurs, die FAQ und unsere Einordnung zur Umsetzung.

Kurs ansehen

Prüfen Sie Aufbau, Lernzeit und Nachweisstruktur des geschützten Kursbereichs.

FAQ aufrufen

Klaeren Sie typische Fragen zu Schulungspflicht, Zertifikat und Rollout im Unternehmen.

Team kennenlernen

Sehen Sie, wer hinter AI Governance Schulung steht und wie wir Inhalte aufbereiten.

Erstgespräch buchenWeitere Artikel lesen

Autor

AI Governance Schulung

Redaktion

Die Redaktion von AI Governance Schulung bereitet EU-AI-Act-Inhalte für Entscheider, HR und Compliance in klarer, belastbarer Form auf.