Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
AI Act vs NIS2 vs DSGVOEU Regulierung VergleichNIS2 DSGVO UnterschiedAI Act DSGVO

AI Act vs. NIS2 vs. DSGVO — Was brauche ich?

AI Act, NIS2 und DSGVO im Vergleich: Scope, Bußgelder, Schulungspflichten und Entscheidungsbaum für Unternehmen.

Veröffentlicht: 12. März 2026Letzte Aktualisierung: 23. März 202612 Min. Lesezeit

AI Act vs. NIS2 vs. DSGVO — Was brauche ich?

AI Act, NIS2 und DSGVO regulieren unterschiedliche Aspekte — doch für viele Unternehmen gelten alle drei gleichzeitig. Der AI Act regelt KI-Systeme, NIS2 die Cybersicherheit relevanter Einrichtungen und die DSGVO den Umgang mit personenbezogenen Daten. Wer 2026 nur auf eines dieser Regelwerke schaut, steuert deshalb nur einen Teil seines tatsächlichen Compliance-Risikos.

Die praktische Einordnung lautet: Die DSGVO gilt fast immer, sobald Sie personenbezogene Daten verarbeiten. Der AI Act nach EU-VO 2024/1689 greift, sobald Sie KI-Systeme anbieten oder als Betreiber einsetzen. Die NIS2-Richtlinie (EU) 2022/2555 betrifft dagegen vor allem mittlere und große Einrichtungen in besonders wichtigen oder wichtigen Sektoren. Für viele Unternehmen heißt die richtige Frage daher nicht mehr „welches Gesetz gilt?“, sondern „welche Kombination gilt für uns?“

Wenn Sie zuerst zwei Teilaspekte vertiefen möchten, lesen Sie ergänzend unseren Vergleich KI-Verordnung vs. DSGVO, die Einordnung DSGVO und AI Act — Brauche ich zwei Schulungen? und die operative AI Act Checkliste für Unternehmen. Für den Governance-Rahmen hilft außerdem unser Glossarbegriff Compliance.

Drei Regulierungen, ein Ziel — Übersicht

Alle drei Regelwerke verfolgen dasselbe Grundziel: Risiken digitaler Technologien beherrschbar zu machen. Der Unterschied liegt darin, welches Risiko im Vordergrund steht. Die DSGVO schützt Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. NIS2 schützt die Resilienz von Netz- und Informationssystemen. Der AI Act schützt zusätzlich vor KI-spezifischen Schäden wie verbotenen Manipulationspraktiken, intransparenten Interaktionen oder unzureichender Kontrolle bei Hochrisiko-KI.

Für die Unternehmenspraxis ist genau diese Trennung entscheidend. Ein Copilot im Marketing kann AI-Act-relevant sein, ohne NIS2 auszulösen. Ein Security Operations Center kann NIS2-relevant sein, ohne dass dort überhaupt KI eingesetzt wird. Ein Bewerbertool mit Scoring kann zugleich AI-Act-, DSGVO- und unter Umständen auch NIS2-relevant sein, wenn das betroffene Unternehmen als relevante Einrichtung besondere Cybersicherheitsanforderungen erfüllen muss.

Die drei Regelwerke ersetzen sich daher nicht gegenseitig. Sie stapeln sich. Die DSGVO beantwortet die Datenfrage, NIS2 die Sicherheitsfrage und der AI Act die System- und Einsatzfrage. Wer dieselbe Anwendung nur datenschutzrechtlich oder nur sicherheitsrechtlich betrachtet, übersieht regelmäßig Governance-Lücken bei Rollen, Dokumentation, Schulung oder Incident-Prozessen.

Vergleichstabelle: AI Act vs. NIS2 vs. DSGVO

Die schnellste Orientierung liefert eine direkte Vergleichstabelle. Sie zeigt, dass Scope, Adressaten, Pflichten, Bußgelder und Schulungsanforderungen trotz Überschneidungen klar voneinander abweichen.

KriteriumAI Act
EU-VO 2024/1689		NIS2
Richtlinie (EU) 2022/2555		DSGVO
VO (EU) 2016/679
ScopeRegelt KI-Systeme und GPAI-Modelle, ihre Risikoklassen, ihren Einsatz und bestimmte Verbote; maßgeblich sind Art. 2, Art. 5, Art. 6 und Art. 50.Regelt Cybersicherheits-Risikomanagement, Meldepflichten und Governance für wesentliche und wichtige Einrichtungen; maßgeblich sind Art. 2, Art. 3, Art. 21 und Art. 23.Regelt die Verarbeitung personenbezogener Daten und die Rechte betroffener Personen; maßgeblich sind Art. 2, Art. 4, Art. 5, Art. 6 und Art. 32.
AdressatenAnbieter, Betreiber, Einführer, Händler, Bevollmächtigte und unter Umständen Betreiber von GPAI-Modellen.Mittlere und große Einrichtungen in besonders wichtigen oder wichtigen Sektoren nach Anhang I und II sowie in bestimmten Fällen weitere benannte Einrichtungen.Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten verarbeiten.
KernpflichtenKI-Kompetenz, Risikoeinstufung, Verbot bestimmter Praktiken, Transparenz, technische Dokumentation, menschliche Aufsicht bei Hochrisiko-KI.Risikomanagement, Incident Handling, Business Continuity, Lieferkettensicherheit, Meldungen erheblicher Sicherheitsvorfälle, Governance durch Leitungsorgane.Rechtsgrundlage, Transparenz, Zweckbindung, Datenminimierung, Betroffenenrechte, Sicherheit, Verträge und gegebenenfalls DSFA.
BußgelderBis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken; weitere Stufen bis 15 Mio. EUR oder 3 % sowie 7,5 Mio. EUR oder 1 % nach Art. 99.Für wesentliche Einrichtungen mindestens 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen mindestens 7 Mio. EUR oder 1,4 % nach Art. 34.Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes nach Art. 83 DSGVO.
FristenIn Kraft seit dem 1. August 2024; Art. 4 und Art. 5 gelten seit dem 2. Februar 2025; der Hauptteil wird ab dem 2. August 2026 anwendbar.In Kraft seit dem 16. Januar 2023; Mitgliedstaaten mussten bis zum 17. Oktober 2024 umsetzen und ab dem 18. Oktober 2024 anwenden.In Kraft seit dem 24. Mai 2016; anwendbar seit dem 25. Mai 2018.
AufsichtNationale Marktüberwachungsbehörden und weitere zuständige Stellen je nach Kapitel und Marktrolle.Nationale zuständige Behörden, CSIRTs und Single Points of Contact nach nationaler Umsetzung.Datenschutzaufsichtsbehörden der Mitgliedstaaten.
SchulungspflichtExplizit: Art. 4 verlangt seit dem 2. Februar 2025 ein ausreichendes Maß an KI-Kompetenz.Explizit auf Management-Ebene: Art. 20 verlangt Schulungen der Leitungsorgane; Art. 21 verlangt außerdem Maßnahmen zu Cyberhygiene und Schulung.Keine einzelne, ausdrücklich benannte Generalschulungspflicht wie Art. 4, aber faktisch Schulungs- und Awareness-Bedarf aus Art. 5, Art. 24, Art. 32 und Rechenschaftspflicht.
MeldepflichtenKeine allgemeine Incident-Meldepflicht für jedes KI-System, aber spezifische Meldungen und Marktüberwachungspflichten in bestimmten Konstellationen.Strenge mehrstufige Meldungen erheblicher Sicherheitsvorfälle nach Art. 23 NIS2.Meldung von Datenschutzverletzungen nach Art. 33 und 34 DSGVO.

AI Act — Wann gilt er für Ihr Unternehmen?

Der AI Act gilt für Ihr Unternehmen, sobald Sie ein KI-System anbieten, in Verkehr bringen oder als Betreiber beruflich einsetzen. Für die meisten Mittelständler ist die Betreiberrolle der Normalfall: Sie kaufen Standardsoftware mit KI-Funktionen ein oder nutzen GenAI-Tools wie ChatGPT, Copilot oder spezialisierte HR-, Support- oder Marketing-Lösungen.

Entscheidend ist nicht, ob Sie selbst KI entwickeln. Entscheidend ist, ob Sie mit KI-Systemen arbeiten und damit betriebliche Entscheidungen, Inhalte oder Prozesse beeinflussen. Bereits diese Nutzung löst seit dem 2. Februar 2025 die Pflicht zur KI-Kompetenz nach Art. 4 aus. Ab dem 2. August 2026 kommen je nach Anwendungsfall weitere operative Pflichten hinzu, insbesondere bei Hochrisiko-KI nach Art. 6 und Transparenzfällen nach Art. 50.

Für Ihr Unternehmen sprechen vor allem vier Fragen für AI-Act-Relevanz:

  1. Nutzen Mitarbeitende KI-Tools im Arbeitsalltag?
  2. Trifft oder beeinflusst die KI Entscheidungen über Personen, Zugang, Bewertung oder Auswahl?
  3. Kaufen, konfigurieren oder verändern Sie KI-Systeme wesentlich für eigene Zwecke?
  4. Können Personen erkennen, dass sie mit KI interagieren oder KI-generierte Inhalte erhalten?

Wenn Sie hier mehrfach mit Ja antworten, ist der AI Act regelmäßig kein Zukunftsthema mehr, sondern Gegenwart. Genau deshalb sollten Sie parallel die Abgrenzung Anbieter vs. Betreiber und die AI Act Checkliste für Unternehmen heranziehen.

NIS2 — Wann sind Sie betroffen?

NIS2 ist für Ihr Unternehmen relevant, wenn Sie als mittlere oder große Einrichtung in einem besonders wichtigen oder wichtigen Sektor tätig sind oder von der nationalen Umsetzung ausdrücklich erfasst werden. Die Richtlinie richtet sich also nicht an „jedes Unternehmen mit IT“, sondern an definierte Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Abwasser, Abfall, Post, Herstellung bestimmter kritischer Produkte oder digitale Dienste.

Die wichtigste Abgrenzung lautet deshalb: NIS2 knüpft nicht primär an personenbezogene Daten und auch nicht primär an KI an, sondern an die Resilienz kritischer oder wichtiger Organisationen. Wenn Ihr Unternehmen unter NIS2 fällt, müssen Leitungsorgane Risikomanagement-Maßnahmen billigen und überwachen, erhebliche Sicherheitsvorfälle melden und organisatorische Kontrollen zu Business Continuity, Lieferkettensicherheit, Zugangssicherheit und Schulung etablieren.

Für die Praxis ist zusätzlich wichtig, dass NIS2 als Richtlinie national umgesetzt wird. Die EU-Ebene ist mit der Richtlinie (EU) 2022/2555 vorgegeben, aber die konkrete Betroffenheit, Zuständigkeit und Durchsetzung folgen aus dem nationalen Umsetzungsgesetz. In Deutschland sollten Sie deshalb die EU-Kriterien aus Art. 2 und Art. 3 NIS2 mit Ihrer nationalen Sektorzuordnung und Größenklasse abgleichen, statt nur pauschal auf die Bezeichnung „kritische Infrastruktur“ zu schauen.

Typische NIS2-Indikatoren sind:

  1. Sie gehören zu einem Sektor aus Anhang I oder II der Richtlinie.
  2. Ihr Unternehmen erreicht mindestens mittlere Unternehmensgröße.
  3. Ein Sicherheitsvorfall hätte erhebliche Auswirkungen auf Dienste, Lieferketten oder Versorgung.
  4. Das Leitungsorgan muss Sicherheitsmaßnahmen aktiv genehmigen und überwachen.

Wenn Ihr Unternehmen zugleich KI in kritischen oder sensiblen Prozessen nutzt, verschärft NIS2 nicht automatisch den AI Act, erhöht aber die Anforderungen an Governance, Dokumentation und Incident Response. Genau diese Schnittstelle behandelt auch unser Vergleich CRA, NIS2 und AI Act sowie die Abgrenzung DORA vs. NIS2.

DSGVO — Gilt für (fast) alle

Die DSGVO gilt für fast alle Unternehmen, weil fast jedes Unternehmen personenbezogene Daten verarbeitet. Beschäftigtendaten, Kundendaten, Bewerberdaten, E-Mail-Adressen, CRM-Profile, Support-Tickets oder Protokolldaten reichen regelmäßig aus, damit die DSGVO im Spiel ist. Genau deshalb ist die DSGVO in der Praxis oft die breiteste, aber nicht die einzige relevante Grundlage.

Für KI- und Sicherheitsthemen ist besonders wichtig, dass die DSGVO keine KI-Verordnung und kein Cybersecurity-Gesetz ersetzt. Sie beantwortet die Frage, ob und wie personenbezogene Daten verarbeitet werden dürfen. Sie verlangt Rechtsgrundlagen nach Art. 6, Transparenz nach Art. 13 und 14, Sicherheit nach Art. 32 und bei risikoreichen Konstellationen gegebenenfalls eine Datenschutz-Folgenabschätzung nach Art. 35.

Der häufigste Praxisfehler besteht darin, einen KI-Einsatz für „datenschutzkonform“ zu halten und daraus zu schließen, dass auch AI Act oder NIS2 erledigt seien. Das stimmt nicht. Ein rechtmäßig eingesetztes KI-Tool kann weiterhin AI-Act-Pflichten auslösen. Ein sauberer TOM-Katalog nach DSGVO erfüllt nicht automatisch NIS2. Die DSGVO bleibt also Grundlage, aber nicht Vollersatz.

Wenn Sie diese Verzahnung im Detail sehen möchten, ist unser Beitrag KI-Verordnung vs. DSGVO der direkteste Anschlussartikel.

Überschneidungen und Synergien

Die wichtigste Überschneidung liegt in der gemeinsamen Governance, nicht in identischen Paragraphen. Alle drei Regelwerke verlangen, dass Unternehmen digitale Risiken nicht dem Zufall überlassen. Sie brauchen Zuständigkeiten, dokumentierte Prozesse, geschulte Personen und belastbare Eskalationswege. Genau deshalb ist es ineffizient, AI Act, NIS2 und DSGVO in isolierten Silos zu organisieren.

Ein Beispiel macht die Synergie greifbar: Ein Krankenhaus nutzt ein KI-gestütztes Triage- oder Planungssystem. Die DSGVO greift wegen Gesundheits- und Beschäftigtendaten. NIS2 kann greifen, weil Gesundheit zu den besonders wichtigen Sektoren zählt. Der AI Act kann greifen, wenn ein KI-System im regulierten Anwendungskontext betrieben wird. Drei Rechtsquellen, aber derselbe operative Bedarf: klare Rollen, Risikobewertung, sichere Systemlandschaft, Nachweise und Schulung.

Auch auf Prozessebene lassen sich Synergien nutzen:

  1. Inventarisierung: Eine gemeinsame System- und Tool-Liste hilft gleichzeitig für KI-Governance, Datenschutz und Security.
  2. Risikobewertung: Ein abgestimmtes Prüfverfahren verhindert drei getrennte Fragebögen für denselben Use Case.
  3. Incident Response: Datenschutzverletzungen, Security Incidents und KI-Fehlfunktionen brauchen abgestimmte Melde- und Eskalationswege.
  4. Lieferantenprüfung: Verträge, TOMs, Anbieterunterlagen und Produktdokumentation sollten in einem zentralen Vendor-Review zusammenlaufen.
  5. Schulung: Mitarbeitende brauchen keine drei unverbundenen Theoriekurse, sondern einen gemeinsamen operativen Standard.

Die organisatorische Konsequenz ist klar: Legen Sie eine Baseline fest, die Daten, Systeme und Sicherheitskontrollen gemeinsam betrachtet. Genau dafür lohnt sich zusätzlich der Blick in unseren Glossarbegriff Compliance und in den Vergleich DSGVO und AI Act — Brauche ich zwei Schulungen?.

Entscheidungsbaum — Welche Regulierung(en) gelten für Sie?

Der schnellste Entscheidungsbaum beginnt nicht bei juristischen Feinheiten, sondern bei drei Ja-Nein-Fragen. Wenn Sie die Fragen in dieser Reihenfolge beantworten, sehen Sie meist innerhalb weniger Minuten, welche Regelwerke parallel geprüft werden müssen.

Schritt 1: Verarbeiten Sie personenbezogene Daten?

Wenn Sie Beschäftigte, Bewerber, Kunden, Lieferanten oder Website-Nutzer mit identifizierbaren Daten erfassen, ist die DSGVO fast immer relevant. Für die meisten Unternehmen lautet die Antwort hier Ja.

Schritt 2: Nutzen oder betreiben Sie KI-Systeme im Unternehmen?

Wenn Mitarbeitende GenAI-Tools, eingebettete KI-Funktionen oder Fachanwendungen mit KI einsetzen, ist der AI Act regelmäßig relevant. Das gilt auch dann, wenn Sie keine eigene KI entwickeln, sondern Standardsoftware nutzen.

Schritt 3: Gehören Sie zu einem NIS2-Sektor und mindestens zur mittleren Unternehmensgröße?

Wenn Ihr Unternehmen in einem besonders wichtigen oder wichtigen Sektor tätig ist und die Größenkriterien erfüllt, müssen Sie zusätzlich NIS2 prüfen. Bei Zweifeln zählt die sektor- und landesspezifische Einordnung mehr als ein Bauchgefühl nach dem Motto „wir sind doch nicht KRITIS“.

Ergebnislogik

  • Nur DSGVO: Typisch für Unternehmen ohne KI-Einsatz außerhalb gewöhnlicher Softwarefunktionen und ohne NIS2-Sektorbezug.
  • DSGVO + AI Act: Typisch für die meisten wissensbasierten Unternehmen, die KI mit Personenbezug einsetzen.
  • DSGVO + NIS2: Typisch für relevante Einrichtungen mit starker IT- und Datenabhängigkeit, aber ohne wesentliche KI-Nutzung.
  • AI Act + NIS2 + DSGVO: Typisch für regulierte oder kritische Unternehmen, die KI in datenreichen oder betriebskritischen Prozessen einsetzen.
  • AI Act ohne DSGVO: Möglich bei rein internen oder technischen KI-Anwendungen ohne Personenbezug, aber in der Praxis seltener.

Eine einfache Faustregel hilft: Sobald KI, personenbezogene Daten und kritische Dienstleistungen zusammenkommen, sollten Sie standardmäßig mit einer Dreifach-Prüfung rechnen.

Integriert schulen — Warum eine Schulung für alle reicht

Eine integrierte Schulung reicht in vielen Unternehmen aus, weil sich die operative Alltagspraxis von AI Act, NIS2 und DSGVO stark überschneidet. Mitarbeitende müssen wissen, welche Daten sie eingeben dürfen, wann Ergebnisse geprüft werden müssen, wie Vorfälle eskaliert werden und welche Systeme nicht ohne Freigabe genutzt werden dürfen. Diese Lernziele lassen sich in einer gemeinsamen Basisschulung deutlich effizienter vermitteln als in drei voneinander getrennten Pflichtformaten.

Der entscheidende Punkt ist aber Präzision: Eine integrierte Schulung funktioniert nur, wenn sie aus gemeinsamer Basis und rollenspezifischen Vertiefungen besteht. Alle relevanten Mitarbeitenden brauchen denselben Mindeststandard zu erlaubter KI-Nutzung, Datenschutz, Cyberhygiene, Meldewegen und Verantwortlichkeiten. HR, IT, Compliance, Informationssicherheit oder Management brauchen zusätzlich vertiefte Module für ihre besonderen Aufgaben.

Für die Praxis hat dieses Modell vier Vorteile:

  1. Weniger Doppelaufwand: Mitarbeitende hören Basisthemen nur einmal.
  2. Bessere Verständlichkeit: Daten-, KI- und Sicherheitsrisiken werden im selben Nutzungskontext erklärt.
  3. Stärkere Nachweisbarkeit: Ein einheitlicher Rollout mit dokumentierten Zusatzmodulen ist auditfester als drei lose Lerninseln.
  4. Schnellere Updates: Neue Tools, neue Vorfälle oder neue Freigaberegeln können in einem gemeinsamen Schulungsprozess aktualisiert werden.

Genau deshalb lautet die wirtschaftlichste Empfehlung für viele Unternehmen nicht „drei Schulungen“, sondern „eine integrierte Compliance-Schulung mit Zusatzmodulen“. Wenn Sie dafür einen belastbaren Startpunkt suchen, ist unser Kurs der pragmatischste Einstieg in eine dokumentierbare Baseline für KI-Kompetenz; Datenschutz- und Sicherheitsbausteine lassen sich daran sauber andocken.

Häufig gestellte Fragen (FAQ)

Muss ich alle drei erfüllen?

Nein, aber Sie müssen jede einschlägige Regulierung erfüllen, die auf Ihren konkreten Betrieb zutrifft. Die DSGVO gilt fast immer bei personenbezogenen Daten. Der AI Act gilt bei KI-Systemen. NIS2 gilt nur für definierte Einrichtungen und Sektoren. Viele Unternehmen fallen deshalb unter zwei Regelwerke, einige unter alle drei.

Welche hat die höchsten Bußgelder?

Die höchste Obergrenze hat der AI Act. Nach Art. 99 der EU-VO 2024/1689 drohen für verbotene KI-Praktiken bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Danach folgt die DSGVO mit bis zu 20 Millionen Euro oder 4 Prozent. NIS2 liegt darunter, bleibt aber mit mindestens 10 Millionen Euro oder 2 Prozent für wesentliche Einrichtungen weiterhin erheblich.

Gibt es eine Schulung, die alles abdeckt?

Ja, in vielen Unternehmen ist eine gemeinsame Basisschulung sinnvoll. Entscheidend ist, dass sie nicht nur allgemeine Awareness vermittelt, sondern konkrete Regeln zu KI-Nutzung, Datenschutz, Cyberhygiene, Incident-Meldung und Freigaben abbildet. Für sensible Rollen sollten zusätzliche Vertiefungen ergänzt werden.

Was ist der Hauptunterschied?

Der Hauptunterschied liegt in der Schutzrichtung. Der AI Act reguliert KI-Systeme und ihren Einsatz. NIS2 reguliert Cybersicherheit und Betriebsresilienz relevanter Einrichtungen. Die DSGVO reguliert personenbezogene Daten. Dasselbe Projekt kann daher mehrere Compliance-Ebenen gleichzeitig berühren.

CTA: Erst Regulierungen sortieren, dann die gemeinsame Baseline schulen

Wenn Sie AI Act, NIS2 und DSGVO nicht in drei getrennten Projekten aufsetzen wollen, starten Sie mit einer gemeinsamen Bestandsaufnahme von KI-Tools, Datenbezug, Sektorzuordnung und Meldewegen. Danach lässt sich sehr schnell entscheiden, welche Basisschulung für alle reicht und wo Zusatzmodule für HR, IT, Compliance oder Management nötig sind.

Unser EU AI Act Kurs ist dafür der schnellste Einstieg in eine dokumentierbare Schulungsbasis mit Schulungszertifikat. Ergänzend helfen Ihnen die Beiträge CRA, NIS2 und AI Act, DORA vs. NIS2, DSGVO und AI Act — Brauche ich zwei Schulungen? und die AI Act Checkliste für Unternehmen, um Rollen, Pflichten und Prioritäten sauber zu ordnen.

Primärquellen

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →