Was regelt Artikel 95 wirklich?
Artikel 95 ist im finalen EU AI Act keine Vorschrift zum Verhältnis zur DSGVO, sondern eine Norm zu Verhaltenskodizes. Wer nach „Art. 95 DSGVO“ sucht, arbeitet meist mit älteren Sekundärquellen oder verwechselt die finale Nummerierung des Gesetzes.
Kurz im Gesetzestext: „... encourage and facilitate drawing up of codes of conduct.“ (Art. 95)
Für die eigentliche Datenschutz-Schnittstelle ist vor allem Art. 2 Abs. 7 wichtig. Dort steht sinngemäß, dass der AI Act das Unionsrecht zum Schutz personenbezogener Daten nicht berührt. Praktisch bedeutet das: Sobald ein KI-System personenbezogene Daten verarbeitet, gilt die DSGVO parallel weiter. Zusätzliche Brücken finden sich etwa in Art. 10 Abs. 5 zur Bias-Prüfung oder in Art. 26 Abs. 8 zur Nutzung von Anbieterinformationen für die DSFA.
Was bedeutet das für Ihr Unternehmen?
Unternehmen sollten Datenschutz und AI Act nicht nacheinander, sondern gemeinsam prüfen. Eine hohe AI-Act-Relevanz ersetzt keine Rechtsgrundlage nach DSGVO, und umgekehrt macht eine saubere Datenschutzdokumentation ein Hochrisiko-System noch nicht AI-Act-konform. Besonders eng verzahnt sind:
- Artikel 14 und DSGVO Art. 22 bei automatisierten Entscheidungen,
- Artikel 26 und DSGVO Art. 35 bei Risiko- und Folgenabschätzungen,
- Artikel 50 und die DSGVO-Informationspflichten.
Für Teams lohnt sich deshalb eine gemeinsame Governance-Sprache: Betreiber, DSFA und Transparenzpflichten sollten in denselben Prozessen auftauchen. Weiterführende Grundlagen finden Sie im Wissensbereich, in den FAQ und auf der Kursseite.