Die kurze Antwort lautet: In den meisten Unternehmen brauchen Sie keine zwei vollständig getrennten Pflichtschulungen für dieselben Mitarbeitergruppen. Seit dem 2. Februar 2025 verlangt Art. 4 der EU-KI-Verordnung ausreichende KI-Kompetenz, während die DSGVO bei jeder Verarbeitung personenbezogener Daten weiter gilt. Für Teams, die ChatGPT, Copilot oder HR-Tools nutzen, ist deshalb meist ein kombinierter Ansatz mit gemeinsamer Basis und rollenspezifischen Vertiefungen die wirtschaftlichste Lösung.
Für Compliance Officer und Datenschutzbeauftragte ist die Abgrenzung trotzdem relevant, weil beide Regelwerke andere Fragen beantworten. Die DSGVO fragt bei jedem KI-Einsatz zuerst nach Rechtsgrundlage, Zweckbindung und Transparenz, etwa nach Art. 6 DSGVO. Der AI Act fragt zusätzlich nach Risikoklasse, Transparenzpflichten, menschlicher Aufsicht und Kompetenz, etwa nach Art. 4, Art. 6 und Art. 50. Wer die Grundlogik vertiefen will, findet den systematischen Vergleich in KI-Verordnung vs. DSGVO und die Schulungspflicht im Detail in KI-Schulungspflicht nach Artikel 4.
Warum beide Regelwerke parallel gelten
DSGVO und AI Act laufen parallel, weil sie unterschiedliche Schutzrichtungen haben. Die DSGVO schützt personenbezogene Daten und Betroffenenrechte nach einem seit dem 25. Mai 2018 etablierten Regime. Der AI Act reguliert seit dem 1. August 2024 KI-Systeme selbst und macht erste Pflichten, insbesondere Art. 4 und Art. 5, bereits seit dem 2. Februar 2025 anwendbar.
Ein einfaches Beispiel zeigt die Trennung: Wenn Ihr Marketing-Team ein generatives KI-Tool für interne Textentwürfe ohne Personenbezug nutzt, kann der AI Act relevant sein, ohne dass die DSGVO im Mittelpunkt steht. Wenn dieselbe Abteilung Kundendaten, E-Mail-Adressen oder CRM-Profile in das Tool eingibt, kommt zusätzlich die DSGVO ins Spiel, vor allem Art. 5 und Art. 6 DSGVO. Die Frage lautet dann nicht "welches Gesetz gilt?", sondern "welche Pflichten laufen gleichzeitig?".
Für Schulungen bedeutet das: Eine reine DSGVO-Schulung deckt die KI-spezifischen Anforderungen nicht ab, und eine reine AI-Act-Schulung ersetzt keine Datenschutzunterweisung. Mitarbeiter müssen bei einem Copilot-Use-Case sowohl verstehen, welche Inhalte sie eingeben dürfen, als auch welche KI-Grenzen, Halluzinationsrisiken und Freigabeprozesse gelten. Genau an dieser Schnittstelle entstehen in der Praxis die meisten Umsetzungsfehler, die auch in AI Act Compliance Fehler beschrieben werden.
Wo sich Art. 10 AI Act und Art. 6 DSGVO überschneiden
Die wichtigste Überschneidung liegt nicht in identischen Pflichten, sondern in einer doppelten Prüfung derselben Datenverarbeitung. Art. 10 des AI Acts regelt für Hochrisiko-KI die Anforderungen an Trainings-, Validierungs- und Testdaten sowie an Daten-Governance. Art. 6 DSGVO verlangt parallel eine tragfähige Rechtsgrundlage für jede Verarbeitung personenbezogener Daten. Sobald ein Hochrisiko-System mit Bewerber-, Kunden- oder Beschäftigtendaten arbeitet, müssen deshalb beide Ebenen sauber adressiert werden.
Ein Recruiting-Beispiel macht das konkret: Nutzt ein Unternehmen ein KI-System zur Vorauswahl von Bewerbungen, liegt häufig ein Hochrisiko-Fall nach Art. 6 in Verbindung mit Annex III vor. Dann reicht es nicht, nur die Datenschutzhinweise zu aktualisieren. Sie müssen erstens datenschutzrechtlich klären, auf welche Rechtsgrundlage sich die Verarbeitung stützt, zweitens prüfen, wie der Anbieter Datenqualität, Verzerrungen und Dokumentation nach Art. 10 organisiert, und drittens die HR-Verantwortlichen so schulen, dass sie die Ergebnisse nicht blind übernehmen. Die fachliche Einordnung solcher Fälle finden Sie auch in AI Act Hochrisiko-KI nach Annex III und EU AI Act für HR-Abteilungen.
Der praktische Unterschied ist entscheidend: Art. 6 DSGVO beantwortet die Frage, ob Sie personenbezogene Daten verarbeiten dürfen. Art. 10 beantwortet für Hochrisiko-KI die Frage, wie Datenqualität, Relevanz, Vollständigkeit und Governance im Systemkontext organisiert sein müssen. Unternehmen, die nur auf eine der beiden Normen schauen, übersehen daher regelmäßig die Hälfte des Risikos.
Für die Schulungsgestaltung bedeutet diese Überschneidung keine Verdopplung, sondern eine saubere Modulkombination. Ein Datenschutzbeauftragter muss nicht dieselbe technische Vertiefung erhalten wie ein HR-Administrator, aber beide Rollen müssen im selben Fallbild dieselben 3 Kernfragen beantworten können: Welche Daten werden verarbeitet, welche Rechtsgrundlage greift und welche KI-spezifischen Kontrollen sind erforderlich? Wenn diese Fragen nicht in einem gemeinsamen Lernkontext erklärt werden, entstehen in Audits oft Widersprüche zwischen Datenschutzdokumentation und KI-Governance.
Wann zwei getrennte Schulungen sinnvoll sind
Zwei komplett getrennte Schulungen sind meist nur dann sinnvoll, wenn Ihre Zielgruppen fachlich stark auseinanderlaufen. Ein Beispiel ist ein Konzern, in dem alle Mitarbeiter eine 45-minütige Basis zu erlaubter KI-Nutzung, Freigabewegen und Eingaberegeln erhalten, während HR, Compliance, IT und Einkauf zusätzlich vertiefte Rollenmodule zu Hochrisiko-KI, Vertragsprüfung oder Lieferantenauswahl absolvieren. In diesem Modell gibt es eine gemeinsame Basis und mehrere Spezialbausteine, aber keine doppelte Pflichtschulung für denselben Personenkreis.
Für die meisten mittelständischen Unternehmen in DE, AT und CH ist daher ein kombinierter Ansatz effizienter. Wenn 80 bis 90 Prozent der KI-Nutzung aus Office-Tools, Chatbots oder Textassistenten besteht, überschneiden sich die Lernziele erheblich: zulässige Dateneingaben, menschliche Prüfung von Ergebnissen, Dokumentation von Freigaben, Grenzen automatisierter Entscheidungen und Meldewege bei Fehlern. Genau deshalb sollte die operative Frage nicht lauten "Brauchen wir zwei Kurse?", sondern "Welche gemeinsamen Inhalte und welche rollenspezifischen Erweiterungen brauchen wir bis 2026?".
Ein zweites separates Format kann dennoch erforderlich sein, wenn bereits eine etablierte DSGVO-Unterweisung mit Pflichtnachweis existiert und der AI Act kurzfristig ergänzt werden muss. Dann ist es organisatorisch oft sinnvoll, ein AI-Act-Modul zusätzlich einzuführen, statt die gesamte Datenschutzschulung sofort neu zu bauen. Das ist eine Übergangslösung, keine ideale Endarchitektur. Langfristig sinkt der Pflegeaufwand, wenn Sie beide Regime in einer abgestimmten Lernlogik zusammenführen, wie es auch der Vergleichsbeitrag DSGVO-Schulung vs. KI-Schulung nahelegt.
Wie ein kombinierter Schulungsansatz praktisch aussieht
Ein belastbarer kombinierter Ansatz folgt vier Schritten. Schritt 1 ist ein KI-Inventar mit Datenbezug: Listen Sie innerhalb von 30 Tagen alle KI-Tools, Fachanwendungen und eingebetteten Assistenten auf und markieren Sie, wo personenbezogene Daten verarbeitet werden. Schritt 2 ist die Rollensegmentierung: Alle Nutzer erhalten eine gemeinsame Basisschulung zu Art. 4, zulässigen Eingaben und Kontrollpflichten; Spezialrollen erhalten Zusatzmodule zu Beschaffung, HR, Datenschutz oder Hochrisiko-KI. Schritt 3 ist der Nachweis: Dokumentieren Sie Inhalte, Teilnahme, Testergebnis und Aktualisierungsdatum. Schritt 4 ist die Verankerung in Richtlinien und Prozessen, etwa über eine interne KI-Richtlinie oder Freigabematrix.
Die gemeinsame Basisschulung sollte mindestens fünf Themen abdecken. Erstens den Unterschied zwischen Daten- und Systemregulierung, also DSGVO einerseits und AI Act andererseits. Zweitens die Mindestanforderung aus Art. 4 seit dem 2. Februar 2025. Drittens praktische Dateneingaberegeln, zum Beispiel "keine Bewerberprofile in offene GenAI-Tools ohne Freigabe". Viertens die Pflicht zur menschlichen Plausibilisierung von KI-Ergebnissen. Fünftens einen Eskalationsweg, wenn Mitarbeiter unsicher sind, ob ein Tool zulässig ist. Wer dafür noch einen internen Rahmen braucht, kann mit KI-Policy Unternehmen Vorlage und AI Act Checkliste für Unternehmen starten.
Die Vertiefungsmodule bauen darauf auf und sollten risikobasiert verteilt werden. HR benötigt andere Inhalte als Vertrieb, weil Recruiting-Fälle schneller in Hochrisiko-Kategorien nach Art. 6 fallen können. Einkauf und IT müssen Anbieterunterlagen, TOMs, Vertragsklauseln und Produktdokumentation prüfen. Datenschutzbeauftragte brauchen vor allem die Übersetzung zwischen Rechtsgrundlage, Transparenz, Löschkonzept und KI-spezifischer Governance. Ein 1-stündiges Zusatzmodul für diese Rollen ist meist wirksamer als eine zweite 60-minütige Standardunterweisung für alle.
Auch der Nachweis sollte kombiniert und nicht doppelt geführt werden. Ein Prüfer oder Geschäftsführer braucht keine zwei isolierten Teilnehmerlisten, wenn eine einheitliche Dokumentation sauber zeigt, welche Person am 21. März 2026 die Basisschulung absolviert hat und welche Zusatzmodule später folgten. Diese Logik reduziert Audit-Aufwand, vermeidet widersprüchliche Versionen und erleichtert Updates, wenn sich bis zum 2. August 2026 Leitlinien, Tool-Landschaften oder interne Freigabeprozesse ändern.
Die operative Empfehlung lautet daher: Bauen Sie eine integrierte Compliance-Schulung mit gemeinsamen Grundlagen und ergänzen Sie rollenspezifische Vertiefungen dort, wo Datenschutz- und KI-Risiken tatsächlich auseinanderlaufen. So erfüllen Sie weder nur formal noch doppelt, sondern zielgenau. Wenn Sie die Basis für Art. 4 jetzt strukturiert aufsetzen wollen, können Sie hier den nächsten Schritt gehen: Jetzt KI-Schulung starten.