Pflicht seit Februar 2025: Artikel 4 EU AI Act verlangt KI-Kompetenz im Unternehmen.

AI

AI Governance Schulung

EU AI Act Training für Unternehmen

Erstgespräch buchen
← Zur Wissens-Übersicht
KI Verordnung vs DSGVOAI Act DSGVO UnterschiedKI Compliance Unternehmen

KI-Verordnung vs. DSGVO: Unterschiede, Gemeinsamkeiten und neue Pflichten

Die DSGVO regelt personenbezogene Daten, die KI-Verordnung regelt KI-Systeme. Wo sich beide Gesetze ueberschneiden, was neu ist und welche Fristen Unternehmen kennen müssen.

Veröffentlicht: 25. Januar 2026Letzte Aktualisierung: 14. März 20265 Min. Lesezeit

Die kuerzeste Antwort lautet: Die DSGVO regelt personenbezogene Daten, die KI-Verordnung nach Art. 2 der EU-VO 2024/1689 regelt KI-Systeme. Seit dem 2. Februar 2025 kommt für Unternehmen deshalb eine zweite Compliance-Ebene hinzu, die nicht nur Datenschutz, sondern auch KI-Kompetenz, Risikoklassen, Transparenzpflichten und verbotene Praktiken erfasst.

Wer die Grundpflicht zur Schulung zuerst einordnen will, startet am besten in unserer Wissensuebersicht, klaert operative Fragen in der FAQ und prüft danach, wie der Kurs den Nachweis für das eigene Team abbildet.

KI-Verordnung vs. DSGVO im direkten Vergleich

Die wichtigste Unterscheidung für die Praxis ist einfach: Die DSGVO greift, sobald personenbezogene Daten verarbeitet werden. Die KI-Verordnung greift, sobald ein Unternehmen KI-Systeme anbietet, in Verkehr bringt oder als Betreiber einsetzt. Bei vielen Tools gelten deshalb beide Gesetze gleichzeitig, aber sie beantworten unterschiedliche Fragen.

VergleichspunktKI-Verordnung (EU) 2024/1689DSGVO (EU) 2016/679
GeltungsbereichRegelt KI-Systeme und GPAI-Modelle, ihre Risikoklassen, ihren Einsatz und ihre Vermarktung in der EU; massgeblich sind u. a. Art. 2, Art. 5, Art. 6 und Art. 50.Regelt jede Verarbeitung personenbezogener Daten; massgeblich sind Art. 2, Art. 4 und die Grundsaetze aus Art. 5 DSGVO.
Betroffene AkteureAnbieter, Betreiber, Einführer, Haendler, Bevollmaechtigte und in bestimmten Konstellationen betroffene Personen.Verantwortliche, Auftragsverarbeiter und betroffene Personen, deren Daten verarbeitet werden.
BußgelderBis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken nach Art. 99 Abs. 3; für andere Pflichten bis 15 Mio. EUR oder 3 %. Art. 4 hat kein eigenes unionsweit harmonisiertes Bußgeld.Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes nach Art. 83 DSGVO.
FristenIn Kraft seit 1. August 2024; Art. 4 und Art. 5 gelten seit 2. Februar 2025; der Hauptteil wird ab 2. August 2026 anwendbar.In Kraft seit 24. Mai 2016; anwendbar seit 25. Mai 2018.
KernpflichtenKI-Kompetenz, Risikoeinstufung, technische Dokumentation, menschliche Aufsicht, Transparenz und Verbot bestimmter Praktiken.Rechtsgrundlage, Transparenz, Zweckbindung, Datensicherheit, Betroffenenrechte, AV-Vertraege und ggf. Datenschutz-Folgenabschätzung.

Wo sich KI-Verordnung und DSGVO ueberschneiden

Beide Regelwerke greifen gleichzeitig, sobald ein KI-System personenbezogene Daten verarbeitet. Das ist bei Bewerbertools, Chatbots mit Kundendaten, Copilot-Nutzung in E-Mails, CRM-Auswertungen oder KI-gestuetzter Leistungsbeurteilung regelmäßig der Fall. Dann müssen Unternehmen nicht zwischen DSGVO oder KI-Verordnung waehlen, sondern beide Ebenen parallel prüfen.

Die DSGVO beantwortet dabei vor allem Datenfragen. Unternehmen müssen nach Art. 5 DSGVO die Grundsaetze einhalten, nach Art. 6 DSGVO eine Rechtsgrundlage haben, nach Art. 13 und 14 DSGVO transparent informieren und nach Art. 32 DSGVO für Sicherheit sorgen. Wenn eine risikoreiche Datenverarbeitung vorliegt, kann zusaetzlich eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO noetig sein.

Die KI-Verordnung beantwortet dagegen System- und Einsatzfragen. Unternehmen müssen etwa prüfen, ob ein Tool in eine Hochrisiko-Kategorie nach Art. 6 der EU-VO 2024/1689 fällt, ob Transparenzpflichten nach Art. 50 greifen oder ob ein verbotener Use Case nach Art. 5 vorliegt. Schon bevor diese strengeren Regime voll anwendbar sind, gilt seit dem 2. Februar 2025 die Pflicht zur KI-Kompetenz nach Art. 4.

Ein einfaches Praxisbeispiel zeigt den Unterschied:

  1. Newsletter-Tool ohne KI: typischerweise DSGVO-relevant, aber nicht AI-Act-relevant.
  2. Interner Textassistent ohne Personenbezug: typischerweise AI-Act-relevant, aber nicht zwingend DSGVO-relevant.
  3. KI-Recruiting mit Bewerberdaten: regelmäßig gleichzeitig DSGVO- und AI-Act-relevant.

Was die KI-Verordnung neu hinzufuegt

Neu an der KI-Verordnung ist, dass sie nicht auf Daten beginnt, sondern auf dem KI-System selbst. Genau deshalb reicht eine saubere DSGVO-Dokumentation kuenftig nicht mehr aus, wenn Mitarbeiter mit ChatGPT, Copilot, Recruiting-Software oder anderen KI-Funktionen arbeiten.

Die erste neue Ebene ist die KI-Kompetenz. Art. 4 der EU-VO 2024/1689 verpflichtet Anbieter und Betreiber, seit dem 2. Februar 2025 für ein ausreichendes Niveau an AI Literacy zu sorgen. Die DSGVO kennt zwar Schulungs- und Organisationspflichten mittelbar, aber keinen vergleichbaren, ausdrücklich benannten Artikel für KI-Kompetenz.

Die zweite neue Ebene ist die Risikologik. Die KI-Verordnung unterscheidet zwischen verbotenen Praktiken, Hochrisiko-KI, Transparenzfällen und minimalem Risiko. Diese Systematik existiert in der DSGVO nicht. Datenschutzrecht fragt primaer nach Datenarten, Rechtsgrundlagen, Risiken für Rechte und Freiheiten und der Intensitaet der Verarbeitung. Der AI Act fragt zusaetzlich, welche Art von KI-System vorliegt und in welchem Anwendungskontext es eingesetzt wird.

Die dritte neue Ebene ist die produktnahe Compliance. Für Hochrisiko-KI kommen technische Dokumentation, Risikomanagement, menschliche Aufsicht, Logging und Qualitaetsanforderungen hinzu. Diese Pflichten erinnern eher an Produktsicherheits- und Governance-Regeln als an klassisches Datenschutzrecht. Gerade deshalb ist die Verordnung für Unternehmen neu, die bisher nur mit DSGVO-Checklisten gearbeitet haben.

Warum die DSGVO trotzdem nicht ersetzt wird

Die KI-Verordnung ersetzt die DSGVO nicht, weil sie personenbezogene Daten nur ausschnittweise beruehrt. Wenn ein KI-System Mitarbeiter-, Bewerber-, Kunden- oder Gesundheitsdaten verarbeitet, bleiben alle Datenschutzfragen voll erhalten. Das gilt auch dann, wenn ein Tool nach dem AI Act als minimales oder begrenztes Risiko gilt.

Besonders wichtig ist hier Art. 22 DSGVO. Die Vorschrift regelt Entscheidungen, die ausschliesslich automatisiert getroffen werden und rechtliche oder aehnlich erhebliche Wirkungen entfalten. Das ist nicht identisch mit dem Hochrisiko-Begriff des AI Act. Ein System kann hochriskant im Sinne der KI-Verordnung sein, ohne dass Art. 22 DSGVO immer einschlaegig ist. Umgekehrt kann eine problematische automatisierte Entscheidung datenschutzrechtlich relevant sein, obwohl der AI Act für das konkrete System keine Hochrisiko-Einstufung ausloest.

Die saubere Aussage für Unternehmen lautet deshalb: DSGVO und KI-Verordnung sind keine Alternativen, sondern zwei Schichten derselben Compliance-Prüfung. Datenschutz bleibt die Datenebene, der AI Act kommt als KI-spezifische Systemebene hinzu.

Was Unternehmen jetzt konkret tun sollten

Der sinnvollste Startpunkt ist keine Grossrevision, sondern ein sauberer Abgleich von Tool-Liste, Datennutzung und Rollenklarheit. Wer diese drei Punkte dokumentiert, sieht meist schnell, wo nur Datenschutz betroffen ist, wo nur der AI Act greift und wo beide Regime gleichzeitig laufen.

Ein pragmischer Vier-Schritte-Plan sieht so aus:

  1. KI-Inventur erstellen: Erfassen Sie ChatGPT, Copilot, eingebettete KI-Funktionen und Fachanwendungen mit KI-Bezug.
  2. Personenbezug markieren: Kennzeichnen Sie, welche Systeme personenbezogene Daten verarbeiten und damit DSGVO-Pflichten ausloesen.
  3. AI-Act-Kontext einordnen: Prüfen Sie Art. 4, Art. 5, Art. 6 und Art. 50 für jedes relevante System.
  4. Schulung und Nachweis sichern: Rollenbezogene Schulung, dokumentierte Teilnahme und klare Nutzungsregeln sind der schnellste Weg, die neue Pflicht praktisch abzusichern.

Wenn Ihnen für diesen Abgleich noch ein belastbarer interner Standard fehlt, hilft unser Kurs beim Aufbau eines dokumentierbaren Mindestniveaus für KI-Kompetenz. Für den organisatorischen Hintergrund und unsere Arbeitsweise finden Sie mehr auf Über uns. Für typische Umsetzungsfragen zu Nachweis, Zertifikat und Rollout ist die FAQ der schnellste Einstieg.

Fazit: DSGVO bleibt, der AI Act erweitert

Die zentrale Botschaft für 2026 ist klar: Die DSGVO bleibt voll wirksam, aber sie deckt KI-Compliance nicht mehr allein ab. Seit dem 2. Februar 2025 müssen Unternehmen zusaetzlich KI-Kompetenz organisieren, verbotene Praktiken vermeiden und ihre KI-Systeme entlang der neuen AI-Act-Logik bewerten.

Neu ist also nicht, dass Datenschutz unwichtiger wird. Neu ist, dass KI-Regulierung in Europa erstmals eine eigene, ausdrückliche Betriebspflicht für Unternehmen geschaffen hat. Wer heute nur Datenschutz prüft, sieht deshalb nur die halbe Lage. Wer DSGVO und KI-Verordnung gemeinsam steuert, reduziert Risiko früher und kann den Nachweis gegenüber Management, Kunden und Mitarbeitern deutlich sauberer fuehren.

Naechster Schritt

KI-Kompetenz sauber dokumentieren, statt die Pflicht nur zu diskutieren.

Wenn Sie für Ihr Team einen belastbaren Schulungsnachweis aufsetzen wollen, schauen Sie zuerst in den Kurs, die FAQ und unsere Einordnung zur Umsetzung.

Kurs ansehen

Prüfen Sie Aufbau, Lernzeit und Nachweisstruktur des geschützten Kursbereichs.

FAQ aufrufen

Klaeren Sie typische Fragen zu Schulungspflicht, Zertifikat und Rollout im Unternehmen.

Team kennenlernen

Sehen Sie, wer hinter AI Governance Schulung steht und wie wir Inhalte aufbereiten.

Erstgespräch buchenWeitere Artikel lesen

Autor

AI Governance Schulung

Redaktion

Die Redaktion von AI Governance Schulung bereitet EU-AI-Act-Inhalte für Entscheider, HR und Compliance in klarer, belastbarer Form auf.