DSGVO & AI Act: Worauf Sie als Geschäftsführer jetzt achten müssen

Künstliche Intelligenz (KI) hält zunehmend Einzug in mittelständische Unternehmen – sei es zur Automatisierung von Prozessen, im Kundenservice oder in der Datenanalyse. Doch mit den Chancen steigen auch die regulatorischen Anforderungen. Neben der Datenschutz-Grundverordnung (DSGVO), die seit 2018 gilt, kommt nun der AI Act der EU hinzu. Beide Regelwerke greifen ineinander – und können bei Verstößen erhebliche rechtliche und wirtschaftliche Folgen haben. Viele Geschäftsführer fragen sich: Was bedeutet das konkret für mein Unternehmen? Welche Risiken bestehen – und wie kann ich sie vermeiden?

DSGVO & AI Act – zwei Seiten derselben Medaille?

Die DSGVO schützt personenbezogene Daten von EU-Bürgern. Sie verlangt Transparenz, Zweckbindung und Sicherheit bei der Verarbeitung – unabhängig davon, ob Menschen oder Maschinen Daten verarbeiten.

Der AI Act, der ab 2025 in Stufen in Kraft tritt, regelt erstmals explizit den Einsatz von KI. Besonders im Fokus stehen sogenannte „Hochrisiko-KI-Systeme“, etwa im Personalwesen, in der Kreditvergabe oder bei sicherheitsrelevanten Prozessen. Wer solche Systeme einsetzt, muss strenge Anforderungen an Transparenz, Sicherheit, Nachvollziehbarkeit und Fairness erfüllen.

Klar ist: Wer KI-Systeme einführt oder betreibt, kommt an beiden Regelwerken nicht vorbei – selbst wenn die Technologie von einem Drittanbieter stammt.

Worauf Sie konkret achten sollten

1. Herkunft der Daten prüfen: Verwenden Ihre Systeme personenbezogene Daten für das Training oder die Anwendung von KI? Dann greift die DSGVO vollumfänglich – und Sie benötigen eine rechtmäßige Grundlage. Auch vermeintlich „anonymisierte“ Daten können schnell zur Stolperfalle werden.
2. Transparenz sicherstellen: Nutzer und Betroffene müssen wissen, dass KI im Spiel ist – und welche Auswirkungen dies auf sie hat. Insbesondere bei automatisierten Entscheidungen ist dies rechtlich heikel.
3. Interne Prozesse dokumentieren: Gerade bei Hochrisiko-Anwendungen verlangt der AI Act eine umfangreiche technische Dokumentation und regelmäßige Risikobewertungen. Die DSGVO fordert zusätzlich Datenschutz-Folgenabschätzungen. Wer hier nicht vorbereitet ist, riskiert Bußgelder oder operative Einschränkungen.
4. Drittanbieter vertraglich absichern: Nutzen Sie externe KI-Dienste, etwa für Chatbots oder Analyse-Tools? Dann benötigen Sie Verträge, die sowohl DSGVO- als auch AI-Act-konform sind – inklusive Verantwortlichkeiten und technischer Garantien.
5. Mitarbeiter sensibilisieren: Ihre Mitarbeiter müssen wissen, was erlaubt ist und wo Vorsicht geboten ist. Das betrifft nicht nur Entwickler, sondern auch Marketing, HR und Geschäftsführung.
6. Interne Richtlinien zu KI-Einsatz definieren: Transparenz, Rechenschaft und natürlich Schulung der Mitarbeiter sind zentral.

Was droht bei Verstößen?

Die DSGVO kennt Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. Auch der AI Act sieht empfindliche Strafen vor – je nach KI-Systemen können diese künftig bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes betragen.

Doch nicht nur rechtlich: Auch der Reputationsschaden ist nicht zu unterschätzen. Kunden und Geschäftspartner erwarten heute einen verantwortungsvollen Umgang mit Daten und Technologie.

Fazit: Jetzt handeln – bevor es teuer wird

Künstliche Intelligenz kann Effizienz bringen – aber nur, wenn sie rechtssicher eingeführt wird. Für Sie als Geschäftsführer bedeutet das: Sie brauchen Klarheit über Ihre Datenflüsse, eingesetzten Systeme und deren Risiken. Der AI Act ergänzt die DSGVO – und stellt neue Anforderungen an den KI-Einsatz. Wer KI-Systeme in der EU nutzt oder entwickelt, muss künftig Datenschutz, Transparenz, Sicherheit und Fairness technisch und organisatorisch verankern. Unternehmen sollten frühzeitig ihre Prozesse prüfen, Verantwortlichkeiten definieren und sowohl rechtliche als auch technische Expertise einbinden. Nur so lassen sich Innovation und Vertrauen in Einklang bringen.