Wer 2018 die DSGVO überlebt hat, hat einen Vorsprung beim EU AI Act. Governance-Strukturen, Datenschutzbeauftragte, Risikobewertungen, Dokumentationspflichten — vieles davon ist übertragbar. DACH-Unternehmen, die das erkennen, können die neuen KI-Anforderungen schneller und günstiger umsetzen als Betriebe ohne DSGVO-Erfahrung.
Was der EU AI Act von Unternehmen verlangt
Ab August 2026 müssen Unternehmen, die KI-Systeme einsetzen:
• KI-Inventar führen: Welche KI-Systeme sind im Einsatz? In welchem Bereich?
• Risikoklassen bestimmen: Minimal, begrenzt, hoch oder verboten
• Dokumentation vorhalten: Trainingsmethoden, Datengrundlagen, Entscheidungslogik
• Transparenzpflichten erfüllen: Nutzer müssen wissen, wenn sie mit KI interagieren
• Mitarbeiter schulen: KI-Literacy ist ab 2025 bereits Pflicht
DSGVO als Blaupause
Die DSGVO hat Unternehmen bereits gezwungen, Verarbeitungsverzeichnisse zu führen, Datenschutz-Folgenabschätzungen durchzuführen und Auskunftsrechte zu implementieren. Der AI Act nutzt ein ähnliches Prinzip: risikobasierter Ansatz, Dokumentationspflicht, Verantwortlichkeit.
Konkret übertragbar sind:
• Die Rolle des Datenschutzbeauftragten — kann um KI-Governance erweitert werden
• Das Verarbeitungsverzeichnis — dient als Vorlage für das KI-Inventar
• Die DSFA (Datenschutz-Folgenabschätzung) — strukturell identisch mit der KI-Risikobewertung
• Schulungskonzepte für Mitarbeitende — inhaltlich erweiterbar um KI-Themen
Was neu ist und nicht übertragbar
Technische Konformitätsbewertung für Hochrisiko-KI ist neu. CE-Kennzeichnung, EU-Datenbank-Registrierung und spezifische Qualitätsanforderungen an Trainingsdaten — das hat keine DSGVO-Entsprechung. Hier brauchen Unternehmen externe Expertise oder spezialisierte interne Stellen.
Außerdem: Die Bußgeldhöhe. Während die DSGVO maximal 20 Mio. Euro oder 4 % Jahresumsatz vorsieht, kann der AI Act bis zu 35 Mio. Euro oder 7 % des Umsatzes kosten — ein deutlich höheres Risiko.
Praktischer Fahrplan bis August 2026
Jetzt (März 2026): KI-Inventar erstellen. Welche Tools, welche Abteilungen, welche Risikoklasse?
April 2026: Risikoklassifizierung abschließen. Hochrisiko-Systeme identifizieren.
Mai-Juni 2026: Technische Dokumentation und Konformitätsbewertung starten
Juli 2026: EU-Datenbank-Registrierung für Hochrisiko-Systeme
August 2026: Compliance bestätigt — mit laufendem Monitoring danach
Was Sie heute tun können
Beauftragen Sie Ihren Datenschutzbeauftragten mit einer KI-Bestandsaufnahme. Nutzen Sie die vorhandene DSGVO-Infrastruktur als Startpunkt. Wer strukturiert vorgeht, schafft das in fünf Monaten — ohne Panik.
Weiterführende Artikel:
KI verändert den DACH-Markt: Was Unternehmen jetzt wissen müssen
EU AI Act 2025: Fünf Sofortmassnahmen für Ihr Unternehmen
DSGVO-Compliance mit KI: Datenschutz automatisiert im Griff
