Auf einen Blick: DSGVO und KI-VO gelten parallel, nicht alternativ. Sobald eine KI personenbezogene Daten verarbeitet, greifen beide Regelwerke voll. Aufsichtsbehörden, Bußgeldrahmen und Pflichtinhalte unterscheiden sich. Wer DSFA nach Art. 35 DSGVO mit dem Risikomanagement nach Art. 9 KI-VO verwechselt, baut zwei Dokumente, die nicht zusammenpassen. Sinnvoller ist ein integriertes Compliance-Mapping mit klaren Schnittstellen.
In Beratungsgesprächen taucht der Satz immer wieder auf. "Wir haben doch eine DSGVO-Datenschutz-Folgenabschätzung, dann brauchen wir die KI-Sachen nicht nochmal, oder?" Doch. Und umgekehrt: Wer ein KI-Risikomanagement nach Art. 9 KI-VO aufsetzt, hat damit keine DSFA nach Art. 35 DSGVO erledigt. Die zwei Verordnungen sind nicht ineinander aufgegangen. Sie laufen nebeneinander, jede mit eigenem Geltungsbereich, eigenen Adressaten, eigenen Sanktionen. Wer das ignoriert, baut Compliance-Theater statt belastbare Strukturen.
Warum beide Regelwerke parallel gelten
Die DSGVO ist seit Mai 2018 in Kraft. Sie regelt jede Verarbeitung personenbezogener Daten in der EU, unabhängig von der eingesetzten Technologie. Ob jemand Daten per Excel-Liste oder per neuronalem Netz verarbeitet, ist für die DSGVO zweitrangig. Was zählt, ist die Verarbeitung als solche.
Die KI-Verordnung ist 2024 in Kraft getreten und stufenweise anwendbar. Sie regelt KI-Systeme nach einem risikobasierten Ansatz: verbotene Praktiken (Art. 5), Hochrisiko-Systeme (Anhang III), Modelle mit allgemeinem Verwendungszweck (Art. 50 ff.) und Systeme mit Transparenzpflichten (Art. 50). Sie sagt aber nichts über die Verarbeitung personenbezogener Daten an sich, sondern nur über die Eigenschaften des KI-Systems.
Der Schnittpunkt entsteht, sobald eine KI personenbezogene Daten verarbeitet. Das ist bei vielen typischen KMU-Anwendungen der Fall: Recruiting-Tools, Chatbots, Marketing-Automation, Bilderkennung mit Mitarbeiter- oder Kundenfotos, Übersetzungstools mit identifizierbaren Mandantendaten. In all diesen Fällen greifen beide Verordnungen voll. Die DSGVO regelt das "Was wird verarbeitet" und "Auf welcher Rechtsgrundlage". Die KI-VO regelt das "Mit welchem Risiko-Level" und "Welche Pflichten ergeben sich daraus für das System selbst".
Das Verhältnis ist keine Hierarchie. Beide Verordnungen sind gleichrangig. Art. 2 Abs. 7 KI-VO macht das explizit: Die DSGVO bleibt unberührt. Was bei Konflikten in der Praxis bedeutet: die strengere Anforderung gewinnt.
Welche Pflichten sich überschneiden, welche sich addieren
Manche Pflichten in DSGVO und KI-VO klingen ähnlich und werden deshalb verwechselt. Sie sind aber inhaltlich verschieden.
| Bereich | DSGVO | KI-VO | Verhältnis |
|---|---|---|---|
| Transparenz gegenüber Betroffenen | Art. 13/14 (Informationspflichten zu Datenverarbeitung) | Art. 50 (Offenlegung KI-Einsatz, Deepfake-Kennzeichnung) | Addieren sich |
| Risikobewertung | Art. 35 DSFA (Schutz personenbezogener Daten) | Art. 9 Risikomanagement (Schutz vor KI-Risiken) | Addieren sich |
| Folgenabschätzung Grundrechte | Teil der DSFA | Art. 27 FRIA (für bestimmte Hochrisiko-Anwendungen) | Schnittmenge, FRIA enger |
| Dokumentation | Art. 30 Verzeichnis | Art. 11/12 Technische Doku, Annex IV | Trennen sich |
| Auftragsverarbeitung | Art. 28 AVV | Indirekt über Art. 26 Betreiberpflichten | DSGVO primär |
| Automatisierte Entscheidung | Art. 22 (Recht auf menschliche Prüfung) | Anhang III (HR-Scoring, Kreditvergabe etc.) | Schnittmenge |
| Meldepflicht bei Vorfall | Art. 33 (72 Stunden, Datenpanne) | Art. 73 (2/10/15 Tage, schwerer Vorfall) | Addieren sich |
| Aufsichtsbehörde | Landesdatenschutzbehörde | Marktüberwachungsbehörde (BNetzA-Koordination) | Trennen sich |
| Bußgeldrahmen | Bis 20 Mio EUR oder 4 Prozent (Art. 83) | Bis 35 Mio EUR oder 7 Prozent Art. 5 / 15 Mio oder 3 Prozent Art. 50 (Art. 99) | Trennen sich |
Die häufigste Verwechslung betrifft DSFA und Risikomanagement. Eine DSFA nach Art. 35 DSGVO untersucht, ob eine Datenverarbeitung ein hohes Risiko für die Rechte natürlicher Personen birgt. Sie fragt nach Datenkategorien, Zwecken, Empfängern, Rechtsgrundlage, Speicherdauer, technischen und organisatorischen Maßnahmen.
Das Risikomanagement nach Art. 9 KI-VO untersucht, ob ein Hochrisiko-KI-System die Gesundheit, Sicherheit oder Grundrechte gefährdet. Es fragt nach Modell-Robustheit, Bias-Risiken, Falsch-Positiven, Falsch-Negativen, menschlicher Aufsichtsmöglichkeit, Wartungs-Lebenszyklus.
Beide können dieselbe Anwendung betreffen, etwa ein HR-Scoring-Tool. Aber sie produzieren unterschiedliche Dokumente mit unterschiedlichem Fokus. Wer das eine baut und das andere als erledigt abhakt, hat eine Lücke.
Wo sich die Doppelpflicht in der Praxis konkret zeigt
Drei typische KMU-Anwendungen machen das Mapping anschaulich.
Erste Konstellation: Chatbot auf der Unternehmenswebsite. Der Bot nimmt Nutzerfragen entgegen, beantwortet sie mit einem LLM und speichert Konversationsprotokolle für 30 Tage zur Qualitätssicherung. Aus DSGVO-Sicht: Verarbeitung personenbezogener Daten (IP, Konversationsinhalte, ggf. Name oder Mailadresse), Rechtsgrundlage Art. 6 Abs. 1 lit. b oder f, AVV mit dem Anbieter nach Art. 28 DSGVO, Informationspflicht nach Art. 13. Aus KI-VO-Sicht: kein Hochrisiko-System (Chatbot ist nicht in Anhang III), aber Transparenzpflicht nach Art. 50 (der Nutzer muss erkennen, dass er mit einer KI spricht). Plus Art. 4 Kompetenzpflicht für das Team, das den Bot betreut.
Zweite Konstellation: Recruiting-KI für Bewerber-Vorauswahl. Das System klassifiziert Lebensläufe und schlägt eine Rangfolge vor. DSGVO: Art. 22 (automatisierte Entscheidung mit erheblicher Beeinträchtigung) greift. DSFA nach Art. 35 ist Pflicht, weil systematische Bewertung natürlicher Personen vorliegt. AVV mit dem Tool-Anbieter. Informationspflicht. KI-VO: Hochrisiko-System nach Anhang III Punkt 4. Risikomanagement nach Art. 9, Daten-Governance nach Art. 10, technische Dokumentation nach Art. 11, menschliche Aufsicht nach Art. 14, plus FRIA nach Art. 27, weil HR-Anwendung. Beide Verordnungen voll greifend. Inkrafttreten Hochrisiko-Pflichten: 02.12.2027 (Trilog-Verschiebung 07.05.2026).
Dritte Konstellation: Marketing-KI für personalisierte Werbung. Das System segmentiert Kundenprofile und steuert Werbeansprache. DSGVO: Art. 22 greift, wenn automatisiert über Kundenkategorien entschieden wird. Profiling nach Art. 4 Nr. 4 DSGVO. DSFA bei systematischer Beobachtung Pflicht. Einwilligung oder berechtigtes Interesse als Rechtsgrundlage. KI-VO: meist kein Hochrisiko, aber Transparenzpflicht nach Art. 50 wenn Deepfakes oder synthetische Inhalte zum Einsatz kommen. Art. 4 Kompetenzpflicht für das Marketing-Team.
In allen drei Fällen sind beide Verordnungen einschlägig. In allen drei Fällen reicht es nicht, nur die DSGVO-Seite abzuarbeiten und die KI-Seite mitlaufen zu lassen.
Aufsichtsbehörden: Wer prüft was
Die Trennung der Zuständigkeiten ist klar, wenn man sie einmal kennt, aber für KMU regelmäßig verwirrend.
Für die DSGVO sind die Datenschutz-Aufsichtsbehörden der Länder zuständig. In Nordrhein-Westfalen ist das die LDI, in Bayern das BayLDA, in Baden-Württemberg der LfDI, in Berlin die BlnBDI. Jede Behörde hat eigene Zuständigkeitsregeln, meist nach Sitz des Unternehmens. Sie prüft DSFA, Verzeichnis, AVV, Meldungen nach Art. 33, Auskunftsrechte, Löschpflichten.
Für die KI-VO sind in Deutschland die Marktüberwachungsbehörden zuständig. Die Bundesnetzagentur (BNetzA) hat die zentrale Koordinationsfunktion seit 02.08.2025. Sektorale Behörden bleiben für ihre Bereiche zuständig: BaFin für Finanzdienstleistungen, BfArM für Medizinprodukte, KBA für Kraftfahrzeuge, Bundesnetzagentur für Telekommunikation und kritische Infrastruktur. Stand Mai 2026 ist das Setup operativ noch im Aufbau.
Das heißt in der Praxis: Bei einem Vorfall, der beide Regelwerke trifft, gibt es zwei Behördenkontakte. Bei einer Beschwerde eines Bewerbers, der eine fehlerhafte Recruiting-Entscheidung anficht, kann sowohl die Landesdatenschutzbehörde (DSGVO Art. 22) als auch die BNetzA (KI-VO Hochrisiko) zuständig sein. Wer welche Behörde wann informiert, sollte im Incident-Response-Plan stehen.
Die Bußgeldrahmen unterscheiden sich erheblich. Art. 83 DSGVO sieht bis 20 Mio Euro oder 4 Prozent des Jahresumsatzes vor. Art. 99 KI-VO geht bei verbotenen Praktiken (Art. 5) auf bis 35 Mio Euro oder 7 Prozent. Bei Verstößen gegen Art. 50 KI-VO sind es bis 15 Mio Euro oder 3 Prozent. Wer beide Verordnungen verletzt, kann beide Bußgelder kumulativ bekommen. Eine "Anrechnung" gibt es nicht.
Was sich integriert erfüllen lässt und was nicht
Hier ist Ehrlichkeit gefragt. Einige Pflichten lassen sich integriert dokumentieren, andere nicht. Wer das früh sortiert, spart spätere Doppelarbeit.
Integrierbar sind das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO und das KI-Inventar nach Art. 11/12 KI-VO. Ein gut strukturiertes KI-Inventar enthält die Verarbeitungsangaben, die die DSGVO sowieso fordert. Wer beides in eine Tabelle bringt, muss die Informationen nur einmal pflegen.
Integrierbar sind Transparenzhinweise. Eine Datenschutzerklärung kann die DSGVO-Information (Art. 13/14) und die KI-VO-Transparenz (Art. 50) gleichzeitig leisten, wenn die Inhalte sauber strukturiert sind. Es bleibt aber eine Frage der Darstellung: Der Nutzer muss beide Aspekte verstehen können, ohne dass eine Information die andere überlagert.
Integrierbar sind Schulungen. Eine KI-Compliance-Schulung kann gleichzeitig DSGVO-Schulungspflichten erfüllen, wenn sie Datenschutzaspekte mit abdeckt. Die Nachweise nach Art. 4 KI-VO und Art. 39 Abs. 1 lit. b DSGVO lassen sich in einem Trainingsregister bündeln.
Nicht integrierbar sind die Risikobewertungen. Eine DSFA und ein Risikomanagement nach Art. 9 KI-VO produzieren systematisch unterschiedliche Dokumente, weil sie unterschiedliche Risiken adressieren. Wer beides braucht, schreibt zwei Dokumente. Sie können sich aufeinander beziehen, aber sie ersetzen sich nicht.
Nicht integrierbar sind Meldungen an Behörden. Eine DSGVO-Meldung nach Art. 33 und eine KI-VO-Meldung nach Art. 73 gehen an verschiedene Adressaten, haben verschiedene Fristen und verschiedene Inhalte. Wer eine einreicht und die andere weglässt, hat eine Pflicht verletzt.
Nicht integrierbar sind die Folgenabschätzungen. Eine DSFA und eine FRIA (Fundamental Rights Impact Assessment nach Art. 27 KI-VO) überschneiden sich inhaltlich, aber die FRIA verlangt eine spezifischere Grundrechtsprüfung für Hochrisiko-KI mit Auswirkung auf natürliche Personen. Auch hier zwei Dokumente, die sich aufeinander beziehen können.
Praxis: Pleßner Personalmarketing in Köln
Eine fiktive Konstellation, die in der Beratung typisch ist. Pleßner Personalmarketing, eine Werbeagentur mit 38 Mitarbeitern in Köln, betreut für ihre Kunden Recruiting-Kampagnen und setzt seit 2025 ein KI-Tool ein, das Bewerber-Profile aus LinkedIn-Daten zu Zielgruppen verdichtet und gezielt Werbung ausspielt.
Das Tool verarbeitet personenbezogene Daten (Profile, Lebensläufe, Interaktionsdaten) und trifft automatisierte Klassifizierungen (Wahrscheinlichkeit, dass eine Person Recruiter-Mitteilungen anklickt). Aus DSGVO-Sicht: Profiling nach Art. 4 Nr. 4, automatisierte Entscheidung nach Art. 22 in Grenzfällen, DSFA-Pflicht wegen systematischer Beobachtung, AVV mit dem Tool-Anbieter, Informationspflicht in der Datenschutzerklärung der beworbenen Personen.
Aus KI-VO-Sicht: Das Tool selbst ist kein Hochrisiko-System nach Anhang III. Wenn Pleßner es aber im Recruiting nutzt und damit faktisch Bewerber-Vorauswahl steuert, kann eine Hochrisiko-Einstufung greifen (Anhang III Punkt 4). In jedem Fall greift Art. 50 KI-VO Transparenz für synthetische Werbebilder oder personalisierte Texte.
Die Geschäftsführerin hat im März 2026 entschieden, beide Pfade integriert anzugehen. Ein gemeinsames Inventar vereint DSGVO-Verzeichnis und KI-Inventar in einer Tabelle. DSFA im April abgeschlossen, FRIA-Prozess für 02.12.2027 vorbereitet, integrierte Compliance-Schulung für das Team läuft seit Mai mit Schwerpunkt auf Art. 4 KI-VO und DSGVO-Datenschutz. Die Schnittstelle zur KI-Kompetenzpflicht nach Art. 4 KI-VO ist dokumentiert.
Bemerkenswert ist nicht die Anzahl der Dokumente, sondern dass sie aufeinander verweisen. DSFA referenziert das Risikomanagement des Anbieters, Risikomanagement referenziert die DSFA für Datenschutzaspekte, Incident-Response deckt beide Meldepfade parallel. Aufwand der initialen Aufsetzung: rund 14 Personentage plus 8.500 Euro netto Beratung. Laufende Wartung: vier Personenstunden pro Monat.
Wo wir bei KMU regelmäßig die gleichen Fehler sehen
Wer das Thema unterschätzt, fällt in eine von drei typischen Fallen.
Die Datenschutz-only-Falle. Das Unternehmen hat einen externen DSB, der die DSGVO-Seite gut beherrscht, aber die KI-Spezifika nicht im Blick hat. Es entsteht eine saubere DSFA für die Datenverarbeitung, aber das Risikomanagement nach Art. 9 KI-VO fehlt. Bei einem Audit fällt das auf.
Die KI-only-Falle. Das Unternehmen liest die KI-VO, baut Risikomanagement und KI-Inventar und nimmt an, damit sei die DSGVO erledigt. Sie ist es nicht. AVV mit Tool-Anbieter, Informationspflichten nach Art. 13 DSGVO, Löschpflichten nach Art. 17 DSGVO bleiben offen.
Die Tool-Vertrauens-Falle. Das Unternehmen verlässt sich darauf, dass der Anbieter die Compliance gemacht hat. Das stimmt für Anbieter-Pflichten (technische Dokumentation, CE-Konformitätsbewertung) teilweise. Es stimmt aber nicht für Betreiber-Pflichten nach Art. 26 KI-VO und nicht für DSGVO-Pflichten des Verantwortlichen.
Die sauberste Lösung ist ein integriertes Compliance-Mapping mit klaren Verantwortlichkeiten. Wer trägt die DSGVO-Seite? Wer die KI-VO-Seite? In KMU unter 50 Mitarbeitern wandert beides oft in einer Person zusammen. Vorteil: keine Schnittstellenprobleme. Nachteil: Single Point of Failure bei Urlaub oder Krankheit.
Was du jetzt im Mai 2026 tun solltest
Die Trilog-Verschiebung hat den Druck reduziert, aber nicht weggenommen. Achtzehn Monate Vorlauf bis zum 02.12.2027. Art. 4 KI-VO gilt seit 02.02.2025, Art. 50 KI-VO startet am 02.08.2026, DSGVO greift ungerührt seit acht Jahren.
Ein realistischer Fahrplan für KMU.
Bis Juli 2026: KI-Inventar aufbauen oder vervollständigen.
Bis September 2026: Art. 4 Kompetenzpflicht erfüllen, nachweisbare Schulungen. Wer das noch nicht angegangen ist, war seit Februar 2025 in Verzug.
Bis November 2026: Art. 50 Transparenzpflicht umsetzen. Chatbot-Kennzeichnung, Deepfake-Hinweise.
Bis März 2027: DSFA für alle KI-Systeme, die personenbezogene Daten verarbeiten.
Bis Q3 2027: Risikomanagement nach Art. 9 KI-VO und FRIA nach Art. 27 für Hochrisiko-Systeme.
Wer diese Reihenfolge einhält, kommt entspannt durch. Wer im November 2027 alles auf einmal anfängt, läuft in den Notmodus. Im Q4 2027 wird der Beratermarkt eng werden.
Häufige Fragen
Reicht eine DSFA aus, oder brauche ich zusätzlich ein Risikomanagement nach Art. 9 KI-VO?
Sie ersetzen sich nicht. Eine DSFA nach Art. 35 DSGVO untersucht das Risiko für die Rechte natürlicher Personen aus der Datenverarbeitung. Das Risikomanagement nach Art. 9 KI-VO untersucht die Risiken des KI-Systems selbst, also Modell-Robustheit, Bias, Fehlerraten, menschliche Aufsicht. Bei Hochrisiko-KI nach Anhang III, die personenbezogene Daten verarbeitet, sind beide Pflicht. Sie können aufeinander verweisen, aber jedes Dokument hat einen eigenen Fokus und eigene Pflichtinhalte.
Welche Aufsichtsbehörde ist für KI-VO-Verstöße in Deutschland zuständig?
Die nationalen Marktüberwachungsbehörden. Die Bundesnetzagentur (BNetzA) hat seit 02.08.2025 die zentrale Koordinationsfunktion. Sektorale Behörden bleiben für ihre Bereiche zuständig: BaFin für Finanzdienstleistungen, BfArM für Medizinprodukte, KBA für Kraftfahrzeuge. Das unterscheidet sich von der DSGVO, für die die Landesdatenschutzbehörden zuständig sind. Bei einem Vorfall, der beide Regelwerke trifft, gibt es zwei Behördenkontakte mit unterschiedlichen Meldefristen und Inhalten.
Kann ich DSGVO-Verzeichnis und KI-Inventar in einer Tabelle führen?
Ja, das ist sogar empfehlenswert. Beide Anforderungen überschneiden sich in den Kernfeldern: Welches System, welche Daten, welcher Zweck, welcher Verantwortliche, welche Dauer. Ein KI-Inventar nach Art. 11/12 KI-VO geht über das DSGVO-Verzeichnis nach Art. 30 hinaus, indem es Risiko-Einstufung, Bias-Bewertung und Lebenszyklus-Informationen ergänzt. Wer das in einer integrierten Tabelle führt, hat beide Dokumentationspflichten gleichzeitig erfüllt und vermeidet, dass die Listen auseinanderlaufen.
Können sich Bußgelder aus DSGVO und KI-VO bei einem einzigen Vorfall addieren?
Ja. Es gibt keine gesetzliche Anrechnung. Wenn ein Vorfall beide Verordnungen verletzt, kann jede zuständige Behörde unabhängig ein Bußgeld verhängen. Der DSGVO-Rahmen liegt bei bis zu 20 Mio Euro oder 4 Prozent des weltweiten Jahresumsatzes (Art. 83), der KI-VO-Rahmen bei bis zu 35 Mio Euro oder 7 Prozent bei Verstößen gegen Art. 5 und bis zu 15 Mio Euro oder 3 Prozent bei Verstößen gegen Art. 50 (Art. 99). In der Praxis wird die jeweilige Behörde die Verhältnismäßigkeit prüfen, aber eine automatische Verrechnung gibt es nicht.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weißt, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 26. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.