AI Act Anwalt – KI und DSGVO im Unternehmen

AI Act und DSGVO im Unternehmen – Anwalt erklärt, warum KI-Compliance und Datenschutz parallel laufen, wo die größten Konflikte entstehen und wie Unternehmen personenbezogene Daten bei KI-Systemen rechtssicher verarbeiten.

Über den Autor

Max Hortmann ist Rechtsanwalt sowie Autor für juris, jurisPR-ITR und AZO.
Er publiziert regelmäßig zu Krypto-Betrug, digitaler Forensik, Bankhaftung und Plattformverantwortlichkeit.

In seiner anwaltlichen Praxis vertritt er Mandanten, die Opfer komplexer Online-Betrugsstrukturen geworden sind – insbesondere bei Fake-Broker-Systemen, Wallet-Angriffen und international verschleierten Geldflüssen.

Er trat unter anderem als Experte in BR24, Business Insider und WirtschaftsWoche auf und arbeitet derzeit an einem juristischen Handbuch zum Cybercrime-Recht.

LinkedIn-Profil

‍Weitere Einblicke in aktuelle Fälle, rechtliche Entwicklungen und forensische Analysen im Bereich Krypto-Betrug finden Sie auf meinem LinkedIn-Profil.

Einleitung: Warum AI Act und DSGVO nicht getrennt gedacht werden dürfen

Viele Unternehmen versuchen, regulatorische Komplexität zu reduzieren, indem sie Themen sauber voneinander trennen. Beim Einsatz künstlicher Intelligenz funktioniert genau das regelmäßig nicht. Denn sobald ein KI-System personenbezogene Daten verarbeitet, laufen AI Act und DSGVO nebeneinander. Für die Praxis bedeutet das: Wer KI einführt, muss nicht nur die KI-rechtliche Einordnung beherrschen, sondern zugleich die datenschutzrechtliche Tragfähigkeit des gesamten Einsatzes sicherstellen.

Gerade dieser Parallelismus ist in Unternehmen häufig die eigentliche Belastung. Der AI Act fragt nach Systemqualität, Risikoklasse, Transparenz, Aufsicht und Dokumentation. Die DSGVO fragt nach Rechtsgrundlagen, Verantwortlichkeit, Datenminimierung, Informationspflichten, Sicherheit, Betroffenenrechten und den Grenzen automatisierter Entscheidungen. Beide Regelwerke haben unterschiedliche Schwerpunkte, greifen aber in dieselben technischen und organisatorischen Prozesse hinein.

In der Praxis führt das zu typischen Fehlannahmen. Manche Unternehmen glauben, ihre bestehende Datenschutzstruktur genüge bereits, um auch die KI-regulatorische Seite abzudecken. Andere konzentrieren sich auf die AI-Act-Einstufung und behandeln Datenschutz nur als flankierende Randfrage. Beides ist unzureichend. Die tatsächliche Herausforderung liegt darin, beide Ebenen so zusammenzuführen, dass KI-Nutzung nicht nur technisch sinnvoll, sondern auch regulatorisch kohärent ist.

Wenn Sie KI-Systeme im Unternehmen einsetzen und prüfen lassen möchten, ob Ihr Setup datenschutzrechtlich und AI-Act-seitig tragfähig ist, erreichen Sie mich direkt unter 0160 9955 5525 oder über das Kontaktformular: hortmannlaw.com/contact

Der Grundkonflikt: KI lebt von Daten, Datenschutz begrenzt ihre Nutzung

Künstliche Intelligenz ist in der Praxis regelmäßig datengetrieben. Genau darin liegt ihr Nutzen – und zugleich ihr rechtliches Risiko. Je mehr Daten ein System auswertet, desto leistungsfähiger können Vorhersagen, Bewertungen, Sortierungen oder Empfehlungen werden. Datenschutzrechtlich ist genau diese Logik aber hochsensibel. Denn die DSGVO erlaubt die Verarbeitung personenbezogener Daten nicht schon deshalb, weil ein System dadurch besser funktioniert.

Unternehmen müssen deshalb zunächst sauber klären, ob und in welchem Umfang personenbezogene Daten betroffen sind. Diese Frage wird häufig unterschätzt. Es geht nicht nur um offensichtliche Stammdaten oder Kundendaten. Auch Trainingsdaten, Inputdaten, Nutzungsdaten, Logdaten, Kommunikationsinhalte, Identifikatoren oder Zuordnungen können personenbezogen sein. Gerade bei KI-Systemen ist die Reichweite des Personenbezugs oft größer, als intern angenommen wird.

Die praktische Schwierigkeit beginnt damit bereits vor der eigentlichen Nutzung. Unternehmen müssen verstehen, welche Daten in das System hineinfließen, welche Daten während der Nutzung entstehen, welche Daten gespeichert, protokolliert oder weiterverarbeitet werden und wie diese Daten später einzelnen Personen zugeordnet werden können. Ohne diese Datenlandkarte ist weder eine datenschutzrechtliche Bewertung noch eine belastbare KI-Governance möglich.

Die erste datenschutzrechtliche Kernfrage: Auf welcher Rechtsgrundlage wird überhaupt verarbeitet?

Sobald personenbezogene Daten betroffen sind, stellt sich die zentrale Frage nach der Rechtsgrundlage. Genau hier zeigen sich in der Praxis oft erhebliche Schwächen. Unternehmen verlassen sich nicht selten auf allgemeine Zweckmäßigkeitsüberlegungen. Datenschutzrechtlich genügt das nicht. Jede Verarbeitung personenbezogener Daten braucht eine tragfähige Rechtsgrundlage.

Je nach Einsatzszenario kommen unterschiedliche Grundlagen in Betracht. In Betracht kommen insbesondere Vertragserfüllung, rechtliche Verpflichtung, Einwilligung oder berechtigte Interessen. Gerade bei KI-Systemen wird oft vorschnell auf berechtigte Interessen verwiesen. Das kann im Einzelfall tragfähig sein, ist aber keineswegs automatisch der einfachste oder sicherste Weg. Denn gerade im KI-Kontext muss besonders genau geprüft werden, ob die konkrete Verarbeitung erforderlich ist und ob die Interessen oder Grundrechte der betroffenen Personen nicht überwiegen.

In der Praxis bedeutet das: Unternehmen dürfen nicht erst das System einführen und anschließend überlegen, wie sich der Datenumgang rechtfertigen lässt. Die Rechtsgrundlagenprüfung muss der Nutzung vorausgehen. Sie muss zudem systembezogen erfolgen. Es reicht nicht, abstrakt auf ein allgemeines Unternehmensinteresse zu verweisen, wenn das System in Wirklichkeit weitreichende Profilierungs-, Bewertungs- oder Vorhersagefunktionen entfaltet.

Verantwortlichkeit: Wer ist datenschutzrechtlich eigentlich zuständig?

Ein weiteres Kernproblem entsteht bei der Frage, wer für die Datenverarbeitung rechtlich verantwortlich ist. Gerade cloudbasierte KI-Systeme, SaaS-Lösungen, Plattformmodelle oder integrierte Anbieterstrukturen führen dazu, dass Unternehmen die datenschutzrechtliche Rolle häufig zu ungenau bestimmen.

In der Praxis ist entscheidend, wer über Zwecke und Mittel der Verarbeitung entscheidet. Genau diese Entscheidung ist bei KI-Systemen oft verteilt oder zumindest faktisch miteinander verflochten. Der Anbieter stellt die technische Umgebung, das Modell und die Systemarchitektur. Das nutzende Unternehmen bestimmt Anwendungszweck, Input, betroffene Personengruppen und tatsächliche Einsatzsituation. Daraus können komplexe Verantwortungsstrukturen entstehen, die sich nicht mit Standardklauseln sauber abräumen lassen.

Die praktische Folge ist erheblich. Solange nicht klar ist, wer in welcher Rolle handelt, bleiben Informationspflichten, Auskunftsrechte, Löschungsfragen, Sicherheitsanforderungen und Haftungsrisiken unscharf. Genau an dieser Stelle entstehen später oft Konflikte mit Betroffenen, Datenschutzaufsicht oder internen Prüfstellen.

Für Unternehmen heißt das: Die Rollenverteilung darf nicht nur vertraglich beschrieben, sondern muss tatsächlich gelebt und technisch nachvollziehbar sein. Wer das nicht sauber prüft, erzeugt eine Governance-Lücke, die im Ernstfall kaum noch belastbar geschlossen werden kann.

Transparenz und Informationspflichten: KI darf kein Black-Box-Projekt bleiben

Ein häufig unterschätzter Punkt ist die Transparenz. Der AI Act verlangt in bestimmten Konstellationen Transparenz über die Nutzung von KI. Die DSGVO verlangt Transparenz über die Verarbeitung personenbezogener Daten. Beide Ebenen greifen ineinander, aber nicht deckungsgleich.

Für Unternehmen ist das deshalb anspruchsvoll, weil Transparenz nicht nur bedeutet, irgendwo eine allgemeine Datenschutzerklärung oder eine Toolbeschreibung zu hinterlegen. Entscheidend ist, ob die betroffene Person nachvollziehen kann, was mit ihren Daten geschieht, zu welchem Zweck ein System eingesetzt wird und welche Bedeutung die Systemlogik für sie hat. Gerade bei komplexen KI-Systemen ist das keine triviale Aufgabe.

Je näher ein System an Bewertungen, Prognosen oder Entscheidungen über Personen heranrückt, desto höher sind die Anforderungen an verständliche Information. Unternehmen müssen dann nicht nur offenlegen, dass Daten verarbeitet werden, sondern oft auch den Einsatzkontext und die Funktionslogik in einer Weise aufbereiten, die für Betroffene nachvollziehbar ist. Das ist praktisch schwierig, weil technische Modelle häufig nicht in einfache Sprache überführt werden, ohne an Präzision zu verlieren.

Die Lösung liegt nicht in maximaler Abstraktion, sondern in adressatengerechter Konkretisierung. Unternehmen brauchen Transparenzkonzepte, die technische Realität, rechtliche Anforderungen und tatsächliche Betroffenheit sinnvoll zusammenführen.

‍

‍

Automatisierte Entscheidungen: Der neuralgische Punkt vieler KI-Systeme

Besonders heikel wird der Einsatz von KI dort, wo Systeme nicht nur Informationen verarbeiten, sondern Entscheidungen über Personen vorbereiten oder maßgeblich beeinflussen. Hier trifft die KI-Praxis häufig auf die Grenzen des Datenschutzrechts. Gerade automatisierte oder entscheidungsnahe Verarbeitungen sind datenschutzrechtlich besonders sensibel.

In der Unternehmenspraxis wird diese Problematik oft unterschätzt, weil man formell noch einen Menschen im Prozess belässt. Datenschutzrechtlich kann das trotzdem problematisch sein, wenn die menschliche Beteiligung nur schematisch erfolgt und der Systemoutput faktisch die Entscheidung vorgibt. Maßgeblich ist nicht die formale Prozessbeschreibung, sondern die tatsächliche Rolle des Systems.

Besonders konfliktträchtig sind Konstellationen im Personalbereich, im Finanzbereich, bei Score- oder Ranking-Systemen sowie überall dort, wo der Systemoutput für Zugang, Auswahl, Priorisierung oder Bewertung einer Person erheblich wird. Unternehmen müssen sich hier sehr genau fragen, ob sie noch mit echter menschlicher Entscheidung arbeiten oder ob sie faktisch ein automatisiertes Bewertungssystem betreiben, das lediglich pro forma kontrolliert wird.

Die rechtliche Sensibilität entsteht gerade daraus, dass KI-Systeme eine objektive oder neutrale Aura erzeugen können. In der Realität hängt ihre Aussagekraft aber an Datenbasis, Modellentwicklung, Parametrisierung und Einsatzkontext. Wer solche Systeme ohne saubere datenschutzrechtliche Einordnung einsetzt, schafft nicht nur ein Datenschutzproblem, sondern oft auch ein arbeitsrechtliches, haftungsrechtliches und reputationsbezogenes Risiko.

Datensicherheit und technische Schutzmaßnahmen: KI schafft neue Angriffsflächen

Neben Rechtsgrundlagen, Transparenz und Verantwortlichkeit verschärft KI auch die Anforderungen an Datensicherheit. Das wird im Unternehmen oft erst dann erkannt, wenn externe Systeme, große Datenmengen oder sensible interne Informationen betroffen sind.

KI-Systeme verarbeiten regelmäßig erhebliche Datenvolumina, arbeiten mit Schnittstellen, protokollieren Nutzungen und können auf cloudbasierte Infrastrukturen angewiesen sein. Das vergrößert die Angriffsfläche. Hinzu kommen neue Missbrauchs- und Manipulationsrisiken. Unternehmen müssen daher nicht nur klassische Sicherheitsmaßnahmen umsetzen, sondern ihre Schutzkonzepte ausdrücklich auf KI-bezogene Nutzungsszenarien ausrichten.

Gerade dann, wenn personenbezogene Daten in externe Systeme eingegeben, zu Trainings- oder Optimierungszwecken verwendet oder mit anderen Datenbeständen verknüpft werden, steigen die Anforderungen an Zugriffskontrolle, Protokollierung, Segmentierung, Update-Management und interne Freigabestrukturen. Wer hier mit Standard-IT-Sicherheit arbeitet, verfehlt häufig die tatsächliche Risikolage.

Datenschutzrechtlich ist das deshalb relevant, weil Sicherheit nicht nur eine technische Nebensache ist. Sie ist Teil der Rechtmäßigkeit der Verarbeitung. Ein Unternehmen, das KI einsetzt, ohne seine Sicherheitsstruktur an die besonderen Risiken dieser Systeme anzupassen, baut keine tragfähige Compliance auf, sondern nur eine formal unvollständige.

Warum AI Act und DSGVO organisatorisch gemeinsam gesteuert werden müssen

Der größte Praxisfehler liegt oft nicht in einzelnen Rechtsfragen, sondern in der internen Trennung der Zuständigkeiten. KI-Projekte laufen über IT, Fachbereich oder Produktmanagement. Datenschutz prüft punktuell. Compliance kommt später hinzu. Genau diese Zersplitterung führt dazu, dass weder AI Act noch DSGVO vollständig in die Systemeinführung integriert werden.

Tatsächlich brauchen Unternehmen eine gemeinsame Steuerung. KI-rechtliche Einordnung, Datenprüfung, Rollenverteilung, Transparenz, Freigabe und Sicherheitskonzept müssen in einem einzigen Governance-Prozess zusammengeführt werden. Es genügt nicht, wenn jede Abteilung ihren Teil isoliert bearbeitet. Denn die Risiken entstehen gerade an den Schnittstellen.

Für die Praxis bedeutet das: Unternehmen sollten KI-Projekte nicht wie gewöhnliche Softwareeinführungen behandeln. Sie brauchen einen strukturierten Prüfpfad, in dem technische Beschreibung, AI-Act-Einordnung, Datenschutzprüfung, Verantwortlichkeitsanalyse und Dokumentation von Beginn an verzahnt werden. Nur so lässt sich vermeiden, dass das Unternehmen später an einer Stelle compliant erscheint und an einer anderen strukturell angreifbar bleibt.

‍

‍

Warum Mandanten mich mit AI-Act- und DSGVO-Fragen zu KI-Systemen beauftragen

Unternehmen brauchen bei KI-Systemen nicht nur Datenschutzprüfung und nicht nur AI-Act-Einordnung. Sie brauchen vor allem eine belastbare Verbindung beider Ebenen. Genau dort liegt der anwaltliche Mehrwert.

Ich prüfe KI-Systeme nicht isoliert nach einzelnen Normen, sondern in ihrer tatsächlichen regulatorischen Gesamtlage. Maßgeblich ist nicht nur, ob ein System als KI einzuordnen ist oder ob personenbezogene Daten verarbeitet werden. Entscheidend ist, wie beides im konkreten Prozess ineinandergreift und welche organisatorischen Konsequenzen daraus für Freigabe, Dokumentation, Transparenz und Verantwortlichkeit folgen.

Gerade in Unternehmen mit mehreren Fachbereichen, cloudbasierten Tools, datenintensiven Prozessen oder sensiblen Bewertungssystemen zeigt sich schnell, dass Datenschutz und KI-Regulierung nur gemeinsam beherrscht werden können. Viele Mandate beginnen genau an der Stelle, an der interne Teams merken, dass Einzelprüfungen nicht genügen und eine integrierte rechtliche Struktur erforderlich wird.

Was Unternehmen jetzt konkret tun sollten

Unternehmen sollten alle KI-Systeme identifizieren, bei denen personenbezogene Daten verarbeitet werden oder verarbeitet werden können. Für diese Systeme ist sodann nicht nur die AI-Act-Relevanz, sondern parallel die datenschutzrechtliche Tragfähigkeit zu prüfen.

Besonders wichtig ist eine belastbare Datenlandkarte. Es muss klar sein, welche Daten einfließen, welche Daten entstehen, welche Daten gespeichert oder protokolliert werden und wie die Rollen zwischen Unternehmen und Anbieter tatsächlich verteilt sind. Darauf aufbauend müssen Rechtsgrundlagen, Transparenzanforderungen, Sicherheitskonzept und etwaige entscheidungsnahe Einsatzformen sauber bewertet werden.

Gerade bei sensiblen Systemen empfiehlt sich ein gemeinsamer Prüfprozess von Legal, Datenschutz, Compliance, IT und Fachbereich. Wer diese Prüfung frühzeitig bündelt, reduziert spätere Konflikte erheblich.

Wenn Sie ein konkretes KI-System datenschutzrechtlich und AI-Act-seitig prüfen lassen möchten, können Sie mich direkt kontaktieren: 0160 9955 5525 oder über hortmannlaw.com/contact

Großes FAQ: AI Act und DSGVO bei KI-Systemen im Unternehmen

Gelten AI Act und DSGVO gleichzeitig?
Ja. Sobald ein KI-System personenbezogene Daten verarbeitet, laufen beide Regime parallel. Der AI Act ersetzt die DSGVO nicht und die DSGVO ersetzt auch nicht die KI-rechtliche Prüfung.

Reicht bestehende DSGVO-Compliance aus, um auch den AI Act abzudecken?
Nein. Datenschutzprozesse sind wichtig, erfassen aber nicht automatisch Risikoklassifizierung, Hochrisiko-Prüfung, Betreiberpflichten oder AI-Act-spezifische Dokumentation.

Wann werden bei KI-Systemen personenbezogene Daten relevant?
Oft früher als erwartet. Betroffen sein können nicht nur Stammdaten, sondern auch Trainingsdaten, Inputdaten, Logdaten, Nutzungsdaten oder sonstige identifizierbare Informationen.

Welche Rechtsgrundlage brauchen Unternehmen für KI-gestützte Datenverarbeitung?
Das hängt vom Einzelfall ab. Möglich sind etwa Vertragserfüllung, Einwilligung, rechtliche Verpflichtung oder berechtigte Interessen. Eine pauschale Standardlösung gibt es nicht.

Warum ist Verantwortlichkeit bei cloudbasierten KI-Systemen so schwierig?
Weil Anbieter und nutzendes Unternehmen häufig unterschiedliche Teile der Verarbeitung prägen. Daraus können komplexe datenschutzrechtliche Rollenverteilungen entstehen.

Was ist bei Transparenz besonders wichtig?
Betroffene Personen müssen nachvollziehen können, dass und wie ihre Daten im Zusammenhang mit KI verarbeitet werden. Je entscheidungsnäher das System ist, desto höher sind die Anforderungen.

Wann werden automatisierte Entscheidungen zum Problem?
Besonders dort, wo KI-Systeme Personen bewerten, sortieren, priorisieren oder den Ausschlag für wesentliche Entscheidungen geben. Eine bloß formale menschliche Beteiligung genügt nicht immer.

Welche Sicherheitsanforderungen sind bei KI-Systemen relevant?
Unternehmen müssen Datensicherheit ausdrücklich auf KI-bezogene Risiken ausrichten. Dazu gehören Zugriffskontrollen, Protokollierung, Schutz sensibler Daten und sichere Einbindung externer Systeme.

Sollten Datenschutz und KI-Governance intern getrennt organisiert werden?
Nein. Praktisch tragfähig ist regelmäßig nur eine verzahnte Steuerung, in der technische, datenschutzrechtliche und AI-Act-bezogene Prüfungen zusammenlaufen.

Wann sollte ein Anwalt eingeschaltet werden?
Möglichst früh – insbesondere vor breiter Einführung, bei sensiblen Daten oder bei Systemen mit Bewertungs-, Prognose- oder Entscheidungskomponenten.

Fazit: Wer KI mit personenbezogenen Daten nutzt, braucht doppelte Regulierungskompetenz

Die praktische Herausforderung beim KI-Einsatz im Unternehmen liegt nicht nur in der AI-Act-Einordnung und nicht nur im Datenschutz. Schwieriger ist die Verbindung beider Ebenen. Genau dort entstehen in der Praxis die meisten Schwächen.

Wer KI mit personenbezogenen Daten einsetzt, muss Rechtsgrundlagen, Verantwortlichkeiten, Transparenz, Sicherheit und Betroffenenrechte ebenso beherrschen wie Risikoklassifizierung, Betreiberpflichten und AI-Act-Governance. Diese Doppelstruktur ist kein theoretisches Problem, sondern der eigentliche Maßstab rechtssicherer Nutzung.

Wenn Sie prüfen möchten, ob Ihr KI-Setup im Unternehmen sowohl AI-Act-seitig als auch datenschutzrechtlich tragfähig ist, können Sie mich direkt kontaktieren – telefonisch unter 0160 9955 5525 oder über hortmannlaw.com/contact.

AI Act & KI-Recht – Leitfäden im Überblick

Die folgenden Beiträge bilden eine geschlossene Struktur zum AI Act – von der Einordnung einzelner KI-Systeme über Hochrisiko-Klassifizierung und Datenschutz bis hin zu Haftung, Bußgeldern und spezifischen Fragestellungen im Bereich Krypto-Betrug und KI-gestützter Täuschung.

1. Grundlagen der AI-Act-Umsetzung

AI Act Anwalt: KI im Unternehmen rechtssicher umsetzen
https://www.hortmannlaw.com/articles/ai-act-anwalt-unternehmen-ki-umsetzung-probleme
Ein Überblick über die praktischen Umsetzungsprobleme des AI Act im Unternehmen: Governance, Dokumentation, Zuständigkeiten und organisatorische Anforderungen.

AI Act Anwalt: Wann ist KI überhaupt reguliert?
https://www.hortmannlaw.com/articles/ai-act-anwalt-wann-ist-ki-reguliert
Die zentrale Vorfrage: Wann fällt eine Softwarelösung unter den AI Act – und wann nicht? Maßgeblich für alle weiteren Pflichten.

2. Hochrisiko-KI und regulatorische Anforderungen

AI Act Anwalt: Hochrisiko-KI im Unternehmen richtig einstufen
https://www.hortmannlaw.com/articles/ai-act-anwalt-hochrisiko-ki-unternehmen
Die Einordnung als Hochrisiko-KI entscheidet über den gesamten Compliance-Aufwand. Darstellung der maßgeblichen Kriterien und Folgen.

AI Act Anwalt: Haftung, Bußgeld und KI-Governance
https://www.hortmannlaw.com/articles/ai-act-anwalt-haftung-bussgeld-ki-governance
Haftungsrisiken, Organisationspflichten und Bußgeldrahmen. Warum KI-Governance zwingend auf Leitungsebene verankert werden muss.

3. Krypto-Betrug, Love Scam und KI

AI Act Anwalt: Einfluss auf Krypto Betrug, Love Scam und Romance Scam
https://www.hortmannlaw.com/articles/ai-act-anwalt-krypto-betrug-love-scam-romance-scam
Einordnung des AI Act im Kontext klassischer Betrugsdelikte. Der Einfluss ist mittelbar, aber strukturell relevant.

AI Act Anwalt: Manipulative KI bei Krypto Betrug und Love Scam
https://www.hortmannlaw.com/articles/ai-act-anwalt-manipulative-ki-krypto-betrug-love-scam-deepfakes
Deepfakes, automatisierte Kommunikation und gezielte Täuschung: Wann KI-gestützte Manipulation unter den AI Act fällt.

AI Act Anwalt: Krypto Betrug, Finanz-Compliance und Hochrisiko-KI
https://www.hortmannlaw.com/articles/ai-act-anwalt-krypto-betrug-finanz-compliance-hochrisiko-ki
Bedeutung des AI Act für Banken, Finanzinstitute und Krypto-nahe Systeme: Monitoring, Betrugsprävention und regulatorische Pflichten.

‍