KI-Verordnung und BDSG: wie die zwei Regime ineinandergreifen

Wer in Deutschland 2026 ein KI-System einsetzt, navigiert zwei Regime gleichzeitig: die EU-KI-Verordnung (AI Act, Verordnung (EU) 2024/1689) und das Datenschutzrecht aus DSGVO und Bundesdatenschutzgesetz (BDSG-neu von 2018, geaendert 2021 und 2023). Die beiden Regime haben unterschiedliche Schutzgueter, unterschiedliche Aufsichtsstrukturen und unterschiedliche Strafrahmen — und sie greifen an konkreten Stellen ineinander, ohne sich zu ersetzen.

Dieser Artikel beschreibt die Architektur des Zusammenspiels, mit Schwerpunkt auf den Stellen, an denen deutsche Unternehmen 2026 strittige Entscheidungen treffen muessen: bei KI im Beschaeftigtenkontext, bei automatisierten Entscheidungen, bei Trainingsdaten und beim Recht auf Loeschung in trainierten Modellen.

AI Act + ISO 42001 + BDSG-by-design Knowlee implementiert beide Regime parallel: Audit-Trail-by-default, Risiko-Metadaten und Human-in-the-Loop fuer den AI Act; Datenkategorisierung, Loeschkonzepte und DSGVO/BDSG-konformes Logging fuer das Datenschutzrecht. Operativ statt nachtraeglich.

1. Zwei Regime, zwei Schutzgueter

DSGVO + BDSG schuetzen das Grundrecht auf informationelle Selbstbestimmung. Sie regeln, unter welchen Bedingungen personenbezogene Daten verarbeitet werden duerfen, welche Rechte die betroffene Person hat und welche Pflichten den Verantwortlichen treffen. Aufsicht: Bundesbeauftragter fuer den Datenschutz und die Informationsfreiheit (BfDI) und die 16 Landesdatenschutzbeauftragten, koordiniert in der Datenschutzkonferenz (DSK).

AI Act schuetzt Grundrechte, Sicherheit und Werte der Union, indem er Anforderungen an die Entwicklung, das Inverkehrbringen und den Einsatz von KI-Systemen formuliert. Aufsicht: das EU AI Office plus nationale Marktaufsichtsbehoerden (in Deutschland Stand April 2026 nicht abschliessend gesetzlich festgelegt — die Bundesnetzagentur ist als zentrale Stelle im Gespraech).

Die Schutzgueter ueberlappen sich, sind aber nicht identisch. Ein KI-System kann AI-Act-konform sein und trotzdem Datenschutz verletzen. Ein KI-System kann datenschutzrechtlich einwandfrei sein und trotzdem AI-Act-Pflichten verletzen — etwa wenn die Transparenzpflichten aus Artikel 50 nicht erfuellt sind.

2. Wo die Regime sich ueberlappen

Vier Bereiche sind die haerteste Doppelregulierung:

Automatisierte Einzelentscheidungen. Artikel 22 DSGVO verbietet vollautomatisierte Entscheidungen mit erheblicher Auswirkung auf die betroffene Person, mit eng gefassten Ausnahmen. AI Act Annex III listet eine Reihe solcher Anwendungsfelder als Hochrisiko-Systeme. Wer ein KI-System fuer Bonitaetspruefung, Personalauswahl, Versicherungs-Pricing einsetzt, faellt in beide Regime. Die DSK hat in Beschluessen 2024 und 2025 wiederholt klargestellt, dass Artikel 22 DSGVO nicht durch eine AI-Act-Konformitaet ueberlagert wird.

Personenbezogene Trainingsdaten. Artikel 10 AI Act regelt Daten-Governance fuer Hochrisiko-Systeme — Repraesentativitaet, Bias-Pruefung, Daten-Lineage. DSGVO regelt parallel die Rechtmaessigkeit der Verarbeitung. Wer also fuer ein Hochrisiko-System personenbezogene Trainingsdaten nutzt, muss beide Tests bestehen: Eignung der Daten (AI Act) und Rechtmaessigkeit der Verarbeitung (DSGVO).

Transparenz. Artikel 13 DSGVO und Artikel 50 AI Act ueberschneiden sich teilweise. Die Informationspflicht aus DSGVO bleibt bestehen, der AI Act ergaenzt sie um die Pflicht, KI-Interaktion erkennbar zu machen (Chatbots, Deepfakes, biometrische Kategorisierung).

Datenschutz-Folgenabschaetzung (DSFA) und KI-Risiko-Bewertung. Artikel 35 DSGVO verlangt DSFA bei hohem Risiko fuer Rechte und Freiheiten. AI Act verlangt fuer Deployer von Hochrisiko-Systemen eine Grundrechte-Folgenabschaetzung (Artikel 27). Beide Verfahren ueberlappen sich substantiell, sie sind aber nicht identisch — die DSK empfiehlt in ihren Auslegungshilfen 2025 eine integrierte Bewertungsmethodik.

3. Paragraf 26 BDSG und KI im Beschaeftigtenkontext

Eine der haertesten Schnittstellen liegt im Beschaeftigtendatenschutz. Paragraf 26 BDSG regelt die Datenverarbeitung fuer Zwecke des Beschaeftigungsverhaeltnisses. Wer KI-gestuetzte Bewerberbewertung, Performance-Analyse, Krankheitsprognose oder Verhaltens-Monitoring einsetzt, muss zusaetzlich zur DSGVO-Rechtsgrundlage die Spezialvorschrift in Paragraf 26 BDSG beruecksichtigen.

Die DSK hat in Beschluessen 2024 und 2025 mehrfach Position bezogen: KI-Systeme zur Beschaeftigtenbewertung sind regelmaessig hochrisiko, Paragraf 26 BDSG erfordert eine konkrete Erforderlichkeits-Pruefung pro Use-Case, eine Pauschal-Einwilligung der Beschaeftigten ist regelmaessig nicht wirksam (Freiwilligkeit fraglich), und die Mitbestimmung des Betriebsrats nach Paragrafen 87 und 95 Betriebsverfassungsgesetz ist nicht verzichtbar.

Praktisch heisst das: ein deutsches Mittelstandsunternehmen, das eine KI-gestuetzte Bewerber-Vorauswahl einsetzt, muss

  • die DSGVO-Rechtsgrundlage klar formulieren (typisch Artikel 6 Absatz 1 lit b oder f, mit Pruefung der Interessenabwaegung),
  • Paragraf 26 BDSG-Erforderlichkeits-Pruefung dokumentieren,
  • den Betriebsrat in den Use-Case einbinden, oft mit Betriebsvereinbarung,
  • die AI-Act-Hochrisiko-Pflichten erfuellen (Annex III Nr. 4),
  • die Grundrechte-Folgenabschaetzung nach Artikel 27 AI Act durchfuehren,
  • die DSFA nach Artikel 35 DSGVO durchfuehren oder integriert mit der Grundrechte-Folgenabschaetzung,
  • Auswirkungen auf die betroffenen Bewerberinnen und Bewerber transparent kommunizieren.

Diese Liste ist kein Beratervorschlag, sondern die operative Realitaet. Wer eine ISO-42001-Zertifizierung anstrebt und KI im HR-Kontext einsetzt, wird in Stufe 2 genau hier geprueft.

4. Die BfDI-Position 2024-2026

Der Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit hat sich seit der Verabschiedung des AI Acts mehrfach zur Doppelregulierung geaeussert. Die Kernpositionen:

  • Die DSGVO bleibt fuer KI-Systeme in vollem Umfang anwendbar; der AI Act ergaenzt, ersetzt aber nicht.
  • Bei Hochrisiko-Systemen mit personenbezogenen Daten ist eine integrierte Bewertung (DSFA + Grundrechte-Folgenabschaetzung) sinnvoll.
  • Die nationale Aufsichtsstruktur fuer den AI Act muss die Kompetenzen der Datenschutzaufsichtsbehoerden respektieren — Doppelzustaendigkeiten sollen vermieden werden, ohne dass eine der beiden Aufsichten geschwaecht wird.
  • Trainingsdaten-Verarbeitung durch grosse KI-Modelle (insbesondere foundation models) ist ein eigenstaendiges Pruefthema. Hier hat sich die internationale Linie der Datenschutzaufsichten deutlich verschaerft.

Praktische Konsequenz fuer 2026: Unternehmen sollten ihre Datenschutz-Beauftragten und ihre AI-Compliance-Verantwortlichen organisatorisch eng verzahnen. Eine getrennte Behandlung produziert Reibung im Audit und im Aufsichtsdialog.

5. AI Act in der Praxis: was zwischen den Regimen liegt

Drei Themen sind 2026 in der deutschen Pruefpraxis besonders strittig:

Recht auf Loeschung in trainierten Modellen. Artikel 17 DSGVO gibt der betroffenen Person ein Recht auf Loeschung. Bei einem KI-Modell, das mit personenbezogenen Daten trainiert wurde, ist die Loeschung technisch nicht trivial — Modellgewichte enthalten oft Spuren der Trainingsdaten, die sich nicht selektiv "loeschen" lassen. 2026 ist die Pruefpraxis hier noch im Fluss; der AI Act adressiert das Problem nicht direkt. Unternehmen brauchen ein dokumentiertes Konzept, das pragmatisch ist und das die Aufsicht bei Pruefungen akzeptiert (typisch: Loeschung der Quelldaten + Re-Training-Plaene + Sperrung der Output-Generierung fuer betroffene Identitaeten).

Web-scraping fuer Trainingszwecke. Foundation-Model-Anbieter scrapen das Web fuer Trainingsdaten. Die DSK hat in einer Stellungnahme 2024 die Rechtmaessigkeit unter Artikel 6 Absatz 1 lit f DSGVO sehr eng ausgelegt; eine Berufung auf "berechtigtes Interesse" wird mit deutlicher Skepsis geprueft. Fuer Mittelstaendler, die Foundation-Modelle einsetzen, heisst das: Fragen der Trainingsdaten-Rechtmaessigkeit muessen vom Anbieter beantwortet sein und vertraglich abgesichert.

Profiling fuer dynamische Preisgestaltung. Wenn ein Unternehmen Preise fuer Endkunden mittels KI individualisiert, kollidieren Artikel 22 DSGVO, Diskriminierungsverbote und ggf. AI Act Anforderungen. Die DSK ist 2025 mit klaren Schranken aufgetreten.

6. ISO 42001 in der Praxis: das Bindeglied zwischen den Regimen

ISO/IEC 42001 ist nicht datenschutzrechtlich entlastend — sie ersetzt keine DSGVO-Konformitaet. Sie ist aber das Managementsystem, das beide Regime im Unternehmen organisatorisch zusammenfuehrt. Eine 42001-Implementierung, die diese Funktion ernst nimmt, sieht praktisch so aus:

  • Das KI-Use-Case-Register enthaelt fuer jeden Use-Case die DSGVO-Rechtsgrundlage, die Paragraf 26 BDSG-Pruefung (sofern Beschaeftigtenkontext), die AI-Act-Risikoklasse und die durchgefuehrten Folgenabschaetzungen.
  • Das Risikomanagement-Verfahren bewertet KI-Risiken und Datenschutz-Risiken integriert.
  • Der Steuerkreis vereint Datenschutzbeauftragte, Compliance, IT und KI-Verantwortliche; eine Konsens-Methodik regelt strittige Bewertungen.
  • Die operative Plattform liefert Audit-Trail-Daten, die beiden Regimen gleichzeitig dienen — Datenkategorien, Risiko-Level, menschliche Aufsicht, Approval-Spuren.

Knowlee ist genau auf dieses doppelte Anforderungsprofil ausgelegt: jeder Job traegt data_categories, risk_level, human_oversight_required, approved_by, approved_at. Das eine Feldset bedient beide Regime ohne Doppelarbeit.

Vertiefung: ISO 42001-Zertifizierung in Deutschland: DAkkS, Zertifizierer, Pfad 2026 und ISO 42001 fuer den Mittelstand: realistische Kosten und 18-Monats-Pfad.

7. Strafrahmen: warum es ernst ist

Der AI Act sieht fuer Verstoesse gegen Artikel 5 (verbotene Praktiken) Bussgelder bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes vor. Verstoesse gegen die Pflichten fuer Hochrisiko-Systeme: bis zu 15 Millionen Euro oder 3 Prozent. DSGVO sieht parallel bis zu 20 Millionen Euro oder 4 Prozent vor. Die Strafrahmen kumulieren sich nicht im juristischen Sinne, aber das Aufsichtsrisiko addiert sich — ein Vorfall kann gleichzeitig DSGVO- und AI-Act-Verstoss sein, und beide Aufsichten ermitteln parallel.

Fuer den deutschen Mittelstand sind das keine theoretischen Zahlen. Die Aufsicht hat 2024 und 2025 in mehreren Faellen sechs- und siebenstellige Bussgelder verhaengt; mit dem AI Act erweitert sich die Sanktionsbasis erheblich.

8. Zustaendigkeit zwischen Bund und Laendern

Die Aufsichtsstruktur ist nicht trivial. DSGVO/BDSG: BfDI plus 16 Landesdatenschutzbeauftragte. AI Act: Stand April 2026 noch nicht abschliessend gesetzlich geregelt; erwartet wird eine zentrale Marktaufsicht (Bundesnetzagentur ist im Gespraech) plus Sektoren-Regulatoren (BaFin fuer Finanzsektor, BfArM fuer Medizinprodukte, KBA fuer Fahrzeuge etc.). Die Datenschutzaufsicht behaelt ihre Zustaendigkeit fuer datenschutzrechtliche Aspekte — auch innerhalb von KI-Systemen.

Vertiefung: KI-Governance in Deutschland: Bund vs Laender Zustaendigkeit 2026.

9. Empfehlung 2026

  1. Datenschutzbeauftragte und KI-Verantwortliche im Unternehmen organisatorisch eng verzahnen.
  2. KI-Use-Case-Register fuehren, das beiden Regimen dient.
  3. Integrierte Folgenabschaetzungen (DSFA + Grundrechte-Folgenabschaetzung) etablieren.
  4. Beschaeftigtenkontext besonders sorgfaeltig pruefen — Paragraf 26 BDSG plus Mitbestimmung sind harte Pruefthemen.
  5. Plattform mit operativen Compliance-Metadaten waehlen, die beide Regime gleichzeitig bedient.

Knowlee ist genau auf dieses Profil zugeschnitten: AI Act + ISO 42001 + BDSG-by-design, ohne nachtraegliche Bolt-on-Loesungen.

Verwandte Artikel

Conflict of Interest

Knowlee ist eine KI-Workforce-Plattform mit Compliance-by-Design fuer EU-AI-Act-, ISO-42001-, DSGVO- und BDSG-Anforderungen. Dieser Artikel beschreibt einen regulatorischen Kontext, in dem Knowlee selbst Anbieter ist. Faktische Aussagen zu Norminhalten, BfDI- und DSK-Positionen folgen oeffentlich zugaenglichen Quellen.

Disclaimer

Dieser Beitrag ersetzt keine Rechts- oder Compliance-Beratung. EU-AI-Act, DSGVO und BDSG entwickeln sich, und nationale Auslegungen variieren. Vor verbindlichen Entscheidungen einen qualifizierten Fachanwalt fuer IT-Recht und Datenschutzrecht konsultieren. Autor: Matteo Mirabelli, Gruender Knowlee.