Künstliche Intelligenz ist längst im Alltag angekommen: Bewerbungen werden automatisiert vorsortiert, Kundenanfragen von Chatbots beantwortet, Risiken von Algorithmen bewertet. Was technisch nach Effizienz klingt, wirft rechtlich eine zentrale Frage auf: Welche Regeln gelten eigentlich?

Die Antwort ist unbequem: meist mehrere gleichzeitig.

Genau hier treffen zwei zentrale EU-Regelwerke aufeinander – die Datenschutz-Grundverordnung (DSGVO) und die KI-Verordnung (AI Act). Die DSGVO schützt personenbezogene Daten. Der AI Act reguliert KI-Systeme nach ihrem Risiko. Beide verfolgen unterschiedliche Ansätze, greifen in der Praxis aber häufig auf denselben Sachverhalt zu. Und genau daraus entstehen Spannungen.

Zwei Verordnungen, zwei Perspektiven

Die DSGVO stellt die Frage: Werden personenbezogene Daten verarbeitet – und wenn ja, unter welchen Voraussetzungen?

Der AI Act fragt: Handelt es sich um ein KI-System – und, wenn ja, welches Risiko geht davon aus?

Diese Perspektiven ergänzen sich, sind aber nicht deckungsgleich. Denn viele KI-Systeme funktionieren nur deshalb, weil sie große Datenmengen nutzen – oft auch personenbezogene. Ein Recruiting-Tool verarbeitet Bewerberdaten, ein Kreditmodell Finanzdaten, ein medizinisches System Gesundheitsdaten.

Die Folge: Der AI Act verdrängt die DSGVO nicht. Er kommt hinzu.

Parallele Anwendung statt Entweder-Oder

Ein häufiger Denkfehler ist, KI-Compliance und Datenschutz getrennt zu betrachten. Nach dem Motto: Wenn das System nach dem AI Act zulässig ist, passt es auch datenschutzrechtlich – oder umgekehrt.

Beides greift zu kurz.

Ein KI-System kann vollständig AI-Act-konform sein und dennoch gegen die DSGVO verstoßen. Umgekehrt kann eine Datenverarbeitung datenschutzrechtlich zulässig sein, während das eingesetzte System zusätzliche Anforderungen nach dem AI Act auslöst.

Ein Beispiel: Ein Unternehmen nutzt KI zur Bewerberauswahl. Datenschutzrechtlich geht es um Rechtsgrundlagen, Transparenz und mögliche automatisierte Entscheidungen. Gleichzeitig kann das System als Hochrisiko-KI eingestuft sein – mit zusätzlichen Anforderungen an Risikomanagement, Dokumentation, Datenqualität und menschliche Aufsicht.

Gerade hier zeigt sich sehr deutlich, wie sich das Tätigkeitsfeld im IP/IT-Recht verändert hat: Es geht nicht mehr nur darum, einzelne Normen „abzuprüfen“, sondern komplexe Systeme aus mehreren Blickwinkeln gleichzeitig zu verstehen und rechtlich einzuordnen. Genau das macht die Arbeit anspruchsvoller – aber auch deutlich spannender.

Datenschutz-Folgenabschätzung vs. KI-Konformitätsbewertung

Besonders sichtbar wird das bei den Prüfmechanismen.

Die DSGVO kennt die Datenschutz-Folgenabschätzung: Sie bewertet Risiken für die Rechte und Freiheiten betroffener Personen und legt Schutzmaßnahmen fest.

Der AI Act verlangt für Hochrisiko-KI-Systeme eine Konformitätsbewertung: Hier geht es darum, ob das System selbst die regulatorischen Anforderungen erfüllt.

Beide Instrumente beschäftigen sich mit Risiken, Dokumentation und Kontrolle – verfolgen aber unterschiedliche Ziele. Eine Datenschutz-Folgenabschätzung ersetzt keine Konformitätsbewertung. Und umgekehrt.

Diese Prüfungen können daher nicht mehr isoliert, sondern müssen integriert gedacht werden.

Für die juristische Praxis bedeutet das: Wir bewegen uns zunehmend weg von isolierten Prüfungen hin zu integrierten Compliance-Ansätzen. Wer diese Schnittstellen versteht und strukturieren kann, schafft echten Mehrwert – weit über klassische Rechtsberatung hinaus.

Typische Praxiskonflikte

Die eigentlichen Herausforderungen entstehen dort, wo beide Regelwerke unterschiedliche Anforderungen an dieselbe Situation stellen:

Datenmenge vs. Datenminimierung

KI-Systeme profitieren von großen, vielfältigen Datensätzen. Die DSGVO verlangt hingegen, nur notwendige Daten zu verarbeiten. Zwischen „mehr Daten für bessere Modelle“ und „so wenig Daten wie möglich“ entsteht ein Spannungsfeld.

Transparenz vs. technische Komplexität

Beide Regelwerke verlangen Transparenz. Gleichzeitig sind viele KI-Systeme schwer erklärbar. Der Hinweis „Das hat die KI entschieden“ reicht rechtlich nicht aus.

Automatisierung vs. menschliche Kontrolle

Der AI Act fordert wirksame menschliche Aufsicht. Auch die DSGVO stellt Anforderungen an automatisierte Entscheidungen. In der Praxis genügt es nicht, formal einen Menschen einzubinden – er muss Entscheidungen tatsächlich nachvollziehen und beeinflussen können.

Zweckbindung vs. Datenverwertung

Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht beliebig für KI-Training weiterverwendet werden. Gerade hier liegen erhebliche Risiken, wenn bestehende Datenbestände „einfach weitergedacht“ werden.

Was das für Jurist:innen bedeutet

Die parallele Anwendung von DSGVO und AI Act verändert die juristische Praxis. Es reicht nicht mehr, nur Normen zu prüfen. Entscheidend ist das Verständnis des Systems dahinter.

Welche Daten werden verarbeitet? Wer ist Anbieter, wer Betreiber? Wie funktioniert das Modell? Gibt es automatisierte Entscheidungen? Welche Rolle spielt der Mensch?

Ohne diese Fragen bleibt die rechtliche Bewertung unvollständig.

Das bedeutet nicht, dass wir Jurist:innen zu Techniker:innen werden müssen. Aber wir müssen lernen, technische Abläufe in rechtliche Kategorien zu überführen.

Genau hier liegt eine der aktuell spannendsten Entwicklungen unseres Berufs: Gefragt ist nicht mehr nur juristische Präzision, sondern die Fähigkeit, zwischen Technik, Recht und Organisation zu übersetzen. Wer das beherrscht, wird nicht ersetzt – sondern relevanter.

Für junge Jurist:innen ist das eine enorme Chance: Klassische Einstiegsaufgaben verändern sich, aber gleichzeitig entsteht ein neues Profil – eines, das rechtliches Denken mit unternehmerischem und technologischem Verständnis verbindet.

Was Unternehmen jetzt tun sollten

Für Unternehmen gilt: KI-Compliance beginnt nicht am Ende eines Projekts.

Wer erst nach Einführung eines Systems prüft, ob es rechtlich zulässig ist, handelt zu spät. Stattdessen braucht es frühzeitig strukturierte Prüfprozesse.

Zentrale Fragen sind dabei: Handelt es sich um ein KI-System im Sinne des AI Act? Welche Rolle hat das Unternehmen? Liegt Hochrisiko-KI vor? Werden personenbezogene Daten verarbeitet? Ist eine Datenschutz-Folgenabschätzung erforderlich? Welche Dokumentation ist notwendig?

Gerade bei zugekauften Systemen wird zudem der Vertrag entscheidend. Themen wie Datenherkunft, Dokumentation, Support, Updates und Verantwortlichkeiten entlang der Wertschöpfungskette sollten klar geregelt sein.

Auch hier verschiebt sich der Fokus: Verträge werden zunehmend zum zentralen Steuerungsinstrument für Compliance. Wer KI rechtssicher einsetzen will, muss sie vertraglich „einhegen“ – entlang der gesamten Wertschöpfungskette.

Fazit: Zwei Systeme, eine Realität

DSGVO und AI Act stehen nicht im Widerspruch – sie greifen ineinander. In der Praxis entsteht die Herausforderung gerade aus dieser parallelen Anwendung.

Die DSGVO schützt die betroffene Person. Der AI Act reguliert die Technologie. Wer nur eine dieser Perspektiven einnimmt, übersieht zentrale Risiken.

Für Jurist:innen eröffnet sich damit ein neues Beratungsfeld an der Schnittstelle von Recht, Technologie und Organisation. Für Unternehmen bedeutet es vor allem eines: KI muss nicht nur funktionieren – sie muss auch rechtlich tragfähig aufgesetzt sein.

Denn die eigentliche Herausforderung liegt nicht in der Regulierung selbst, sondern darin, sie in der Praxis zusammenzuführen.

Und genau darin liegt auch die Attraktivität dieses Rechtsgebiets: Es ist dynamisch, interdisziplinär und nah an den zentralen technologischen Entwicklungen unserer Zeit. Wer sich hier positioniert, gestaltet nicht nur Recht – sondern die Zukunft seiner Anwendung.