Dietmar Niehaus von der IDD GmbH analysiert: EU-KI-Verordnung vs. DSGVO–Wo liegen die Unterschiede und was müssen Firmen wissen?
(ots) - Die DSGVO ist in vielen Unternehmen längst umgesetzt, doch mit der EU-KI-Verordnung kommt eine neue Regulierung hinzu, die zahlreiche Fragen aufwirft. Welche Unterschiede zwischen beiden Regelwerken bestehen und was Unternehmen jetzt wissen müssen, erklärt Dietmar Niehaus, Geschäftsführer der IDD GmbH.
Viele Unternehmen haben in den vergangenen Jahren erhebliche Ressourcen in die Umsetzung der DSGVO investiert. Verarbeitungsverzeichnisse wurden angelegt, Datenschutzerklärungen formuliert und interne Prozesse angepasst. Doch mit der EU-KI-Verordnung kommt nun ein weiteres Regelwerk hinzu, das den Einsatz von Künstlicher Intelligenz erstmals umfassend reguliert. „Viele Unternehmen unterschätzen erheblich, in welchem Umfang KI-Systeme Nutzerdaten erfassen, speichern und auswerten“, warnt Dietmar Niehaus, Geschäftsführer der IDD GmbH. „Wer das ignoriert, riskiert nicht nur Bußgelder, sondern auch Haftungsrisiken und Reputationsschäden.“
„Datenschutz wird im Unternehmensalltag leider häufig entweder vollständig ignoriert oder übermäßig formalistisch behandelt“, erklärt Dietmar Niehaus. Der Geschäftsführer der IDD GmbH verfügt über 17 Jahre Erfahrung in den Bereichen Datenschutz, IT-Sicherheitund Compliance und begleitet Unternehmen bei der rechtssicheren Umsetzung regulatorischer Anforderungen. Welche Unterschiede zwischen DSGVO und EU-KI-Verordnung bestehen und welche Fragen Unternehmen jetzt klären sollten, erläutert er im Folgenden.
DSGVO und EU-KI-Verordnung: Zwei Regelwerke mit unterschiedlichen Schwerpunkten
Die Datenschutz-Grundverordnung und die EU-KI-Verordnung verfolgen unterschiedliche Ansätze und ergänzen sich, ohne einander zu ersetzen. Die DSGVO konzentriert sich ausschließlich auf die Verarbeitung personenbezogener Daten und legt fest, unter welchen Voraussetzungen solche Daten erhoben, gespeichert, verarbeitet und weitergegeben werden dürfen. Die EU-KI-Verordnung richtet den Blick hingegen auf den Einsatz von Künstlicher Intelligenz insgesamt. Sie bewertet KI-Systeme danach, welches Risiko sie für Grundrechte, Sicherheit und Transparenz darstellen.
Auf dieser Grundlage werden Anwendungen in verschiedene Risikokategorien eingeteilt. Je nach Einstufung gelten unterschiedliche Anforderungen, etwa bei Dokumentation, Sicherheitsmaßnahmen oder Transparenz. In bestimmten Fällen können einzelne KI-Anwendungen sogar vollständig untersagt sein. „Unternehmen müssen daher zunächst prüfen, ob und in welcher Form sie KI-Systeme einsetzen und in welche Risikokategorie diese Systeme fallen“, betont Dietmar Niehaus, Geschäftsführer der IDD GmbH. Gerade bei sogenannten Hochrisiko-Systemen seien umfangreiche Prüf-, Dokumentations- und Überwachungspflichten zu beachten. Viele Unternehmen hätten diese Anforderungen bislang noch nicht ausreichend im Blick.
Welche Pflichten sich aus der KI-Verordnung ergeben
Neben der grundsätzlichen Einordnung von KI-Systemen bringt die EU-KI-Verordnung für Unternehmen auch konkrete Pflichten mit sich. Eine davon ist die gesetzlich verankerte Schulungspflicht: Seit dem 1. Februar 2025 müssen Mitarbeiter, die mit KI-Systemen arbeiten, entsprechend geschult werden. Ziel ist es,Risiken zu erkennen und die rechtlichen Vorgaben beim Einsatz von KI im Arbeitsalltag einzuhalten. Die Verordnung macht dabei jedoch keine detaillierten Vorgaben zum Umfang der Schulungen. Unternehmen müssen daher selbst festlegen, welche Inhalte vermittelt werden und wie Mitarbeiter für denUmgang mit KI-Systemen sensibilisiert werden.
Darüber hinaus schreibt die EU-KI-Verordnung Transparenz vor. Nutzer müssen erkennen können, wenn sie mit einem KI-System interagieren. Wird beispielsweise ein Telefon-Bot eingesetzt, sollte daher bereits zu Beginn klar kommuniziert werden, dass es sich um eine digitale Assistenz handelt. Eineeinfache Vorstellung wie „Guten Tag, ich bin Helga, die digitale Assistentin von …“ kann bereits ausreichen, damit Anrufer wissen, dass sie mit einer KI sprechen. Werden Gespräche aufgezeichnet oder ausgewertet, muss auch darüber informiert werden. Entsprechende Hinweise können zusätzlich in der Datenschutzerklärung auf der Unternehmenswebseite aufgenommen werden.
Eine weitere zentrale Frage betrifft den Umgang mit Daten, die in KI-Systeme eingegeben werden.„Datenrechte liegen häufig bei den Plattformbetreibern der KI-Systeme“, erklärt Dietmar Niehaus. Welche Rechte Unternehmen an eingegebenen Daten oder generierten Ergebnissen behalten, hängt häufig von den vertraglichen Regelungen und Nutzungsbedingungen der jeweiligen Anbieterab. Unternehmen sollten daher sorgfältig prüfen, welche Daten sie in ein System eingeben. Vertrauliche Unternehmensinformationen, personenbezogene Daten oder besonders sensible Inhalte sollten grundsätzlich nicht verwendet werden, solange keine geeigneten Schutzmaßnahmen bestehen. Ist eine Verarbeitung sensibler Daten unvermeidbar, müssen technische und organisatorische Maßnahmen sicherstellen, dass ein unbefugter Zugriff oder eine Weitergabe ausgeschlossen wird.
Rechte an KI-Ergebnissen: geistige Leistung und Nutzungsrechte
Neben Fragen rund um Dateneingaben und Transparenz beschäftigt viele Unternehmen auch ein weiterer Punkt: Wem gehören eigentlich die Ergebnisse, die mit Hilfe von Künstlicher Intelligenz entstehen? Die Antwort darauf hängt wesentlich davon ab, welche geistige Leistung in das Ergebnis eingeflossen ist. Entscheidend ist, ob ein Mensch durch seinen Input das Resultat maßgeblich geprägt hat oder ob das Ergebnis überwiegend durch die automatisierte Verarbeitung des KI-Systems entstanden ist.
Ist der menschliche Beitrag entscheidend und beeinflusst das Resultat wesentlich, können entsprechende Rechte beim Unternehmen oder beim Nutzer liegen. Beruht das Ergebnis dagegen vor allem auf der Funktionsweise des eingesetzten KI-Systems, spielen häufig die Nutzungsbedingungen und vertraglichen Regelungen des jeweiligen Anbieters eine zentrale Rolle. Unternehmen sollten deshalb genau prüfen, welchen Anteil eigene geistige Leistungen an den erzeugten Ergebnissen haben und welche Regelungen für das verwendete KI-System gelten.
Weitere Regulierung: NIS2, Hinweisgeberschutz und praktische Umsetzung
Neben der EU-KI-Verordnung stehen Unternehmen vor weiteren regulatorischen Anforderungen. Dazu gehört unter anderem die NIS2-Richtlinie, die neue Mindeststandards für die Cybersicherheit festlegt. Unternehmen müssen sicherstellen, dass ihre IT-Systeme ausreichend geschützt sind. Die Verantwortung endet dabei nicht bei der eigenen Infrastruktur. Auch Lieferanten und externe Dienstleister müssen angemessene Sicherheitsstandards einhalten, insbesondere wenn Systeme oder Netzwerke miteinander verbunden sind.
Hinzu kommt das Hinweisgeberschutzgesetz, das Unternehmen verpflichtet, sichere interne Meldestellen einzurichten.Über diese Kanäle sollen Mitarbeiter und externe Personen mögliche Rechtsverstöße oder Missstände melden können, ohne Nachteile befürchten zu müssen. „Diese Regelungen verfolgen inhaltlich nachvollziehbare Ziele. In der praktischen Umsetzung stellen sie Unternehmen jedoch häufig vor erhebliche Herausforderungen“, erklärt Dietmar Niehaus. Eine sachgerechte Umsetzung beginne deshalb immer mit einer Analyse der bestehenden Prozesse und Systeme. Auf dieser Grundlage lasse sich feststellen, welche Anforderungen bereits erfüllt sind und an welchen Stellen Anpassungen notwendig werden. Anschließend können Maßnahmen entwickelt werden, die sowohl die Anforderungen der DSGVO als auch der EU-KI-Verordnung und weiterer regulatorischer Vorgaben berücksichtigen.
Sie möchten künstliche Intelligenz sicher und rechtskonform in Ihrem Unternehmen einsetzen – ohne dabei den Datenschutz aus den Augen zu verlieren? Vereinbaren Sie jetzt einen Termin mit Dietmar Niehaus und dem Team des Instituts für Datenschutz&Datensicherheit (https://www.institut-datensicherheit.de/) und bringen Sie Ihr Unternehmen fit für die digitale Zukunft.
Pressekontakt:
IDD GmbH - Institut für Datenschutz und Datensicherheit
Dietmar Niehaus
E-Mail: info(at)institut-datensicherheit.de
Webseite: https://www.institut-datensicherheit.de/
Original-Content von: IDD GmbH - Institut für Datenschutz und Datensicherheit, übermittelt durch news aktuell
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Datum: 23.03.2026 - 09:10 Uhr
Sprache: Deutsch
News-ID 2239601
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: ots
Stadt:
Bremen
Kategorie:
Automobilindustrie
Dieser Fachartikel wurde bisher 3 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Dietmar Niehaus von der IDD GmbH analysiert: EU-KI-Verordnung vs. DSGVO–Wo liegen die Unterschiede und was müssen Firmen wissen?"
steht unter der journalistisch-redaktionellen Verantwortung von
IDD GmbH - Institut für Datenschutz und Datensicherheit (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).