DSGVO als schärfere Klinge bei KI im Alltag

Die schärfste KI-Regelung im Alltag vieler Unternehmen steht nicht im AI Act. Sie steht in der DSGVO und gilt seit acht Jahren.

Gemeint ist nicht der Hochrisiko-Bereich des AI Acts. Dort schlägt er mit höheren Bußen zu. Gemeint ist der Alltag: Dokumente in ChatGPT, Claude oder Copilot, Mitarbeiter die auf eigene Faust loslegen, keine klare Klammer drum.

Der Grund: Fast alle großen KI-Modelle werden außerhalb der EU betrieben. Sobald personenbezogene Daten in solche Systeme wandern, steht eine Drittlandtransfer-Prüfung an. Mit sauberem Enterprise-Setup, einer Auftragsverarbeitungsvereinbarung (AVV) und EU-Region lösbar. Ohne (und das ist der Regelfall bei Shadow-IT) nicht.

Gängige Sortierlogik beim AI Act lautet: "Wir machen kein CV-Screening, kein Bonitätsscoring, kein KI-gestütztes Entscheidungssystem, also kein Hochrisiko." Das stimmt meistens.

Was dabei übersehen wird: Der AI Act klassifiziert das System, die DSGVO klassifiziert die Daten, die reinfließen. Die meisten KI-Compliance-Baustellen im Mittelstand sind heute DSGVO-Themen mit KI-Tools, nicht umgekehrt.

Ich habe einen Selbsttest offen auf die Webseite gestellt: AI-Act-Klasse und DSGVO-Dimension in einem Durchgang. Ohne Anmeldung, ohne E-Mail.

https://sixtyfour.solutions/eu-ai-act-selbsttest/

Wer Lücken oder schärfere Fragen sieht: gerne als Kommentar.