Skip to content
Innopulse Consulting
Navigate
EnglishDeutsch
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
EU AI Act

AI Act vs. DSGVO: Wo sie sich überschneiden, wo nicht

Der AI Act und die DSGVO sind getrennte Regime — aber sie interagieren ständig. Die Überschneidungs-Landkarte für Compliance-Teams.

Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO
·8 min read
In this article
  1. Warum das Thema AI Act vs. DSGVO jetzt zählt
  2. Die Kernbegriffe, präzise definiert
  3. Die praktische Umsetzungssequenz
  4. Die Fallstricke, die wir immer wieder sehen
  5. Unsere Perspektive aus dem Betrieb des Portfolios
  6. Die breiteren Implikationen für DACH-Firmen
  7. Was als Nächstes zu tun ist

Warum das Thema AI Act vs. DSGVO jetzt zählt

Das Thema AI Act vs. DSGVO hat sich schneller vom Theoretischen zum Operativen bewegt, als die meisten DACH-KMU sich angepasst haben. Regulatorische Fristen, sich verschiebende Markterwartungen und die steigenden Kosten, es falsch zu machen, weisen alle in dieselbe Richtung: Firmen, die das Thema AI Act vs. DSGVO als Overhead behandeln, verbringen den nächsten Zyklus im Aufholen, während jene, die es in die Betriebspraxis einbauen, den Vorteil kompoundieren.

Wir haben diese Kurve seit dem Start von Innopulse 2022 intern beobachtet — und in nahezu jedem Kundenmandat seither. Das Muster ist konsistent: Die Kosten, es früh richtig zu machen, sind moderat; die Kosten, es nach einem Vorfall, Audit oder Wettbewerbsverlust richtig zu machen, sind erheblich.

Die Kernbegriffe, präzise definiert

Bevor es an die Umsetzung geht, lohnt es sich, das Vokabular festzulegen. Ein erstaunlicher Teil der Verwirrung rund um das Thema AI Act vs. DSGVO entsteht daraus, dass Menschen dieselben Begriffe unterschiedlich verwenden. Hier sind die Definitionen, mit denen wir bei Innopulse arbeiten:

  • AI Act und DSGVO — das spezifische regulatorische oder operative Konstrukt, wie es in Primärquellen definiert ist (nicht in Berater-Zusammenfassungen). Das ist die Definition, die in einem Audit, einer Vertragsverhandlung oder einem strategischen Review des Senior-Teams Bestand hat.\n- AI-Act-DSGVO-Abgrenzung — das eng verwandte, aber eigenständige Konzept, das Teams regelmässig mit dem Primärbegriff verwechseln. Die beiden unterscheiden sich in der operativen Konsequenz wesentlich.\n- Das eigentliche Betriebs-Asset — das Liefergut, der Prozess oder das Artefakt, das Compliance oder Umsetzung belegt. Ohne dieses bleibt das Konzept theoretisch.

Die praktische Umsetzungssequenz

Der Übergang vom Lesen über das Thema AI Act vs. DSGVO zur tatsächlichen Umsetzung ist der Punkt, an dem die meisten KMU ins Stocken geraten. Die Blockade liegt selten an der Fähigkeit — sie liegt an der Reihenfolge. Alles parallel zu versuchen brennt das Team aus; es in der falschen Reihenfolge zu tun bedeutet, dass frühe Arbeit neu gemacht wird.

Die Reihenfolge, die wir empfehlen — und intern im gesamten Innopulse-Portfolio nutzen — lautet:

  1. Discovery und Ist-Zustand-Kartierung. Dokumentieren, was heute existiert. 10–20 % des Gesamtaufwands, verlockend zu überspringen, gefährlich zu überspringen.\n2. Gap-Analyse gegen den Zielzustand. Wo unterscheidet sich der Ist-Zustand wesentlich vom geforderten Zustand? Drei Seiten, nicht dreissig.\n3. Priorisierung nach risikogewichteter Wirkung. Nicht alles ist gleich dringend. Ehrlich sortieren.\n4. Fokussierte Sprints. 2–4 Wochen pro Workstream, Abnahmekriterien vorab.\n5. Operationalisierung. Das Runbook schreiben. Wer macht was, wie oft, mit welchem Nachweis.

Die meisten Mandate, die wir gewinnen, gewinnen wir, weil der Kunde die Schritte 4–5 ohne 1–3 versucht hat, gegen die Wand lief und die Notwendigkeit von Strenge erkannte.

Die Fallstricke, die wir immer wieder sehen

Über Mandate und die Nutzerbasis unseres eigenen Portfolios wiederholen sich dieselben Fehlermuster rund um das Thema AI Act vs. DSGVO. Die meisten sind operativ, nicht technisch.

Scope Creep, getarnt als Ambition. Ein Projekt zum Thema AI Act vs. DSGVO weitet sich schrittweise aus, um alles Angrenzende mitzuadressieren. Das ursprüngliche Liefergut rutscht zwei Quartale. Lösung: Schreiben Sie auf, was ausserhalb des Scopes liegt, genauso explizit wie das, was drin ist.

Tool-First-Denken. Teams springen zur Plattformauswahl, bevor sie den Prozess verstanden haben. Die Plattform formt dann den Prozess auf unhilfreiche Weise. Definieren Sie den Prozess zuerst manuell; wählen Sie das Werkzeug danach.

Compliance-Theater. Dokumentation produzieren, die für einen Auditor richtig aussieht, aber die operative Realität nicht abbildet. Kurzfristig effizient; mittelfristig brüchig.

Zweisprachige Content-Schulden. Gerade im DACH-Raum summiert sich jede Abkürzung beim deutschen Content heute linear. Ein sechsmonatiger Rückstand an deutschem Content ist viel schwerer aufzuholen als sechs Monate zweisprachiger Disziplin von Anfang an.

Unsere Perspektive aus dem Betrieb des Portfolios

Bei Innopulse versuchen wir, keine Ratschläge zu geben, die wir nicht im Feld getestet haben. Das Portfolio unserer eigenen SaaS-Produkte dient unter anderem als Realitätscheck für jede Empfehlung an Kunden.

Speziell zum Thema AI Act vs. DSGVO hat sich unsere Praxis seit 2022 weiterentwickelt. Frühe Version: manuell, fehleranfällig, skalierte nicht über drei Produkte hinaus. Aktuelle Version: teilautomatisiert, in Runbooks dokumentiert, übersteht das Hinzufügen neuer Produkte.

Konkrete Dinge, auf denen wir intern inzwischen bestehen:

  • Runbook, bevor Sie es brauchen. Aufzuschreiben, was/wann/durch wen/mit welchem Nachweis, verwandelt Ad-hoc-Praxis in ein dauerhaftes Betriebs-Asset.\n- Messen Sie, was zählt. Zwei oder drei Kennzahlen, die an echte Ergebnisse gebunden sind. Vanity-Signale streichen — Rauschen in einem Dashboard ist schlimmer als kein Dashboard.\n- Quartalsweise prüfen, nicht laufend. Ständiges Justieren erzeugt die Illusion von Verbesserung, während es die Stabilität zerstört, die einen Prozess funktionieren lässt.\n- Für den Nachfolger dokumentieren. Schreiben Sie Runbooks, als hätte die lesende Person das System nie gesehen.

Die breiteren Implikationen für DACH-Firmen

Wenn man zurücktritt, weist das Thema AI Act vs. DSGVO auf breitere Verschiebungen hin, wie Schweizer und DACH-Firmen in den nächsten 24–36 Monaten arbeiten werden.

Die regulatorische Verschärfung über Datenschutz, KI, Produktsicherheit und Finanzdienstleistungen wird sich kaum umkehren. Die Richtung der EU- und Schweizer Regulierung geht zu mehr expliziter Betreiber-Verantwortung und intrusiverer Audit-Praxis. Firmen, die jetzt den operativen Muskel aufbauen, kommen schneller durch den nächsten Zyklus.

Die technischen Kosten, das richtig zu machen, sind gesunken. Was früher dedizierte Compliance-Berater und sechsstellige Budgets erforderte, ist heute über moderne SaaS, vernünftige interne Prozesse und selektive externe Beratung zugänglich. Die Kluft zwischen gut und schlecht geführten Firmen wächst; die Kosten, sie zu schliessen, sinken — aber nur für Firmen, die aktiv daran arbeiten.

Speziell für DACH-KMU werden Firmen, die das Thema AI Act vs. DSGVO als Betriebsdisziplin behandeln — nicht als einmaliges Projekt —, regionale Reputationen für Qualität und Verlässlichkeit zu dauerhaften Marktvorteilen verdichten.

Was als Nächstes zu tun ist

Wenn Sie dies lesen, weil Sie ein laufendes Projekt zum Thema AI Act vs. DSGVO haben:

Beginnen Sie mit einem einseitigen Ist-Zustand-Dokument. Was tut Ihre Organisation heute tatsächlich? Wenn Sie keine Seite füllen können, ist das Ihr Befund. Wenn Sie zehn füllen können, kondensieren Sie auf eine.

Dann ein einseitiges Ziel-Zustand-Dokument. Wie sähe «fertig» konkret aus?

Die Lücke zwischen diesen beiden ist Ihr Plan. Nicht elegant; explizit.

Externe Hilfe schafft an zwei Stellen Mehrwert: (1) die anfängliche Gap-Analyse, wo eine Aussenperspektive Fragen stellt, die das eigene Team sich schwer selbst stellen kann; (2) spezialisierte Umsetzung, bei der sich die zugrunde liegende Fähigkeit nicht für eine Vollzeitstelle lohnt.

Wenn das Ihre Situation ist, finden Sie unsere Kontaktdaten unten. Wenn Sie versucht sind, externe Hilfe als interne-Politik-Absicherung gegen einen bestehenden Plan zu holen — das ist legitim, aber benennen Sie es offen. So oder so: Wählen Sie den ersten Schritt, setzen Sie ein Datum, legen Sie los.

About the author
Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO · Innopulse Consulting

Gründer und leitender Ingenieur von Innopulse Consulting. MSc Innovation Management (FFHS). Autor von „Identity Over Discipline".

Topics
ai act dsgvoai act vs dsgvodsgvo kidsfa fria
Keep reading

Related insights.

EU AI Act

Der EU AI Act 2026: Ein vollständiger Leitfaden für KMU

Ein praxisnaher, KMU-fokussierter Leitfaden zum EU AI Act mit Beginn der vollen Durchsetzung im August 2026. Risikoklassifizierung, Artikel 4, Bussgelder, Fristen.

Leutrim·8 min
EU AI Act

Deepfakes und KI-Inhalte kennzeichnen: Transparenz nach Art. 50

Welche Kennzeichnungspflichten Art. 50 EU AI Act für Deepfakes und KI-generierte Inhalte vorsieht, wen sie treffen und wie Sie sie technisch und redaktionell umsetzen.

Leutrim·3 min
EU AI Act

EU AI Act in der öffentlichen Verwaltung: Pflichten für Behörden

Welche besonderen Pflichten der EU AI Act öffentlichen Stellen auferlegt — von der FRIA über verbotene Praktiken bis zur Registrierung — und wie Verwaltungen sie umsetzen.

Leutrim·3 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch