AI Act trifft DSGVO: Doppelte Compliance für Patentsoftware
Wo sich AI Act und DSGVO überschneiden und wie Patentsoftware-Anbieter und -Nutzer beide Regulierungen effizient erfüllen.
Wenn AI Act auf DSGVO trifft: Wie Patentsoftware beiden Regulierungen gerecht wird
Europäische Patentsoftware-Anbieter und ihre Nutzer stehen 2026 vor einer regulatorischen Doppelbelastung, die ohne koordinierten Ansatz schnell unüberschaubar wird: Der EU AI Act und die DSGVO greifen an zahlreichen Stellen ineinander, stellen aber unterschiedliche Anforderungen, folgen unterschiedlichen Logiken und werden von unterschiedlichen Behörden durchgesetzt.
Die Versuchung, beide Regulierungen separat abzuarbeiten, ist groß - und teuer. Wer hingegen die Überschneidungen systematisch nutzt, kann erheblich Aufwand sparen, ohne Compliance-Lücken zu riskieren.
Wo sich beide Regulierungen überschneiden
AI Act und DSGVO teilen ein gemeinsames Kernprinzip: den Schutz von Grundrechten. Aber sie nähern sich diesem Ziel aus unterschiedlichen Richtungen. Die DSGVO schützt personenbezogene Daten. Der AI Act reguliert KI-Systeme unabhängig davon, ob sie personenbezogene Daten verarbeiten.
In der Patentpraxis überlappen sich die beiden Regelwerke an mehreren kritischen Punkten:
Datenverarbeitung: Jedes KI-Tool, das Patentanmeldungen verarbeitet, kommt mit personenbezogenen Daten in Berührung - Erfindernamen, Adressen, Korrespondenzdetails. Die DSGVO regelt die Rechtsgrundlage für diese Verarbeitung, der AI Act verlangt zusätzliche Transparenz über die Art der Verarbeitung durch das KI-System.
Transparenz: Die DSGVO verlangt nach Art. 13-14 Information über die Verarbeitung personenbezogener Daten. Der AI Act verlangt nach Art. 50 Offenlegung, dass ein KI-System eingesetzt wird. Nach Art. 13 AI Act müssen Hochrisiko-Systeme zusätzlich so gestaltet sein, dass ihre Funktionsweise ausreichend transparent ist. In der Summe ergibt das eine doppelte Transparenzpflicht, die sinnvollerweise in einem integrierten Informationskonzept umgesetzt wird.
Risikobewertungen: Hier liegt der Kern der Doppelbelastung. Die DSGVO verlangt eine Datenschutz-Folgenabschätzung (DPIA) nach Art. 35. Der AI Act verlangt für bestimmte Hochrisiko-Systeme eine Grundrechtliche Folgenabschätzung (FRIA) nach Art. 27. Beide Assessments adressieren Risiken für natürliche Personen, aber aus unterschiedlichen Perspektiven.
Automatisierte Entscheidungen: Art. 22 DSGVO regelt das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden. Der AI Act verlangt menschliche Aufsicht bei Hochrisiko-Systemen (Art. 14). Beide Anforderungen zielen auf das gleiche Problem - die unkontrollierte Delegation von Entscheidungen an Maschinen - aber mit unterschiedlichen Mechanismen.
DPIA nach DSGVO Art. 35 im Detail
Eine Datenschutz-Folgenabschätzung ist immer dann erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Bei KI-gestützter Patentsoftware ist das regelmäßig der Fall, wenn:
- Systematische Profiling-Elemente vorhanden sind (z.B. Analyse von Erfinderaktivitäten)
- Daten in großem Umfang verarbeitet werden (Portfolio-Management mit tausenden Dokumenten)
- Neue Technologien eingesetzt werden (was bei KI per se bejaht wird)
Die DPIA muss eine Beschreibung der Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Risikobewertung und die geplanten Abhilfemaßnahmen enthalten. Dokumentationspflicht und Konsultation der Datenschutzbehörde bei hohem Restrisiko kommen hinzu.
FRIA nach AI Act Art. 27 im Detail
Die Grundrechtliche Folgenabschätzung nach Art. 27 AI Act ist für Betreiber von Hochrisiko-KI-Systemen verpflichtend, die als öffentliche Stellen agieren oder bestimmte Dienstleistungen erbringen. Auch wenn Patentkanzleien in der Regel nicht direkt unter Art. 27 fallen, ist die FRIA als Best Practice auch für privatwirtschaftliche Nutzer von Hochrisiko-Systemen empfehlenswert.
Die FRIA verlangt eine Bewertung der Auswirkungen des KI-Systems auf Grundrechte - darunter Nichtdiskriminierung, Privatsphäre, geistiges Eigentum und Zugang zu effektivem Rechtsschutz. Für Patentsoftware ist insbesondere die Frage relevant, ob das System diskriminierende Muster reproduziert - etwa bei der Bewertung von Erfindungen oder der Priorisierung von Patentfamilien.
Beide Assessments effizient verbinden
Der Schlüssel zur effizienten Doppel-Compliance liegt in der Erkenntnis, dass DPIA und FRIA nicht zwei separate Übungen sein müssen. Sie können - und sollten - als integriertes Assessment durchgeführt werden.
Gemeinsame Elemente:
- Beschreibung des KI-Systems und seiner Funktionsweise
- Identifikation der betroffenen Personen
- Bewertung der Risiken (Datenschutz + Grundrechte)
- Dokumentation der Abhilfemaßnahmen
- Regelmäßige Überprüfung und Aktualisierung
DSGVO-spezifische Elemente:
- Rechtsgrundlage der Verarbeitung (Art. 6 DSGVO)
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Technische und organisatorische Maßnahmen zum Datenschutz
- Betroffenenrechte (Auskunft, Löschung, Berichtigung)
- Auftragsverarbeitungsverträge mit Anbietern
AI-Act-spezifische Elemente:
- Risikoeinstufung des KI-Systems
- Konformitätsbewertung (CE-Kennzeichnung bei Hochrisiko)
- Human-Oversight-Mechanismen
- Transparenzpflichten gegenüber Nutzern
- Registrierung in der EU-Datenbank
Ein integriertes Assessment, das alle diese Elemente abdeckt, spart nicht nur Zeit, sondern stellt auch sicher, dass keine Lücken zwischen den beiden Regelwerken entstehen.
Praktische Checkliste für Patentsoftware
Für Anbieter und Nutzer von Patentsoftware empfiehlt sich folgende strukturierte Vorgehensweise:
Schritt 1 - Bestandsaufnahme: Welche KI-Funktionen sind in der Software enthalten? Welche personenbezogenen Daten werden verarbeitet? In welchem Umfang?
Schritt 2 - Risikoeinstufung: Fällt die Software unter die Hochrisiko-Kategorie des AI Act? Ist eine DPIA nach DSGVO erforderlich? In den meisten Fällen wird beides zutreffen.
Schritt 3 - Integriertes Assessment durchführen: DPIA und FRIA kombinieren. Risiken identifizieren, Maßnahmen definieren, dokumentieren.
Schritt 4 - Technische Maßnahmen implementieren: Audit-Trail, Verschlüsselung, Zugriffskontrollen, Pseudonymisierung wo möglich, Human-Oversight-Workflows.
Schritt 5 - Vertragliche Grundlagen schaffen: Auftragsverarbeitungsverträge aktualisieren, AI-Act-spezifische Klauseln aufnehmen, Verantwortlichkeiten zwischen Anbieter und Nutzer klar zuweisen.
Schritt 6 - Monitoring einrichten: Regelmäßige Überprüfung der Compliance. KI-Systeme entwickeln sich weiter, Risiken verändern sich. Ein einmaliges Assessment reicht nicht.
Häufige Fallstricke
Falsche Verantwortungszuordnung: Die DSGVO unterscheidet zwischen Verantwortlichem und Auftragsverarbeiter. Der AI Act unterscheidet zwischen Anbieter und Betreiber. Diese Rollen sind nicht deckungsgleich. Ein Softwareanbieter kann gleichzeitig Auftragsverarbeiter (DSGVO) und Anbieter (AI Act) sein - mit jeweils eigenen Pflichten.
Übersehen der Lieferkette: Wer ein KI-Patent-Tool nutzt, das seinerseits auf einem Foundation Model eines US-Anbieters basiert, hat eine dreistufige Compliance-Kette: Foundation-Model-Anbieter, Patent-Tool-Anbieter, Nutzer. Jede Stufe hat eigene Pflichten.
Einmalige statt fortlaufende Compliance: Sowohl DSGVO als auch AI Act verlangen regelmäßige Überprüfung. Eine DPIA, die 2026 erstellt und nie aktualisiert wird, ist 2027 potenziell wertlos.
Fehlende Dokumentation: Der häufigste Fehler überhaupt. Beide Regulierungen setzen auf den Grundsatz der Rechenschaftspflicht. Wer Maßnahmen ergreift, aber nicht dokumentiert, kann im Ernstfall nicht nachweisen, compliant zu sein.
Fazit
Die Doppelbelastung aus AI Act und DSGVO ist real, aber beherrschbar. Der Schlüssel liegt in der Integration: Wer beide Regulierungen als ein zusammenhängendes Compliance-Framework behandelt statt als zwei separate Projekte, spart Aufwand und gewinnt Rechtssicherheit.
Für Patentsoftware-Anbieter bedeutet das: Compliance by Design, nicht Compliance by Afterthought. Für Nutzer bedeutet es: Die richtigen Fragen an den Anbieter stellen, die eigenen Prozesse anpassen und die Dokumentation aktuell halten.