Zurück zum Blog
Daten SouveränitätKI-Strategie

AI Act, Cloud Act, DSGVO: welches Gesetz gilt wirklich für Ihre Unternehmens-KI in Luxemburg?

Private KILuxemburgDSGVOSME PackagesBeobachtung der Rechtsvorschriften
Dirigeant PME luxembourgeois arbitrant AI Act Cloud Act RGPD IA entreprise

Von LetzAgents, souveränes KI-Team Luxemburg · Veröffentlicht am 21. Mai 2026 · Aktualisiert am 21. Mai 2026

Im Überblick

  • Drei Gesetze kumulieren sich auf Ihrer Unternehmens-KI in Luxemburg: DSGVO (Daten), AI Act (KI-System), Cloud Act (US-Anbieter).
  • AI Act: volle Anwendbarkeit am 2. August 2026 (EU-Verordnung 2024/1689). Artikel 4 (AI literacy) ist seit dem 2. Februar 2025 durchsetzbar.
  • Der Cloud Act folgt der Nationalität des Anbieters, nicht dem Rechenzentrum: ein Hosting in Dublin oder Frankfurt neutralisiert keinen US-Antrag.
  • 3-Fragen-Matrix, um Ihre Exposition zu qualifizieren und zwischen DPF-zertifiziertem US-Anbieter, europäischem Akteur oder souveränem privaten LLM abzuwägen.

Einleitung

Sie leiten ein luxemburgisches KMU, Sie haben einen KI-Assistenten eingeführt, und drei Rechtstexte gelten für dasselbe Tool: die DSGVO seit 2018, der AI Act in voller Anwendung ab dem 2. August 2026, und der US-amerikanische Cloud Act, sobald Ihr Anbieter eine US-Gesellschaft ist.

Dieser Artikel stellt die drei Gesetze nebeneinander und bietet eine Entscheidungsmatrix. Zur Definition jedes Gesetzes siehe unser komplettes KI-Rechtsglossar. Keine Panik, kein Verkaufsargument: nur Fakten und vier operative Entscheidungen.

1. Drei Gesetze, ein einziges KI-Tool: das Rätsel eines luxemburgischen Geschäftsführers

Eine luxemburgische Wirtschaftsprüfungsgesellschaft rüstet ihre jungen Buchhalter mit einem KI-Assistenten wie ChatGPT Enterprise, Microsoft Copilot oder Google Gemini Workspace aus. Das Tool verarbeitet Kundendokumente (also personenbezogene Daten) und wird als gehostet in einem europäischen Rechenzentrum präsentiert. Der Geschäftsführer hält das Unternehmen für DSGVO-konform: EU-Server, unterzeichnetes Data Processing Agreement.

Die Realität ist dichter. Dasselbe Tool unterliegt drei Rahmen: DSGVO für die Daten, AI Act für das KI-System, Cloud Act für jede Auskunftsanfrage, die eine US-Behörde dem Anbieter stellen könnte. Der Cloud Act folgt der Nationalität des Anbieters, nicht der Geografie des Servers.

Diese Kumulierung ist die Regel für jedes KMU, das einen KI-Assistenten auf Basis eines US-LLM nutzt. Schatten-Nutzung (ein Mitarbeiter, der das öffentliche ChatGPT öffnet) fügt eine zusätzliche Schicht hinzu, die in unserem Leitfaden zur unkontrollierten Nutzung öffentlicher KI im Unternehmen beschrieben wird.

2. Was jedes Gesetz tut, in einem Satz pro Text

DSGVO (2018): schützt personenbezogene Daten, überall

Die DSGVO (EU-Verordnung 2016/679) regelt die Verarbeitung personenbezogener Daten von EU-Einwohnern seit dem 25. Mai 2018. Sie gilt, sobald personenbezogene Daten verarbeitet werden, unabhängig vom Tool. Die CNPD (luxemburgische Datenschutzbehörde) ist die nationale Aufsicht.

AI Act (2024): regelt das KI-System je nach Risiko

Der AI Act (EU-Verordnung 2024/1689, in Deutschland auch KI-Verordnung genannt) trat am 1. August 2024 in Kraft. Artikel 4 (AI literacy) ist seit dem 2. Februar 2025 durchsetzbar. Volle Anwendbarkeit des Hochrisiko-Regimes ab dem 2. August 2026. Der Text klassifiziert Systeme in 4 Kategorien (offizieller Zeitplan).

Cloud Act (2018): verleiht US-Behörden Zuständigkeit

Der Cloud Act (H.R.4943), unterzeichnet am 23. März 2018, erlaubt US-Behörden, von einem US-Anbieter die Herausgabe von Daten zu verlangen, die er hostet, unabhängig vom physischen Hosting-Land (Paperjam-Analyse, auf Französisch).

💡 Gut zu wissen: keines der drei Gesetze hebt die anderen auf. Sie kumulieren sich, sobald ein KI-Tool personenbezogene Daten über einen US-Anbieter verarbeitet.

3. Der Gesetzeskonflikt, der KMU in die Falle lockt: DSGVO gegen Cloud Act

Ein US-Anbieter, der von einer US-Behörde zur Datenherausgabe aufgefordert wird, gerät in die Klemme: der Cloud Act verpflichtet zur Lieferung, die DSGVO verbietet die Übertragung in die USA ohne geeignete Garantie. LexisNexis bezeichnet diesen Fall als strukturellen Gesetzeskonflikt (auf Französisch).

Die Antwort läuft über das Data Privacy Framework (DPF), den EU-Angemessenheitsbeschluss vom 10. Juli 2023, der Übertragungen an zertifizierte US-Unternehmen erlaubt (CNPD-Dossier, auf Französisch). Aber das DPF legalisiert die Übertragung auf EU-Seite, es schützt nicht vor einem US-Antrag an den Anbieter.

Ein US-KI-Anbieter kann also DSGVO-konform (über DPF) sein und einem Cloud-Act-Antrag ausgesetzt bleiben. Für gewöhnliche Verarbeitung ist diese Kumulierung akzeptabel. Für sensible Verarbeitung (Gesundheit, Recht, Finanzen, Parapublic) verdient sie eine spezifische Analyse, detailliert in unserem Artikel über den tatsächlichen Speicherort der KI-Daten.

Rechtsanwalt Simon Dumontel, zitiert von Paperjam im April 2026, erinnert daran, dass « der Cloud Act den US-Behörden keinen Freifahrtschein gibt, ohne jede Bedingung auf Daten zuzugreifen » (aus dem Französischen übersetzt). Die Zuständigkeit ist gerahmte Extraterritorialität, keine offene Tür, aber die Exposition bleibt real.

4. Wo der AI Act zur Gleichung hinzukommt

Der AI Act löscht weder die DSGVO noch den Cloud Act. Er fügt eine dritte Reihe von Pflichten hinzu, die sich auf das KI-System selbst konzentrieren: Dokumentation, Transparenz, menschliche Aufsicht, Nachvollziehbarkeit, AI literacy. Diese Pflichten kumulieren sich mit der DSGVO, sie ersetzen sie nicht.

Artikel 4 des AI Act ist seit dem 2. Februar 2025 durchsetzbar (Quelle). Volle Anwendbarkeit des Hochrisiko-Regimes kommt am 2. August 2026. Zur operativen Checkliste siehe unseren AI Act KMU Luxemburg 100-Tage-Leitfaden. In Luxemburg bezeichnet der Gesetzesentwurf Nr. 8476 die CNPD als Referenzbehörde für den AI Act, zusätzlich zu ihrer DSGVO-Rolle (K&L Gates-Analyse, Position der luxemburgischen Regierung, auf Französisch).

Schlüsselpunkt: ein KI-System kann voll DSGVO- und DPF-konform sein und dennoch AI-Act-widrig bleiben, wenn Dokumentation, Transparenz und Mitarbeiterschulung nicht organisiert sind.

Konzentrisches Ringdiagramm: ein Unternehmens-KI-Tool umgeben von den Pflichten aus DSGVO, AI Act und Cloud Act, mit den 3 Schlüsseldaten 2018, 2024 und 2026.

Drei Rahmen gelten gleichzeitig: DSGVO (Daten), AI Act (KI-System), Cloud Act (US-Anbieter).

5. Die Entscheidungsmatrix mit 3 Fragen

Um die Exposition eines KI-Tools zu qualifizieren, genügen drei Fragen. Die Antworten kumulieren sich.

Vertikaler Entscheidungsbaum mit 3 Fragen: personenbezogene Daten von EU-Einwohnern, AI-Act-Risikokategorie, US-Anbieter, zur Qualifizierung der Exposition eines Unternehmens-KI-Tools in Luxemburg.

Entscheidungsbaum mit 3 Fragen zur Qualifizierung der Exposition eines Unternehmens-KI-Tools.

Frage

Wenn ja

Wenn nein

Maßnahme

F1. Personenbezogene Daten von EU-Einwohnern?

DSGVO betroffen: DSFA, Verzeichnis, Anbieter-DPA.

Außerhalb DSGVO (selten).

Eingehende und ausgehende Daten kartieren.

F2. AI-Act-Risikokategorie?

AI Act betroffen: Dokumentation, Transparenz, AI literacy, CE-Kennzeichnung bei Hochrisiko.

Minimaler AI Act (leichtes Regime).

Jede Nutzung einer der 4 Kategorien zuordnen.

F3. Anbieter nach US-Recht?

Cloud Act anwendbar: DPF erforderlich, Souveränität abzuwägen.

Cloud Act außerhalb des Anwendungsbereichs.

DPF überprüfen oder nach Sensibilität abwägen.

Ja zu allen drei (häufiger Fall bei ChatGPT Enterprise, Copilot, Gemini Workspace): die drei Rahmen gelten. Ja zu F1-F2, nein zu F3: Sie verlassen den Cloud-Act-Bereich, typisches Szenario eines europäischen Anbieters oder eines privaten LLM, gehostet von einem nicht-US-Akteur.

Für eine Anwaltskanzlei oder ein Notariat ist diese Qualifizierung vorrangig: siehe unsere Seiten Anwälte und Notare und Buchhalter und Treuhänder.

6. Warum ein souveränes privates LLM die 3 Rahmen vereinfacht

Ein privates LLM, gehostet in Europa von einem nicht-US-Akteur, entfernt nicht die DSGVO oder den AI Act, es vereinfacht sie, indem es die Cloud-Act-Variable entfernt. Drei strukturelle Faktoren.

Kontrolle des Pfades: Modell und Daten auf europäischer Infrastruktur, betrieben von einer europäischen Einheit, das DSGVO-Audit wird direkt, keine Kaskadenvergabe (die CNPD dokumentiert ihre Pflichten zu internationalen Übertragungen, auf Französisch). Protokollierung: der AI Act verlangt Nachvollziehbarkeit, ein privates LLM erlaubt es, Protokolle auf der Kundeninfrastruktur zu speichern, ohne von einem Dritten abhängig zu sein. Rechtszuständigkeit: ein europäischer Akteur fällt nicht in den Cloud-Act-Bereich, die strukturelle Exposition verschwindet. Detaillierte Argumentation in unserem Use Case Ihre Daten mit privater KI schützen.

Sie haben Ihre Cloud-Act-Exposition identifiziert und möchten eine zweite Meinung vor der Entscheidung?

📞 Über Ihren Use Case sprechen

7. Die 4 Entscheidungen für diese Woche

Vier Entscheidungen, die jetzt zu treffen sind, in dieser Reihenfolge.

  1. Die eingesetzten KI-Tools kartieren. Offizielle, inoffizielle, Browser-Erweiterungen, in Microsoft 365 oder Google Workspace eingebettete KI.
  2. Die juristische Nationalität jedes Anbieters identifizieren. Bei US-Tochtergesellschaften in der EU die Muttergesellschaft für die Cloud-Act-Analyse heranziehen.
  3. Die DPF-Zertifizierung kritischer US-Anbieter überprüfen. Öffentliches Register des US Department of Commerce. Einen Ausstiegsplan für den Fall einer Aussetzung vorsehen.
  4. Die Souveränitätsabwägung vor dem 2. August 2026 planen. Für jedes sensible Tool: DPF-US-Anbieter behalten, auf einen europäischen Anbieter wechseln oder auf ein souveränes privates LLM umstellen.

Für öffentliche und parapublische Einrichtungen kommt eine fünfte Entscheidung hinzu: prüfen, ob der NIS2-Perimeter betroffen ist, womit Cyber-Pflichten zusätzlich kumulieren.

Fazit: Souveränität ist eine Rechnung, kein Vortrag

AI Act, Cloud Act, DSGVO: drei Gesetze, ein einziges KI-Tool. Die drei Rahmen sind unabhängig, sie kumulieren sich, sie ersetzen einander nicht. Um vor dem 2. August 2026 konform zu bleiben, ist die Qualifizierung Ihrer Exposition in allen dreien der einzige ernsthafte Ansatz.

Für manche Nutzungen genügt ein DPF-zertifizierter US-Anbieter. Für andere ist Infrastruktur-Souveränität der einzige saubere Ausweg. Warum LetzAgents luxemburgische KMU und Mittelstandsunternehmen mit einem kostenlosen KI-Audit begleitet.

Vor dem 2. August 2026 verhindert ein strukturelles Audit unangenehme Überraschungen.

📞 Kostenloses KI-Audit anfragen

FAQ: Ihre Fragen zu AI Act, Cloud Act und DSGVO

1. Gilt der Cloud Act für ein luxemburgisches KMU?

Nicht direkt: er gilt für seine US-Anbieter. Sobald Ihr KI-Assistent auf einem US-Anbieter basiert, sind die anvertrauten Daten potenziell für US-Behörden über einen Cloud-Act-Antrag zugänglich, selbst mit einem europäischen Rechenzentrum. Die Abwägung findet auf Anbieterebene statt, nicht auf Territoriumsebene.

2. Was ist der Unterschied zwischen AI Act und DSGVO?

Die DSGVO (EU-Verordnung 2016/679, 2018) regelt personenbezogene Daten. Der AI Act (EU-Verordnung 2024/1689, volle Anwendbarkeit am 2. August 2026) regelt KI-Systeme nach 4 Risikokategorien. Beide kumulieren sich. Die CNPD ist die nationale luxemburgische Behörde für beide (Gesetzesentwurf Nr. 8476).

3. Mein US-KI-Anbieter hat ein Rechenzentrum in Europa, unterliegt er dem Cloud Act?

Ja. Der Cloud Act (H.R.4943, 23. März 2018) folgt der Nationalität des Anbieters, nicht dem Serverstandort. Ein US-Anbieter mit Rechenzentrum in Dublin oder Frankfurt bleibt rechtlich zuständig, einen US-Antrag auszuführen. Simon Dumontel erinnert in Paperjam (April 2026) daran: gerahmte Extraterritorialität, keine Immunität.

4. Wer überwacht die KI-Konformität in Luxemburg?

Die CNPD ist die nationale Behörde für die DSGVO seit 2018 und wurde durch Gesetzesentwurf Nr. 8476 als Referenzbehörde für den AI Act bezeichnet. Für regulierte Finanzunternehmen kommt die CSSF mit DORA-Aufsicht hinzu. Für den Cloud Act überwacht keine luxemburgische Behörde: die Prüfung erfolgt über die Anbieter-Kartierung.

5. Reicht die Data-Privacy-Framework-Zertifizierung bei sensiblen Daten?

Das DPF (EU-Angemessenheitsbeschluss vom 10. Juli 2023) erlaubt EU-Übertragungen an einen zertifizierten US-Anbieter. Es neutralisiert nicht den Cloud Act. Für gewöhnliche Verarbeitung genügt das DPF. Für juristische, medizinische, finanzielle oder parapublic Verarbeitung ist ein privates LLM, gehostet von einem nicht-US-Akteur, oft der saubere Ausweg. Das DPF bleibt unter europäischer gerichtlicher Aufsicht.

Über den Autor: LetzAgents, souveränes KI-Team mit Sitz in Luxemburg, begleitet KMU und Mittelstandsunternehmen beim Einsatz von KI-Systemen, die der DSGVO und dem AI Act entsprechen, sowie bei der Cloud-Act-Souveränitätsberechnung (Kartierung, Abwägung DPF vs. europäisches privates LLM, Vorbereitung auf den 2. August 2026).

Artikel basiert auf offiziellen Texten (DSGVO, AI Act, Cloud Act H.R.4943, DPF-Angemessenheitsbeschluss), CNPD-Dossiers zu internationalen Übertragungen, luxemburgischem Gesetzesentwurf Nr. 8476 und auf der Doktrin, die LexisNexis, K&L Gates und Paperjam in 2025-2026 veröffentlicht haben.

Entdecken Sie unsere anderen Artikel

Dirigeant d'une PME luxembourgeoise consultant un dashboard d'agent téléphonique IA souverain dans un bureau du Kirchberg
Daten Souveränität·

KI-Telefonagent 2026: warum Souveränität wieder zum entscheidenden Kriterium wird

OpenAI hat Voice-KI am 7. Mai 2026 banalisiert. Für ein Luxemburger KMU werden die Souveränität des Modells, die Jurisdiktion der Aufnahmen und das Berufsgeheimnis zu den eigentlichen Auswahlkriterien.

Weiterlesen
Dirigeante de fiduciaire luxembourgeoise consultant un dashboard IA souveraine pour choisir sa solution en 2026
Daten Souveränität·

Eine KI für Ihre luxemburgische Treuhandgesellschaft auswählen: 7 Kriterien im Jahr 2026

Wie Sie 2026 eine KI für Ihre luxemburgische Treuhandgesellschaft auswählen, ohne Berufsgeheimnis, EU-Hosting und AI-Act-Konformität (2. August 2026) zu gefährden.

Weiterlesen
Organisme formation luxembourgeois AI literacy formateur apprenants adultes 2026
Produktivität·

KI bei Luxemburger Bildungsanbietern: 5 Anwendungen und die KI-Kompetenz-Pflicht, die 2026 alles ändert

51 % der Luxemburger Bildungsanbieter setzen KI bereits ein (INFPC, September 2025). 5 konkrete Anwendungen und Artikel 4 der KI-Verordnung vor dem 3. August 2026 erklärt.

Weiterlesen
Alle Artikel ansehen