Einen guten Monat nach Inkrafttreten der KI-Verordnung hat die Bundesregierung Mitte September eine Entscheidung gefällt: Die zentrale Rolle bei der KI-Aufsicht soll die Bundesnetzagentur übernehmen. Die Datenschutzbehörden werden aber trotzdem involviert bleiben.
Der Inhalt im Überblick
Warum Datenschutzaufsichtsbehörden vs. Bundesnetzagentur?
Die Datenschutzaufsichtsbehörden dürften enttäuscht sein. Schließlich hatten Sie sich offensiv dafür beworben, für die Zwecke der KI-Verordnung die KI-Marktüberwachung zu übernehmen. Auch der Europäische Datenschutzausschuss (EDSA) veröffentlichte ein Statement, in dem er europaweit dafür warb, die Datenschutzbehörden ins Zentrum der KI-Aufsicht zu stellen. Man stand also in den Startlöchern. Mit ihrer Entscheidung, der Bundesnetzagentur die zentrale Rolle bei der KI-Aufsicht zu geben, hat die Bundesregierung der Idee eine Absage erteilt, die Zuständigkeit für die Marktüberwachung bei den Datenschutzbehörden zu bündeln.
Auf den ersten Blick mag es überraschen, dass die Bundesregierung eine Behörde gewählt hat, deren vollständiger Name „Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen“ ist. Eine Assoziation mit Künstlicher Intelligenz drängt sich unvoreingenommenen Betrachter:innen da nicht sofort auf. Die Verbindung zwischen KI und Daten bzw. Datenschutz schon eher.
Um zu verstehen, was die Bundesnetzagentur für ihre neue Aufgabe qualifiziert, muss man sich vor Augen führen, was die KI-Verordnung für eine Rechtsnatur hat: im Kern regelt sie Produktsicherheitsrecht. Die Produkte sind die KI-Systeme. Mit Produktsicherheit hat die Bundesnetzagentur – im Gegensatz zu den Datenschutzaufsichtsbehörden – Erfahrung. Dass sich bei KI-Systemen auch immer wieder komplexe, datenschutzrechtliche Fragen stellen, verlangt aber gleichzeitig auch Datenschutzexpertise. Keine leichte Ausgangssituation also. Denkbar wäre zwar die Schaffung einer völlig neuen Behörde gewesen. Das scheint die Bundesregierung aber nicht ernsthaft in Erwägung gezogen zu haben. In Anbetracht der Ressourcenintensität (Personal, Ausstattung) ist das auch verständlich.
Wieso hat die Bundesnetzagentur das Rennen gemacht?
Die Gründe ihrer Entscheidung für die zentrale Rolle der Bundesnetzagentur (und damit gegen eine zentrale Rolle der Datenschutzbehörden) hat die Bundesregierung nicht im Einzelnen dargelegt. Eine Pressemitteilung steht noch aus, es gibt bis dato nur einen LinkedIn-Post des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) von Mitte September. Hierin spricht das Ministerium davon, eine „Grundlage für eine innovationsfreundliche und bürokratiearme Durchführung der Verordnung“ gelegt zu haben.
Entscheidender Vorteil der Bundesnetzagentur dürfte gewesen sein, dass jetzt eine zentrale Zuständigkeit auf Bundesebene besteht. Das wäre mit den Datenschutzbehörden nicht möglich gewesen, denn die Datenschutzaufsicht ist in Deutschland föderal ausgestaltet.
Was darf die Bundesnetzagentur jetzt?
Die Bundesregierung gibt der Bundesnetzagentur die zentrale Rolle für die Umsetzung der KI-Verordnung und weist ihr Aufsichtsaufgaben zu. Welche Rolle Andere spielen, geht hieraus nicht hervor. Die genaue Ausgestaltung der Zuständigkeiten will sich die Bundesregierung vielleicht noch offenhalten. Aus einer Presseanfrage ist aber bereits bekannt: Um Doppelzuständigkeiten zu vermeiden, gibt es einige sektorale Zuständigkeiten, z.B. für das Kraftfahrtbundesamt im Automotive-Bereich und die BaFin bei Finanzthemen. Bei allen Bereichen, die nicht klar reguliert sind, wird die Bundesnetzagentur zentrale Stelle und Ansprechpartnerin.
Bürokratiearme Umsetzung – ein Trugschluss?
Zentrale Zuständigkeit statt Datenschutzföderalismus: das klingt erst einmal nach schlanken Prozessen und Effizienz. Wer aber meint, die Datenschutzaufsichtsbehörden seien nun völlig außen vor, der irrt. Das ergibt sich einerseits aus der Natur der Sache und andererseits aus der KI-Verordnung selbst.
Aus der Natur der Sache folgt es, weil die Datenschutzbehörden (zumindest auch) die Kompetenz zur Prüfung von KI-Systemen haben, wenn diese personenbezogene Daten verarbeiten. Diese Prüfung findet dann eben nicht unter dem Aspekt „Produktsicherheit“ sondern unter dem Aspekt „Datenschutz“ statt.
Aus der KI-Verordnung selbst ergibt es sich, weil diese an verschiedenen Stellen Kompetenzen der Datenschutzbehörden vorsieht. So gibt es bei der biometrischen Identifizierung zu Strafverfolgungszwecken Mitteilungspflichten gegenüber der zuständigen Marktüberwachungsbehörde und der nationalen Datenschutzbehörde (vgl. Art. 5 Abs. 4 KI-VO) bzw. die Pflicht, Marktüberwachungs- und Datenschutzbehörde auf Anfrage bestimmte polizeiliche Dokumentationen zur Verfügung zu stellen (vgl. Art. 26 Abs. 10 KI-VO). Zudem hat auch der Europäische Datenschutzbeauftragte unterschiedliche Befugnisse. Er ist u.a. Beobachter im „KI-Gremium“, das sich gemäß Art. 65 Abs. 1 KI-VO aus einem Vertreter je Mitgliedsstaat zusammensetzt und nach Art. 66 KI-VO dazu beitragen soll, die Anwendung der Verordnung zu erleichtern.
Die KI-Aufsicht bleibt komplex
Die Bundesregierung will durch die neue Behördenstruktur Doppelzuständigkeiten ausdrücklich vermeiden. In allen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, drängen sich solche Doppelzuständigkeiten aber auf. Denn hier können die Datenschutzbehörden nicht einfach außen vor bleiben. Die KI-Aufsicht wird komplexe Prozesse mit sich bringen und das Zusammenwirken der Behörden wird Teil dieser Komplexität sein. Auch wenn es Vorteile hat, dass es mit der Bundesnetzagentur eine zentrale Ansprechpartnerin auf Bundesebene gibt: Beim Thema Künstliche Intelligenz sind die Datenschutzbehörden weiter mit von der Partie.
Webinar zum Thema
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „DSGVO und Künstliche Intelligenz – Datenschutzkonformer Umgang mit KI-Systemen“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen.
Donnerstag, den 17.10.2024
von 10:00 bis 12:00 Uhr
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.