Die Datenschutzaufsichtsbehörden werben darum, die nationale Marktüberwachung für die Zwecke der KI-Verordnung zu übernehmen. Nun scheint es, als könnte die Bundesregierung Anderes wollen. Dieser Artikel beleuchtet die aktuelle Debatte und erklärt, welche Behörde die Pläne der Datenschützer:innen durchkreuzen könnte.
Der Inhalt im Überblick
Marktüberwachungsbehörden und die Produktsicherheit von KI-Systemen
Die nationalen Marktüberwachungsbehörden der EU überprüfen die Sicherheit von Produkten. Wenn sie hierbei potentielle Risiken für Verbraucher:innen feststellen, dann können sie zu deren Schutz unterschiedliche Maßnahmen ergreifen (Warnungen, Rückrufe, Sanktionen). Die Behörde, die gemäß Art. 70 KI-Verordnung entsprechend eingerichtet oder benannt wird, muss sich also mit der Produktsicherheit von KI-Systemen beschäftigen. Hierbei gibt es einen verzwickten Unterschied zu herkömmlichen Produkten wie z.B. Haushaltsgeräten. Es geht bei KI-Systemen nämlich nicht nur darum, anhand ausgewiesener technischer Normen die technische Konformität dieser Systeme zu bewerten. Sondern auch um die Folgen, die diese Systeme für unsere Grundrechte haben und, damit einhergehend, die Frage, ob sie datenschutzkonform sind.
DSK und EDSA wollen die Zuständigkeit der Datenschutzaufsichtsbehörden
Es gibt gute Argumente dafür, die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden für die Zwecke der KI-Verordnung zu benennen. Neben organisatorischen Erwägungen spricht dafür nicht zuletzt die enge Verzahnung von Datenschutz und Künstlicher Intelligenz. Bereits im Mai hatten sich darum die deutschen Datenschutzaufsichtsbehörden mit einem entsprechenden Statement der Datenschutzkonferenz (DSK) für die Rolle in Stellung gebracht. Der Europäische Datenschutzausschuss (EDSA) zog im Juli nach. Hierüber hat Dr. Datenschutz berichtet.
Warum die Bundesnetzagentur ins Spiel gebracht wird
So offensiv hat bis jetzt keine andere Behörde nach außen um die neue Zuständigkeit geworben. Es gibt aber eine Kandidatin, die immer wieder genannt wird und ebenfalls ihre Bereitschaft signalisiert hat, die Rolle anzunehmen: die Bundesnetzagentur.
Schon im Digitalausschuss des Deutschen Bundestages hatten sich im Mai im Rahmen einer öffentlichen Anhörung mehrere Expert:innen mit der Frage beschäftigt, ob und welche Vorteile die Bundesnetzagentur (u.a.) als Marktüberwachungsbehörde gegenüber den Datenschutzaufsichtsbehörden haben könnte. Nachdem das Thema in der Presse nun mehrfach aufgegriffen wurde (es berichtete u.a. das Handelsblatt), verdichten sich die Hinweise darauf, dass die Bundesregierung die Bundesnetzagentur den Datenschutzaufsichtsbehörden vorziehen könnte.
Hierfür spricht insbesondere, dass die Bundesnetzagentur bereits sektoral für Marktüberwachung zuständig ist und Erfahrung mit Produktsicherheitsrecht hat. Außerdem könnte hier eine zentrale Bundeszuständigkeit geschaffen werden. Im Gegensatz dazu ist die Datenschutzaufsicht in Deutschland föderal ausgestaltet.
Aufsicht durch die Bundesnetzagentur „kontraproduktiv“?
Nach einer Pressemitteilung vom 9. August hält Michael Will, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, die derzeitigen Überlegungen der Bundesregierung für kontraproduktiv. Er führte aus:
„Künstliche Intelligenz wird in der Praxis regelmäßig datenschutzrechtliche Fragestellungen aufwerfen. Eine aufgespaltene Aufsicht führt für Unternehmen nur zu einem Mehr an Bürokratie und Aufwand und erzeugt nahezu zwangsläufig Rechtsunsicherheit. Können wir es uns wirklich erlauben, offensichtliche Synergieeffekte, die sich aus dem Zusammenspiel von KI-VO und DS-GVO ergeben, die weniger Bürokratie, mehr Effizienz und höheren Schutz für die Rechte und Freiheiten Betroffener ermöglichen, durch vorschnelle Festlegungen auf eine zentrale Bundeszuständigkeit zu verschenken?“
die Pressemitteilung betonte, dass
„(…) die Prüfung von KI-Modellen und KI-Systemen […] zumindest auch in den Kompetenzbereich der Datenschutzbehörden fallen [wird], soweit dabei personenbezogene Daten verarbeitet werden.“
Die Zeit drängt: wer macht das Rennen?
Die Zuständigkeit für die Marktüberwachung muss bis zum 2. August 2025 geklärt worden sein. Egal, wer das Rennen macht, die zuständige Behörde bzw. die Behörden werden sich auf die neuen Aufgaben vorbereiten müssen und erhebliche, zusätzliche Ausstattung brauchen. Die Zeit drängt.
Vor allem wenn man einen besonderen Fokus auf die datenschutzrechtlichen Aspekte von Künstlicher Intelligenz legt, wird klar: keine Behörde ist offensichtlich geeigneter als die Datenschutzaufsichtsbehörden. Das betonte bereits der letzte Artikel zu diesem Thema. Gleichzeitig ist nicht von der Hand zu weisen, dass die Datenschutzaufsichtsbehörden nicht die Expertise bereithalten, die die Bundesnetzagentur zu Marktüberwachung und Produktsicherheit hat.
Letztlich wird es darauf ankommen, wo die Bundesregierung die zentralen Herausforderungen für die Marktüberwachung von KI-Systemen sieht. Und welche Anforderungen sie damit schwerpunktmäßig an die neue Marktüberwachung stellt. Auch wenn die Bundesnetzagentur in der medialen Berichterstattung die Nase vorn haben sollte, ist sicher: die Datenschutzaufsichtsbehörden bleiben zu Recht motiviert.
Als Datenschutzbeauftragter würde ich in Fragen für den Verantwortlichen (beinhalten oftmals Datenschutzrechtliche- als auch Technische Fragestellungen) im Falle des Zuschlags für die Bundesnetzagentur demnach doch zweigleisig fahren. Ich sehe hier nicht nur einen Mehraufwand für den Verantwortlichen sondern auch für jene Personen die mit dem Datenschutz betraut wurden.