Der Europäische Datenschutzausschuss spricht sich dafür aus, die Datenschutzbehörden als zuständige nationale Marktüberwachungsbehörden für die Zwecke der KI-Verordnung zu benennen. Das ist möglich, aber nicht zwingend. Der folgende Artikel ordnet die Argumente des Datenschutzausschusses ein und gibt einen Ausblick.
Der Inhalt im Überblick
EDSA will Datenschutzbehörden als Marktüberwachungsbehörden
Es gibt Kuchen für die Datenschutzbehörden in Europa! Zumindest möchte das der Europäische Datenschutzausschuss (EDSA). Letzte Woche hat er ein Statement zur Rolle der Datenschutzbehörden im Rahmen der KI-Verordnung veröffentlicht. Diese wird am 1. August wirksam und schafft neue Zuständigkeiten: einen Kuchen, von dem einige ein Stück haben wollen. Die KI-Verordnung sieht in Artikel 70 Abs. 1 vor, dass für die Zwecke der Verordnung jeder Mitgliedsstaat mindestens eine notifizierende Behörde und mindestens eine Marktüberwachungsbehörde als zuständige nationale Behörde einrichtet oder benennt. Welche Behörden das sein sollen, sagt die Norm nicht. Der EDSA möchte, dass (solange Mitgliedsstaaten noch nichts anderes entschieden haben) die Datenschutzbehörden als Marktüberwachungsbehörden benannt werden. Er stellt sich damit hinter die Datenschutzkonferenz, die bereits im Mai dieses Jahres mit einem Positionspapier die Bereitschaft der Datenschutzaufsichtsbehörden signalisierte, die Marktüberwachung für KI-Systeme zu übernehmen.
Diese Anforderungen stellt die KI-Verordnung an zuständige Behörden
In Artikel 70 Abs. 3 KI-Verordnung ist vorgesehen, dass die zuständigen nationalen Behörden
„(…) mit angemessenen technischen und finanziellen Mitteln sowie geeignetem Personal und Infrastrukturen ausgestattet werden, damit sie ihre Aufgaben im Rahmen dieser Verordnung wirksam erfüllen können. (…)“
Insbesondere muss sichergestellt werden, dass
„(…) die zuständigen nationalen Behörden zu jeder Zeit über eine ausreichende Zahl von Mitarbeitern verfügen, zu deren Kompetenzen und Fachwissen ein tiefes Verständnis der KI-Technologien, der Daten und Datenverarbeitung, des Schutzes personenbezogener Daten, der Cybersicherheit, der Grundrechte, der Gesundheits- und Sicherheitsrisiken sowie Kenntnis der bestehenden Normen und rechtlichen Anforderungen gehört. (…)“
Der Wortlaut macht nicht klar, ob diese Kompetenzen jeweils in einem einzelnen Tausendsassa vereint sein sollen. Oder ob die Mitarbeitenden diese Fähigkeiten gemeinsam zusammenbringen müssen. Auch dann ist fraglich, in welchen nationalen Behörden eine „ausreichende Zahl“ an solchen Mitarbeitenden vorhanden sein soll. Im Einwohnermeldeamt? In der Bauaufsichtsbehörde? Der EDSA präsentiert uns selbstbewusst einen Vorschlag: lasst es die Datenschutzbehörden machen!
Warum der EDSA für eine Zuständigkeit der Datenschutzbehörden plädiert
Der EDSA attestiert den Datenschutzbehörden Expertise in Bezug auf KI-Technologien. Die Datenschutzbehörden seien unentbehrliche Akteure für den Einsatz sicherer, rechtsorientierter KI-Systeme. Er verweist darauf, dass die Behörden bereits Richtlinien und Best Practices zu Künstlicher Intelligenz entwickeln und außerdem Datenschutzrecht in Fällen mit KI-Bezug durchsetzen. Auch führt er an, dass Datenschutzbehörden die in Art. 70 Abs. 3 KI-Verordnung geforderten Fähigkeiten in Bezug auf Datenverarbeitung, Datensicherheit und die Einschätzung von Grundrechtsrisiken haben. Durch die bestehende Unabhängigkeit der Datenschutzbehörden könne zudem eine effektive und unabhängige Aufsicht i.S.d. Art. 70 Abs. 1 KI-Verordnung gewährleistet werden.
Inhaltlich argumentiert der EDSA mit der engen Verzahnung von KI-Verordnung und Europäischem Datenschutzrecht. Beide seien sich prinzipiell ergänzende und gegenseitig verstärkende Instrumente. Die Verarbeitung personenbezogener Daten sieht er als ein Kernelement der unterschiedlichen Technologien, die der Definition von Künstlicher Intelligenz im Sinne der Verordnung unterfallen. Ohnehin können KI-Systeme durch die Verarbeitung personenbezogener Daten in den Aufgabenbereich der Datenschutzbehörden bzw. des Europäischen Datenschutzbeauftragen fallen – insbesondere KI-Systeme mit allgemeinem Verwendungszeck („General-Purpose AI“).
Ein weiteres Argument ist organisatorisch: nicht nur die zügige Umsetzung der KI-Verordnung spreche dafür, die Datenschutzbehörden zu den zuständigen Marktaufsichtsbehörden zu machen. Auch erleichtere eine einzelne Anlaufstelle den Austausch zwischen den unterschiedlichen Gesetzgebungsorganen, die mit der KI-Verordnung und Europäischem Datenschutzrecht betraut sind – ein Gewinn für alle Stakeholder in der Wertschöpfungskette von KI-Systemen.
Wären Andere geeigneter?
Zwar erscheint es zweifelhaft, ob die Datenschutzbehörden aktuell durchweg die in der KI-Verordnung geforderte, umfassende Expertise aufbringen, die insbesondere ein „tiefes Verständnis der KI-Technologien“ fordert. Es drängt sich aber auch nicht die Vermutung auf, dass andere Behörden offensichtlich geeigneter als Marktüberwachungsbehörden wären. So haben z.B. Informationssicherheitsbehörden grundsätzlich mehr Know-How im Bereich Informatik, naturgemäß aber weniger Datenschutzexpertise. Dass unter Behörden ein Wettstreit darüber ausbricht, wer Marktüberwachungsbehörde im Rahmen der KI-Verordnung sein darf, ist (zumindest derzeit) nicht ersichtlich.
Art. 70 Abs. 1 der KI-Verordnung sieht zwar die Möglichkeit vor, dass Mitgliedsstaaten eigene Marktüberwachungsbehörden einrichten können. Das wäre aber ressourcenintensiv und gerade in Zeiten des eklatanten Personal- und Fachkräftemangels ein sehr ambitioniertes Vorhaben. Es scheint einfacher, in bestehende Behörden zu investieren und diese entsprechend auszustatten. Die Datenschutzbehörden sind nicht nur naheliegende Kandidaten. Auch sieht die KI-Verordnung in Art. 74 Abs. 8 bereits ausdrücklich vor, dass für bestimmte Hochrisiko-KI-Systeme die für den Datenschutz zuständigen Aufsichtsbehörden als Marktüberwachungsbehörden benannt werden können.
Ausblick: es sieht gut aus für die Datenschutzbehörden
Der EDSA bringt für die Datenschutzbehörden als Marktaufsichtsbehörden mehrere gute Argumente ins Rennen. Um diese Aufgabe wahrzunehmen, brauchen die aber sicherlich zusätzliche Ressourcen: finanziell, technisch und nicht zuletzt personell. Dass die Mitgliedsstaaten solche Ressourcen bereitstellen sollen, ist in der KI-Verordnung auch vorgesehen. Wenn die entsprechenden Mittel zur Verfügung gestellt werden, dann können sich die Datenschutzbehörden womöglich bald über neue Aufgaben freuen. Vom Kuchen der neu geschaffenen KI-Zuständigkeiten fällt dann ein Stück für sie ab – ganz wie vom EDSA erhofft.
Soweit ich mich erinnere wurde bei der Experten-Anhörung im Digitalausschuss am Mittwoch, 15. Mai 2024, die Bundesnetzagentur von mehreren Experten als mögliche Aufsichtsbehörde ins Spiel gebracht.
Aufgrund der föderalen Zuständigkeit für den Datenschutz in Deutschland würde ich es für einen großen Fehler halten die Datenschutzbehörden auch für das Thema Künstliche Intelligenz als Aufsichtsbehörde vorzusehen. Das viele Köche den Brei verderben sehen wir beim Thema Datenschutz nur zu deutlich.
Die „enge Verzahnung“ von KI-Verordnung und Europäischem Datenschutzrecht kann ich nicht erkennen.