Im März 2024 hat das Europäische Parlament die Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO) angenommen. Nach Inkrafttreten der KI‐VO muss in Deutschland innerhalb von 12 Monaten eine behördliche Aufsichtsstruktur eingerichtet werden. Es besteht Handlungsbedarf für die Gesetzgeber in Bund und Ländern: Wer soll die Aufsicht wahrnehmen?
In dieser Situation weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) darauf hin, dass die KI-VO in vielen Fällen bereits eine sektorspezifische Zuständigkeit der Datenschutzbehörden als Marktüberwachungsbehörden vorsieht. Ziel ist eine einheitliche Anwendung der KI-VO. Die Datenschutzkonferenz hält es für sinnvoll, aufgrund der langjährigen Erfahrung im Bereich der Beratung, Beschwerdebearbeitung und Kooperation auf nationaler wie europäischer Ebene grundsätzlich die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden nach der KI-VO zu benennen. Ausgenommen sind einzelne Sektoren wie etwa der Finanzsektor oder die kritische Infrastruktur.
Mit dieser Konzeption können Doppelstrukturen und zusätzlicher Bürokratieaufwand vermieden werden: Die Datenschutzaufsichtsbehörden haben ohnehin in allen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, die Aufsicht nach der Datenschutz-Grundverordnung. Nur durch die Zuständigkeit der Datenschutzaufsichtsbehörden nach KI-VO wird eine Beratung und Aufsicht aus einer Hand möglich. Unabhängig davon, welche Behörden die Marktüberwachung im Bereich der KI übernehmen sollen, müssen diese mit angemessenen Ressourcen ausgestattet werden.
Die Datenschutzkonferenz empfiehlt, als Marktüberwachungsbehörden nach der KI-VO den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden zu benennen. Der BfDI soll nach Vorstellungen der Datenschutzkonferenz Deutschland im Europäischen Ausschuss für KI vertreten.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI): „Die Aufsicht über den Einsatz von Künstlicher Intelligenz sollte aus einer Hand erfolgen. Wenn Berliner Unternehmen und Behörden KI-Systeme einsetzen, sollten sie einen einheitlichen Ansprechpartner vor Ort für die Beratung und Aufsicht haben. Immer dann, wenn personenbezogene Daten im Spiel sind, sind gemäß DSGVO ohnehin die Datenschutzbehörden zuständig. Zur Vermeidung von Doppelstrukturen und zusätzlicher Rechtsuntersicherheiten empfehle ich daher, die Datenschutzbehörden grundsätzlich auch als Aufsicht über KI-Systeme festzulegen.“
Das Positionspapier „Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO)“, das die Zuständigkeitsempfehlungen näher erläutert, ist auf der Website der Datenschutzkonferenz abrufbar.
Über die Datenschutzkonferenz:
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.