Die unabhängigen Datenschutzaufsichtsbehörden der Länder üben deutliche Kritik an einem aktuellen Gesetzesvorhaben des Bundesministeriums für Digitales und Staatsmodernisierung. Danach soll die Marktüberwachung für bestimmte grundrechtsrelevante Künstliche Intelligenz der Bundesnetzagentur übertragen werden – unter anderem im Hoch-Sicherheitsbereich. Diese Aufgabe hat die sogenannte KI-Verordnung (KI-VO) aber bereits den Datenschutzaufsichtsbehörden zugewiesen.
„Der entsprechende Referentenentwurf führt zu einer massiven Schwächung von Grundrechten“, so Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit. „Laut KI-Verordnung ist es originäre Aufgabe der Datenschutzaufsichtsbehörden, in diesem Bereich der Marktüberwachung die Einhaltung von Grundrechten zu kontrollieren. Stattdessen will das Ministerium die Aufgabe nun einem neu zu schaffenden Gremium übertragen. Diese Entscheidung steht nicht zur Disposition des deutschen Gesetzgebers, weil das europäische Recht es bereits anders geregelt hat.“
Begründet wird das Vorhaben unter anderem damit, vermeintliche Hemmnisse für Innovation abbauen zu wollen, da sich „die Datenschutzbehörden primär auf den Grundrechtsschutz fokussieren“, wie es im Entwurf heißt. Betroffen sind Hochrisiko-KI‑Systeme, sofern diese Systeme für Strafverfolgungszwecke, Grenzmanagement und Justiz und Demokratie eingesetzt werden.
Schutz von Grundrechten ist demokratische Notwendigkeit
Meike Kamp: „Die Datenschutzaufsichtsbehörden, die die Grundrechte der Bürgerinnen und Bürger wahren und stärken, sollen also eben deswegen künftig keine Rolle spielen bei der Aufsicht, und das in diesem sehr sensiblen Bereich. Das lässt ein merkwürdiges Verständnis der Bedeutung von Grundrechten und auch über die Aufgaben der Datenschutzaufsicht erkennen.“ Die Landesdatenschutzbehörden weisen im Übrigen darauf hin, dass die Aufsichtsbehörden schon immer das Datenschutzrecht im Einklang mit anderen Grundrechten zu gewährleisten hatten. So ermöglichen etwa Wissenschafts- und Gewerbefreiheit erst Innovationen. Dies zu berücksichtigen ist und bleibt Aufgabe der Datenschutzbehörden.
„Grundrechtsschutz ist kein Makel, sondern eine demokratische Notwendigkeit. Gerade angesichts der weitreichenden Auswirkungen, die die Nutzung von Künstlicher Intelligenz potenziell auf die Gesellschaft hat, müssen die Grundrechte der Bürgerinnen und Bürger geachtet werden“, betont Kamp.
Die Landesdatenschutzbehörden machen darüber hinaus klar, dass weder alle Kompetenzen bei der Bundesnetzagentur gebündelt werden müssen noch bei den Datenschutz-Aufsichtsbehörden die gesamte Zuständigkeit der Marktüberwachung liegen muss. Die von der europäischen KI-Verordnung getroffenen Regelungen sehen einen Ausgleich der Kompetenzen vor. „Diesem Weg sollte die Bundesregierung folgen. Die Aufsichtsbehörden des Bundes und der Länder verfügen über die Kompetenzen und Strukturen, um die Aufsicht über die KI-Systeme in den grundrechtsrelevanten Bereichen effizient und verbindlich wahrzunehmen“, fordert Kamp.
Außerdem fällt nach dem Gesetzentwurf der Bundesnetzagentur auch die Marktaufsicht über den Einsatz von KI durch Landesbehörden zu. Das ist jedenfalls beim Einsatz von KI für originäre Landesaufgaben verfassungswidrig.
Hintergrund
Im März 2024 hat das Europäische Parlament die Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO) angenommen. Nach Inkrafttreten der KI‐VO muss in Deutschland eine behördliche Aufsichtsstruktur eingerichtet werden. In der anstehenden Länder- und Verbändeanhörung zum Referentenentwurf werden sich die Landesdatenschutzbehörden mit einer Stellungnahme beteiligen.
Die Aufsicht über den Datenschutz ist in Deutschland föderal strukturiert. Neben der Aufsicht über die Landes- und Kommunalbehörden wird auch der nicht-öffentliche Bereich grundsätzlich von den Landesdatenschutzbehörden betreut. Insgesamt gibt es 17 Landesdatenschutzbehörden in Deutschland (in Bayern zwei).