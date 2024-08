„Die nationale Aufsicht bei Fragen Künstlicher Intelligenz ist aufgrund der sektoralen Zuständigkeiten und der föderalen Aufteilung komplex. Wer die KI-Governance in Deutschland übernehmen soll, ist offen“, so lautete es aus dem Digitalausschuss des Deutschen Bundestages. Eine genaue Klärung der Aufsicht ist aber notwendig, denn die KI-Verordnung (KI-VO) ist am 1. August 2024 in Kraft getreten, die Fristen zur Umsetzung laufen.

Als Unternehmen muss man wissen, welche Behörde und Aufsicht wann zuständig ist und auch Beratung und Unterstützung anbieten könnte. Das gilt ganz besonders für KI-Systeme, die als mit hohem Risiko behaftet klassifiziert werden. Das umfasst etwa KI-Systeme, die in Produkten wie Funkanlagen oder Fahrzeugen eingesetzt werden, aber auch solche KI- Systeme, die zur biometrischen Fernidentifizierung oder bei der Prüfung von Asylanträgen zum Einsatz kommen, erläuterte der Bundesdatenschutzbeauftragte.

Für solche Hochrisiko-KI- Systeme gelten spezifische Anforderungen, beispielsweise an die Qualität der verwendeten Daten, die Genauigkeit, die Robustheit und die Cybersicherheit. Zusätzlich muss es für Hochrisiko-KI- Systeme eine technische Dokumentation, eine Protokollierungsfunktion und ein Risikomanagement geben. Weitere Anforderungen sind Transparenz und menschliche Aufsicht.

Doch auch wer KI-Systeme mit etwas geringerem Risiko einsetzen will, hat Informations- und Aufklärungsbedarf und möchte wissen, welche Behörde denn nun ansprechbar ist und womöglich eine Prüfung vornehmen möchte.

Die Datenschutzaufsicht hat Aufgaben nach KI-Verordnung Bereits jetzt steht fest, dass den Datenschutzaufsichtsbehörden die Marktüberwachung für weite Teile des Hochrisiko-Katalogs an KI-Systemen übertragen wird, das sieht die KI-Verordnung vor, wie zum Beispiel der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit deutlich macht. In den Sektoren der Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie bei KI, die Wahlen beeinflusst, sind demnach die Datenschutzbehörden als Marktüberwachungsbehörden gesetzt (Art. 74 Abs. 8 KI-VO). Das gilt nicht nur für die Behörden, die solche Systeme einsetzen, sondern beispielsweise auch für Softwareunternehmen, Cloud-Dienste und Sicherheitsunternehmen, die für diese Sektoren KI-Systeme anbieten, in bestehende Systeme integrieren oder sie vertreiben. Die Marktüberwachungskompetenz erstreckt sich auf die gesamte Wertschöpfungskette. In anderen Bereichen sind noch keine derartigen Festlegungen zur Aufsicht getroffen: Bis zum 2. August 2025 müssen die Mitgliedstaaten aber ein Durchführungsgesetz erlassen, in dem unter anderem allgemeine Marktüberwachungsbehörden für die Durchsetzung der KI-VO benannt werden. Die KI-VO sieht vor, dass die zuständigen Behörden ständig über eine ausreichende Zahl von Mitarbeitenden verfügen, deren Kompetenzen und Fachkenntnisse ein umfassendes Verständnis der KI-Technologien und insbesondere der relevanten Vorgaben aus dem Daten- und Produktsicherheitsrecht umfassen. Da könnten sich Synergien anbieten, zwischen Datenschutz-Grundverordnung und KI-Verordnung, wenn es um die Aufsicht geht.

Mögliche, nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO) Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hält es in einem Positionspapier (PDF) für sinnvoll, aufgrund der langjährigen Erfahrung im Bereich der Beratung, Beschwerdebearbeitung und Kooperation auf nationaler wie europäischer Ebene grundsätzlich die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden nach der KI-VO zu benennen. Ausgenommen seien einzelne Sektoren wie etwa der Finanzsektor oder die kritische Infrastruktur. Mit dieser Konzeption könnten Doppelstrukturen und zusätzlicher Bürokratieaufwand vermieden werden, so die DSK. Die Datenschutzaufsichtsbehörden hätten ohnehin in allen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, die Aufsicht nach der Datenschutz-Grundverordnung. Nur durch die Zuständigkeit der Datenschutzaufsichtsbehörden nach KI-VO werde eine Beratung und Aufsicht aus einer Hand möglich. Die Datenschutzkonferenz empfiehlt, als Marktüberwachungsbehörden nach der KI-VO den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden zu benennen. Der BfDI sollte nach Vorstellungen der Datenschutzkonferenz Deutschland im Europäischen Ausschuss für KI vertreten. Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, erläuterte: „Die Marktüberwachung für KI-Verfahren erfordert Expertise und den Willen sowie die Fähigkeit zur Kooperation. Die Datenschutzaufsichtsbehörden bringen diese Kompetenzen mit. Eine übergreifende Aufsicht bedeutet für die Verantwortlichen, dass sie einheitliche Ansprechpartner haben. Dies entspricht dem Wunsch der Wirtschaft nach einer Antwort auf ihre Fragen“. Man wolle Marktüberwachung und Datenschutzaufsicht für KI-Verfahren aus einer Hand gewährleisten und stehe für diese Zukunftsaufgabe bereit.