MH - Fotolia
Datenschutz und KI-VO: Die Rolle der Aufsichtsbehörden
Die KI-Verordnung (KI-VO) ist am 1. August 2024 in Kraft getreten. Unternehmen suchen Unterstützung bei der Umsetzung. Die nationale Aufsicht bei KI ist aber komplex.
„Die nationale Aufsicht bei Fragen Künstlicher Intelligenz ist aufgrund der sektoralen Zuständigkeiten und der föderalen Aufteilung komplex. Wer die KI-Governance in Deutschland übernehmen soll, ist offen“, so lautete es aus dem Digitalausschuss des Deutschen Bundestages. Eine genaue Klärung der Aufsicht ist aber notwendig, denn die KI-Verordnung (KI-VO) ist am 1. August 2024 in Kraft getreten, die Fristen zur Umsetzung laufen.
Als Unternehmen muss man wissen, welche Behörde und Aufsicht wann zuständig ist und auch Beratung und Unterstützung anbieten könnte. Das gilt ganz besonders für KI-Systeme, die als mit hohem Risiko behaftet klassifiziert werden. Das umfasst etwa KI-Systeme, die in Produkten wie Funkanlagen oder Fahrzeugen eingesetzt werden, aber auch solche KI- Systeme, die zur biometrischen Fernidentifizierung oder bei der Prüfung von Asylanträgen zum Einsatz kommen, erläuterte der Bundesdatenschutzbeauftragte.
Für solche Hochrisiko-KI- Systeme gelten spezifische Anforderungen, beispielsweise an die Qualität der verwendeten Daten, die Genauigkeit, die Robustheit und die Cybersicherheit. Zusätzlich muss es für Hochrisiko-KI- Systeme eine technische Dokumentation, eine Protokollierungsfunktion und ein Risikomanagement geben. Weitere Anforderungen sind Transparenz und menschliche Aufsicht.
Doch auch wer KI-Systeme mit etwas geringerem Risiko einsetzen will, hat Informations- und Aufklärungsbedarf und möchte wissen, welche Behörde denn nun ansprechbar ist und womöglich eine Prüfung vornehmen möchte.
Die Datenschutzaufsicht hat Aufgaben nach KI-Verordnung
Bereits jetzt steht fest, dass den Datenschutzaufsichtsbehörden die Marktüberwachung für weite Teile des Hochrisiko-Katalogs an KI-Systemen übertragen wird, das sieht die KI-Verordnung vor, wie zum Beispiel der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit deutlich macht.
In den Sektoren der Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie bei KI, die Wahlen beeinflusst, sind demnach die Datenschutzbehörden als Marktüberwachungsbehörden gesetzt (Art. 74 Abs. 8 KI-VO). Das gilt nicht nur für die Behörden, die solche Systeme einsetzen, sondern beispielsweise auch für Softwareunternehmen, Cloud-Dienste und Sicherheitsunternehmen, die für diese Sektoren KI-Systeme anbieten, in bestehende Systeme integrieren oder sie vertreiben. Die Marktüberwachungskompetenz erstreckt sich auf die gesamte Wertschöpfungskette.
In anderen Bereichen sind noch keine derartigen Festlegungen zur Aufsicht getroffen: Bis zum 2. August 2025 müssen die Mitgliedstaaten aber ein Durchführungsgesetz erlassen, in dem unter anderem allgemeine Marktüberwachungsbehörden für die Durchsetzung der KI-VO benannt werden.
Die KI-VO sieht vor, dass die zuständigen Behörden ständig über eine ausreichende Zahl von Mitarbeitenden verfügen, deren Kompetenzen und Fachkenntnisse ein umfassendes Verständnis der KI-Technologien und insbesondere der relevanten Vorgaben aus dem Daten- und Produktsicherheitsrecht umfassen. Da könnten sich Synergien anbieten, zwischen Datenschutz-Grundverordnung und KI-Verordnung, wenn es um die Aufsicht geht.
Mögliche, nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO)
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hält es in einem Positionspapier (PDF) für sinnvoll, aufgrund der langjährigen Erfahrung im Bereich der Beratung, Beschwerdebearbeitung und Kooperation auf nationaler wie europäischer Ebene grundsätzlich die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden nach der KI-VO zu benennen. Ausgenommen seien einzelne Sektoren wie etwa der Finanzsektor oder die kritische Infrastruktur.
Mit dieser Konzeption könnten Doppelstrukturen und zusätzlicher Bürokratieaufwand vermieden werden, so die DSK. Die Datenschutzaufsichtsbehörden hätten ohnehin in allen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, die Aufsicht nach der Datenschutz-Grundverordnung. Nur durch die Zuständigkeit der Datenschutzaufsichtsbehörden nach KI-VO werde eine Beratung und Aufsicht aus einer Hand möglich.
Die Datenschutzkonferenz empfiehlt, als Marktüberwachungsbehörden nach der KI-VO den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden zu benennen. Der BfDI sollte nach Vorstellungen der Datenschutzkonferenz Deutschland im Europäischen Ausschuss für KI vertreten.
Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, erläuterte: „Die Marktüberwachung für KI-Verfahren erfordert Expertise und den Willen sowie die Fähigkeit zur Kooperation. Die Datenschutzaufsichtsbehörden bringen diese Kompetenzen mit. Eine übergreifende Aufsicht bedeutet für die Verantwortlichen, dass sie einheitliche Ansprechpartner haben. Dies entspricht dem Wunsch der Wirtschaft nach einer Antwort auf ihre Fragen“. Man wolle Marktüberwachung und Datenschutzaufsicht für KI-Verfahren aus einer Hand gewährleisten und stehe für diese Zukunftsaufgabe bereit.
Europäischer Datenschutzausschuss empfiehlt ebenfalls einheitliche Aufsicht
Die stellvertretende Vorsitzende des EDSA, Irene Loizidou Nicolaidou, sagte: „Die Datenschutzbehörden sollten bei der Durchsetzung des KI-Gesetzes eine wichtige Rolle spielen, da die meisten KI-Systeme die Verarbeitung personenbezogener Daten beinhalten. Ich bin fest davon überzeugt, dass die Datenschutzbehörden aufgrund ihrer völligen Unabhängigkeit und ihres tiefen Verständnisses der Risiken der KI für die Grundrechte aufgrund ihrer vorhandenen Erfahrung für diese Rolle geeignet sind.“
Entsprechend empfiehlt der Europäische Datenschutzausschuss (EDSA): Die Mitgliedstaaten sollten in Erwägung ziehen, Datenschutzbehörden auch für andere Hochrisiko-KI-Systeme als Marktaufsichtsbehörden zu ernennen und dabei die Ansichten der nationalen Datenschutzbehörden zu berücksichtigen, insbesondere dann, wenn diese Hochrisiko-KI-Systeme in Sektoren eingesetzt werden, in denen wahrscheinlich die Rechte und Freiheiten natürlicher Personen im Hinblick auf die Verarbeitung personenbezogener Daten beeinträchtigt werden.
Nun bleibt abzuwarten, ob die möglichen Synergien zwischen Datenschutz-Grundverordnung und KI-Verordnung zum Tragen kommen. Unabhängig davon ist aber klar, dass die DSGVO auch bei KI-Systemen vollständig zum Tragen kommt, ganz gleich, wer die allgemeine Marktaufsicht nach KI-VO umsetzen wird.