Toolbar-Menü

Beschluss vom 3. Mai 2024: Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO) – Positionspapier

Die KI‐VO sieht bereits in einigen Fällen die sektorspezifische Zuständigkeit der Datenschutzbehörden als Marktüberwachungsbehörden vor. Aufgrund ihrer bestehenden Zuständigkeiten nach der DSGVO, ihrer langjährigen Expertise im digitalen Grundrechtsschutz und etablierten, kooperativen Aufsichts‐ sowie Abstimmungsmechanismen sollte diese Kompetenz ausgeweitet werden. Die Datenschutzaufsichtsbehörden sind bereit, die Aufgabe der nationalen Marktüberwachung für KI‐Systeme zu übernehmen.

Im März 2024 hat das Europäische Parlament die Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz angenommen. Nach Inkrafttreten der KI‐VO muss in Deutschland innerhalb von 12 Monaten eine behördliche Aufsichtsstruktur eingerichtet werden. Damit besteht Handlungsbedarf für die Gesetzgeber in Bund und Ländern.

Aufgrund der bereits jetzt durch die DSGVO begründeten Aufgaben und Befugnisse der Datenschutzaufsichtsbehörden sowie der langjährigen Erfahrung im Bereich der Beratung, Beschwerdebearbeitung und Kooperation auf nationaler wie europäischer Ebene sollten in Deutschland grundsätzlich die nationalen Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden benannt werden. Das Ziel einer einheitlichen Anwendung der KI‐VO wäre mit der Einrichtung weiterer Marktüberwachungsbehörden kaum zu erreichen. Sowohl im Bereich der KI‐ als auch der Datenschutzaufsicht hätten Unternehmen, Behörden und Bürger:innen es bei einer Bündelung der Zuständigkeiten im Regelfall nur mit einer Aufsichtsbehörde zu tun. Zudem verfügen die Datenschutzaufsichtsbehörden nicht nur über einschlägige Fachkunde und die von der KI‐VO geforderte Unabhängigkeit, sondern auch über funktionierende Kooperations‐ und Kohärenzmechanismen.

Ohnehin bleibt die Datenschutzaufsicht – jedenfalls bei KI‐Systemen, die personenbezogene Daten verarbeiten, wie dies in der Praxis regelmäßig auftreten wird – vollständig bestehen, da die KI‐VO die DSGVO in ihrem Anwendungsbereich nicht ersetzt. Auch die KI‐VO erkennt die Expertise der Datenschutzbehörden an: Für Kernelemente der demokratischen Ordnung sind sie bereits zuständige Marktüberwachungsbehörden (Strafverfolgung, Wahlen, Grenzkontrolle und Justizverwaltung, Art. 74 Abs. 8 i. V. m. Anhang III Nr. 1, 6, 7, 8 KI‐VO). Als für den Grundrechtsschutz zuständige Behörde erhält die Datenschutzaufsicht im Rahmen ihrer bestehenden Zuständigkeiten zudem zusätzliche Befugnisse für KI‐Systeme, die personenbezogene Daten verarbeiten (Art. 77, EG 157 KI‐VO). Daher liegt es nahe, den Datenschutzaufsichtsbehörden auch darüber hinaus nach innerstaatlichem Recht Zuständigkeiten zur Durchsetzung der KI‐VO zuzuweisen.

Strukturell handelt es sich bei der KI‐VO im Wesentlichen um ein Regelwerk der Produktregulierung im Ordnungsrahmen des „New Legislative Frameworks“. Künstliche Intelligenz kann dabei nur auf Basis digitaler Rechte und namentlich eines hohen Datenschutzniveaus prosperieren. Als Produktregulierungsverordnung wird die Zuständigkeit für die Marktüberwachung nach der KI‐VO Bund und Ländern zugewiesen werden müssen: Während Landesbehörden im Grundsatz die Aufsicht führen, wird eine Bundesbehörde für die einheitliche Regelung gesamtstaatlicher Sachverhalte zuständig sein (Art. 83, 72 Abs. 2 GG). Dies entspricht auch der Struktur der Behörden im Produktsicherheitsrecht, welche die Marktüberwachungs‐Verordnung umsetzen (§ 4 MÜG, § 25 ProdSG).

Nationale Regelung der Zuständigkeiten für die KI‐VO

Die Benennung der jeweiligen allgemeinen Marktüberwachungsbehörden in den Mitgliedstaaten ist in der KI‐VO nicht dediziert geregelt. Es finden sich nur vereinzelt Vorgaben, die bei der nationalen Bestimmung zu berücksichtigen sind. Für Deutschland muss – wie in anderen Mitgliedstaaten auch – in einem nationalen Umsetzungsgesetz festgelegt werden, welcher oder welchen unabhängigen nationalen Behörden die jeweiligen Zuständigkeiten zugewiesen werden (Art. 70 Abs. 1 KI‐VO). Dabei muss gleichzeitig auch eine hinreichende Bereitstellung aufgabengerechter zusätzlicher Ressourcen mitgedacht werden.

Die DSK empfiehlt, die allgemeinen Marktüberwachungsbehörden für die Zwecke der KI‐VO in Deutschland wie folgt zu benennen:

  • Marktüberwachungsbehörden: BfDI und Landesdatenschutzbehörden

    Hinweis: Wird ein KI‐System bundesweit als Produkt angeboten oder aus dem internen Gebrauch heraus zum externen Vertrieb auf den Markt gebracht, liegt die Zuständigkeit hierfür beim Bund. Insbesondere die Nutzung oder die Entwicklung von KI‐Systemen für den internen Gebrauch durch Unternehmen und Behörden wird von den Landesdatenschutzbehörden bzw. der Bundesdatenschutzbehörde in ihrer jeweiligen Zuständigkeit überwacht.

  • Europäischer Ausschuss für KI: BfDI

    Hinweis: Der Vertreter der Mitgliedstaaten im europäischen Ausschuss für KI wird automatisch der zentrale Ansprechpartner gegenüber dem Ausschuss, der Öffentlichkeit und den anderen Akteuren der KI‐VO auf nationaler und europäischer Ebene.

  • Unberührt bleiben sektorale Zuständigkeiten (z. B. Kraftfahrzeuge, Finanzsektor, KRITIS), soweit sie bereits in dem Verordnungstext vorgesehen sind oder vom Bundesgesetzgeber aufgrund der Sachnähe aufgegriffen werden.
Seite drucken