Das neu verabschiedete KI-Gesetz der EU könnte die Datenschutzaufsichtsbehörden in Deutschland vor neue Herausforderungen stellen.
Nach einer langen und intensiven Debatte hat das EU-Parlament im März eine Verordnung für Systeme mit Künstlicher Intelligenz (KI) verabschiedet. Ziel dieser Verordnung ist es, einen einheitlichen und horizontalen Rechtsrahmen für den Einsatz von KI in der EU zu schaffen. Dies umfasst unter anderem das Verbot gefährlicher Praktiken wie Social Scoring, das wahllose Sammeln von Gesichtsbildern aus dem Internet, die Ausnutzung von Sicherheitslücken und die Manipulation des freien Willens.
Binnen 12 Monaten nach Inkrafttreten der Verordnung müssen die EU-Mitgliedsstaaten nationale Aufsichtsbehörden benennen, um die Einhaltung der Vorschriften zu gewährleisten. In Deutschland möchte die Datenschutzkonferenz von Bund und Ländern (DSK) diese Aufgabe übernehmen. In einem kürzlich veröffentlichten Positionspapier empfiehlt die DSK, den Bundesdatenschutzbeauftragten sowie die Landesdatenschutzbehörden für die Marktüberwachung nach dem AI Act zu benennen. Dies liegt nahe, da diese Behörden bereits sektorspezifische Zuständigkeiten im Bereich Datenschutz haben, insbesondere in Bereichen wie Strafverfolgung, Wahlen, Grenzkontrolle und Justizverwaltung.
Die DSK argumentiert, dass die Datenschutzbehörden aufgrund ihrer langjährigen Erfahrung in der Beratung, Beschwerdebearbeitung und europäischen Kooperation bestens geeignet sind, diese neue Aufgabe zu übernehmen. Zudem sind sie im Europäischen Datenschutzausschuss (EDSA) vertreten und sollen künftig auch im Europäischen Ausschuss für KI aktiv sein. Dies würde eine ähnliche Struktur wie beim Digital Services Act (DSA) schaffen, bei dem der Bundestag kürzlich die Bundesnetzagentur als nationale Koordinatorin für Digitale Dienste bestimmt hat.
Einige Bereiche wie der Kfz-Sektor, der Finanzsektor oder Kritische Infrastrukturen (Kritis) sollen laut DSK ausgenommen werden, um Doppelstrukturen und zusätzlichen Bürokratieaufwand zu vermeiden. Die Datenschutzbehörden seien ohnehin in Fällen zuständig, in denen KI-Systeme personenbezogene Daten verarbeiten, und könnten somit Beratung und Aufsicht effizient aus einer Hand bieten.
Mit diesen Maßnahmen sollen die neuen KI-Vorschriften in Deutschland effizient und einheitlich durchgesetzt werden, um den sicheren und verantwortungsvollen Einsatz von Künstlicher Intelligenz zu gewährleisten.