Nach dem Inkrafttreten der KI-Verordnung Ende des letzten Sommers hat die Bundesregierung eine entscheidende Weichenstellung vorgenommen: Die Überwachung der Einhaltung der Verordnung wird künftig primär der Bundesnetzagentur obliegen. Trotz dieser Vorgabe bleiben die Datenschutzbehörden nicht außen vor, sondern werden weiterhin eine gewichtige Rolle spielen.
Warum die Wahl auf die Bundesnetzagentur fiel
Für viele mag es überraschend sein, dass die Wahl auf die Bundesnetzagentur – offiziell zuständig für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen – fiel und nicht auf eine spezifische Datenschutzbehörde. Die KI-Verordnung versteht sich im Wesentlichen als eine Regulierung im Bereich der Produktsicherheit. Künstliche Intelligenz (KI) wird hierbei als Produkt betrachtet, weshalb Erfahrungen und Kompetenzen im Produktsicherheitsbereich von entscheidender Bedeutung sind. Hier kann die Bundesnetzagentur auf umfangreiche Expertise zurückgreifen, während sich Datenschutzbehörden traditionell stärker auf die Einhaltung datenschutzrechtlicher Vorgaben konzentrieren.
Allerdings war es nicht nur die rechtliche Expertise im Produktsicherheitsrecht, die die Entscheidung beeinflusst hat. Auch die Möglichkeit, eine einheitliche Zuständigkeit auf Bundesebene zu etablieren, gab den Ausschlag zugunsten der Bundesnetzagentur. Im föderalen System Deutschlands ist die Datenschutzaufsicht auf die einzelnen Bundesländer verteilt, was eine zentrale und koordinierte Überwachung erheblich erschwert hätte.
Die Rolle der Datenschutzbehörden bleibt wichtig
Trotz der zentralen Rolle der Bundesnetzagentur bleibt die Einbindung der Datenschutzbehörden unverzichtbar. Immer dann, wenn KI-Systeme personenbezogene Daten verarbeiten, tritt das Datenschutzrecht auf den Plan. Die Datenschutzbehörden haben sowohl die Befugnis als auch die Pflicht, die Einhaltung der Datenschutzvorschriften zu prüfen. Dies ergibt sich nicht nur aus der Natur der jeweiligen Aufgaben, sondern ist auch explizit in der KI-Verordnung verankert. Unterschiedliche Artikel der Verordnung sehen beispielsweise Melde- und Dokumentationspflichten vor, bei denen die Datenschutzbehörden konsultiert oder informiert werden müssen.
Kooperation als Schlüssel zum Erfolg
Die Komplexität der neuen Aufsichtsstruktur stellt eine Herausforderung dar, macht aber auch deutlich, dass eine enge Zusammenarbeit zwischen den betroffenen Behörden notwendig ist. Die Bundesregierung hat signalisiert, dass sie Doppelzuständigkeiten vermeiden möchte, jedoch wird das Zusammenwirken von Bundesnetzagentur und Datenschutzbehörden in der Praxis unerlässlich sein. Dies trifft insbesondere auf Bereiche zu, in denen spezifische Anwendungen von KI-Systemen datenschutzrechtliche Fragen aufwerfen – sei es bei der biometrischen Identifizierung zu Strafverfolgungszwecken oder bei der Nutzung von KI in sensiblen Branchen wie der Finanzindustrie.
Fazit
Die Einführung der KI-Verordnung und die Etablierung der Bundesnetzagentur als zentrale Überwachungsbehörde markieren einen wichtigen Schritt in Richtung einer kohärenten Regulierung von KI-Systemen. Dennoch bleibt die Rolle der Datenschutzbehörden von großer Bedeutung, besonders bei der Verarbeitung personenbezogener Daten. Eine erfolgreiche Umsetzung der Verordnung wird daher von einer effektiven Zusammenarbeit und klaren Aufgabenverteilung zwischen den beteiligten Behörden abhängen. Für Unternehmen bedeutet dies, dass sowohl produktsicherheitsrechtliche als auch datenschutzrechtliche Aspekte bei der Entwicklung und Implementierung von KI-Systemen strikt beachtet werden müssen.