Es meint, bei der Auswahl der Behörden frei zu sein. Allerdings sind die wenigen Festlegungen der KI-VO zur Aufsicht zu beachten. Über vier von acht Risikobereichen in Anhang III der Verordnung überträgt Art. 74 VIII KI-VO die Marktaufsicht den Datenschutzaufsichtsbehörden. Dies betrifft Nr. 1 (Biometrie, sofern diese Systeme für Strafverfolgungszwecke, Grenzmanagement und Justiz und Demokratie eingesetzt werden), Nr. 6 (Strafverfolgung), Nr. 7 (Migration, Asyl und Grenzkontrolle) und Nr. 8 (Rechtspflege und demokratische Prozesse). Es macht Sinn, den Schutz von Demokratie und Rechtsstaat völlig unabhängigen Institutionen anzuvertrauen. Außerdem hat Art. 77 KI-VO für den Grundrechtsschutz ohnehin die Datenschutzbehörden vorgesehen.
Wer die Aufsicht in den anderen vier Risikobereichen ausüben soll, lässt die KI-VO offen. Um Doppelstrukturen zu vermeiden, sehen die Bundesministerien die Aufsicht der Bundesnetzagentur für alle acht Risikobereiche vor und wollen den Datenschutzbehörden die ihnen in Art. 74 VIIII KI-VO übertragenen Aufsichtsaufgaben nehmen. Sie berufen sich dafür auf den Wortlaut der Vorschrift: „[…] benennen die Mitgliedstaaten … als Marktüberwachungsbehörden entweder die nach der [DS-GVO] oder der [JI-RL] für den Datenschutz zuständigen Aufsichtsbehörden oder jede andere gemäß denselben Bedingungen wie den in den Artikeln 41 bis 44 [JI-RL] festgelegten benannte Behörde.“
Art. 74 VIII KI-VO enthält jedoch keine Öffnungsklausel, nach der Mitgliedstaaten frei andere Behörden benennen können. Vielmehr ist diese Regelung ein Trilog-Kompromiss: Privilegien beim KI-Einsatz durch Strafverfolgungsbehörden wurden nur unter der Bedingung akzeptiert, dass die für die JI-RL bereits zuständigen Behörden die Marktüberwachung wahrnehmen. In manchen Mitgliedstaaten sind dies andere als die Datenschutzbehörden. Die Bezugnahme auf die Art. 41 bis 44 JI-RL und die Vergangenheitsform der bereits „benannten“ Behörden sollen dies zum Ausdruck bringen. Die KI-VO überträgt also ohne Entscheidungsspielraum für die Mitgliedstaaten die Marktaufsicht über die genannten Risikobereiche den Datenschutzbehörden oder den bereits benannten Aufsichtsbehörden nach der JI-Richtlinie. Die Mitgliedstaaten können nur benennen, welche dies sind. Für die Benennung in den anderen Risikobereichen ist zu berücksichtigen, dass die Datenschutzbehörden nach Art. 77 KI-VO ohnehin für die Verarbeitung personenbezogener Daten in den Bereichen Nr. 3 (Bildung), Nr. 4 (Beschäftigung) und Nr. 5 (öffentliche Dienste und Leistungen) zuständig sind.
Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wochen gratis testen inkl. Online-Modul NJWDirekt.
