NJW-Editorial
Festlegungen für die KI-Aufsicht

Nach Inkrafttreten der KI-Verordnung Anfang August müssen die Mitgliedstaaten innerhalb von zwölf Monaten die Behörden für die Marktüberwachung von KI-Systemen benennen. Ein Thesenpapier zur KI-Governance-Struktur von mehreren Bundesministerien schlägt allein die Bundesnetzagentur vor.

4. Okt 2024

Es meint, bei der Auswahl der Behörden frei zu sein. Allerdings sind die wenigen Festlegungen der KI-VO zur Aufsicht zu beachten. Über vier von acht Risikobereichen in Anhang III der Verordnung überträgt Art. 74 VIII KI-VO die Marktaufsicht den Datenschutzaufsichtsbehörden. Dies betrifft Nr. 1 (Biometrie, sofern diese Systeme für Strafverfolgungszwecke, Grenzmanagement und Justiz und Demokratie eingesetzt werden), Nr. 6 (Strafverfolgung), Nr. 7 (Migration, Asyl und Grenzkontrolle) und Nr. 8 (Rechtspflege und demokratische Prozesse). Es macht Sinn, den Schutz von Demokratie und Rechtsstaat völlig unabhängigen Institutionen anzuvertrauen. Außerdem hat Art. 77 KI-VO für den Grundrechtsschutz ohnehin die Datenschutzbehörden vorgesehen.

Wer die Aufsicht in den anderen vier Risikobereichen ausüben soll, lässt die KI-VO offen. Um Doppelstrukturen zu vermeiden, sehen die Bundesministerien die Aufsicht der Bundesnetzagentur für alle acht Risikobereiche vor und wollen den Datenschutzbehörden die ihnen in Art. 74 VIIII KI-VO übertragenen Aufsichtsaufgaben nehmen. Sie berufen sich dafür auf den Wortlaut der Vorschrift: „[…] benennen die Mitgliedstaaten … als Marktüberwachungsbehörden entweder die nach der [DS-GVO] oder der [JI-RL] für den Datenschutz zuständigen Aufsichtsbehörden oder jede andere gemäß denselben Bedingungen wie den in den Artikeln 41 bis 44 [JI-RL] festgelegten benannte Behörde.“

Art. 74 VIII KI-VO enthält jedoch keine Öffnungsklausel, nach der Mitgliedstaaten frei andere Behörden benennen können. Vielmehr ist diese Regelung ein Trilog-Kompromiss: Privilegien beim KI-Einsatz durch Strafverfolgungsbehörden wurden nur unter der Bedingung akzeptiert, dass die für die JI-RL bereits zuständigen Behörden die Marktüberwachung wahrnehmen. In manchen Mitgliedstaaten sind dies andere als die Datenschutzbehörden. Die Bezugnahme auf die Art. 41 bis 44 JI-RL und die Vergangenheitsform der bereits „benannten“ Behörden sollen dies zum Ausdruck bringen. Die KI-VO überträgt also ohne Entscheidungsspielraum für die Mitgliedstaaten die Marktaufsicht über die genannten Risikobereiche den Datenschutzbehörden oder den bereits benannten Aufsichtsbehörden nach der JI-Richtlinie. Die Mitgliedstaaten können nur benennen, welche dies sind. Für die Benennung in den anderen Risikobereichen ist zu berücksichtigen, dass die Datenschutzbehörden nach Art. 77 KI-VO ohnehin für die Verarbeitung personenbezogener Daten in den Bereichen Nr. 3 (Bildung), Nr. 4 (Beschäftigung) und Nr. 5 (öffentliche Dienste und Leistungen) zuständig sind. 

Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wo­chen gra­tis tes­ten inkl. On­line-Modul NJW­Di­rekt.

Prof. Dr. Alexander Roßnagel ist Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI).