NJW-Editorial
Wer wird KI-Aufsicht und wie viele?

Die Europäische Union hat mit der KI-Verordnung (KI-VO) das bislang umfassendste Regelwerk zur Entwicklung und zum Einsatz von Künstlicher Intelligenz auf den Weg gebracht. Sie tritt Anfang August 2024 in Kraft (ABl. L 2024/1689). Die KI-VO gilt nach gestaffelten Umsetzungsfristen von sechs bis 36 Monaten. Gerade auf Anbieter und Betreiber von KI-Systemen kommen umfassende Anforderungen zu. Bei Verstößen drohen Geldbußen von bis zu 35 Mio. Euro oder bis zu 7% des globalen Vorjahresumsatzes.

18. Jul 2024

Von den Mitgliedstaaten zu schaffende Marktaufsichtsbehörden kontrollieren viele Vorgaben der KI-VO und sanktionieren Verstöße. Aus dem Kreis der Datenschutzbehörden kommen bereits jetzt viele Publikationen zu der Verordnung. Zwar verfügen diese über Vorwissen und einschlägige Ressourcen. Dennoch deutet derzeit Vieles darauf hin, dass in Deutschland die Bundesnetzagentur (BNetzA) Marktaufsichtsbehörde nach der KI-VO wird. Selbst dann spielen die Datenschutzbehörden aber eine wichtige Rolle. Sowohl das Training von KI als auch die Interaktion mit entsprechenden Systemen setzt die umfassende Verarbeitung personenbezogener Daten voraus. Den Datenschutz beim Einsatz von KI kontrollieren die Datenschutzbehörden ohnehin.

Wahrscheinlich gehen sie aber noch weiter. Denn der EuGH hat bereits vorgemacht, wie man eigene Zuständigkeiten auch in anderen Rechtsgebieten begründen kann. Das Bundeskartellamt hatte Datenverarbeitungen eines Unternehmens als Zuwiderhandlung gegen die DS-GVO bewertet, die einen Wettbewerbsverstoß begründe. In einem Urteil vom 4.7.2023 (NJW 2023, 2997) beurteilte der EuGH dies als zulässig. Die dort aufgestellten Maßstäbe lassen sich möglicherweise auf die Kompetenzen von Datenschutzbehörden bei der Kontrolle von KI übertragen. Dann könnten sie die KI-VO im Rahmen ihrer datenschutzrechtlichen Abwägungsentscheidungen berücksichtigen. Verstöße gegen die KI-VO bei der Verarbeitung personenbezogener Daten könnten sie auch selbst als Übertretungen der DS-GVO bewerten und ahnden. Weitere Argumente der Datenschutzbehörden kann man bereits vorhersehen. Denn die Verarbeitung personenbezogener Daten setzt stets einen legitimen, also einen gesetzeskonformen Zweck voraus. Dies könnte bei einem festgestellten Verstoß gegen die KI-VO hinterfragt werden.

Auch wenn dieser Zuständigkeitsanspruch der Datenschutzbehörden nachvollziehbar ist: Eine solche doppelte Kontrolle hat der EU-Gesetzgeber erkennbar nicht gewollt. Sie würde wohl auch zu Erschwernissen beim Einsatz von KI in der EU führen. Zudem hat der EuGH in der genannten Entscheidung enge Vorgaben dazu gemacht, unter welchen Umständen Behörden außerhalb ihrer eigentlichen Zuständigkeit tätig werden dürfen.

Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wo­chen gra­tis tes­ten inkl. On­line-Modul NJW­Di­rekt.

Rechtsanwalt Tim Wybitul ist Partner von Latham & Watkins, Frankfurt a.M..