Rechtsanwalt Tim Wybitul, Frankfurt a. M.
Heft 20/2024
Die EU-weite umfassende Regelung künstlicher Intelligenz (KI) trat am 1.8.2024 in Kraft. Die ersten Vorgaben des AI Act – oder auf deutsch, der KI-VO – gelten ab dem 2.2.2025. Weitere Regelungen werden über die nächsten Jahre hinweg verbindlich.
Ein Schwerpunkt der praktischen Anwendung des neuen Regimes dürfte auf dem Einsatz von KI am Arbeitsplatz liegen. Denn die KI-VO stuft KI-Systeme zur Überwachung oder Bewertung der Leistung oder des Verhaltens von Beschäftigten grundsätzlich als Hochrisiko-KI-Systeme ein. Die KI-VO ist ein spannendes Experiment. Der EU-Gesetzgeber kombiniert Produktrecht mit Grundrechtsschutz, oder anders formuliert Marktüberwachung mit Verbraucherschutz. Unternehmen dürften die KI-VO eher wegen ihrer Risiken spannend finden. Bei Verstößen drohen Geldbußen bis zu 35 Mio. EUR oder bis zu 7 % des globalen Vorjahresumsatzes – je nachdem, welcher Betrag höher ist. Bereits die unvollständige oder irreführende Beantwortung von Nachfragen von Behörden kann zu Geldbußen bis zu 7,5 Mio. EUR oder 1% des Umsatzes führen. Zudem arbeitet der EU-Gesetzgeber an einer Richtlinie zu Schadensersatz wegen Verstößen gegen die KI-VO.
In Deutschland soll die Bundesnetzagentur die nationale Marktaufsicht über die KI-VO übernehmen. Auch die Datenschutzbehörden bringen sich in Stellung. Denn sowohl das Training von als auch die Interaktion mit KI-Systemen setzen oft das Verarbeiten personenbezogener Daten voraus. Damit dürften die Datenschutzbehörden bei der Entwicklung und der Nutzung intensiv mitreden. Manche Behördenvertreter verfolgen dabei durchaus raumgreifende Ansätze. Denn das Verarbeiten personenbezogener Daten setzt unter anderem einen „legitimen Zweck“ voraus. Ein solcher Zweck könne aber nicht legitim sein, wenn er gegen geltendes Recht verstoße, wie etwa die KI-VO. Einen ähnlichen Ansatz hatte bereits der EuGH vertreten, als er dem Bundeskartellamt die Befugnis zubilligte, Datenschutzverstöße selbst als Wettbewerbsverstöße zu verfolgen (Urt. v. 4.7.2023 – C-252/21, NZA 2023, 1523 Ls. – Meta Platforms).
Dieser strikten Linie bleibt der EuGH auch in aktuellen Entscheidungen treu. So hat er kürzlich entschieden, dass schon der in der DS-GVO in allgemeiner Form vorausgesetzte Grundsatz der Datenminimierung umfassenden Datenverarbeitungen entgegenstehen kann (Urt. v. 4.10.2024 – C-446/21, NZA 2024, 1407 – Schrems (in diesem Heft)). Nach einer weiteren Entscheidung des EuGH können Wettbewerber mögliche DS-GVO-Verstöße vor nationalen Gerichten auch als unlauteren Wettbewerb verfolgen (Urt. v. 4.10.2024 – C-21/23, GRUR-RS 2024, 26048 – Lindenapotheke). Bislang war dies betroffenen Personen und Verbraucherschutzverbänden vorbehalten. Dies eröffnet ein neues Spielfeld für Datenschutzklagen. Die Argumente des EuGH könnten sich aber auch auf wettbewerbsrelevante Vorgaben der KI-VO erstrecken. Dies muss aber nicht zu einer „Abmahnwelle“ führen. Denn Klagen empfehlen sich wohl nur für Wettbewerber, die selbst die DS-GVO (und künftig auch die KI-VO) richtig umsetzen. Ansonsten drohen Gegenabmahnungen sowie teure Rechtstreitigkeiten, die letztlich beiden Wettbewerbern schaden können.
