Michael Will ist Präsident des Bayerischen Landesamts für Datenschutzaufsicht in Ansbach und Mitglied des Wissenschaftsbeirats der ZD.
ZD 2024, 121 Mit der Veröffentlichung des Data Act im Amtsblatt der Europäischen Union v. 22.12.2023 und den kurz darauf folgenden ersten Leaks des Textes der KI-Verordnung (KI-VO), auf den man sich noch vor dem Jahreswechsel in zähen Verhandlungen geeinigt hatte, hat das Datenschutzjahr 2024 für viele mit einem Lesemarathon begonnen. Auch wenn der Weg bis zur endgültigen Verabschiedung der KI-VO durch den Rat und das Parlament der Europäischen Union zunächst von überraschend zahlreichen Vorbehalten begleitet wird, steht fest: Die digitale Transformation hat begonnen, die europäische Datenschutzstrategie ist nicht mehr Konzept, sondern beansprucht unaufhaltsam Verbindlichkeit. In den Gesetzgebungsverfahren von Bund und Ländern ist der sich daraus ergebende Anpassungs- und Umsetzungsbedarf, insbesondere vordringliche Zuständigkeitsbestimmungen, bislang kaum erkennbar.
Umsetzung der Digitalrechtsakte - eine HerkulesaufgabeDie Liste abgeschlossener Digitalgesetze füllt sich zunehmend, teils besteht bereits Umsetzungsverzug: der Digital Market Act (DMA) gilt seit 2.5.2023 und zeigt mit Anpassungen bei den großen Plattformen erste Wirkungen. Nahezu unbemerkt ist bereits seit 24.9.2023 der Data Governance Act (DGA) verbindliches Recht und der Digital Service Act (DSA) ist nun seit 17.2.2024 wirksam. Für den zum 11.1.2024 in Kraft getretenen Data Act (DA) verbleiben in wesentlichen Teilen nunmehr noch weniger als 500 Tage Umsetzungsfrist bis zum 12.9.2025. Wird die KI-VO noch zeitgerecht vor den Europawahlen verabschiedet, setzt ihr Inkrafttreten den Startschuss für eine allgemeine zweijährige Umsetzungsfrist, gibt dem nationalen Gesetzgeber aber nur 12 Monate Zeit, die jeweiligen Behörden für Notifizierungsverfahren und für die Marktüberwachung von Hochrisiko-KI-Anwendungen gegenüber der EU-Kommission anzuzeigen (Art. 59 Abs. 3 KI-VO-E).
Nahezu im Schatten dieser unmittelbar geltenden Verordnungen verbleibt für den nationalen Gesetzgeber außerdem noch die Aufgabe der Umsetzung der NIS II-Richtlinie bis 17.10.2024 zu bewältigen. Neben vielem anderen stellt sie mit ihrer deutlichen Vorverlagerung und Ausdehnung von Meldepflichten die Zuständigkeitsstrukturen der IT-Sicherheitsbehörden von Bund und Ländern vor neue Herausforderungen. Zugleich ergeben sich damit neue Schnittstellen zwischen IT-Sicherheitsbehörden und Datenschutzaufsichtsbehörden und ihrer Zuständigkeit für die Bearbeitung von Meldungen von Sicherheitsverletzungen nach Art. 33 DS-GVO (exemplarisch Art. 35 Abs. 1 RL 2022/2555).
Für Datenschutzverantwortliche stellen sich in dieser Schlussphase des „regulatorischen Tsunami“ der EU-Digitalstrategie heute schon eine unübersehbare Zahl neuer materieller Fragen und Abgrenzungsaufgaben. Keiner der genannten Rechtsakte begründet mehr als nur punktuelle Sondertatbestände zur DS-GVO (zB Art. 54 KI-VO-E zur Zweckänderungsbefugnis iRd „Sandbox“-Verfahrens), sondern lässt sie im Gegenteil im Grundsatz „unberührt“.
Anders als in der Startphase der DS-GVO fehlt für diese neuen Fragestellungen ein wesentlicher Diskussionspartner in Gestalt staatlicher Aufsichtsbehörden. Keiner der aufgelisteten Rechtsakte baut wie die DS-GVO auf vorhandenen Vollzugszuständigkeiten auf. Keine der neuen Regelungen beschränkt sich allein auf Veränderungen des aufsichtlichen Prüfprogramms oder bloße Fortentwicklungen etablierter Strukturen.
Nicht anders als Verantwortliche in Unternehmen und Behörden steht damit die nationale Umsetzungsgesetzgebung vor einer Herkulesaufgabe - quantitativ wie qualitativ, erinnert doch mitunter der handwerkliche Reifegrad der neuen Rechtsakte zB bei der Handhabung zentraler Fragen wie der Abgrenzung von Anwendungsbereichen oder der Kohärenz von Begrifflichkeiten fast unwillkürlich an den mythologischen Augias-Stall.
Entwurf des Digitale-Dienste-Gesetzes - ein erster Prototyp der Umsetzungsgesetzgebung?Mit dem Entwurf des Digitale-Dienste-Gesetzes (BR-Drs. 676/23) wird alsbald im Bundestag ein erstes Beispiel für den Umfang dieser Transformationsherausforderungen beraten, neues Recht und vorhandene Kompetenzstrukturen zusammenzuführen. Die Länder haben bereits im Bundesratsverfahren auf eine für die übrigen Digitalrechtsakte geradezu symptomatische Schwachstelle aufmerksam gemacht, die auch in anderen Fällen immer dann auftreten wird, wenn die geplante Aufsichtszuständigkeit für neues europäisches Digitalrecht mit Fallgestaltungen kollidiert, die der DS-GVO und dort der Aufsichtszuständigkeit der Länder gem. § 40 BDSG unterliegen. So kritisiert der Innenausschuss des Bundesrats die im DDG-Entwurf vorgesehene Teil-Zuständigkeit des BfDI für die Aufsicht über zentrale Profiling-Vorschriften des DSA (Art. 26 Abs. 3 und 28 Abs. 2 und Abs. 3 VO 2022/2065): „Auch wenn Art. 53 DSA ein eigenständiges Beschwerdeverfahren regelt, sind Berührungspunkte einer solchen Beschwerdeprüfung zu allgemeinen datenschutzrechtlichen Fragen, die der Vollzugsverantwortung der Datenschutzaufsichtsbehörden der Länder vorbehalten sind, regelmäßig vorbestimmt. ... Ob ein Verantwortlicher einer Online-Plattform besonders geschützte Daten nach Art. 9 DS-GVO zu Werbezwecken und Profiling nutzt, berührt von vornherein nicht nur Art. 26 Absatz 3 DSA, sondern genauso etwa allgemeine Erhebungsbefugnisse im Sinne von Art. 9 DSGVO ... Eine Zuständigkeitszuweisung an den BfDI führt darüber hinaus absehbar zur Aufspaltung von datenschutzrechtlichen Beschwerdeverfahren ...“. (BR-Drs. 676/1/23, Nr. 1).
KI-VO und Datenschutzaufsicht - ein Spannungsverhältnis?Während sich im Geltungsbereich des DSA Schnittstellen zwischen neuen Aufsichtszuständigkeiten und den Querschnittszuständigkeiten der Datenschutzaufsichtsbehörden nur auf zwei wichtige, aber trotzdem begrenzte Sondertatbestände beschränken, erreichen diese bei der Aufsicht über die Bereitstellung von Daten nach Kapitel III DA mit den dort vielfach notwendigen Grenzziehungen zwischen Pflichten und Beschränkungen für personenbezogene und nicht-personenbezogene Daten bereits eine strukturelle Dimension.
Erst recht gilt dies für die Ausgestaltung der künftigen KI-Aufsicht. Spätestens seit den Entscheidungen der italienischen Datenschutzaufsicht Garante v. 30.3.2023 und 29.1.2024 (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9978020), in denen sie gegen die Datenverarbeitungen iRv ChatGPT wegen Datenschutzverstößen vorging, ist die Konfliktlage allseits klar: Bereits heute, ohne KI-Regulierung, bewegen sich die Nutzer Künstlicher Intelligenz schon auf Grund der Anforderungen des Datenschutzrechts und der Durchsetzungsbefugnisse der Datenschutzaufsichtsbehörden nicht im rechtsfreien Raum. Dies gilt für Entwickler und Anbieter genauso wie für Unternehmen, die als Verantwortliche KI-Anwendungen in ihre Geschäftsprozesse und Produkte einbinden. Leitfäden und Handreichungen europäischer genauso wie deutscher Aufsichtsbehörden vermitteln dazu mit Hinweisen zu Fragen der Verantwortlichkeit, Rechtsgrundlagen, Transparenz- oder Datensicherheitsanforderungen erste Übersichten (zB https://www.lda.bayern.de/de/ki.html).
Diese Anforderungen werden unter Geltung des KI-VO fortbestehen. Auch im abschließend verhandelten Entwurf finden sich keine Bestimmungen, die die grundsätzliche Geltung der DS-GVO antasten. Weiterhin fehlen damit bereichsspezifische, risikoorientierte Sondervorschriften über Einzelregelungen zum Schutz personenbezogener Daten bei Entwicklung und Nutzung von KI-Anwendungen. Für eine künftige deutsche KI-Aufsicht bedeutet dies, dass auch ihre Entscheidungen über Hochrisiko-KI-Anwendungen iRv Zertifizierungsverfahren oder Marktüberwachungsverfahren nur produktrechtlichen, wohl aber keinen datenschutzrechtlichen Bestandsschutz vermitteln können.
Für den nationalen Umsetzungsgesetzgeber verbleibt trotzdem noch Spielraum für Nachbesserungen, die Rechtssicherheit jedenfalls für den am Ende vermutlich zumindest statistisch häufigsten Fall des Zusammentreffens von KI- und Datenschutzaufsicht zu lösen: Soweit sich Verpflichtungen der KI-VO an „De\ployer“, dh die professionellen Nutzer von KI-Systemen richten (vgl. Art. 2 Abs. 5g Nr. 4 KI-VO-E), adressiert sie damit regelmäßig im datenschutzrechtlichen Sinne Verantwortliche oder ggf. Auftragsverarbeiter. Diese zB bei der neu aufgenommenen Verpflichtung zu einer umfassenden Grundrechteprüfung vor der ersten Nutzung von Hochrisiko-KI deutlich erkennbare Schnittmenge wäre bei der Entscheidung über eine nationale KI-Zuständigkeitsstruktur nutzbar. Würden hier Zuständigkeiten unabhängiger Marktüberwachungsaufsicht nach der KI-VO und datenschutzaufsichtliche Zuständigkeit in einer Hand zusammengefasst, wären sowohl im öffentlichen als auch nicht-öffentlichen Bereich - ähnlich zB der heutigen Kontrolle von Internetseiten nach TTDSG- und DS-GVO-Zuständigkeiten - einheitliche Entscheidungen zur Verarbeitung personenbezogener Daten und ihrer Vereinbarkeit mit der KI-VO für Verantwortliche und Betroffene erreichbar.
Eine solche dezentrale Zuständigkeitsstruktur wäre nicht nur mit den verfassungsrechtlichen Rahmenbedingungen des Föderalismus leichter zu vereinbaren als eine neue umfassende Zentralzuständigkeit auf Bundesebene. Sie folgt auch der bisherigen Vollzugsordnung in dem der KI-VO zu Grunde liegenden Marktüberwachungsrecht, das auf Präsenz „in der Fläche“ aufbauen muss. Die KI-VO selbst steht einer solchen nationalen Zusammenführung von datenschutzrechtlichen und weiteren digitalrechtlichen Zuständigkeiten jedenfalls nicht entgegen. Sie verlangt lediglich „wenigstens eine“ nationale Notifizierungs- bzw. „wenigstens eine“ nationale Marktüberwachungsbehörde. Anders als die DS-GVO, die zumindest vom Leitbild der alleine und allseits zuständigen Aufsichtsbehörde ausgeht (vgl. Art. 51 Abs. 3 DS-GVO), sieht der Entwurf der KI-VO von vornherein eine plurale Zuständigkeitsstruktur vor. Dem Vorbild des Marktüberwachungsrechts folgend anerkennt sie etwa für den Finanzsektor branchenabhängige Zuständigkeitsfusionen oder überträgt KI-Zuständigkeiten an die im Bereich der Strafverfolgung zuständigen nationalen Datenschutzaufsichtsbehörden oder für die EU-Institutionen insgesamt an den Europäischen Datenschutzbeauftragten (Art. 63 Abs. 4, Abs. 5 und Abs. 6 KI-VO-E).
Dringender Handlungsbedarf - ein unerhörter Hilferuf?Eine breite rechtspolitische Debatte über die mit der Umsetzung der Digitalrechtsakte verbundenen Fragestellungen ist bislang nicht erkennbar - ein fataler Befund, zumal sich die Debatte nicht auf reine Zuständigkeitszuweisungen beschränken darf, sondern ähnlich wie bereits für die Wettbewerbsbehörden vom EuGH anerkannt, Bedingungen und Grenzen aufsichtlicher Zusammenarbeit rechtssicher ausgestalten und gemeinsame Mitwirkung und Vertretung in den neu gebildeten europäischen Gremien der Vollzugssteuerung gewährleisten muss.
Für alle, dh nicht nur die, die Verantwortung für behördliche Strukturen und ihre Funktionsfähigkeit tragen, sondern genauso für Unternehmen, Behörden oder Organisationen, die vor internen Umsetzungsprojekten stehen, um vor allem die allseits versprochenen Chancen der Digitalrechtsakte zu nutzen, besteht daher ein gemeinsamer, zunehmend dringlicher Wunsch: mehr Lesestoff zur Digitalen Transformation und ihrer Umsetzung, bitte auch in den Gesetzblättern des Bundes und der Länder!