Alle News & Events anzeigen
18.07.2024

KI-Flash: "AI Act: There´s a new sheriff in town: But who is it?" aka "Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden?"

Vor wenigen Tagen (am 12. Juli 2024) ist die KI Verordnung im Amtsblatt der Europäischen Union veröffentlicht worden. Wie schon häufig berichtet, wird diese dann zwanzig Tage später, also am 1. August 2024 in Kraft treten.

Offen ist aber noch die Frage danach, wer für die allgemeine Marktüberwachung der Durchsetzung der KI-Verordnung zuständig ist.

Grundsätzlich gibt es natürlich das EU AI Office (Europäisches Amt für Künstliche Intelligenz), welches schon im Januar 2024 – also vor der Verabschiedung der KI-Verordnung – durch Beschluss der Kommission gegründet wurde. Dieses EU AI Office soll eine Reihe von zentralen Aufgaben im Rahmen der KI-Strategie der EU wahrnehmen und soll Zentrum der KI-Expertise der EU werden. Darüber hinaus ist das EU AI Office für die Regulierung von KI-Modellen mit allgemeinem Verwendungszweck (GPAI-Modelle) und KI-Systeme, die auf einem GPAI-Modell basieren und von demselben Anbieter entwickelt wurden, zuständig.

Für Durchsetzungsmaßnahmen in Bezug auf KI-Systeme, bei denen es sich nicht um GPAI-Modelle handelt oder die nicht unmittelbar vom Anbieter selbst aus GPAI-Modellen entwickelt wurden, sind die nationalen Behörden der Mitgliedstaaten zuständig. Diese Thematik ist in Artikel 70 KI-Verordnung geregelt. Hiernach ist vorgesehen, dass jeder Mitgliedstaat der EU mindestens eine Notifizierungsbehörde und mindestens eine Marktüberwachungsbehörde zur Durchsetzung der KI-Verordnung unterhalten muss.

Für diese Aufgabe der Marktüberwachung haben sich gestern (17. Juli 2024) nach ihrer letzten Plenarsitzung noch einmal ausdrücklich alle europäischen Datenschutzbehörden durch den Europäischen Datenschutzausschuss (European Data Protection Board – EDPB) gemeldet. Das ursprüngliche Statement stammte aus März 2024 und wurde gestern in der Sitzung angenommen. Auch die deutsche Datenschutzkonferenz hatte diese Position im Mai 2024 bekräftigt.

Die stellvertretende Vorsitzende des EDPB, Irene Loizidou Nicolaidou, sagte gestern: "Die Datenschutzbehörden sollten eine wichtige Rolle bei der Durchsetzung des KI-Gesetzes spielen, da die meisten KI-Systeme die Verarbeitung personenbezogener Daten beinhalten. Ich bin der festen Überzeugung, dass die Datenschutzbehörden aufgrund ihrer völligen Unabhängigkeit und ihres umfassenden Verständnisses der Risiken von KI für die Grundrechte, das auf ihren bisherigen Erfahrungen beruht, für diese Rolle geeignet sind."

Bereits jetzt ist sicher, dass den Datenschutzaufsichtsbehörden die Marktüberwachung für die größten Teile des Hochrisiko-Katalogs an KI-Systemen übertragen wird (KI bei der Strafverfolgung, Justizverwaltung, Migrationskontrolle, sowie KI, die Wahlen beeinflusst). Interessant ist, dass dies nicht nur für Behörden gilt, die derartige KI Systeme einsetzt, sondern auch Wirtschaftsunternehmen wie Softwareanbieter, Cloud- Dienste oder Sicherheitsunternehmen, die für diese Bereiche KI Systeme anbieten. Die Kompetenz zur Überwachung betrifft die gesamte Wertschöpfungskette in diesem Zusammenhang.

Wie geht es weiter?

Bis zum 2. August 2025 müssen alle Mitgliedsstaaten ein Durchführungsgesetz für die KI Verordnung erlassen. Hierbei wird ein zentraler Punkt sein, wer dann als allgemeine Marktüberwachungsbehörde benannt wird.

Praxisbezug

Wir können aus unserer langjährigen praktischen Erfahrung mit den Datenschutzaufsichtsbehörden eine derartige Rolle begrüßen. Aus unserer Sicht hat es für unsere Mandantinnen und Mandanten jeglicher Hinsicht, egal ob kleinere, mittelständische oder große Unternehmen einen klaren Vorteil, wenn sie dann auch mit Blick auf KI Systeme mit einer „bekannten“ Behörde zu tun haben. Wir wissen aus Erfahrung, worauf die Datenschutzbehörden einen besonderen Wert legen und können die Unternehmen dahingehend noch besser bei den Umsetzungen aus der KI Verordnung unterstützen. Auch wäre diese Bündelung der Prüfungen bei den datenschutzrechtlichen Aufsichtsbehörden sowohl mit Blick auf die DSGVO als auch auf die KI Verordnung sehr hilfreich, da die Behörde dann – ebenso wie die Unternehmen – beide Rechtsgebiete und auch die Umsetzung der praktischen Prozesse gezwungenermaßen mitdenken müsste. Es könnte dann die Gefahr der Entstehung von Silos im Sinne einer gedanklichen Trennung nach „Datenschutz“ und „KI-Governance“, die eher praxisfern wäre, verhindert werden.

    Teilen

  • LinkedIn
  • XING