KI-Verordnung: Datenschutzaufsicht außen vor?

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Ungewohnt deutliche Worte findet die Berliner Datenschutzbeauftragte Meike Kamp im Namen all ihrer Amtskolleginnen und -kollegen in den Bundesländern. "Der entsprechende Referentenentwurf führt zu einer massiven Schwächung von Grundrechten", wirft Kamp in einer am Donnerstag versandten gemeinsamen Pressemitteilung der unabhängigen Landesaufsichtsbehörden für den Datenschutz dem BMDS vor. Aber war der Streit darum, wer für die Einhaltung der Künstliche-Intelligenz-Verordnung der EU in Deutschland zuständig sein soll, nicht längst entschieden?

Tatsächlich wurde politisch schon von der Ampelregierung beabsichtigt, die Aufsicht über die KI-Verordnung weitgehend in die Hände der Bundesnetzagentur zu legen. Denn die ist in Teilen eine klassische "Marktüberwachungsbehörde". Allerdings scheint das BMDS selbst an einer Stelle darüber hinausgehen zu wollen, bei der dadurch sogar eine neue Institution geschaffen werden muss: In seinem von netzpolitik.org veröffentlichten Entwurf eines Referenten-Entwurfs, der Stufe, bevor es anschließend ins Bundeskabinett gehen soll, hat es anstelle der Datenschutzaufsichtsbehörden nun vorgesehen, bei der Bundesnetzagentur eine "Unabhängige KI-Marktüberwachungskammer" einzurichten. Die soll für sogenannte Hochrisiko-KI-Systeme zuständig sein.

Hochrisiko-KI: Datenschützer warnen vor Europarechtsverstoß

Das allerdings betrachten die Datenschutzaufsichtsbehörden der Länder nicht nur als Misstrauenserklärung. Sie verweisen darauf, dass die KI-Verordnung mitnichten die Einrichtung beliebiger Stellen vorgesehen habe. Sondern festgelegt habe, dass es die Datenschutzaufsichtsbehörden seien. Nur um nationalen Besonderheiten in anderen Staaten in der Aufsicht über Polizei- und Justizdatenverarbeitungen gerecht zu werden, habe es die nun vom BMDS für den Vorschlag einer eigenen Kammer bei der Bundesnetzagentur angedachte Formulierung in der KI-Verordnung gegeben. "Diese Entscheidung steht nicht zur Disposition des deutschen Gesetzgebers, weil das europäische Recht es bereits anders geregelt hat", argumentiert Kamp.

Dass der EU-Gesetzgeber neue Gremien nicht vorgesehen hatte, ist aufgrund der Formulierung des Gesetzes offenkundig. Warum die Bundesregierung hier also einen Sonderweg einschlägt, ist unklar: Für die Datenverarbeitungen, die für die Hochrisiko-KI-Anwendung notwendig sind, bleiben die Behörden auf absehbare Zeit zuständig – noch hat die Bundesregierung ihr Pläne nicht weiter konkretisiert, die Datenschutzaufsicht über Teile der Wirtschaft weiter bei der Bundesdatenschutzbeauftragten zu zentralisieren.

Startup-Verband begrüßt Zentralisierung

Begrüßt wird der Vorschlag des BMDS derweil vom Startup-Verband: "Wir brauchen in Deutschland eine starke, zentrale Marktaufsicht für KI – kein föderales Kompetenz-Wirrwarr", sagt dessen Vorsitzende Verena Pausder. "Wir diskutieren auf EU-Ebene über Vereinfachungen beim AI-Act und in Deutschland bringen 17 Datenschutzbehörden eine unnötig komplizierte Lösung ins Gespräch. Das ist kleinkariert."

Nicht an der Protestnote der unabhängigen Landesdatenschutzbeauftragten beteiligt war die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider. Eine Anfrage von heise online dazu, warum die BfDI nicht beteiligt war, konnte ein Sprecher der Behörde nicht umgehend beantworten.

(mho)