KI-Verordnung & Innovation: Deutschland sucht die Super-Aufsichtsbehörde
Die Datenschutzkonferenz hat sich bereits zur Durchsetzung des KI-Gesetzes positioniert. In einer Anhörung setzten die Experten eher auf die Bundesnetzagentur.
Für die Durchsetzung des AI-Acts sollen die EU-Mitgliedsstaaten binnen zwölf Monaten Marktüberwachungsbehörden festlegen.
(Bild: photoschmidt/ Shutterstock.com)
In Deutschland nimmt die Debatte an Fahrt auf, welche staatlichen Stellen die neue Verordnung für Systeme mit Künstlicher Intelligenz (KI) am besten national durchsetzen könnten. Die EU-Mitgliedsstaaten sollen dafür binnen zwölf Monaten Marktüberwachungsbehörden festlegen.
Die Datenschutzkonferenz von Bund und Ländern (DSK) sieht sich prädestiniert dafür, diese Aufgabe zu übernehmen. Robert Kilian vom KI-Bundesverband plädierte bei einer Anhörung im Digitalausschuss des Bundestags zu nationalen Spielräumen bei der Umsetzung des AI Act dagegen für die Bundesnetzagentur und mittelfristig für eine eigene Bundesoberbehörde für Digitales. Nur so sei eine "einheitliche Aufsichtsdichte" zu gewährleisten.
KI-Professor: Darf Aufsicht nicht Daten- und Verbraucherschützern überlassen
Daneben müssten die sektoralen Marktüberwachungsbehörden am Ball bleiben, betonte Kilian, also beispielsweise die Bafin für KI-Systeme im Finanzbereich zuständig sein. Gleichzeitig mahnte er an, dass die Standardisierungsgremien die technische Standardisierung möglichst im kommenden Sommer abschließen sollten, damit Unternehmen die notwendige Konformitätsbewertung für Hochrisikosysteme durchführen können. Auch Patrick Glauner, Professor für KI an der Technischen Hochschule Deggendorf, betonte, dass die Aufsicht nicht den Daten- und Verbraucherschützern überlassen werden dürfe. Die EU-Vorgaben müssten kosteneffizient und praxisnah umgesetzt werden, um wettbewerbsfähig zu sein. Die Bundesagentur für Sprunginnovationen (Sprind) solle daher eine wesentliche Rolle bei der Auswahl der Kontrollinstanzen spielen. Für die Umsetzung in den Sicherheitsbehörden sieht er die staatliche Hackerbehörde Zitis als gut geeignet an.
Für die Regulierungsexpertin Lajla Fetic scheinen die Bundesnetzagentur oder die DSK grundsätzlich für die nationale Aufsicht geeignet. Da es sich bei der KI-Verordnung in erster Linie um ein Produktsicherheitsgesetz handele, machte sie jedoch ein Fragezeichen bei den Datenschutzaufsichtsbehörden. Diese könnten aber beispielsweise spezifische Anwendungen in der Justiz prüfen. Generell müssten die Aufsichtsbehörden "Köpfchen" haben und sich nicht nur in der IT, sondern auch im Grundrechtsschutz auskennen. Die Kombination einer zentralen Kompetenzstelle mit sektoralen Landesbehörden sei nicht möglich, sagte David Roth-Isigkeit, Professor für Recht der Digitalisierung an der Universität für Verwaltungswissenschaften Speyer. Dies wäre eine unzulässige "Mischverwaltung". Andere Forscher aus Speyer empfehlen in einer Studie für die Bertelsmann-Stiftung, die neue Aufsichtsfunktion der auch schon für den Digital Services Act (DSA) verantwortlichen Bundesnetzagentur zu übertragen und diese "zu einer umfassenderen Digitalbehörde weiterzuentwickeln". Ihre Struktur verheiße am ehesten, den Ausgleich zwischen Innovationsverantwortung und -offenheit zu gewährleisten.
"Bürger werden sonst zu QR-Codes auf zwei Beinen"
Lina Ehrig vom Bundesverband der Verbraucherzentralen (vzbv) forderte, Betroffenenvertreter in die Aufsicht einzubeziehen und dafür ein niedrigschwelliges Beschwerdeverfahren zu schaffen. Ein "frustrierendes Behörden-Ping-Pong" müsse vermieden werden. Ein unabhängiger KI-Beirat sei wichtig, um die Kontrolleure zu unterstützen. Systeme zur biometrischen Fernidentifizierung, etwa durch Gesichtserkennung in öffentlichen Räumen, müssten auch für Private verboten werden.
Dafür warb ebenfalls Kilian Vieth-Ditlmann von der zivilgesellschaftlichen Organisation AlgorithmWatch. Die Bürger würden sonst "zu wandelnden QR-Codes auf zwei Beinen", ihre etwa für die Teilnahme an Demos wichtige Anonymität ausgehebelt. Unerlässlich sei ferner ein EU-weites Transparenzregister für Hochrisikosysteme.
Es dürfe keine Zersplitterung zwischen verschiedenen Kontrollbehörden geben, mahnte Nicole Büttner-Thiel vom Bundesverband Deutsche Start-ups an: "Jetzt ist ein kritischer Moment für die langfristige Innovationsfähigkeit." Oliver Suchy vom DGB setzte sich dafür ein, betriebliche und soziale Folgenabschätzungen obligatorisch zu etablieren je nach Anwendungsschwerpunkt und ein Beschäftigten-Datenschutzgesetz einzuführen. Mitarbeiter müssten wissen, "was, wer, wie" eigentlich mit KI optimiert werden solle.
(mack)
