Heute ist die KI-Verordnung (KI-VO) im Amtsblatt der Europäischen Union veröffentlicht worden. Sie wird zwanzig Tage später, am 1. August 2024, in Kraft treten. Damit beginnen die Umsetzungsfristen zu laufen.
Zum 2. Februar 2025 gelten die Verbote bestimmter Praktiken der künstlichen Intelligenz (Art. 5 KI-VO). Darunter fällt das grundsätzliche Verbot biometrischer Echtzeit-Fernüberwachungssysteme in öffentlichen Räumen zur Strafverfolgung. Abschließend verboten ist dann das Social Scoring – eine Praktik, bei der Verhalten KI-basiert bewertet wird und daran soziale Benachteiligungen geknüpft werden, zum Beispiel durch den Ausschluss öffentlicher Leistungen.
Bereits jetzt steht fest, dass den Datenschutzaufsichtsbehörden die Marktüberwachung für weite Teile des Hochrisiko-Katalogs an KI-Systemen übertragen wird – so sieht es die KI-Verordnung vor:
- In den Sektoren der Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie bei KI, die Wahlen beeinflusst, sind die Datenschutzbehörden als Marktüberwachungsbehörden gesetzt (Art. 74 Abs. 8 KI-VO). Das gilt nicht nur für die Behörden, die solche Systeme einsetzen, sondern beispielsweise auch für Softwareunternehmen, Cloud-Dienste und Sicherheitsunternehmen, die für diese Sektoren KI-Systeme anbieten, in bestehende Systeme integrieren oder sie vertreiben. Die Marktüberwachungskompetenz erstreckt sich auf die gesamte Wertschöpfungskette.
Bis zum 2. August 2025 müssen die Mitgliedstaaten ein Durchführungsgesetz erlassen, in dem unter anderem allgemeine Marktüberwachungsbehörden für die Durchsetzung der KI-VO benannt werden.
- Diese müssen unabhängig, unparteiisch und unvoreingenommen sein, um die Objektivität ihrer Tätigkeiten zu gewährleisten und die Anwendung und Durchführung der KI-VO sicherzustellen.
- Alle Marktüberwachungsbehörden müssen mit angemessenen technischen, finanziellen und personellen Ressourcen sowie mit einer Infrastruktur ausgestattet werden, um ihre Aufgaben im Rahmen dieser Verordnung wirksam erfüllen zu können. Die KI-VO sieht vor, dass die zuständigen Behörden ständig über eine ausreichende Zahl von Mitarbeitenden verfügen, deren Kompetenzen und Fachkenntnisse ein umfassendes Verständnis der KI-Technologien und insbesondere der relevanten Vorgaben aus dem Daten- und Produktsicherheitsrecht umfassen.
In diesem Zusammenhang hat die Datenschutzkonferenz (DSK) Anfang Mai 2024 ein Positionspapier veröffentlicht: Die Datenschutzbehörden in Deutschland sollten danach eine wesentliche Rolle bei der Marktüberwachung nach der KI-VO übernehmen.