BfDI: Hin­wei­se zum AI Act, beson­ders zur Aufsicht

Der deut­sche Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI; die daten­schutz­recht­li­che Auf­sichts­be­hör­de über öffent­li­chen Stel­len des Bun­des) hat in einer Ver­öf­fent­li­chung wesent­li­che Punk­te zum AI Act zusammengefasst.

Vie­les ist nicht neu, inter­es­sant sind aber die Aus­füh­run­gen zur Rol­le der Datenschutz-Aufsichtsbehörden:

Als für den Schutz der Grund­rech­te zustän­di­ge Behör­den erhal­ten sie Zugriff auf für die Erfül­lung ihrer Auf­ga­ben erfor­der­li­che Doku­men­te, die zur Ein­hal­tung der KI-VO erstellt wer­den müs­sen. Bei ihren bestehen­den Auf­sichts­tä­tig­kei­ten wer­den die Daten­schutz­auf­sichts­be­hör­den zudem unter­stützt, indem sie, falls erfor­der­lich, tech­ni­sche Unter­su­chun­gen durch die Markt­über­wa­chungs­be­hör­den für KI anfra­gen kön­nen. Außer­dem sind sie von die­sen über Mel­dun­gen schwer­wie­gen­der Vor­komm­nis­se zu infor­mie­ren. Eini­ge Hoch­ri­si­ko-KI-Syste­me müs­sen grund­sätz­lich von den Anbie­ten­den in einer EU-Daten­bank regi­striert wer­den. Die­se Regi­strie­run­gen sind in bestimm­ten Fäl­len nicht öffent­lich, die Daten­schutz­auf­sichts­be­hör­den dür­fen die­se aber einsehen.

Bei der Auf­sicht über staat­li­che Straf­ver­fol­gungs­be­hör­den ist eine wei­te­re Ergän­zung vor­ge­se­hen. So muss auf Nach­fra­ge die Doku­men­ta­ti­on der Anwen­dung bio­me­tri­scher Fern­iden­ti­fi­zie­rungs­sy­ste­me gegen­über der zustän­di­gen Daten­schutz­auf­sichts­be­hör­de offen­ge­legt wer­den. Zudem müs­sen den Daten­schutz­auf­sichts­be­hör­den zusam­men­ge­fass­te Jah­res­be­rich­te über die Ver­wen­dung von bio­me­tri­schen Fern­iden­ti­fi­zie­rungs­sy­ste­men vor­ge­legt werden.

Eine wei­te­re Auf­ga­be für die Daten­schutz­auf­sichts­be­hör­den ergibt sich im Rah­men der Real­la­bo­re, die in der KI-VO zur Inno­va­ti­ons­för­de­rung vor­ge­se­hen sind. Real­la­bo­re sol­len eine kon­trol­lier­te Umge­bung bie­ten, die die Ent­wick­lung, das Trai­ning, das Testen und die Vali­die­rung inno­va­ti­ver KI-Syste­me für einen begrenz­ten Zeit­raum erleich­tert. Wenn in einem sol­chen Real­la­bor per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, sind die Daten­schutz­auf­sichts­be­hör­den ein­zu­be­zie­hen.

Es fin­den sich wei­te­re Aus­füh­run­gen zur kom­ple­xen Auf­sichts­struk­tur, die grund­sätz­lich sek­to­ri­ell gere­gelt ist, indem die zustän­di­gen mit­glied­staat­li­chen Markt­über­wa­chungs­be­hör­den eine Auf­sichts­funk­ti­on haben. Offen ist aber noch, wer zustän­dig ist für KI-Syste­me mit einem all­ge­mei­nen Ver­wen­dungs­zweck und für Hoch­ri­si­ko-KI-Syste­me in den Berei­chen kri­ti­sche Infra­struk­tur, all­ge­mei­ne und beruf­li­che Bil­dung, Arbeit­neh­mer­ma­nage­ment und sowie für grund­le­gen­de pri­va­te Dienst­lei­stun­gen und öffent­li­che Leistungen.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter