Der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI; die datenschutzrechtliche Aufsichtsbehörde über öffentlichen Stellen des Bundes) hat in einer Veröffentlichung wesentliche Punkte zum AI Act zusammengefasst.
Vieles ist nicht neu, interessant sind aber die Ausführungen zur Rolle der Datenschutz-Aufsichtsbehörden:
Als für den Schutz der Grundrechte zuständige Behörden erhalten sie Zugriff auf für die Erfüllung ihrer Aufgaben erforderliche Dokumente, die zur Einhaltung der KI-VO erstellt werden müssen. Bei ihren bestehenden Aufsichtstätigkeiten werden die Datenschutzaufsichtsbehörden zudem unterstützt, indem sie, falls erforderlich, technische Untersuchungen durch die Marktüberwachungsbehörden für KI anfragen können. Außerdem sind sie von diesen über Meldungen schwerwiegender Vorkommnisse zu informieren. Einige Hochrisiko-KI-Systeme müssen grundsätzlich von den Anbietenden in einer EU-Datenbank registriert werden. Diese Registrierungen sind in bestimmten Fällen nicht öffentlich, die Datenschutzaufsichtsbehörden dürfen diese aber einsehen.
Bei der Aufsicht über staatliche Strafverfolgungsbehörden ist eine weitere Ergänzung vorgesehen. So muss auf Nachfrage die Dokumentation der Anwendung biometrischer Fernidentifizierungssysteme gegenüber der zuständigen Datenschutzaufsichtsbehörde offengelegt werden. Zudem müssen den Datenschutzaufsichtsbehörden zusammengefasste Jahresberichte über die Verwendung von biometrischen Fernidentifizierungssystemen vorgelegt werden.
Eine weitere Aufgabe für die Datenschutzaufsichtsbehörden ergibt sich im Rahmen der Reallabore, die in der KI-VO zur Innovationsförderung vorgesehen sind. Reallabore sollen eine kontrollierte Umgebung bieten, die die Entwicklung, das Training, das Testen und die Validierung innovativer KI-Systeme für einen begrenzten Zeitraum erleichtert. Wenn in einem solchen Reallabor personenbezogene Daten verarbeitet werden, sind die Datenschutzaufsichtsbehörden einzubeziehen.
Es finden sich weitere Ausführungen zur komplexen Aufsichtsstruktur, die grundsätzlich sektoriell geregelt ist, indem die zuständigen mitgliedstaatlichen Marktüberwachungsbehörden eine Aufsichtsfunktion haben. Offen ist aber noch, wer zuständig ist für KI-Systeme mit einem allgemeinen Verwendungszweck und für Hochrisiko-KI-Systeme in den Bereichen kritische Infrastruktur, allgemeine und berufliche Bildung, Arbeitnehmermanagement und sowie für grundlegende private Dienstleistungen und öffentliche Leistungen.