Das Europäische Parlament und der Europäische Rat erzielten im Dezember 2023 eine politische Einigung zur KI-Verordnung (KI-VO). Anfang Februar 2024 haben die Mitgliedsstaaten der Europäischen Union die KI-Verordnung einstimmig gebilligt und so den Grundstein für deren Verabschiedung gelegt.
Sofern durch die Nutzung von KI-Systemen personenbezogene Daten verarbeitet werden, findet die KI-VO Anwendung. In solchen Fällen stellt sich insbesondere die Frage nach der Verantwortlichkeit. Ist der Nutzer des KI-Systems, welcher die Daten in das jeweilige System einspeist, Verantwortlicher im Sinne der DS‑GVO oder treffen den Anbieter derartiger Systeme die Pflichten eines Verantwortlichen? Liegt möglicherweise sogar eine gemeinsame Verantwortlichkeit der beiden Akteure vor?
Dient die KI lediglich als Werkzeug zur Erledigung bestimmter Aufgaben, liegt die Verantwortung regelmäßig bei dem Verwender des KI-Systems, wohingegen der Hersteller der KI regelmäßig als Auftragsverarbeiter im Sinne von Art. 28 Abs. 1 DS‑GVO zu betrachten ist.
Treffen das Unternehmen, welches die KI nutzt, und das Unternehmen, welches die KI anbietet, gemeinsame Entscheidungen über die Verarbeitung, ist von einer gemeinsamen Verantwortlichkeit im Sinne von Art. 26 DS‑GVO der beiden Unternehmen auszugehen, sodass auch beide für die Einhaltung der datenschutzrechtlichen Vorschriften Sorge zu tragen haben. Bei einer gemeinsamen Verantwortlichkeit ist die größte Herausforderung, die Rechte und Pflichten interessengerecht aufzuteilen und so die Frage der Haftung zwischen dem die KI nutzenden Unternehmen und dem Hersteller des KI-Systems gerecht aufzuteilen.
Die Verarbeitung personenbezogener Daten bedarf auch bei der Nutzung von KI-Systemen einer ausreichenden Rechtsgrundlage im Sinne von Art. 6 Abs. 1 lit. a) – f) DS‑GVO. Dabei ist auch zu beachten, dass sowohl die Datenerhebung und -nutzung zum Training einer KI als auch die Verarbeitung der entsprechenden Daten durch die KI jeweils einer – möglicherweise unterschiedlichen – Rechtsgrundlage bedarf.
Vor diesem datenschutzrechtlichen Hintergrund wird teilweise diskutiert, ob man Datenschutzbeauftragten wegen vermeindlicher Synergien zusätzlich die Aufgabe eines „KI-Beauftragten“ geben kann. Nach Auffassung des Europäischen Datenschutzausschusses (EDSA) sollen die neuen EU-Rechtsvorschriften im digitalen Bereich wie die KI-VO, der Digital Services Act, der Digital Market Act und der Data Act bei einer Überarbeitung des Working-Paper 243, welches Stellung und Aufgaben der Datenschutzbeauftragten beschreibt, berücksichtigt werden. Es scheine, so der EDSA, dass Datenschutzbeauftragte einiger Organisationen im Rahmen dieser Gesetze intern Schlüsselrollen übernehmen. Hiergegen gibt es erhebliche Bedenken. Die Aufsichtsbehörde von Bayern warnt davor, Datenschutzbeauftragte ohne hinreichendes Problembewusstsein mit Zusatzaufgaben im Compliance-Bereich zu betrauen. Auf Grundlage der neueren Rechtsprechung des EuGH und des Bundesarbeitsgerichts werde man bei der Zuweisung zusätzlicher Compliance-Aufgaben kritisch prüfen, ob hiergegen nicht strukturelle Interessenkonflikte bestehen. Dieses Risiko oder die Gefahr unzureichender Ressourcen, die Datenschutzbeauftragten zur Verfügung stehen, sprechen gegen eine solche Ämterhäufung. Zu dieser Thematik lohnt sich die Lektüre des Beitrages von Bargmann/ Müthlein/Reif in dieser Ausgabe.
