Spätestens, seitdem der Rat der 27 EU-Mitgliedstaaten am 21. Mai 2024 den AI Act verabschiedet hat, wird nicht nur in Deutschland intensiv darüber diskutiert, welche Behörde sich am besten als Markaufsicht eignet. Die Anzahl der verschiedenen Meinungen ist dabei noch größer als die Anzahl der verfügbaren Behörden. Den Auftakt haben verschiedene Datenschutzbehörden gemacht und sich als Aufsicht ins Spiel gebracht. Angeführt werden verschiedene Gründe, maßgeblich die Erfahrung im Umgang mit der Beurteilung von Grundrechtssachverhalten im digitalen Kontext; beispielsweise im Zusammenhang mit Grundrechtsfolgenabschätzungen. Aus Sicht der (noch) aktuellen Bundesregierung scheint die Bundesnetzagentur als Marktaufsichtsbehörde gesetzt zu sein. Nach dem Bruch der Koalition stellt sich allerdings die Frage, ob die aktuelle Regierung noch einen Gesetzesentwurf einbringen wird; oder ob sie dies der nachfolgenden Regierung überlässt. Selbst in letzterem Fall, so hört man, scheint es bei der Bundesnetzagentur als favorisierter Marktaufsichtsbehörde zu bleiben. Hinter vorgehaltener Hand ist zu vernehmen, dass man dieser eher zutraut, sich auf Umsetzung, Innovation und Digitalisierung zu fokussieren. Die Sicht der Unternehmen ist dabei nicht weniger divers. Die Spannweite reicht von überhaupt keiner (weiteren) Marktaufsicht über die Zuweisung an die jeweiligen Landesdatenschutzbehörden bis hin zur Bundesnetzagentur. Bei so vielen verschiedenen Meinungen stellt sich unweigerlich die Frage: Wer hat nun Recht? Wie so oft haben alle Recht. Um das zu erklären, beginnen wir am besten mit der KI-Governance.
Einstieg in (und über) KI-Governance
Mit der Verabschiedung des AI Acts beginnt der Aufbau einer KI-Governance im Unternehmen. Wie genau ist eine durchaus knifflige Frage. Der AI Act gibt eine gewisse Orientierung vor, welche Komponenten benötigt werden: Ein KI-Inventory schafft Übersicht, ein KIRisk-&-Mitigation-Framework adressiert Risiken einschließlich Grundrechtsgefahren. Datenqualität, Dokumentation, Fairness, Transparenz und Erklärbarkeit sind zentrale technische Aspekte. Und organisatorische Anforderungen wie Prozesseinbau und Training bereiten das Unternehmen auf den KI-Einsatz vor. Was unmittelbar auffällt: Die Anforderungen sind sehr unterschiedlich. Etliche sind eher technisch, andere eher organisatorisch oder (grund)rechtlicher Natur. Damit zeigt sich bereits die erste Differenzierung. Einige Bereiche des AI Act sind überaus geeignet für eine technische Regulierung durch die Bundesnetzagentur. Andere Bereiche hingegen sind geprägt durch (mitunter sehr) komplexe Abwägungen verschiedener Grundrechtspositionen. Hier haben (nicht nur) die Datenschutzbehörden einen umfassenden, über Jahrzehnte reichenden Erfahrungsschatz.
KI im Kontext
KI ist meist in einen konkreten Kontext eingebettet, der sehr unterschiedlich sein kann. Das hat wiederum Auswirkungen auf die KI-Aufsicht, wie sich am Beispiel der KI-Risikoabwägung recht gut veranschaulichen lässt. Der Einsatz von KI im OEM-Bereich für autonomes Fahren betrifft vollkommen andere Risiken als beispielweise der Einsatz von KI im E-Commerce. Gleiches gilt wiederum für den Einsatz von KI im Medizinbereich, ob nun Forschung & Entwicklung oder Anwendung (Diagnose). Die Einschätzung der Gefahren und der angemessenen Schutzmaßnahmen setzt ein umfangreiches Kontextwissen und – erfahrung voraus. Andernfalls ist bestenfalls eine abstrakte Einschätzung von KI-Risiken möglich, die dem konkreten Risikoszenario nicht gerecht werden kann; und kaum praktisch sinnvolle Regulierung hervorzubringen vermag. Damit zeigt sich die zweite wichtige Differenzierung: Kontextuales Wissen und Erfahrungen sind für eine sinnvolle und effektive KI-Aufsicht unerlässlich. Dieses Wissen liegt bei jenen Aufsichtsbehörden, welche die Risiken aus dem jeweiligen Kontext bereits heute beaufsichtigen. Im OEM-Bereich ist dies das Kraftfahrt-Bundesamt. Im Medizinbereich (auch) die Zentralstelle der Länder für Gesundheitsschutz bei Arzneimitteln und Medizinprodukten. Und im Bereich eines E-Commerce-Unternehmens sind es eben (auch) die Datenschutzbehörden. Es verwundert also nicht, dass sich Unternehmen je nach Kontext bzw. Branche sehr unterschiedlich zu der Frage der geeigneten KI-Aufsichtsbehörde positionieren. Bereits bestehende Zuständigkeiten Mag der kontextuale Bezug wie eine Zuständigkeit durch Sachkompetenz wirken, gibt es daneben eine Vielzahl bereits heute bestehender, formeller behördlicher Zuständigkeiten für den KI-Bereich. Die Stiftung Neue Verantwortung(1) hat im Jahr 2022 in einer Studie(2) zwölf Behörden identifiziert, deren Schwerpunkte einen Bezug zu verschiedenen Elementen der KI-Aufsicht haben. Dazu zählen neben den bereits genannten Behörden u. a. auch die Beauftragte für den Datenschutz und die Informationsfreiheit, das Bundeskartellamt oder das Bundesamt für Sicherheit in der Informationstechnik. Womit wir unsere dritte wichtige Differenzierung festgestellt haben: KI wird nicht nur unter dem AI Act reguliert. Es gibt daneben eine Vielzahl weiterer Behörden, deren Zuständigkeit durch die Zuweisung der Aufsicht unter dem AI Act an die Bundesnetzagentur nicht beendet wird (oder auch nur beendet werden könnte).
Finanzielle Ausstattung und Kompetenzaufbau
Bleibt noch ein praktisch nicht zu unterschätzender Aspekt: das liebe Geld. Unabhängig davon, wer und wie viele Behörden für die Beaufsichtigung von KI zuständig sind: Es bedarf des Aufbaus (neuer) fachlicher Kompetenzen. Und es wird nicht nur mit bestehendem Personal möglich sein, zumal eine effektive KI-Aufsicht Kompetenzen in Fachbereichen benötigt, die heutzutage bei Behörden nicht oder nur in sehr geringem Umfang vorhanden sind (z. B. im Bereich Applied Science). Zwischen den verschiedenen Behörden auf nationaler und europäischer Ebene besteht zudem ein durchaus harter Wettbewerb um Personal mit entsprechendem Wissen und Kompetenzen. Wettbewerb bedeutet auch immer Geld. Damit stellt sich die Frage der finanziellen Ausstattung. Hier scheint die Bundesnetzagentur mit einem Budget von knapp EUR 300m im Haushaltsjahr 2023 (EUR 302m im Jahr 2022) einen nicht unerheblichen Vorsprung zu haben. Die Beauftragte für den Datenschutz und die Informationsfreiheit kann dagegen laut Bundeshaushaltsplan nur über ein Budget von knapp EUR 45m im Jahr 2023 verfügen. Allerdings zeigt der Sollplan der Bundesnetzagentur für das Jahr 2024 mit einem Gesamtbudget von EUR 263m einen merklichen Rückgang. Womit sich die Frage stellt, ob die Bundesnetzagentur überhaupt den finanziellen Spielraum bekommen hat, Kompetenzen im Bereich AI Act-Aufsicht aufzubauen. Zumal sie mit dem Aufbau der DSA-Aufsicht bereits gut beschäftigt sein dürfte. Allein vor diesem Hintergrund sind die vorhandenen Erfahrungen und fachlichen Kompetenzen anderer Behörden ein nicht zu unterschätzender Mehrwert, auf den die Bundesnetzagentur aller Voraussicht nach angewiesen sein wird.
Nicht nur Unternehmen brauchen eine effektive KI-Governance
All dies legt den Schluss nahe: Eine exklusive Zuständigkeit der Bundesnetzagentur für die KI-Aufsicht ist kaum denkbar. Ganz im Gegenteil. Neben der Bundesnetzagentur steht eine Vielzahl weiterer formell zuständiger und/oder fachlich vorbefasster Behörden. Die Aufsichtsbehörden in den anderen Mitgliedsstaaten oder das EU AI Office sind hier noch nicht einmal berücksichtigt. Die Bundesregierung sollte dies in der Umsetzung der KI-Aufsicht anerkennen. Es ist im Grunde irrelevant, wem sie die Aufsicht über den AI Act in formeller Hinsicht zuweist. Sie muss sich vor allen Dingen darüber Gedanken machen, wie trotz der vielen relevanten Behörden eine effektive KI-Regulierung in Deutschland gelingen kann. Nicht nur Unternehmen brauchen eine KI-Governance. Auch die behördliche Regulierung braucht ein effektives KI-Governancemodell. Diese Governance sollte sich darauf fokussieren, das vorhandene Kontextwissen anderer Behörden zu nutzen, einen effektiven Mechanismus für die Einbeziehung zuständiger Behörden vorgeben und insbesondere eine klares Entscheidungsmodell festlegen, das unter allen Umständen zu einem sachlich sinnvollen und praktisch umsetzbaren Ergebnis führt. Dazu gehören klare Fristen für Einbeziehung, Mitwirkung und Entscheidungen, gebündelt mit der Zuweisung (alternativer) Entscheidungskompetenzen. Auch und insbesondere, wenn andere Behörden nicht (re)agieren. Es gilt, die Governance der KI-Aufsicht in Deutschland vom Ende zu denken: schnelle und praxisnahe Vorgaben und Entscheidungen. Zusammengefasst lässt sich sagen: Anders als die aktuell öffentliche Debatte vermuten lässt, besteht der größte Fallstrick in der Umsetzung der KI-Aufsicht nicht darin, die richtige Behörde zu benennen. Sondern darin, zu verkennen, dass aufgrund der Vielzahl ohnehin involvierter Behörden ein Governance-Prozess geschaffen werden muss, der diese Behörden unter allen Spielvarianten der behördlichen Aufsicht zu einer effektiven Zusammenarbeit mit schnellen und praxisnahen Entscheidungen führt (um nicht zu sagen zwingt). Dabei ist mit der Positionierung der BNetzA als Koordinator und „Single Point of Contact“ (wie zwischenzeitlich geleakten Dokumenten zu entnehmen ist) allenfalls der erste Schritt gemacht. ■
(1) Name bis zum 18. Juni 2024; zwischenzeitlich umbenannt in „Interface – Tech analysis and policy ideas for Europe“
(2) New EU rules for digital services | Why Germany needs strong platform oversight structures, October 2022 (available at interface-eu.org)
