Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben eine gemeinsame Stellungnahme zum Vorschlag der Europäischen Kommission für den „Digital Omnibus on AI“ angenommen. Ziel des Vorschlags ist es, die Umsetzung bestimmter harmonisierter Vorschriften im Rahmen des KI-Gesetzes zu vereinfachen. EDSA und EDSB unterstützen dieses Anliegen – stellen jedoch klar, dass eine Verwaltungsvereinfachung den Schutz der Grundrechte nicht beeinträchtigen darf.
In ihrer Stellungnahme erkennen EDSA und EDSB die Komplexität der KI-Landschaft ausdrücklich an. Die Bemühungen um eine Entlastung von Organisationen werden begrüßt. Gleichzeitig wird betont, dass bestimmte vorgeschlagene Änderungen den Schutz von Einzelpersonen im Zusammenhang mit KI untergraben könnten.
Innovation ja, aber nicht ohne Aufsicht
Der EDSA-Vorsitzende Anu Talus hebt hervor, dass Innovation und Effizienz neben der Rechenschaftspflicht von KI-Anbietern bestehen können. Reallabore auf EU-Ebene und vereinfachte Verfahren zur Unterstützung von KMU werden ausdrücklich begrüßt. Zugleich müsse die zentrale Rolle der Datenschutzbehörden bei der Verarbeitung personenbezogener Daten gewahrt bleiben.
Auch der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski betont die Notwendigkeit eines sorgfältigen Gleichgewichts: Vereinfachung sei nur dann zu begrüßen, wenn sie Verpflichtungen klarstelle, den Einzelnen stärke und Vertrauen fördere. Der Schutz der Grundrechte dürfe nicht untergraben werden. Zudem müsse die Rolle des Amtes für künstliche Intelligenz klar definiert sein und dürfe die unabhängige Aufsicht nicht beeinträchtigen.
Für Unternehmen bedeutet dies: Auch bei möglichen Verfahrensvereinfachungen bleibt die Erwartung an belastbare Governance- und Dokumentationsstrukturen bestehen.
Sensible Daten zur Verzerrungskorrektur
Der Vorschlag würde es Anbietern und Betreibern von KI-Systemen erleichtern, personenbezogene Daten – etwa Gesundheitsdaten oder Angaben zur ethnischen Herkunft – zur Erkennung und Korrektur von Verzerrungen zu verarbeiten.
EDSA und EDSB fordern jedoch eine klare Eingrenzung: Eine solche Verarbeitung dürfe nur zulässig sein, wenn tatsächlich ein erhebliches Risiko nachteiliger Auswirkungen besteht.
Praxisrelevant ist dies insbesondere für Unternehmen, die KI-Systeme trainieren oder evaluieren: Die Schwelle für den Einsatz besonderer Kategorien personenbezogener Daten bleibt hoch und bedarf einer sorgfältigen rechtlichen Prüfung.
Hochrisiko-KI und Registrierungspflichten
EDSA und EDSB sprechen sich gegen die geplante Abschaffung der Registrierungspflicht für bestimmte Hochrisiko-KI-Systeme aus – selbst dann, wenn Anbieter ihre Systeme als „nicht hochriskant“ einstufen. Nach ihrer Auffassung würde dies die Rechenschaftspflicht erheblich schwächen und Anreize schaffen, Ausnahmen zu nutzen, um öffentlicher Kontrolle zu entgehen.
Zudem äußern sie Bedenken gegen eine Verschiebung zentraler Vorgaben für Hochrisiko-KI-Systeme. Angesichts der dynamischen Entwicklung der KI fordern sie, den ursprünglichen Zeitplan, insbesondere bei Transparenzpflichten, möglichst beizubehalten.
Gerade im Hochrisikobereich zeigt sich: Die regulatorische Erwartung an Transparenz und Nachweisbarkeit wird eher geschärft als abgeschwächt.
Reallabore, Zuständigkeiten und KI-Kompetenz
EDSA und EDSB begrüßen die geplanten KI-Reallabore auf EU-Ebene, fordern jedoch eine direkte Einbindung der Datenschutzbehörden in die Überwachung der Datenverarbeitung. Zudem sprechen sie sich für klare Zuständigkeitsregelungen und eine saubere Abgrenzung der Aufsicht aus.
Darüber hinaus soll die Verpflichtung von KI-Anbietern und -Einführern zur Sicherstellung ausreichender KI-Kompetenz im eigenen Unternehmen ausdrücklich bestehen bleiben. Staatliche Fördermaßnahmen dürfen diese Verantwortung nicht ersetzen.
Fazit
EDSA und EDSB befürworten eine effizientere Umsetzung des KI-Gesetzes, ziehen jedoch klare Grenzen: Grundrechtsschutz, Transparenz und unabhängige Aufsicht dürfen nicht relativiert werden.
Für Unternehmen ist die Botschaft eindeutig: Auch wenn einzelne Verfahren vereinfacht werden, bleiben substanzielle Compliance-Anforderungen – insbesondere bei Hochrisiko-KI – bestehen.
Die weitere Ausgestaltung des „Digital Omnibus on AI“ sollte daher aufmerksam verfolgt und zum Anlass genommen werden, bestehende KI-Strukturen rechtlich zu überprüfen. Wir beraten Sie zu allen offenen Fragen.
