Berlin: (hib/HAU) Die von der Bundesregierung getroffene Entscheidung, die Bundesnetzagentur (BNetzA) als Marktüberwachungsbehörde für die Einhaltung der KI-Verordnung zu benennen, trifft bei Sachverständigen auf Zuspruch. Das wurde bei einer öffentlichen Anhörung des Ausschusses für Digitales und Staatsmodernisierung zum Gesetzentwurf für ein KI-Marktüberwachungs-und-Innovationsförderungs-Gesetz (21/4594) am Montag deutlich. Mit dem Gesetz soll die Durchführung der EU-Verordnung 2024/1689, der europäischen Verordnung über Künstliche Intelligenz (AI-Act) geregelt werden, die seit August 2024 in Kraft ist.
Skeptisch zeigten sich die Expertinnen und Experten hinsichtlich der breitgefächerten Notifizierungszuständigkeiten auf Länderebene. Auch bei den geplanten KI-Reallaboren wurden Nachbesserungen angemahnt. Dem von einigen Sachverständigen geforderten KI-Beirat stand der Präsident der Bundesnetzagentur, Klaus Müller, eher ablehnend gegenüber.
Die Bundesnetzagentur stehe bereit, die zentrale Rolle bei der Durchführung der Verordnung in Deutschland zu übernehmen, sagte Müller. Es gelte, mit einer verlässlichen, europaeinheitlichen Rechtsdurchsetzung für ein innovationsfreundliches und zugleich sicheres Umfeld für Künstliche Intelligenz (KI) zu sorgen. Schon in den vergangenen Monaten seien zahlreiche Vorbereitungsarbeiten aufgenommen worden, sagte er. Mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sei man vernetzt. Ein erster Testlauf für ein KI-Reallabor sei auch schon durchgeführt worden, sagte Müller. Diese sei ein gutes Instrument, um Ängste und Sorgen abzubauen, sagte er als Entgegnung auf die laut gewordene Skepsis.
Mit Blick auf das föderal bedingte Mehrbehördenmodell – geplant ist eine Vielzahl an Landesbehörden als weitere KI-Behörden – sprach der Präsident der Bundesnetzagentur von gewissen Herausforderungen in der Praxis. „Je stärker es uns gelingen wird, eine gebündelte Aufsichtsstruktur zu gestalten, desto geringer wird der Koordinierungsaufwand und desto effizienter werden die Abläufe sein“, sagte Müller.
Das BSI stehe als Dienstleister für die Bundesnetzagentur zur Verfügung, machte BSI-Präsidentin Claudia Plattner deutlich. Das gelte etwa für die Expertise bei Verdachtsfällen mangelnder Cybersicherheit in Hochrisiko KI-Systemen oder wenn es darum gehe, „zu schauen, wie im Zweifelsfall Aufsichtsmaßnahmen zu definieren sind“, und um verbindliche Vorgaben für technische Prüfungen von Sicherheitsanforderungen.
Das Gesetz schafft eine auf den ersten Blick klare Struktur, die aus Sicht von Louisa Specht-Riemenschneider, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ihre Funktion allerdings nur dann zielführend erfüllen könne, „wenn die Datenschutzaufsicht und die Marktüberwachung eng verzahnt zusammenarbeiten“. Dies könne der Gesetzgeber durch präzisere Vorgaben zur Zusammenarbeit sicherstellen. Was nicht passieren dürfe, sei, dass am Ende die beaufsichtigte Stelle „noch einen Ansprechpartner mehr hat“. Specht-Riemenschneider unterstützte die Forderung nach Klarheit. „Rechtsunsicherheit ist der natürliche Feind der Innovation“, sagte sie.
Aus Sicht des Verbraucherschutzes braucht es niedrigschwellige Beschwerdewege bei der BNetzA, sagte Miika Blinn von der Verbraucherzentrale Bundesverband. Ein bloßer Verweis auf die Barrierefreie-Informationstechnik-Verordnung genüge hierfür nicht. Werde eine Beschwerde an eine zuständige Behörde weitergeleitet, müsse die Kommunikation über das zentrale Beschwerdeportal der BNetzA erfolgen, um ein Behörden-Ping-Pong zu vermeiden, sagte er.
Der Chor der beteiligten Behörden in der KI-Aufsicht sei relativ groß, sagte Jonas Botta vom Deutschen Forschungsinstitut für öffentliche Verwaltung. „Ein großer Chor birgt aber das Risiko der Disharmonie.“ Einen Konfliktlösungsmechanismus sehe das Gesetz aktuell jedoch noch nicht ausreichend vor, befand er. Eine andere Schwachstelle sei die unabhängige KI-Marktkontrollüberwachungskammer. Um deren Unabhängigkeit gewährleisten zu können, sollte der Bereich an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit übertragen werden, empfahl er.
Lajla Fetic vom appliedAI Institute for Europe gGmbH verwies darauf, dass etwa Polen und Spanien nur eine Aufsichtsbehörde hätten. In Deutschland werde stattdessen auf ein hochkomplexes föderales und sektorales Netzwerk gesetzt, mit potenziell hundert beteiligten Behörden. „Das kann funktionieren“, sagte Fetic. Jedoch nur, wenn die BNetzA als kooperative Schaltzentrale ausreichend ausgestattet wird, konsensorientierte Abstimmungsprozesse stattfinden und der Beratungsaspekt stärker herausdefiniert wird.
Auf die fragmentierte Behördenstruktur ging auch Professor Patrick Glauner von der Technische Hochschule Deggendorf ein. Diese könne zu komplexen Zuständigkeiten führen und damit insbesondere für Startups und internationale Unternehmen einen Standortnachteil gegenüber Ländern mit klarer „One-Stop Shop“-Struktur darstellen, sagte er. Die KI-Reallabore hält er für überschätzt. Ein Grund sei, dass die regulatorischen Anforderungen der KI-Verordnung durch Reallabore nicht grundsätzlich reduziert würden, sondern lediglich auf das Verhängen von Strafen verzichtet werden könne. Für viele Startups sei daher der Aufwand hoch, während der Nutzen begrenzt bleibe.
Separate Zuständigkeitszuweisungen an andere Bundesbehörden machen aus Sicht von Robert Kilian vom Bundesverband der Unternehmen der Künstlichen Intelligenz in Deutschland dann Sinn, „wenn es Fachkompetenz auf der Schnittstelle KI zur Fachindustrie, einschlägige Prüfungserfahrungen und gewachsene Aufsichtsbeziehungen gibt“. Was die Zuständigkeiten der Landesbehörden angeht, so hält Kilian dies für problematisch. Noch sei nicht klar, welche Behörden oder Ämter es sein werden. Er sei sich aber sicher, dass es dort noch keine ausreichende KI-Kompetenz und auch kein KI-Budget gebe, sagte Kilian. Die Lösung des Problems liege darin, „dass wir einen gesetzlichen Koordinierungsmechanismus brauchen, der diese Behörden effektiv in die Abstimmung zwingt“. Ein gesetzlicher Koordinierungsmechanismus zwischen BNetzA und Landesbehörden sei daher im parlamentarischen Verfahren zu verankern.
Vor einem Flickenteppich warnte Marvin Pawelczyk vom IT-Branchenverband Bitkom. Es brauche stattdessen im besten Fall eine bundeseinheitliche Lösung – mindestens aber verbindliche Koordinierungsmechanismen und einheitliche Vollzugshinweise, sagte er. Mehrere Behörden mit parallelen Durchsetzungsbefugnissen drohten sektorübergreifende Anbieter mit inkonsistenten Maßnahmen zu belasten, so Pawelczyk. Es brauche daher ein verbindliches Leitbehördenprinzip und einen formellen Mechanismus zur Klärung von Zuständigkeitsüberschneidungen.
Pia Sombetzki von der AW AlgorithmWatch gGmbH sprach sich dafür aus, einen KI-Beirat zu schaffen, ein effektives Beschwerdesystem aufzusetzen und kompetenzstärkende Maßnahmen in der Bevölkerung zu fördern, damit diese ihre Rechte nach der KI-Verordnung wahrnehmen kann. Auf Bundesebene müsse zudem ein verpflichtendes KI-Transparenzregister für alle Behörden aufgebaut werden, dass die begrenzten Informationen in der EU-Datenbank der Hochrisiko-KI-Systeme umfassend ergänzt. Die BNetzA sollte ihrer Auffassung nach der Aufsicht darüber ausüben. Die unabhängige und kompetente Aufsicht über den staatlichen Einsatz von Hochrisiko-KI-Systemen in besonders sensiblen Bereichen müsse über die Datenschutzbehörden sichergestellt werden, sagte Sombetzki.