EDSA nimmt Erklärung zur Rolle der Datenschutzbehörden im Rahmen des KI-Gesetzes, der häufig gestellten Fragen zum Datenschutzrahmen EU-USA und des neuen Europäischen Datenschutzsiegels an

17 July 2024

Brüssel, 17. Juli – Auf seiner letzten Plenartagung nahm der Europäische Datenschutzausschuss (EDSA) eine Erklärung zur Rolle der Datenschutzbehörden im Rahmen des Gesetzes über künstliche Intelligenz (KI-Gesetz) an.

Dem EDSA zufolge verfügen die Datenschutzbehörden bereits über Erfahrung und Fachwissen im Umgang mit den Auswirkungen von KI auf die Grundrechte, insbesondere das Recht auf Schutz personenbezogener Daten, und sollten daher in einer Reihe von Fällen als Marktüberwachungsbehörden benannt werden. Dies würde eine bessere Koordinierung zwischen den verschiedenen Regulierungsbehörden gewährleisten, die Rechtssicherheit für alle Interessenträger erhöhen und die Aufsicht und Durchsetzung sowohl des KI-Gesetzes als auch des EU-Datenschutzrechts stärken.

Gemäß dem KI-Gesetz benennen die Mitgliedstaaten vor dem 2. August 2025 auf nationaler Ebene MSA, um die Anwendung und Umsetzung des KI-Gesetzes zu überwachen. 
In seiner Erklärung empfiehlt der EDSA,  dass

  • Wie bereits im KI-Gesetz angegeben, sollten Datenschutzbehörden als MSA für Hochrisiko-KI-Systeme benannt werden, die für Strafverfolgung, Grenzmanagement, Justizverwaltung und demokratische Prozesse verwendet werden;
  • Die Mitgliedstaaten sollten die Benennung von Datenschutzbehörden als Verwaltungsbehörden auch für andere Hochrisiko-KI-Systeme in Erwägung ziehen, wobei die Ansichten der nationalen Datenschutzbehörde zu berücksichtigen sind, insbesondere wenn sich diese Hochrisiko-KI-Systeme in Sektoren befinden, die sich auf die Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten auswirken können; 
  • Die Datenschutzbehörden sollten, sofern sie als MSA benannt werden, als zentrale Anlaufstellen für die Öffentlichkeit und die entsprechenden Stellen auf Ebene der Mitgliedstaaten und der EU benannt werden.
  • Für die Zusammenarbeit zwischen den Verwaltungsbehörden der Mitgliedstaaten und den anderen Regulierungsbehörden, die mit der Beaufsichtigung von KI-Systemen, einschließlich Datenschutzbehörden, beauftragt sind, sollten klare Verfahren festgelegt werden. Darüber hinaus sollte eine angemessene Zusammenarbeit zwischen dem EU-Amt für künstliche Intelligenz und den Datenschutzbehörden/EDSA eingerichtet werden.

Die stellvertretende Vorsitzende des EDSA, Irene Loizidou Nicolaidou, erklärte: „DPA sollten eine herausragende Rolle bei der Durchsetzung des KI-Gesetzes spielen, da die meisten KI-Systeme die Verarbeitung personenbezogener Daten beinhalten. Ich bin der festen Überzeugung, dass die Datenschutzbehörden aufgrund ihrer vollständigen Unabhängigkeit und ihres tiefen Verständnisses der Risiken von KI für die Grundrechte auf der Grundlage ihrer bestehenden Erfahrungen für diese Rolle geeignet sind.“

Anschließend nahm der Ausschuss zwei Dokumente mit häufig gestellten Fragen (FAQ) zum Datenschutzrahmen EU-USA an, um die Funktionsweise des Datenschutzrahmens genauer zu erläutern.

Die FAQ für Einzelpersonen enthält Informationen über die Funktionsweise des Datenschutzrahmens: wie Sie davon profitieren können, wie Sie eine Beschwerde einreichen und wie mit dieser Beschwerde umgegangen wird.

Ebenso erklärt die FAQ für Unternehmen, welche US-Unternehmen berechtigt sind, dem DPF beizutreten: was zu tun ist, bevor Sie personenbezogene Daten an ein Unternehmen in den USA übermitteln, das DPF-zertifiziert ist, und wo Sie weitere Anleitungen finden können.

Schließlich verabschiedete der EDSA eine Stellungnahme zur Genehmigung des EuroPriSe-Kriterienkatalogs für die Zertifizierung von Verarbeitungstätigkeiten durch Auftragsverarbeiter, die zu einem Europäischen Datenschutzsiegel führte.* Europäische Datenschutzsiegel dienen als wichtige Instrumente, die zur Einhaltung der DSGVO beitragen.

Im September 2022 hatte der EDSA eine Stellungnahme zu den EuroPriSe-Zertifizierungskriterien abgegeben, die ihre Anerkennung in Deutschland als Zertifizierungskriterien für Verarbeitungsvorgänge durch Verarbeiter ermöglichte. Nach einer Aktualisierung der Regelung werden die Kriterien in dieser neuen Stellungnahme als in der gesamten EU/im EWR anwendbar und als Europäisches Datenschutzsiegel anerkannt. 

Die DSGVO-Zertifizierung trägt zum Nachweis von Compliance-Bemühungen und zu mehr Transparenz und Vertrauen bei. Es ermöglicht eine bessere Bewertung des Schutzniveaus von Produkten, Dienstleistungen, Prozessen oder Systemen, die von Organisationen verwendet werden, die personenbezogene Daten verarbeiten.

Hinweis für Redakteure:
*Das EuroPrise European Data Protection Seal wird gemäß Artikel 42 Absatz 8 DSGVO in das Register der Zertifizierungsmechanismen und Datenschutzsiegel aufgenommen.
Die auf der Plenartagung des EDSA verabschiedete Stellungnahme zur Genehmigung des EuroPriSe-Zertifizierungssystems als Europäisches Datenschutzsiegel unterliegt den erforderlichen rechtlichen, sprachlichen und formatarischen Kontrollen und wird nach Abschluss auf der Website des EDSA zur Verfügung gestellt.

 

Die hier veröffentlichte Pressemitteilung wurde automatisch aus dem Englischen übersetzt.  Der EDSA übernimmt keine Gewähr für die Richtigkeit der Übersetzung. Bitte beachten Sie den offiziellen Text in seiner englischen Fassung, falls Zweifel bestehen.