Datenschutz-Aufsichtsbehörden (DE): AI Act, Data Act & DSGVO-Pflichten
Datenschutz-Aufsichtsbehörden (DE) umfassen die Datenschutzkonferenz (DSK) als Gremium der deutschen Aufsichtsbehörden, den Bundesbeauftragten für den Datenschutz (BfDI) und die Landesdatenschutzbeauftragten der 16 Länder. Aufgabe: DSGVO-Durchsetzung (Art. 51–58 DSGVO — Prüfungen, Anordnungen, Bußgelder bis 20 Mio. EUR/4 % Umsatz), BDSG-Durchsetzung, Kooperation mit Marktüberwachung bei AI-Act-/DSGVO-Überschneidung. Bedeutung für AI Act: DSGVO bleibt voll anwendbar (personenbezogene Daten, besondere Datenkategorien Art. 9, automatisierte Entscheidungen Art. 22); Datenschutz-Aufsichten kooperieren mit Marktüberwachung bei Hochrisiko-KI. Aufsichtlich: DSK (Selbstkoordination), BfDI (Bund), Landesdatenschutzbeauftragte (Länder), EDPB (EU-Ebene). Datenschutzaufsicht ist streng, Bußgelder hoch, Praxis entwickelt sich (viele AI-Act-relevante Verfahren).
Steve Baka
DSGVO-Durchsetzung und AI-Act-Kooperation
Datenschutz-Aufsichtsbehörden (DE) setzen die DSGVO (Art. 51–58) durch: Prüfungen, Untersuchungen, Anordnungen (Art. 58 — Abhilfe, Beschränkung, Verbot), Bußgelder (Art. 83 — bis 20 Mio. EUR oder 4 % Umsatz). Plus BDSG (Bundesdatenschutzgesetz) und Landesdatenschutzgesetze. Bedeutung für AI Act: DSGVO bleibt voll anwendbar — personenbezogene Daten, besondere Datenkategorien (Art. 9 — biometrische, gesundheitsbezogene Daten), automatisierte Entscheidungen (Art. 22 — Recht auf menschliche Prüfung), DSFA (Art. 35 — bei hochriskanter Verarbeitung), Profiling (Art. 4 Nr. 4, 22), Informations-/Auskunfts-/Lösch-Pflichten. Datenschutz-Aufsichten kooperieren mit Marktüberwachung bei AI-Act-/DSGVO-Überschneidung (z. B. HR-KI, Emotionserkennung, biometrische Identifikation). Beide Regime sind kumulativ, nicht alternativ.
Praxis: DSK, BfDI, Länderbeauftragte
Praktisch: (1) Datenschutzkonferenz (DSK) — Gremium der deutschen Aufsichtsbehörden (BfDI + 16 Landesdatenschutzbeauftragte + Kirchen-Aufsichten),_orientierungspapiere (z. B. zur KI, zu Scoring, Beschäftigtendatenschutz), einheitliche Auslegung; (2) Bundesbeauftragter für den Datenschutz (BfDI) — Bundesaufsicht (Behörden, Unternehmen des Bundes), berät Bundestag/Regierung; (3) Landesdatenschutzbeauftragte (16 Länder) — Landesaufsicht (Behörden, Unternehmen mit Landesbezug); One-Stop-Shop bei DSGVO-Verfahren mit grenzüberschreitendem Bezug (Art. 56); (4) EDPB (European Data Protection Board) — EU-Koordination, einheitliche Auslegung; (5) Durchsetzung — Prüfungen, Verfahren (z. B. gegen Clearview AI, ChatGPT, Facebook Gesichtserkennung), Bußgelder; (6) AI-Act-/Marktüberwachung-Kooperation — Datenschutz-Aufsichten melden AI-Act-Verdachtsfälle an Marktüberwachung, kooperative Verfahren. Überlagert: BDSG, Landesdatenschutzgesetze, allgemeines Verwaltungsverfahrensrecht, Verfassungsrecht (informationelle Selbstbestimmung Art. 2 i.V.m. 1 GG, BVerfG). Aufsichtlich: Parlaments-/Rechnungshof-Kontrolle, EU-Kommission. Datenschutzaufsicht ist streng, Bußgelder hoch, Praxis entwickelt sich (viele AI-Act-relevante Verfahren).
Grenzen: Informationelle Selbstbestimmung und Verhältnismäßigkeit
Die Grenze der Datenschutz-Aufsicht ist die informationelle Selbstbestimmung (BVerfG-Volkszählungsurteil 1983 — Recht auf Selbstbestimmung über eigene Daten) und die Verhältnismäßigkeit. Aufsichtsbehörden sichern Grundrechtsschutz (Art. 2 i.V.m. 1 GG, Art. 8 GRCh, Art. 8 EMRK), handeln aber im Rahmen der Verhältnismäßigkeit — Sanktionen müssen verhältnismäßig sein (Art. 83 Abs. 2 DSGVO), Anordnungen begründet und gerichtlich überprüfbar. Verwaltungsverfahrensrecht (VwVfG — Anhörung, Begründung § 39, Rechtsbehelfe). Transparenz: Aufsichtsentscheidungen, Bußgeld-Statistik, Orientierungspapiere sichern öffentliche Kontrolle und Rechtssicherheit. Unabhängigkeit: Aufsichtsbehörden brauchen Unabhängigkeit (Art. 52 DSGVO), personelle/fachliche/finanzielle Ausstattung. One-Stop-Shop sichert EU-weite Verfahren (Art. 56 DSGVO). Kooperation mit Marktüberwachung (AI Act), Verbraucherschutz, Strafverfolgung (bei Datenschutzstraftaten § 42 BDSG). Eine unabhängige, gut ausgestattete, transparente Datenschutz-Aufsicht sichert informationelle Selbstbestimmung, Vertrauen und digitale Grundrechte — Datenschutz ist kein Bürokratie-Overhead, sondern Verfassungsschutz.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. KI-Politik und Beratung in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Wer sind die deutschen Datenschutz-Aufsichtsbehörden?
Datenschutzkonferenz (DSK), Bundesbeauftragter für den Datenschutz (BfDI), 16 Landesdatenschutzbeauftragte, Kirchen-Aufsichten. EDPB auf EU-Ebene. One-Stop-Shop bei grenzüberschreitendem Bezug (Art. 56).
Wie hoch sind DSGVO-Bußgelder?
Bis 20 Mio. EUR oder 4 % weltweiter Jahresumsatz (Art. 83 DSGVO). Plus BDSG-Bußgelder. Verhältnismäßig (Art. 83 Abs. 2). Bußgeld-Statistik veröffentlicht.
Wie kooperieren Datenschutz- und Marktüberwachung?
DSGVO + AI Act kumulativ. Datenschutz-Aufsichten melden AI-Act-Verdachtsfälle an Marktüberwachung, kooperative Verfahren. Datenschutz-Aufsichten bei AI-Act-relevanten Verfahren (HR-KI, Emotionserkennung, biometrische Identifikation).
KI-Compliance für Datenschutz-Aufsichtsbehörden (DE)?
Wenn du im Sektor Datenschutz-Aufsichtsbehörden (DE) KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.