Datenschutz und die Nutzung von KI
KI wird von der Europäischen Union (EU) als Schlüssel für die Zukunft gesehen. Sie entwickelt aber nicht nur Fördermaßnahmen, sondern betrachtet auch Risiken. Um Risiken in Bezug auf kognitive Verhaltensmanipulationen, Soziales Scoring oder biometrische Identifizierung einzudämmen, einigten sich das Europäische Parlament und der Europäische Rat im Dezember auf die Endfassung des Artificial Intelligence Act (AI-Act) als weltweit erste KI-Regulierung dieses Ausmaßes. So müssen Deepfakes und andere KI-generierte Inhalte als solche zukünftig gekennzeichnet werden. Der AI-Act greift nach einer zweijährigen Übergangsfrist voraussichtlich ab Sommer 2026. Bereits jetzt können sich Unternehmen freiwillig über den KI-Pakt an die Verpflichtungen halten, den AI-Act zu antizipieren und seine Anforderungen vor Ablauf der gesetzlichen Frist umzusetzen.
Doch schon jetzt bewegt sich KI nicht in einem rechtsfreien Raum. Insbesondere in datenschutzrechtlicher Hinsicht stellt sie Entwicklerinnen und Entwickler sowie Anwenderinnen und Anwender vor Herausforderungen, denn KI setzt naturgemäß auf die Auswertung einer größtmöglichen Anzahl an Daten aus möglichst diversen Quellen, nachdem sie mit einer Vielzahl sogenannter Trainingsdaten versorgt wurde. Die fertige Anwendung verarbeitet sodann personenbezogene Daten, die wiederum meist zur Optimierung des zugrungeliegenden KI-Algorithmus weitergenutzt werden. Dieses Begehren scheint auf den ersten Blick im Widerspruch zum Datenschutzrecht zu stehen.
Wie kann KI nun aber konkret eingesetzt werden? Insbesondere Technologien wie Chat GPT helfen dabei, effizient, ressourcensparend und serviceorientiert zu arbeiten. Beispielsweise kann KI in Form eines Chatbots bei der Beantwortung von Anfragen und nahezu jeglicher Fragestellung unterstützen, Informationen bereitstellen und so den Service und die Erreichbarkeit erhöhen, während Mitarbeitende entlastet werden. Weiterhin kann Chat GPT komplexe Inhalte recherchieren, zusammenfassen, Texte erstellen oder Formulierungen generieren. Nicht zuletzt unterstützt KI auch bei der automatisierten Befüllung von Formularen oder zur Effizienzsteigerung bei Prozessen. Auch zur Ermittlung des Straßenzustands anhand von Bildern, für das Parkraummanagement oder im Katastrophenschutz – in Form von intelligenten Frühwarnsystemen – kann KI herangezogen werden.
Datenschutzrechtliche Prinzipien
Erforderlich bei der Implementierung von KI-Anwendungen sind ein bewusster Umgang und die Berücksichtigung von Rahmenbedingungen, die auch im AI-Act der EU Niederschlag finden:
1. Datenschutzgrundverordnung (DSGVO) und Landesdatenschutzgesetz Baden-Württemberg (LDSG BW)
Bei der Nutzung von KI durch Kommunen in Baden-Württemberg sind insbesondere die DSGVO sowie das LDSG BW, die die Verarbeitung personenbezogener Daten regeln, zu berücksichtigen. Dabei spielen Aspekte wie Einwilligung, Transparenz und Datensicherheit eine Rolle. In den Blick zu nehmen sind vor allem Art. 5 und 6 DSGVO sowie die entsprechenden Vorschriften des LDSG BW.
Anhaltspunkte in puncto Datenschutz bietet das Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg. Grundsätzlich sollte vor jeglichem Einsatz von KI eine Datenschutzfolgeabschätzung durchgeführt werden (siehe hierzu Art. 35 DSGVO).
2. Transparenz und Verantwortlichkeit (Art. 5 Abs. 1 Buchst. a DSGVO)
Kommunen, die KI nutzen, wird empfohlen, transparent über den KI-Einsatz und die in diesem Zusammenhang vorgenommene Verarbeitung personenbezogener Daten zu informieren und Verantwortlichkeiten zu definieren. Eine entsprechende Verpflichtung folgt unter anderem aus Art. 13 DSGVO.
Der Transparenzgrundsatz gebietet es, dass die Datenverarbeitung auf eine für die Betroffene oder den Betroffenen nachvollziehbare Art und Weise zu erfolgen hat, das heißt, die Verarbeitungsvorgänge müssen erklärbar sein.
3. Datensicherheit und -speicherung (Art. 5 Abs. 1 Buchst. f DSGVO)
Sowohl die DSGVO als auch das Diskussionspapier des LfDI legen Wert auf angemessene Sicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten durch KI. Die anwendende Stelle muss sicherstellen, dass personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Zerstörung – gegebenenfalls durch entsprechende technische und organisatorische Maßnahmen (siehe Art. 32 DSGVO) – geschützt sind. Sofern möglich, können Dienste zwischengeschaltet werden, um einen Datenabfluss aus der KI zu verhindern.
4. Zweckbindung und Datensparsamkeit (Art. 5 Abs. 1 Buchst. b und c DSGVO)
Die DSGVO knüpft die Zulässigkeit der Verarbeitung personenbezogener Daten an den Zweck. Es ist sicherzustellen, dass etwaige Daten nur in dem für einen spezifischen Zweck erforderlichen Maß erhoben und verarbeitet werden. Dies bedeutet, dass personenbezogene Daten ausschließlich zu dem Zweck verarbeitet werden dürfen, für den sie initial erhoben wurden. Eine spätere Zweckänderung ist nur unter engen Voraussetzungen möglich.
Einer unangemessenen oder unverhältnismäßigen Verarbeitung enormer Datenmengen steht der Grundsatz der Datensparsamkeit entgegen. Danach ist die Verarbeitung auf die Daten zu beschränken, die für die Erreichung des Verarbeitungszwecks unerlässlich sind. Irrelevante Daten dürfen erst gar nicht erhoben werden, müssten jedenfalls aber vom KI-Nutzenden aus dem Datensatz entfernt werden.
5.Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO)
Die DSGVO sieht vor, dass personenbezogene Daten grundsätzlich nicht zeitlich unbegrenzt gespeichert werden dürfen. Sie dürfen vorbehaltlich einer weitergehenden Einwilligung des Betroffenen nur so lange gespeichert werden, wie es zur Zweckerreichung erforderlich ist. Im Anschluss sind die Daten von der oder dem Verantwortlichen unaufgefordert und unverzüglich zu löschen (Art. 17 DSGVO). Schwierigkeiten bestehen, wenn die verarbeiteten Daten nicht oder nur mit einem unverhältnismäßig hohen Aufwand isolierbar sind oder sogar Bestandteil der KI wurden.
Erfordernis einer Rechtsgrundlage für die Datenverarbeitung
Die Verarbeitung personenbezogener Daten ist – ob manuell oder automatisiert – grundsätzlich verboten. Die DSGVO statuiert insofern ein Verbot mit Erlaubnisvorbehalt. Sollen personenbezogene Daten verarbeitet werden, bedarf es deshalb einer Rechtsgrundlage für die konkrete Art der Datenverarbeitung.
Einwilligung der oder des Betroffenen (Art. 6 Abs.1 Buchst. a DSGVO)
Die Verarbeitung kann auf Grundlage einer Einwilligung erfolgen, welche allerdings jederzeit widerrufen werden kann (Art. 7 Abs. 3 DSGVO) mit der Folge, dass eine Verarbeitung personenbezogener Daten auf Basis der ehemals erteilten Einwilligung zukünftig nicht mehr möglich ist. Aufgrund der Einwilligung gespeicherte Daten wären gegebenenfalls zu löschen, falls keine anderweitige Rechtsgrundlage vorliegen sollte.
Weitere Rechtsgrundlagen
Die Verarbeitung kann ferner zulässig sein, soweit sie zur Vertragserfüllung (Buchst. b), zur Erfüllung einer rechtlichen Verpflichtung (Buchst. c), zum Schutz lebenswichtiger Interessen (Buchst. d), im öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt (Buchst. e, siehe hierzu auch § 4 LDSG BW) erforderlich ist.
Die Rechtmäßigkeit hängt dabei von der Erforderlichkeit ab. Im Einzelfall zu prüfen ist, ob die Datenverarbeitung nicht auch auf andere Weise erfolgen kann, die jedoch weniger intensiv in die Freiheitsrechte der oder des Betroffenen eingreift. In vielen Fällen wird die datenschutzrechtliche Zulässigkeit davon abhängen, ob eine entsprechende Datenverarbeitung zu einem bestimmten Zweck erforderlich ist.
Aufgrund der Komplexität des Verarbeitungsvorgangs innerhalb von KI-Systemen und einer damit gegebenenfalls einhergehenden Intransparenz wird die Eingriffsintensität als recht hoch einzustufen sein. Die Frage der Erforderlichkeit wird angesichts verfügbarer weniger eingriffsintensiver Datenverarbeitungsmöglichkeiten besonders kritisch zu würdigen sein.
Daneben regelt das LDSG BW in den §§ 12 bis 19 die Zulässigkeit einer Datenverarbeitung in besonderen Verarbeitungssituationen.
§ 15 LDSG BW als Rechtsgrundlage im Beschäftigungskontext
Im Beschäftigungskontext ist bei Kommunen die Datenverarbeitung auf Grundlage und im Rahmen von § 15 LDSG BW zulässig. Danach dürfen personenbezogene Daten mitunter zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses verarbeitet werden. § 15 Abs. 4 LDSG BW schränkt dabei eine automatisierte Verarbeitung von Personalaktendaten durch eine Bezugnahme auf § 84 LBG BW ein. Danach darf eine Entscheidung nur dann vollständig automatisiert ergehen, wenn weder ein Ermessen noch ein Beurteilungsspielraum besteht. Eine automatisierte Datenverarbeitung wäre in diesem Fall nur bei gebundenen Entscheidungen zulässig.
Rechtsgrundlage einer KI-basierten Verarbeitung von Beschäftigtendaten kann auch eine Dienstvereinbarung sein. Dies eröffnet Kommunen einen Gestaltungsspielraum und bietet Flexibilität. Hierbei ist gegebenenfalls ein Mitbestimmungsrecht des Personalrats zu berücksichtigen (siehe insbesondere § 75 Abs. 4 Nr. 11 und Nr. 13 LPVG BW).
§ 18 LDSG BW als spezialgesetzliche Vorschrift für Videoüberwachung
Ob beispielsweise eine KI-basierte Videoüberwachung öffentlicher Räume unter den Voraussetzungen des § 18 LDSG BW zur Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts zulässig ist, erscheint fraglich. Zu einer automatisierten Auswertung der Bildaufzeichnungen wäre mit Blick auf den § 44 Abs. 4 PolG BW nur der Polizeivollzugsdienst ermächtigt, nicht jedoch die allgemeinen Polizeibehörden (siehe § 107 PolG BW).
Praxisbeispiele zu Künstlicher Intelligenz in der Verwaltung
Mit Schorndorf und Wertheim, um nur zwei Beispiele zu nennen, haben sich auch bereits Kommunen auf den Weg gemacht, Regelungen zur Nutzung von KI auszuarbeiten, um die Bereitschaft zur Nutzung zu erhöhen und um Unsicherheiten und Vorbehalte auszuräumen. Begleitend dazu ist es sinnvoll, eine KI-Beauftragte oder einen KI-Beauftragten zu benennen, ebenso wie intern zu den Möglichkeiten der Nutzung, aber auch zu den Rahmenbedingungen und Grenzen zu schulen und über neue technische sowie rechtliche Rahmenbedingungen zu informieren.
