Wie der Datenschutz den Einsatz von KI in Verwaltungen prägt
Öffentliche Organe setzen zunehmend auf künstliche Intelligenz. Um rechtliche Risiken zu vermeiden, ist das Thema Datenschutz von Beginn an zu berücksichtigen. Der verantwortungsvolle Umgang mit KI erfordert deshalb klare Leitlinien und eine sorgfältige Prüfung der Anwendungen.
Der Einsatz von künstlicher Intelligenz (KI) in der Verwaltung wirft diverse datenschutzrechtliche Fragen auf.
Warum KI und Datenschutz?
Mit KI sind meist generative Modelle gemeint, die aufgrund von Trainingsdaten die wahrscheinlichste Wortabfolge vorschlagen. Die Trainingsdaten können dabei Personendaten enthalten. Das Datenschutzrecht ist anwendbar, wenn Personendaten (Informationen zu bestimmten oder bestimmbaren Personen) bearbeitet werden, was beim Training, bei Prompts, Uploads oder Datenbankzugriffen der Fall sein kann. Auch KI-generierte Inhalte können Personendaten enthalten. Daraus können, selbst ohne Login, Persönlichkeitsprofile entstehen. Beim Einsatz von KI müssen öffentliche Organe die geltenden Datenschutzgesetze beachten – im Kanton Zürich ist dies etwa das Gesetz über die Information und den Datenschutz (IDG).
KI-Einsatz: Datenschutz einhalten
Vor der Wahl einer KI-Anwendung sind Anwendungsfälle zu definieren und zu prüfen: Für welchen Zweck wird die KI eingesetzt? Werden Personendaten bearbeitet? Wer nutzt die KI? Sind besondere Personendaten oder Amts- oder Berufsgeheimnisse betroffen? Werden die Daten zum KI-Training genutzt? Ist die Anwendung extern?
Eine Rechtsgrundlagenanalyse prüft, ob für die definierten Anwendungsfälle hinreichende Rechtsgrundlagen bestehen. Bei Vorliegen einer gesetzlichen Grundlage umfasst die Datenbearbeitung meist auch die KI-Nutzung. Führt der Einsatz zu weitgehenden Grundrechtseingriffen, ist der Erlass einer zusätzlichen rechtlichen Grundlage zu prüfen. Zudem müssen für jeden Anwendungsfall die Verhältnismässigkeit und mögliche Alternativen geprüft werden.
Das öffentliche Organ bewertet im Rahmen der Datenschutz-Folgenabschätzung (DSFA) die Risiken für die Grundrechte. Technische Themen werden in einer Schutzbedarfsanalyse festgelegt und im Informationssicherheits- und Datenschutzkonzept (ISDS) zusammengefasst. So werden organisatorische und technische Massnahmen zur Risikominimierung bestimmt, die als Grundlage für die spätere Projektumsetzung dienen.
Stellt das öffentliche Organ in der DSFA besondere Risiken für die Grundrechte fest (was bei KI-Anwendungen als neue Technologie oft der Fall ist), legt es das Projekt vor der Umsetzung der Datenschutzbeauftragten zur Vorabkontrolle vor. Die erwähnten Dokumente dienen dabei als Grundlage für die rechtliche und technische Beurteilung des Vorhabens. In einer Stellungnahme wird aufgezeigt, was gut gelöst wurde und wo noch weitere Massnahmen notwendig sind. Das öffentliche Organ kann diese Rückmeldung anschliessend in die Finalisierung und Projektumsetzung einfliessen lassen.
Besonderes bei KI-Anwendungen
KI-Anwendungen werden oft cloudbasiert von externen Dienstleistern angeboten, womit die Datenbearbeitung ausgelagert wird. Das öffentliche Organ bleibt dabei jederzeit verantwortlich und muss den Schutz der Personendaten gewährleisten.
Beim Einsatz einer externen KI-Anwendung sind deshalb die Auslagerungsvoraussetzungen zu beachten. Anbieter kommen nur infrage, wenn der Datenschutz eingehalten ist und keine Geheimhaltungsverpflichtungen oder andere rechtliche Bestimmungen entgegenstehen (z. B. Cloud Act). Die gesetzlich bestimmten Inhalte und die technischen und organisatorischen Massnahmen sind vertraglich festzulegen.
Apostrophy und Wire bündeln Kräfte
Digitale Souveränität auf einer Big-Tech-Plattform nicht sichergestellt?
Predator - das Musical
Evidenz statt Bauchgefühl – ein IT‑Kontrollsatz für Schweizer Organisationen
Selfservice-Portal: jls ebnet den Weg für den digitalen Strommarkt
Abraxas – für die digitale Schweiz
So gelingt der Wechsel von VMware zu Proxmox
Der Bund veröffentlicht neue Comics zu Cyberrisiken
Die Jubiläumsausgabe der Netzwoche und das neue IT for Gov sind da
