Kontakt

Ob Sie lieber eine E-Mail senden oder zum Telefon greifen. Wir freuen uns, von Ihnen zu hören.

Anruf unter
+49 711 86040 00
E-Mail an
kontakt@menoldbezler.de

Datenschutzrechtliche Leitplanken für den Einsatz von KI in der öffentlichen Hand

Öffentliche Hand, Fachbeiträge
Datenschutzrechtliche Leitplanken für den Einsatz von KI in der öffentlichen Hand

Der Einsatz von Künstlicher Intelligenz hält zunehmend Einzug in Verwaltungen – etwa bei Assistenzsystemen, der internen Prozessoptimierung oder der Bearbeitung von Bürgeranfragen. Mit den neuen technischen Möglichkeiten stellt sich für öffentliche Stellen jedoch regelmäßig eine zentrale Frage: Welche Daten dürfen überhaupt in KI-Systemen verarbeitet werden – und was ist dabei zu beachten?

Da der Einsatz von KI häufig mit der Verarbeitung personenbezogener Daten einhergeht, ist die Datenschutzgrundverordnung (DSGVO) frühzeitig in den Blick zu nehmen.

KI und DSGVO: Wann wird es datenschutzrechtlich relevant?

Die DSGVO greift immer dann ein, wenn personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO verarbeitet werden. Das sind gemäß der gesetzlichen Definition alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („Betroffener“) beziehen. Eine natürliche Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung identifiziert werden kann. Dies kann beim Einsatz von KI-Systemen in unterschiedlichen Phasen der Fall sein – etwa

  • bei der Eingabe von Daten (z. B. Prompts mit Personenbezug),
  • bei der Nutzung von KI-Ergebnissen (z. B. generierte Texte oder Bewertungen über identifizierbare Personen),
  • oder bei KI-Anwendungen im Personal-, Überwachungs- oder Bürgerkontaktbereich

Soweit ein KI-System also Daten verarbeitet, die einer natürlichen Person zugeordnet werden können, sind die Vorgaben der DSGVO zu beachten. Keine Anwendung findet die DSGVO hingegen, wenn ausschließlich anonyme Daten verarbeitet werden; eine (wirksame) Anonymisierung kann die DSGVO-Anwendbarkeit daher entfallen lassen. Andernfalls kann eine Pseudonymisierung die Risiken zumindest reduzieren, auch wenn pseudonymisierte Daten weiterhin personenbezogene Daten bleiben. Für die Praxis lohnt sich daher stets die vorgelagerte Prüfung, ob personenbezogene Daten tatsächlich erforderlich sind oder ob sich der Anwendungsfall auch ohne Personenbezug realisieren lässt.

Large Language Models: Nutzung ja, unreflektierte Dateneingabe nein

Gerade beim Einsatz von Large Language Models (LLM) wie ChatGPT bestehen in der Praxis Unsicherheiten. Die bloße Nutzung eines LLM begründet für sich genommen noch keine datenschutzrechtliche Verantwortlichkeit. Datenschutzrechtlich relevant wird es aber, wenn personenbezogene Daten in das LLM eingegeben werden (z. B. in eigenen Prompts) oder das LLM mit personenbezogenen Daten weitertrainiert wird. Dann trifft die nutzende Stelle eine eigene Verantwortlichkeit, die entsprechende Verarbeitung DSGVO-konform auszugestalten.

Für die öffentliche Hand bedeutet das: Nicht das Tool ist das Problem, sondern der Umgang mit Daten im konkreten Anwendungsfall.

Besondere Vorsicht bei sensiblen Daten

Erhöhte Anforderungen gelten bei der Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO), etwa Gesundheitsdaten, biometrischen Daten oder Angaben zu politischen oder religiösen Überzeugungen. Eine KI-basierte Verarbeitung solcher Daten ist grundsätzlich verboten und nur unter engen gesetzlichen Ausnahmen zulässig. Für viele KI-Anwendungsfälle in der Verwaltung scheidet eine Verarbeitung dieser Daten daher faktisch aus.

Rollen, Verantwortlichkeiten und Verträge

Setzt eine Behörde KI-Systeme externer Anbieter ein (z. B. cloudbasierte KI-Dienste), ist zwingend zu klären

  • wer datenschutzrechtlich verantwortlich ist und
  • in welchem Verhältnis die Beteiligten stehen (Auftragsverarbeitung nach Art. 28 DSGVO, gemeinsame Verantwortung nach Art. 26 DSGVO oder getrennte Verantwortlichkeit).

Häufig ist die Auftragsverarbeitung die vorzugswürdige Konstellation, da sie klare Verantwortlichkeiten schafft und Haftungsrisiken reduziert. Praktisch wichtig ist dabei, dass bei einer Auftragsverarbeitung der KI-Anbieter die im Auftrag verarbeiteten Daten nicht zu eigenen Zwecken (z. B. zum Training) nutzen sollte – was vertraglich abgesichert werden muss. Bei externen KI-Diensten lohnt zudem ein Blick auf das konkrete Produkt-/Lizenzmodell: Bei manchen Anbietern sind Eingaben in kostenlosen Varianten eher für eigene Zwecke des Anbieters nutzbar, während kostenpflichtige Angebote eher (auch) Auftragsverarbeitungsmodelle und Zusicherungen zum „Nicht-Training“ vorsehen.

Praxistipps für öffentliche Stellen

  • Personenbezug prüfen: Vor jedem KI-Einsatz klären, ob und welche personenbezogenen Daten verarbeitet werden (müssen).
  • Datenvermeidung ernst nehmen: Wo möglich, auf anonyme oder zumindest pseudonymisierte Daten setzen.
  • Rechtsgrundlage sicherstellen: Jede Verarbeitung benötigt einen Erlaubnistatbestand (z. B. Art. 6 DSGVO).
  • Rollen definieren: Verantwortlichkeiten mit KI-Anbietern eindeutig festlegen und vertraglich absichern.
  • KI-Richtlinien einführen: Klare Vorgaben für Mitarbeitende (z. B. – soweit möglich – zur Nichtverwendung personenbezogener Daten in KI-Tools der zu Prüfpflichten der Ergebnisse).
  • Dokumentation nicht vergessen: KI-Anwendungen gehören ins Verzeichnis der Verarbeitungstätigkeiten; ggf. ist eine Datenschutzfolgenabschätzung erforderlich.

Fazit: KI nutzen – aber datenschutzbewusst

Der datenschutzkonforme Einsatz von KI ist für die öffentliche Hand kein Hindernis, sondern eine Gestaltungsaufgabe. Der Einsatz von KI scheitert regelmäßig nicht am Datenschutz, sondern an Unsicherheit im Umgang mit Daten. Entscheidend ist nicht der Verzicht auf KI, sondern ein bewusster und rechtlich sauberer Umgang mit personenbezogenen Daten im konkreten Anwendungsfall. Werden Datenflüsse und Verantwortlichkeiten frühzeitig geklärt, lassen sich viele KI-Anwendungen ohne größere Hürden umsetzen. So wird KI zu einem praktikablen Werkzeug für moderne Verwaltungsarbeit und nicht zu einem rechtlichen Risikofaktor.

Ansprechpartner
Dr. Jessica Hawighorst
Hawighorst, Dr. Jessica Rechtsanwältin
Weitere relevante Bereiche zum Thema
Datenschutzrecht, IT- und Internetrecht
Branchen & Lösungen
Öffentliche Hand und ihre Unternehmen
Zurück
Newsletter

Sie wollen regelmäßig Informationen zu aktuellen Entwicklungen erhalten? Hier können Sie sich für unseren Newsletter registrieren.

Jetzt anmelden

Telefon: +49 711 86040 00
kontakt@menoldbezler.de