Die öffentliche Verwaltung kämpft mit Personalmangel und vielfältigen Bürokratiehürden. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sieht das Automatisierungspotenzial einiger Tätigkeiten in der Bundesverwaltung als einen Ausweg. In einer Kurzposition befasste sich das BfDI daher mit den rechtlichen Grundlagen für den Einsatz Künstlicher Intelligenz (KI) in der Bundesverwaltung. Das Papier soll Bundesbehörden als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO Anhaltspunkte für die Auswahl geeigneter Rechtsgrundlagen liefern. Dabei wird zwischen der Entwicklung (einschließlich Training) und der Anwendung von KI-Systemen unterschieden.
Definition für KI
Die Kurzposition orientiert sich an der Legaldefinition des Art. 3 Nr. 1 der neuen KI-Verordnung (KI-VO). Demnach ist KI definiert als: „Ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.
Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO
Im Weiteren analysiert die BfDI die Anwendbarkeit der verschiedenen Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO sowohl für die Entwicklung als auch für die Anwendung von KI in der Bundesverwaltung. Die Auswahl der einschlägigen Rechtsgrundlage für eine KI-Anwendung stellt Verantwortliche vor Herausforderungen, da die Anforderungen je nach Eingriffsintensität der Datenverarbeitung variieren, wobei der Einsatz von KI je nach Art ein besonderes Gewicht haben kann.
Dabei kommt das BfDI zu dem Ergebnis, dass die Einwilligung der betroffenen Person (lit. a), die Erfüllung vertraglicher Pflichten (lit. b) oder der Schutz lebenswichtiger Interessen (lit. d) als Rechtsgrundlage gegenüber der öffentlichen Verwaltung nur in wenigen Fällen denkbar sei. Problematisch für die KI-Entwicklung sei beispielsweise die Widerruflichkeit der Einwilligung gemäß Art. 7 Abs. 3 DSGVO und die damit verbundene Pflicht zur Löschung der Daten, was bei KI-Modellen (zumindest noch) schwer umzusetzen sein kann („Machine Unlearning“). Die Rechtsgrundlage des berechtigten Interesses (lit. f) gilt explizit nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
Mögliche Rechtsgrundlagen für die Bundesverwaltung
Übrig bleiben so in der Regel die Erfüllung einer rechtlichen Verpflichtung (lit. c) sowie die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung hoheitlicher Gewalt (lit. e). Diese für Bundesbehörden besonders relevanten Rechtsgrundlagen erfordern eine weitere Rechtsgrundlage aus dem nationalen Recht oder aus dem Unionsrecht, Art. 6 Abs. 3 DSGVO. Diese Vorschrift muss die rechtliche Verpflichtung enthalten und den Zweck der Verarbeitung festlegen. Diese Norm muss also die Verarbeitungsvorgänge präzise regeln, sodass die zulässigen Verarbeitungen vorhersehbar sind. Solche nationalen Regelungen finden sich beispielsweise in den §§ 22 ff. Bundesdatenschutzgesetz (BDSG), aber auch in Spezialgesetzen anderer Rechtsgebiete. Konkrete Beispiele hierfür sind Aufbewahrungs- oder Meldepflichten. Die Festlegung muss nicht zwingend gebietenden oder verbietenden Charakter haben, sondern kann sich auch aus dem Zusammenhang erschließen.
Rechtmäßigkeit der Datenverarbeitung
Die Verarbeitung personenbezogener Daten für KI-Entwicklung oder -Anwendung stellt einen rechtfertigungsbedürftigen Eingriff in die Grundrechte darstellt, insbesondere in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 Grundgesetz. Daher muss erstens der Zweck der Verarbeitung (ein im öffentlichen Interesse liegendes Ziel) klar definiert sein und zweitens im Verhältnis zur Eingriffsintensität stehen.
- Grundsatz der Zweckbindung
Der Zweckbindungsgrundsatz gemäß Art. 5 Abs. 1 lit. b) DSGVO ist entscheidend. Eine allgemeine Formulierung wie „zu KI-Trainingszwecken“ oder „zur Aufgabenerfüllung“ genüge so das BfDI nicht, vielmehr muss der konkrete Zweck benannt werden. Bei der Nutzung vorhandener Daten für die KI-Entwicklung liegt in der Regel eine Zweckänderung vor, die gemäß § 23 BDSG bzw. Art. 6 Abs. 4 DSGVO zulässig sein muss. Die Vereinbarkeit des neuen Zwecks mit dem ursprünglichen Zweck ist zu prüfen, wobei das Über-/Unterordnungsverhältnis zwischen Behörden und Bürgern die Vereinbarkeit erschweren kann.
- Verhältnismäßigkeit der Verarbeitung
Der Eingriff muss zudem im Verhältnis zur Eingriffsintensität stehen. Der BfDI orientiert sich dabei am vom Bundesverfassungsgericht aufgestellten Maßstab der Verhältnismäßigkeitsprüfung „automatisierter Datenanalysen“ (BVerfG, Urteil BVerfGE 165, 363). Die Eingriffsintensität kann je nach Schritt in der Entwicklung oder Anwendung von KI unterschiedlich sein und wird durch Faktoren wie Art und Umfang der Daten, Analysemethoden, denkbare Verwendung und Missbrauchsgefahr bestimmt. Der Einsatz von KI geht tendenziell mit einem höheren Eingriffspotenzial einher als andere Technologien. Große Datenmengen, Verknüpfungen sowie mangelnde Transparenz und Nachvollziehbarkeit können zu Diskriminierungsrisiken führen. Je eingriffsintensiver die Datenverarbeitung ist, desto konkreter muss also die Rechtsgrundlage sein, um den Eingriff zu rechtfertigen. Generalklauselartig formulierte Rechtsgrundlagen reichen regelmäßig nicht aus, so der BfDI.
Besondere Kategorien personenbezogener Daten
Werden besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet, ist zusätzlich zu einer geeigneten Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO ein Ausnahmetatbestand aus Art. 9 Abs. 2 DSGVO erforderlich. Darunter fallen unter anderem biometrische Daten, oder Daten über die ethnische Herkunft oder politische Überzeugung. Dabei gibt der BfDI zu bedenken, dass bei der KI-Entwicklung durch die Kombination von Daten sensible Informationen entstehen könnten. Die Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO seien bei KI in der Bundesverwaltung aber nur begrenzt relevant.
Fazit
Das Positionspapier der BfDI zeigt, je eingriffsintensiver die geplante Datenverarbeitung ist, desto höhere Anforderungen sind an die Rechtsgrundlage zu stellen. Generalklauseln werden in aller Regel nicht ausreichen, um die Entwicklung oder Anwendung von KI zu rechtfertigen. Auf der anderen Seite muss eine Rechtsgrundlage nicht zwingend ausschließlich auf KI ausgelegt sein, um auf diese anwendbar zu sein. Die DSGVO und die KI-VO bilden relevante Rechtsrahmen. Die BfDI herbt auch deutlich hervor, dass die neue KI-VO bei der Verarbeitung personenbezogener Daten nicht die DSGVO ersetzt. Diese ist weiterhin anwendbar und auch im Kontext von KI einzuhalten.
Die Auswahl einer geeigneten Rechtsgrundlage erfordert eine sorgfältige Prüfung des konkreten Anwendungsfalls, des verfolgten Zwecks und der damit verbundenen Eingriffsintensität in die Grundrechte der betroffenen Personen. Die Kurzposition listet beispielhaft Fragen auf, die sich Verantwortliche bei der Auswahl der Rechtsgrundlage stellen sollten.
