Daten werden zunehmend im virtuellen Raum verarbeitet und gespeichert. Der sichere Umgang mit diesen steht vor allem für die öffentliche Verwaltung an erster Stelle. Mit dem breiten Einsatz künstlicher Intelligenz tut sich ein neues Feld auf, das in Bezug auf den Umgang mit Informationen viele Fragen aufwirft. Wie kann die Privatsphäre des Einzelnen angesichts neuer Techniken und Arten der Datenverarbeitung wie Webtracking, Profilbildung, Cloud Computing und KI geschützt werden?
Seit 2018 regelt die Europäische Datenschutz-Grundverordnung (DSGVO) den Umgang mit personenbezogenen Daten für alle EU-Mitgliedsstaaten. Sie ersetzt die seit 1995 geltende Datenschutzrichtlinie. Laut Bundesministerium für Wirtschaft und Klimaschutz (BMWK) gibt die DSGVO „zeitgemäße Antworten auf die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft“. Ihr Ziel ist es, eine angemessene Balance zwischen den Interessen der Wirtschaft und denen von Verbraucherinnen und Verbrauchern zu schaffen. In punkto künstlicher Intelligenz soll der AI Act (Artificial Intelligence Act) bzw. die KI-Verordnung (KI-VO) der Europäischen Kommission klare Regeln für die Nutzung von KI im europäischen Raum festlegen. Im Dezember 2023 haben sich Unterhändler von Europaparlament und EU-Staaten auf ein entsprechendes Regelwerk geeinigt.
Für deutsche Kommunen bilden diese Vorgaben einerseits einen rechtssicheren Rahmen für den Umgang mit Daten aus Verwaltung und Bevölkerung. Andererseits verursacht deren Umsetzung einen erheblichen Mehraufwand – mancherorts auch immer noch, gut fünf Jahre nach dem Inkrafttreten der neuen DSGVO. Was genau müssen Kommunen wissen? Wir schauen uns DSGVO und KI-Verordnung genauer an.
DSGVO – mehr Mitbestimmung für Bürgerinnen und Bürger
Mit dem Inkrafttreten der neuen DSGVO wurde das Grundrecht auf informelle Selbstbestimmung gestärkt. Bürgerinnen und Bürger haben seither mehr Mitbestimmung, wenn es um ihre Daten geht. Kommunen müssen bei der Verarbeitung von Daten also eine höhere Transparenz sicherstellen. Sie müssen jederzeit nachweisen können, dass deren Verarbeitung gemäß DSGVO erfolgt. Wie schon vor 2018 kann die Verarbeitung oder Nutzung persönlicher Daten ohne Ermächtigungsgrundlage nur erfolgen, wenn die betroffenen Personen ausdrücklich darin eingewilligt haben.
Rechenschaftspflicht der Kommunen
Als datenverarbeitende Stellen unterliegen Städte und Gemeinden der sogenannten Rechenschaftspflicht (Art. 5). Damit müssen sie u. a. Folgendes beachten:
- Personenbezogene Daten dürfen nur auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
- Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und müssen auf das für diese Zwecke notwendige Maß beschränkt sein. Daten, die gemäß DSGVO Art. 5 hinsichtlich des Zwecks der Erhebung „unrichtig“ sind, müssen von der datenverarbeitenden Stelle gelöscht oder berichtigt werden.
- Daten müssen in solcher Form gespeichert werden, dass die Identifizierung der betroffenen Personen nur so lange möglich ist, wie es für den Verarbeitungszweck nötig ist. Besteht ein öffentliches Interesse, z. B. für Archivzwecke oder statistische Zwecke, dürfen personenbezogene Daten auch länger gespeichert werden.
- Grundlegend müssen Daten derart verarbeitet werden, dass eine angemessene Sicherheit gewährleistet wird. Dies schließt auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung ein.
Sichere Verarbeitung von Daten
Um die Sicherheit der Datenverarbeitung zu gewährleisten, müssen Kommunen geeignete technische und organisatorische Maßnahmen ergreifen (Art. 24). Wie genau die Sicherheit der Verarbeitung ausgestaltet sein soll, ist in Art. 32 zu lesen:
- Je nach Stand der Technik, Verarbeitungszweck und Schwere des Risikos für Rechte und Freiheiten betroffener Personen werden personenbezogene Daten u. a. pseudonymisiert und verschlüsselt.
- Außerdem müssen Maßnahmen ergriffen werden, um die Verfügbarkeit von und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen.
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit von Maßnahmen sollen dazu beitragen, eine sichere Verarbeitung zu gewährleisten.
- Um zu beurteilen, wie ein angemessenes Schutzniveau aussehen soll, müssen insbesondere die mit der Verarbeitung verbundenen Risiken berücksichtigt werden. Das sind z. B. Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. Zugang zu personenbezogenen Daten.
Informationspflichten und Datenschutzbeauftragter
Alle Tätigkeiten, die im Rahmen der Datenverarbeitung erfolgen, müssen in einem Verzeichnis aufgeführt sein (Art. 30). Hierin sind u. a. Verantwortliche, Zweck der Verarbeitung, betroffener Personenkreis und organisatorische sowie technische Maßnahmen zur Sicherheit und Risikoabschätzung anzugeben. Dokumentiert wird auch das Vorhandensein von Einwilligungen bzw. die Ermächtigung zur Datenverarbeitung. Alle öffentlichen Stellen müssen ein solches Verzeichnis führen und es der Aufsichtsbehörde auf Anfrage zur Verfügung stellen. Bei einem Datenschutzverstoß, z. B. bei Verlust einer Liste mit Mitarbeiterdaten, muss dies der Aufsichtsbehörde gemeldet werden. Außerdem muss mitgeteilt werden, welche Gegenmaßnahmen die Kommune getroffen hat, um einen solchen Verstoß künftig zu vermeiden (Art. 33). Besteht ein hohes Risiko für Rechte und Freiheiten der betroffenen Personen, so müssen auch sie gemäß Art. 34 über den Verstoß informiert werden.
Ein zentrales Anliegen der DSGVO ist, wie in Art. 37 festgeschrieben, die Benennung eines Datenschutzbeauftragten. Dieser muss u. a. über einen angemessenen Stellenanteil und Fortbildungsbudget verfügen, um seiner Aufgabe adäquat nachkommen zu können. Laut Verordnung kann ein Datenschutzbeauftragter auch für mehrere Kommunen tätig sein. Ebenso können Städte und Gemeinden diese Aufgabe an externe Dienstleister übertragen. Hierbei muss jedoch sichergestellt sein, dass die Verarbeitung von Daten durch Dritte gemäß DSGVO erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet ist (Auftragsdatenverarbeitung; siehe Art. 28).
KI-Verordnung und Datenschutz
Ein völlig neues Feld beim Thema Schutz personenbezogener Daten eröffnet der zunehmende Einsatz künstlicher Intelligenz. Mit dem KI-basierten Chatbot ChatGPT löste das US-amerikanische Softwareunternehmen OpenAI im November 2022 einen regelrechten Hype aus. KI wurde in der breiten öffentlichen Wahrnehmung erstmals real anwendbar. Innerhalb von zwei Monaten registrierten sich über 100 Millionen Nutzerinnen und Nutzer für die Anwendung – damit ist ChatGPT die bislang am schnellsten wachsende Anwendung. Der Hype um den öffentlich zugänglichen Chatbot zeigt einerseits die Beliebtheit von KI, andererseits verdeutlicht er die Notwendigkeit für einen regelbasierten Umgang mit dieser neuen Technologie.
Einheitliches Rechtssystem für EU-Staaten
Für die öffentliche Verwaltung stellen KI-Anwendungen eine attraktive Möglichkeit dar, um Vorgänge effizienter zu gestalten. Potenziale liegen sowohl in der Vordergrundverwaltung im Kontakt mit Bürgerinnen und Bürgern als auch im Hintergrund bei der Sachbearbeitung. Künstliche Intelligenz kann auch eine beratende und entscheidende Funktion in der Verwaltung einnehmen oder Entscheidungen in Echtzeit treffen. Um hier ein hohes Niveau in Bezug auf Datenschutz, digitale Rechte und ethische Standards zu gewährleisten, hat die EU-Kommission bereits 2021 mit dem sogenannten AI-Act bzw. der KI-Verordnung einen Rechtsrahmen mit harmonisierten Vorschriften für künstliche Intelligenz erarbeitet. KI solle „ein Instrument sein, das als positive Kraft für die Gesellschaft im Dienst der Menschen steht und das letztlich zu einem größeren Wohlbefinden der Menschen beiträgt“, ist in der Verordnung zu lesen.
Der Gesetzesvorschlag betont dabei, dass sich alle EU-Mitgliedsstaaten auf ein einheitliches Rechtssystem beziehen sollten. „Unterschiedliche nationale Vorschriften können zu einer Fragmentierung des Binnenmarkts führen und würden die Rechtssicherheit für Akteure, die KI-Systeme entwickeln oder verwenden, beeinträchtigen“, heißt es dort. Die Datenschutz-Grundverordnung bleibt von dem Gesetzesvorschlag unberührt. Sie soll lediglich durch Vorschriften für den Entwurf, die Entwicklung und Verwendung von Hochrisiko-KI-Systemen ergänzt werden. Hierzu gehören Systeme, die den Zugang zu und die Nutzung von privaten und öffentlichen Diensten und Leistungen ermöglichen, welche für die gesellschaftliche Teilhabe notwendig sind, z. B. bei kritischer Infrastruktur und Personalverwaltung. Ebenso soll die DSGVO durch Anwendungsbeschränkungen ergänzt werden, die sich auf biometrische Fernidentifizierungssysteme beziehen.
Strenge Vorschriften für Hochrisiko-KI-Systeme
Verboten wird in der neuen Verordnung die Nutzung von KI-Daten für „manipulative, ausbeuterische und soziale Kontrollpraktiken“, Stichwort: Social Scoring. Insgesamt dürfen KI-Praktiken nicht im Widerspruch mit den Grundwerten der EU stehen, wozu u. a. auch das Recht auf Datenschutz und Privatsphäre zählt. In Art. 10 geht es ausdrücklich um Daten und Daten-Governance im Zusammenhang mit Hochrisiko-KI-Systemen. Anbieter solcher Systeme dürfen für die Beobachtung, Erkennung und Korrektur von Verzerrungen zwar besondere Kategorien personenbezogener Daten verarbeiten, müssen aber dabei angemessene Vorkehrungen treffen, was den Schutz der Grundrechte und -freiheiten von Personen angeht. Hierzu gehört, dass die Weiterverwendung der Daten technisch beschränkt und pseudonymisiert oder verschlüsselt werden muss – zumindest, wenn durch eine Anonymisierung der Zweck der Datenerhebung deutlich beeinträchtigt werden würde.
Die Anwendung und Durchführung der Verordnung soll auf nationaler Ebene von einer oder mehreren Behörden überwacht werden. Außerdem sollen die EU-Mitgliedsstaaten wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße bestimmen. Wie sich die Zuständigkeiten innerhalb der einzelnen Landes- und Kommunalebenen gestalten, bleibt indes abzuwarten. Die KI-Verordnung muss nun noch formell von EU-Parlament und Ministerrat verabschiedet werden, bevor sie als erstes umfassendes KI-Gesetz der Welt voraussichtlich Anfang diesen Jahres in Kraft treten kann.