Kurzposition: Rechtsgrundlagen für KI in der Bundesverwaltung

Der Einsatz Künstlicher Intelligenz (KI) ist zunehmend verbreitet. Bei diversen Aufgaben können KI-Anwendungen unterstützen.

Definition von KI

Als Orientierung soll im Rahmen des vorliegenden Dokuments die Legaldefinition des Art. 3 Nr. 1 KI-VO dienen: „Ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.

Auch in der Bundesverwaltung gibt es einige Tätigkeiten mit Automatisierungspotenzial. KI könnte den Personalmangel in der öffentlichen Verwaltung mindern und die Effizienz erhöhen. In Betracht kommen hier zahlreiche Einsatzgebiete, sei es im Rahmen der Automatisierung von Verwaltungsaufgaben, bei der Unterstützung der Beschäftigten bei alltäglichen Handlungen oder beim Einsatz von Chatbots im Kontakt mit Bürgerinnen und Bürgern. Dabei muss die öffentliche Verwaltung verantwortungsvoll handeln und sich an bestehende Gesetze und Vorgaben halten. Das sind insbesondere die Datenschutz-Grundverordnung (DSGVO) und die neue Verordnung über Künstliche Intelligenz (KI-VO).

Dieser Artikel bezieht sich ausdrücklich ausschließlich auf die Verarbeitung von personenbezogenen Daten im Anwendungsbereich der DSGVO. Die DSGVO ist immer dann zu beachten, wenn personenbezogene Daten verarbeitet werden, unabhängig von dabei verwendeten Technologien, also auch wenn diese Verarbeitung mittels KI stattfindet. Insbesondere ersetzt die neue KI-VO bei der Verarbeitung personenbezogener Daten nicht die DSGVO, diese ist weiterhin anwendbar und ist auch im Kontext KI einzuhalten.

Anwendungsbereich der JI-Richtlinie

Verarbeitungen im Anwendungsbereich der JI-Richtlinie müssen gesondert betrachtet werden und finden hier keine Berücksichtigung. In Einzelfällen kann die DSGVO auch für Behörden anwendbar sein, deren Handeln üblicherweise unter die JI-Richtlinie fällt. Dies kann beispielsweise für das Training von KI gelten, da hier in der Regel keine Unmittelbarkeit für das Handeln z.B. zur Strafverfolgung oder Aufklärung von Straftaten gegeben ist, vgl. ausführlich hierzu Kelber/Bortnikov, NJW 2023, 2000 Rn. 23 ff.

Die DSGVO schreibt vor, dass für die Verarbeitung personenbezogener Daten immer eine Rechtsgrundlage benötigt wird. Dabei kommen verschiedene Rechtsgrundlagen in Betracht, die in Art. 6 Abs. 1 DSGVO zu finden sind. Behörden verarbeiten personenbezogene Daten regelmäßig auf Grundlage von Art. 6 Abs. 1 lit. c) und e) DSGVO. Dabei muss die Rechtsgrundlage nicht explizit KI als Technologie benennen. Dieser Artikel soll Anhaltspunkte für die Auswahl einer geeigneten Rechtsgrundlage für KI in der Bundesverwaltung liefern. Der Artikel richtet sich dabei an Bundesbehörden als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO und nicht an Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO.

Die Datenverarbeitungen im Rahmen von KI werden in diesem Artikel in zwei Kategorien unterteilt:

• die Entwicklung, darunter fallen sämtliche Verarbeitungen, die der Entwicklung, Auswahl oder Anpassung einschließlich des Trainings eines KI-Modells bzw. KI-Systems dienen, sowie
• die Anwendung, darunter fallen alle Verarbeitungen, bei denen eine KI-Anwendung eingesetzt wird, unabhängig davon, ob es sich um eine selbst entwickelte oder von einem Dritten entwickelte KI-Anwendung handelt.

Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO

Im Folgenden sind mögliche Rechtsgrundlagen für die Datenverarbeitung zur Entwicklung sowie zur Anwendung einer Künstlichen Intelligenz in der Bundesverwaltung dargestellt.

Einwilligung

Entwicklung einer KI auf Grundlage von Art. 6 Abs. 1 lit. a)

Die betroffene Person kann in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Eine solche Einwilligung muss allerdings bestimmte Anforderungen erfüllen, beispielsweise muss sie nach Art. 4 Nr. 11 DSGVO freiwillig und informiert erfolgen. Da zwischen einem Betroffenen und einer Behörde der öffentlichen Verwaltung regelmäßig ein Ungleichgewicht herrscht, ist nur in wenigen Fällen eine Einwilligung gegenüber der öffentlichen Verwaltung denkbar.

Ein weiteres Problem mit dieser Rechtsgrundlage für die Entwicklung von KI ist die Widerruflichkeit der Einwilligung gemäß Art. 7 Abs. 3 DSGVO und die damit verbundene Pflicht, die entsprechenden Daten nachträglich wieder zu löschen. Es ist unklar, inwiefern Daten, die für die Entwicklung eines KI-Modells verwendet wurden, daraufhin in diesem „enthalten“ sind. Jedenfalls ist eine Löschung von Daten aus einem KI-Modell im Allgemeinen nicht oder zumindest nur unter erheblichem Aufwand möglich (sog. „Unlearning“).

Anwendung einer KI auf Grundlage von Art. 6 Abs. 1 lit. a)

Die betroffene Person kann in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Eine solche Einwilligung muss allerdings bestimmte Anforderungen erfüllen, beispielsweise muss sie nach Art. 4 Nr. 11 DSGVO freiwillig und informiert erfolgen. Da zwischen einem Betroffenen und einer Behörde der öffentlichen Verwaltung regelmäßig ein Ungleichgewicht herrscht, ist nur in wenigen Fällen eine Einwilligung gegenüber der öffentlichen Verwaltung denkbar.

Ein weiteres Problem mit dieser Rechtsgrundlage für die Entwicklung von KI ist die Widerruflichkeit der Einwilligung gemäß Art. 7 Abs. 3 DSGVO und die damit verbundene Pflicht, die entsprechenden Daten nachträglich wieder zu löschen. Es ist unklar, inwiefern Daten, die für die Entwicklung eines KI-Modells verwendet wurden, daraufhin in diesem „enthalten“ sind. Jedenfalls ist eine Löschung von Daten aus einem KI-Modell im Allgemeinen nicht oder zumindest nur unter erheblichem Aufwand möglich (sog. „Unlearning“).

Erfüllung vertraglicher Pflichten

Entwicklung einer KI auf Grundlage von Art. 6 Abs. 1 lit. b)

Die betroffene Person muss dabei Vertragspartnerin des Verantwortlichen sein. Deshalb kann beispielsweise die Verwendung von Daten aus dem Internet allgemein nicht auf Basis dieser Rechtsgrundlage erfolgen, da in diesen Fällen die Betroffenen nicht Vertragsparteien sind.  Außerdem muss die Datenverarbeitung mit der Vertragsleistung in Verbindung stehen und darf nicht nur dem Verantwortlichen nützen. Die Entwicklung von KI wird regelmäßig nicht hiervon erfasst sein.

Anwendung einer KI auf Grundlage von Art. 6 Abs. 1 lit. b)

Die betroffene Person muss dabei Vertragspartnerin des Verantwortlichen sein. Deshalb kann beispielsweise die Verwendung von Daten aus dem Internet allgemein nicht auf Basis dieser Rechtsgrundlage erfolgen, da in diesen Fällen die Betroffenen nicht Vertragsparteien sind.  Außerdem muss die Datenverarbeitung mit der Vertragsleistung in Verbindung stehen und darf nicht nur dem Verantwortlichen nützen. Die Entwicklung von KI wird regelmäßig nicht hiervon erfasst sein.

Erfüllung einer rechtlichen Verpflichtung

Entwicklung einer KI auf Grundlage von Art. 6 Abs. 1 lit. c)

Diese Rechtsgrundlage setzt nach Art. 6 Abs. 3 DSGVO eine zusätzliche Norm voraus, die die rechtliche Verpflichtung enthält und damit den Zweck der Verarbeitung festlegt. Diese Norm muss die Verarbeitungsvorgänge präzise regeln, so dass die zulässigen Verarbeitungen vorhersehbar sind Beispielhaft ist dafür eine Aufbewahrungs- oder Meldepflicht (vgl. ErwG 41 DSGVO). Die Festlegung selbst muss keinen gebietenden oder verbietenden Charakter haben und muss deshalb nicht immer ausdrücklich im Normtext enthalten sein, sondern kann auch aus dem Zusammenhang zu erschließen sein. (siehe auch Urteil des OLG München vom 27. Januar 2022)

Anwendung einer KI auf Grundlage von Art. 6 Abs. 1 lit. c)

Diese Rechtsgrundlage setzt nach Art. 6 Abs. 3 DSGVO eine zusätzliche Norm voraus, die die rechtliche Verpflichtung enthält und damit den Zweck der Verarbeitung festlegt. Diese Norm muss die Verarbeitungsvorgänge präzise regeln, so dass die zulässigen Verarbeitungen vorhersehbar sind Beispielhaft ist dafür eine Aufbewahrungs- oder Meldepflicht (vgl. ErwG 41 DSGVO). Die Festlegung selbst muss keinen gebietenden oder verbietenden Charakter haben und muss deshalb nicht immer ausdrücklich im Normtext enthalten sein, sondern kann auch aus dem Zusammenhang zu erschließen sein. (siehe auch Urteil des OLG München vom 27. Januar 2022)

Schutz lebenswichtiger Interessen

Entwicklung einer KI auf Grundlage von Art. 6 Abs. 1 lit. d)

Diese Rechtsgrundlage kommt grundsätzlich nicht für die Entwicklung von KI in Frage, da keine Unmittelbarkeit gegeben ist.

Anwendung einer KI auf Grundlage von Art. 6 Abs. 1 lit. d)

Diese Rechtsgrundlage kommt grundsätzlich nur für eine Anwendung von KI in einer Notsituation für kurzfristige Maßnahmen, wie z.B. die Überwachung von Epidemien, in Betracht.

Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung hoheitlicher Gewalt

Entwicklung einer KI auf Grundlage von Art. 6 Abs. 1 lit. e)

Gemäß Art. 6 Abs. 3 DSGVO muss diese Aufgabe durch EU- oder nationales Recht festgelegt sein. Diese Rechtsgrundlage ist also nur in Verbindung mit einer zusätzlichen Norm anwendbar, aus der sich die Aufgabe ergibt. Dabei muss das entsprechende Recht ein im öffentlichen Interesse liegendes Ziel verfolgen und angemessen sein. Außerdem muss der Verarbeitungszweck für die Aufgabenerfüllung erforderlich sein.

Anwendung einer KI auf Grundlage von Art. 6 Abs. 1 lit. e)

Gemäß Art. 6 Abs. 3 DSGVO muss diese Aufgabe durch EU- oder nationales Recht festgelegt sein. Diese Rechtsgrundlage ist also nur in Verbindung mit einer zusätzlichen Norm anwendbar, aus der sich die Aufgabe ergibt. Dabei muss das entsprechende Recht ein im öffentlichen Interesse liegendes Ziel verfolgen und angemessen sein. Außerdem muss der Verarbeitungszweck für die Aufgabenerfüllung erforderlich sein.

Berechtigtes Interesse

Entwicklung einer KI auf Grundlage von Art. 6 Abs. 1 lit. f)

Diese Rechtsgrundlage gilt explizit nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Anwendung einer KI auf Grundlage von Art. 6 Abs. 1 lit. f)

Diese Rechtsgrundlage gilt explizit nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Artikel 9 DSGVO als Ausnahmetatbestand

Werden besondere Kategorien personenbezogener Daten aus Art. 9 Abs. 1 DSGVO verarbeitet, so muss zusätzlich zu einer geeigneten Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO ein Ausnahmetatbestand aus Art. 9 Abs. 2 DSGVO erfüllt sein. Diese besonderen Kategorien personenbezogener Daten umfassen insbesondere Daten, aus denen die ethnische Herkunft, politische Meinungen oder religiöse Überzeugungen hervorgehen sowie biometrische Daten zur eindeutigen Identifizierung. Es ist außerdem zu berücksichtigen, dass durch eine Kombination von Daten bei der Entwicklung einer KI-Anwendung sensible Informationen im Sinne von Art. 9 Abs. 1 DSGVO entstehen könnten.

Die Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO sind nur begrenzt bei KI in der Bundesverwaltung von Relevanz. Bei den in Frage kommenden Ausnahmetatbeständen des Art. 9 DSGVO wird überwiegend eine Rechtsgrundlage des nationalen Rechts oder des Unionsrechts benötigt.

Anforderungen an Rechtsgrundlagen aus dem nationalen Recht und dem Unionsrecht

Wie oben bereits dargestellt, erfordern die für Bundesbehörden besonders relevanten Rechtsgrundlagen Art. 6 Abs. 1 lit. c) und e) DSGVO eine weitere Rechtsgrundlage aus dem nationalen Recht oder aus dem Unionsrecht.

Solche nationalen Regelungen finden sich beispielsweise in den §§ 22 ff. Bundesdatenschutzgesetz (BDSG). Aber auch Spezialgesetze aller denkbaren Rechtsgebiete formulieren Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Bei der Auswahl der einschlägigen Rechtsgrundlage für eine KI-Anwendung – sei es für die Entwicklung (einschließlich des Trainings) oder für die Anwendung dieser – stehen Verantwortliche immer wieder vor Herausforderungen. Die Anforderungen an eine Rechtsgrundlage variieren je nach Eingriffsintensität der jeweiligen Datenverarbeitung, wobei die Verwendung von KI je nach Einsatzart ein besonderes Eingriffsgewicht haben kann (BVerfGE 165, 363, Rn. 90).

Zunächst muss sich der Verantwortliche bewusst sein, dass es sich bei der Verarbeitung personenbezogener Daten für die Entwicklung oder Anwendung von KI um einen rechtfertigungsbedürftigen Eingriff in die Grundrechte aller von der Datenverarbeitung betroffenen Personen, insbesondere in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 Grundgesetz ⁴ handelt (Auf EU-Ebene ergibt sich das Grundrecht auf informationelle Selbstbestimmung darüber hinaus aus Art. 8 Abs. 1 Grundrechte-Charta (GRCh) sowie Art. 16 Abs. 1 AEUV). Aus diesem Grund muss der Zweck der Verarbeitung klar definiert sein und im Verhältnis zur Eingriffsintensität stehen.

Maßstab der Verhältnismäßigkeitsprüfung

Der Maßstab für die Verhältnismäßigkeitsprüfung orientiert sich am BVerfG Urteil BVerfGE 165, 363. Auch wenn sich dieses mit der „automatisierten Datenanalyse“ auseinandersetzt, sind die Grundsätze aufgrund der Nähe zu KI-Anwendungen nach h.E. auch auf KI allgemein anwendbar. Sie gelten zudem universell und beschränken sich nicht auf das Polizeirecht.

Zweck

Bei jeder Verarbeitung von personenbezogenen Daten gilt der Zweckbindungsgrundsatz der DSGVO aus Art. 5 Abs. 1 lit. b) DSGVO. Der Zweck der jeweiligen Verarbeitung ist vom Verantwortlichen vor der Verarbeitung eindeutig zu bestimmen. Eine allgemeine Formulierung wie „zu KI-Trainingszwecken“ oder „zur Aufgabenerfüllung“ genügt nicht. Vielmehr ist der konkrete Zweck, der mit der Verarbeitung verfolgt wird, entscheidend. Wird ein System zur Erfüllung einer behördlichen Aufgabe eingesetzt, ist die konkret zu erfüllende Aufgabe heranzuziehen. 

Zweckänderung

Möchte eine Behörde vorhandene Daten für die Entwicklung von KI nutzen, so geht damit in der Regel eine Zweckänderung im Sinne von § 23 BDSG (falls einschlägig) bzw. Art. 6 Abs. 4 DSGVO (im Regelfall) einher. Eine zweckändernde Weiterverarbeitung ist nur dann zulässig, wenn der Zweck der Weiterverarbeitung mit dem Zweck für die Datenerhebung vereinbar ist. Wenn diese Vereinbarkeit gegeben ist, gilt die Rechtsgrundlage für die ursprüngliche Verarbeitung der Daten als Rechtsgrundlage für die zweckändernde Weiterverarbeitung fort. Teilweise wird auch vertreten, dass eine weitere Rechtsgrundlage erforderlich ist. Dies wird z.B. im Diskussionspaper "Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz" des LfDI Baden-Württemberg vertreten. Da in jedem Fall die Vereinbarkeit geprüft werden muss, dürfte sich die unterschiedliche Rechtsauffassung im Ergebnis hier allerdings nicht auswirken.

Bei der Beurteilung der Vereinbarkeit ist unter anderem das Verhältnis zwischen den betroffenen Personen und dem Verantwortlichen zu berücksichtigen. Ein Über-/Unterordnungsverhältnis, wie es zwischen Behörden und Bürgern besteht, wird die Vereinbarkeit regelmäßig erheblich erschweren. Außerdem muss die Art der Daten berücksichtigt werden. Wenn besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO verarbeitet werden, ist zu beachten, dass die Voraussetzungen des Art. 9 Abs. 2 DSGVO bzw. des Art. 10 DSGVO nicht umgangen werden dürfen. Die Ausnahmegründe müssen auch für den weiteren Zweck gelten.

Verhältnismäßigkeit

Im Kontext von KI können verschiedene Schritte sowohl in der Entwicklung als auch in der Anwendung jeweils eine unterschiedliche Eingriffsintensität haben. Beispielsweise hat nicht nur die Erhebung und Zusammenführung vormals getrennter Daten, sondern auch die Erlangung neuen Wissens durch die Auswertung der Informationen ein eigenes Eingriffsgewicht.

Die Eingriffsintensität bestimmt sich nach zahlreichen Faktoren: Art und Umfang der Daten, Methoden der Analyse oder Auswertung, denkbare Verwendung der Daten oder auch Gefahr ihres Missbrauchs. „Insgesamt ist die Methode automatisierter Datenanalyse oder -auswertung umso eingriffsintensiver, je breitere und tiefere Erkenntnisse über Personen dadurch erlangt werden können, je höher die Fehler- und Diskriminierungsanfälligkeit ist und je schwerer die softwaregestützten Verknüpfungen nachvollzogen werden können“ (BVerfGE 165, 363, Rn. 90). KI geht tendenziell mit einem höheren Eingriffspotenzial einher als andere Technologien. Durch KI werden häufig sehr große Mengen an Daten verarbeitet und verknüpft. Außerdem mangelt es oft an Transparenz und Nachvollziehbarkeit, wodurch auch ein hohes Diskriminierungsrisiko entsteht (BVerfGE 165, 363, Rn. 100) .

Je eingriffsintensiver die Datenverarbeitung ist, desto konkreter muss also auch die Rechtsgrundlage sein, um diesen Eingriff rechtfertigen zu können. Generalklauselartig formulierte Rechtsgrundlagen, die einer Behörde bspw. lediglich generell die Verarbeitung personenbezogener Daten zu Analysezwecken oder gar nur die Verarbeitung ganz grundsätzlich erlauben, scheiden demnach als Rechtsgrundlage für KI-Entwicklung und -Anwendung regelmäßig aus. Nur wenn die Eingriffsintensität einer Datenverarbeitung durch Vorkehrungen des Verantwortlichen auf eine geringe Stufe reduziert worden ist, ist eine Generalklausel als Rechtsgrundlage überhaupt denkbar.

Fragen für Verantwortliche vor der Entwicklung einer KI

Die folgenden Fragen sollte sich ein Verantwortlicher bei der Auswahl der Rechtsgrundlage stellen, bevor er eine KI-Anwendung entwickelt, deren Entwicklung in Auftrag gibt oder die Verwendung einer KI-Anwendung beginnt. Diese Fragen dienen dabei nur als Anhaltspunkte und stellen keine abschließende Prüfung dar.

1. Welchen Zweck erfüllt die Datenverarbeitung?
2. Welche Mittel sind geeignet, diesen Zweck zu erfüllen? Ist KI für den Zweck geeignet? Welches dieser Mittel hat im Vergleich zu gleich geeigneten Mitteln die geringste Eingriffsintensität?
3. Welche Daten sollen in welchem Umfang verarbeitet werden? Werden vormals getrennte Datenbestände zusammengeführt?
4. Woher kommen die Daten? Wurden die Daten bereits zu einem anderen Zweck erhoben? Falls ja, liegt einer der Ausnahmetatbestände von § 23 BDSG vor oder ist dieser Zweck mit dem neuen Zweck i.S.d. Art. 6 Abs. 4 DSGVO kompatibel?
5. Wie hoch ist darüber hinaus die Eingriffsintensität? Können z.B. automatisierte Entscheidungen getroffen oder Profile erstellt (dann ist Art. 22 DSGVO zu beachten), Dritte unbeabsichtigt negativ beeinträchtigt oder Personen diskriminiert werden? Werden Datensätze ungefiltert übernommen oder nur bestimmte Datenpunkte verwendet? Welche weiteren Rechtsgüter könnten mit der beabsichtigten Verarbeitung abzuwägen sein? Können Betroffenenrechte eingehalten werden?
6. Welche (spezialgesetzlichen) Rechtsgrundlagen kommen in Betracht?
7. Kann auf Grundlage der gewählten Rechtsnorm die Verhältnismäßigkeit des Eingriffs gewahrt werden? Enthält sie etwa Eingriffsschwellen, Risikominimierungsvorgaben, eine Begrenzung von Art und Umfang der Daten und/oder Verarbeitungsmethoden etc.?

Fazit

Zusammenfassend gilt also: Je eingriffsintensiver die (geplante) Datenverarbeitung ist, desto höhere Anforderungen sind an die Rechtsgrundlage zu stellen. Generalklauseln werden in aller Regel nicht ausreichen, um die Entwicklung oder Anwendung einer KI zu rechtfertigen. Auf der anderen Seite muss eine Rechtsgrundlage nicht zwangsläufig ausschließlich auf KI ausgelegt sein, um auf diese anwendbar zu sein.