KI kommt jetzt auch in die Verwaltung

Künstliche Intelligenz bietet Behörden die Möglichkeit, Verwaltungsprozesse effizienter zu gestalten, beispielsweise durch Chatbots, die zur Kommunikation mit Bürgern eingesetzt werden. Chatbots basieren auf „großen Sprachmodellen“ (LLM) und verarbeiten personenbezogene Daten.

Die BfDI hat jetzt eine Handreichung mit dem Titel „KI in Behörden - Datenschutz von Anfang an mitdenken“ veröffentlicht. Sie soll die öffentlichen Stellen des Bundes dabei unterstützen, datenschutzrechtliche Fragestellungen bei der Entwicklung und dem Einsatz von KI, insbesondere von LLMs zu identifizieren und eine strukturierte, lösungsorientierte Herangehensweise an KI-Projekte zu entwickeln.

Im Fokus stehen dabei der Umgang mit personenbezogenen Daten beim Training und bei der Nutzung von LLMs, die Herausforderungen mit in LLMs memorisierten Daten sowie die Anforderungen an Rechtmäßigkeit und Transparenz.

Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben sind der Handreichung zufolge „besondere Kategorien personenbezogener Daten“ und unterliegen besonderen Anforderungen: „Eine solche Verarbeitung ist nur erlaubt, wenn einer der in Art. 9 Abs. 2 DSGVO aufgeführten Tatbestände erfüllt ist oder wenn eine Verarbeitung auf Grundlage eines nationalen Erlaubnistatbestands erfolgt, der auf einer Öffnungsklausel des Art. 9 Abs. 2 DSGVO basiert.“

Art. 9 Abs. 2 DSGVO definiert Ausnahmen vom Verbot der Verarbeitung sensibler Daten: Im Gesundheitsbereich sind das Zwecke der Gesundheitsvorsorge, Arbeitsmedizin, Beurteilung der Arbeitsfähigkeit oder Diagnostik und der Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren.

Grundsätzlich lässt die Handreichung die Möglichkeit zu, KI-Modelle mit Gesundheitsdaten zu trainieren und auch einzusetzen. Man wolle die betroffenen Menschen zwar effektiv schützen, aber gleichzeitig die „Entwicklung jedenfalls solcher KI-Modelle und -Systeme […] ermöglichen, die der Verbesserung von Verwaltungshandeln und damit Gemeinwohlinteressen dienen“.

Der Datenschutz fußt demzufolge auf dem „risikobasierten Ansatz der DSGVO“, der es erlaube, zwischen unterschiedlichen Formen der Verarbeitung zu unterscheiden, heißt es in der Handreichung.

Die sogenannte „nicht-zielgerichtete“ Verarbeitung personenbezogener Daten – es geht beim KI-Training um „allgemeine Informationsmuster“ – bietet demnach weniger Risiken, dass personenbezogene Gesundheitsdaten im KI-Modell memorisiert werden. In solchen Fällen „ist das in Art. 9 Abs. 1 DSGVO vorgesehene Verarbeitungsverbot nur auf der Grundlage eines Antrags der betroffenen Person anwendbar“, heißt es in der Handreichung.

Das heißt, ein Betroffener muss zunächst Kenntnis davon erlangen, dass die KI seine personenbezogenen Daten memoriert und dies dann rechtlich vortragen.