1. Grundsätzliche Unterschiede zwischen Datenschutzvorgaben für Private und für öffentliche Organe

Seit 2023 haben sich generative KI-Anwendungen in unserem Alltag stark verbreitet. Inzwischen möchten auch Behörden vermehrt KI-Anwendungen einsetzen. Allerdings gelten für staatliche Akteure andere, strengere Spielregeln als für Private. Während unter Privatpersonen und Unternehmen grundsätzlich die Privatautonomie gilt, sind Behörden an das Recht und die Grundrechte gebunden, wie etwa das Diskriminierungsverbot oder die Verfahrensgarantien. 

Private dürfen grundsätzlich alles das tun, was nicht verboten ist. Der Staat hingegen darf nur das tun, wozu ihn das Gesetz ermächtigt. Mit anderen Worten benötigen Behörden für all ihre Handlungen eine gesetzliche Grundlage. 

Diese Unterschiede durchziehen auch das Datenschutzrecht. Private dürfen grundsätzlich Daten bearbeiten, sofern sie die Datenschutzgrundsätze nicht verletzen. Behörden wiederum benötigen für jede Datenbearbeitung eine Rechtsgrundlage. In der Regel kommen dabei zwei Varianten in Betracht: a) in einem Gesetz oder in einer Verordnung ist die fragliche Datenbearbeitung ausdrücklich geregelt, oder b) in einem Gesetz oder in einer Verordnung ist eine bestimmte Aufgabe geregelt, zu deren Erfüllung die fragliche Datenbearbeitung erforderlich ist.[1]

Zu beachten ist, dass die strengeren öffentlich-rechtlichen Datenschutzbestimmungen nicht nur für «klassische» Behörden der sogenannten Zentralverwaltung gelten, wie z.B. die Steuerbehörden, die Polizei oder die Sozialhilfe, sondern für alle Organe, die öffentliche Aufgaben wahrnehmen. Aus diesem Grund verwenden die meisten kantonalen Datenschutzgesetze den Begriff der «öffentlichen Organe». Dazu gehören regelmässig etwa Stromversorgungsunternehmen im Rahmen der Grundversorgung, soziale Einrichtungen für Menschen mit Behinderungen sowie Spitäler im Rahmen öffentlich-rechtlicher Leistungsaufträge.

2. Datenschutzrechtliche Anforderungen für öffentliche Organe beim Einsatz von KI-Anwendungen 

Das Erfordernis der Rechtsgrundlage gilt auch beim Einsatz von KI-Anwendungen. Es ist allerdings nur eine der Anforderungen, die Behörden vor der Einführung von KI-Anwendungen beachten müssen. Daneben sind u.a. auch die Datenschutzgrundsätze sowie die Informationspflicht von Bedeutung. Im Folgenden sollen die wichtigsten Punkte beschrieben werden, die öffentliche Organe vor bzw. bei der Einführung von KI-Anwendungen zu beachten haben. Zunächst soll aber kurz erläutert werden, was unter KI-Anwendungen im Kontext des vorliegenden Beitrags zu verstehen ist und welche besonderen Risiken diese mit sich bringen.

2.1 KI: Begriffsumschreibung und besondere Risiken

Es sind bislang unterschiedliche Definitionen von KI entwickelt worden. Eine vertiefte und vergleichende Analyse dieser Definitionen würde den Rahmen dieses Beitrages sprengen. Vorliegend wird auf Anwendungen fokussiert, bei denen sogenannte generative KI zum Einsatz kommt. Es geht dabei um Algorithmen-gesteuerte Systeme, die ausgehend von einer Eingabe (sogenannte «Prompts») Inhalte, etwa Texte oder Bilder, generieren. Diese KI-Systeme werden mit grossen Datenmengen trainiert, um menschliche Entscheidungsprozesse nachzuahmen («maschinelles Lernen»). Im Grundsatz operieren diese KI-Modelle wahrscheinlichkeitsbasiert, d.h. sie erzeugen ihre Antworten und Inhalte nach einer Wahrscheinlichkeitsberechnung. Dies hat zur Folge, dass sich der KI-generierte Inhalt nie zum Voraus genau vorhersagen lässt und selbst bei minimalen Änderungen im Prompt stark variieren kann. Welche Schritte der Algorithmus genau durchlaufen hat, um zu einem bestimmten Ergebnis bzw. Inhalt zu gelangen, entzieht sich der Kenntnis des Betreibers und der Nutzenden. Unter anderem weil die Ergebnisse dieser KI-Modelle wahrscheinlichkeitsbasiert und unvorhersehbar bleiben, sind sie fehleranfällig. Damit ist auch ein weiteres Risiko verbunden, wenn solche KI-Anwendungen im öffentlichen Sektor für Entscheidungsprozesse eingesetzt werden. Den betroffenen Personen kann im Nachhinein nicht abschliessend erklärt werden, weshalb eine KI-gesteuerte Entscheidung auf eine bestimme Weise und nicht anders ausgefallen ist. Das bedeutet, dass Behörden nicht in der Lage sind, ihre KI-gesteuerten Entscheide vollumfänglich zu begründen.

Schliesslich wird die Qualität des Outputs eines generativen KI-Systems massgeblich von der Qualität der Trainingsdaten beeinflusst. Enthalten die Trainingsdaten gewisse Vorurteile (oftmals aus dem Englischen als «Biases» bezeichnet), so können sich diese auf die erzeugten Inhalte niederschlagen. Auf diese Weise können KI-Anwendungen menschliche Biases verbreiten und verstärken, was zur Perpetuierung von Diskriminierungen führen kann.

Nicht zuletzt aufgrund dieser besonderen Risiken, die KI-Anwendungen beinhalten, kommt den datenschutzrechtlichen Anforderungen bei der Einführung ein erhöhtes Gewicht zu.

2.2 Rechtsgrundlagenanalyse

Zunächst ist bei jedem KI-Projekt eine sogenannte Rechtsgrundlagenanalyse durchzuführen. Durch die Rechtsgrundlagenanalyse wird festgestellt, ob für das konkrete Vorhaben bereits eine gesetzliche Grundlage besteht. Wie bestimmt die Rechtsgrundlage sein muss, hängt von der konkreten Ausgestaltung der KI-Anwendung, namentlich von den damit verbundenen Risiken ab. Dies lässt sich an zwei Beispielen verbildlichen:[2] a) Ein Kanton möchte ein KI-gestütztes Übersetzungstool als interne Unterstützung für seine Mitarbeitenden einführen. Die Personendatenbearbeitung findet vollständig beim verantwortlichen öffentlichen Organ statt, ohne dass Daten an Dritte übermittelt werden; auf die eingegebenen Daten und die erzeugten Inhalte hat nur der jeweilige Nutzer bzw. die jeweilige Nutzerin Zugriff. In diesem Anwendungsfall sind viele Risiken bereits minimiert. Die bestehenden Rechtsgrundlagen, welche die allgemeinen Verwaltungsaufgaben des Kantons regeln, könnten unter diesen Umständen ausreichen, um den Einsatz des Übersetzungstools zu legitimieren. b) Das Steueramt möchte eine KI-Anwendung zur automatisierten Steuerveranlagung einführen. Zwar ist das Steuerveranlagungsverfahren in kantonalen und bundesrechtlichen Erlassen eingehend geregelt. Allerdings birgt der Einsatz von KI-Systemen in diesem Kontext neue erhebliche Risiken. Ist die automatisierte Steuerveranlagung fehlerhaft, kann dies unmittelbare negative finanzielle Konsequenzen für die betroffenen Personen haben. Hinzu kommt, dass die vom KI-System bearbeiteten Daten dem Steuergeheimnis unterliegen und von besonderer Sensibilität sind. Für eine derartige KI-Anwendung wäre voraussichtlich eine gesonderte Rechtsgrundlage erforderlich. Darin müssten insbesondere das eingesetzte KI-System sowie die angewendeten Massnahmen zur Risikominimierung umschrieben werden.[3]

Die Rechtsgrundlagenanalysen sind oft komplex und hängen von den Umständen des Einzelfalls ab. Sie setzen vertieftes juristisches Fachwissen voraus. Dies gilt umso mehr bei umfangreichen und grundlegenden KI-Projekten. Die vorhandenen Ressourcen der öffentlichen Organe zur Bewältigung dieser Aufgabe reichen nicht immer aus. Gegebenenfalls kann das Einholen einer externen Expertise sinnvoll sein. Das Thema sollte in jedem Fall möglichst frühzeitig im Projekt angegangen werden. Fehlen die erforderlichen Rechtsgrundlagen, kann ein spät eingeleiteter Gesetzgebungsprozess das Projekt nämlich erheblich verzögern.

2.3 Risikoprüfung und Datenschutz-Folgeabschätzung (DSFA)

Die kantonalen Datenschutzgesetze setzen für öffentliche Organe unterschiedliche Vorgaben für die Risikoprüfung von Projekten auf. Diese Vorgaben gelten immer dann, wenn ein Projekt die Bearbeitung von Personendaten umfasst – was bei vielen, wenn nicht den allermeisten Projekten der Fall ist. Praktisch allen Datenschutzgesetzen ist gemeinsam, dass sie vom öffentlichen Organ eine Risikoprüfung bei neuen Vorhaben verlangen. Dabei gilt es, die Risiken der mit dem Projekt bezogenen Datenbearbeitungen für die betroffenen Personen zu ermitteln und zu bewerten. Ergibt diese Risikoprüfung die Überschreitung einer bestimmten Risikoschwelle, muss zusätzlich eine sogenannte Datenschutz-Folgenabschätzung (DSFA) erstellt und – je nach Kanton und Sachlage – der Datenschutzaufsichtsbehörde zur Prüfung vorgelegt werden. Die Risikoschwelle ab der eine DSFA erstellt werden muss, variiert von Kanton zu Kanton. Während im Kanton Zürich grundsätzlich bei jeder geplanten Datenbearbeitung eine DSFA erstellt werden muss (§ 10 Abs. 1 IDG/ZH), ist dies im Kanton Aargau nur bei einem «erhöhten Risiko» (§ 17a IDAG/AG) bzw. im Kanton St. Gallen bei einem «hohen Risiko» (Art. 8a Abs. 1 DSG/SG) der Fall. Teilweise werden sodann auf Verordnungsstufe Tatbestände aufgeführt, bei denen immer oder «vermutungsweise» von einem erhöhten oder hohen Risiko auszugehen ist. Das sind etwa Fälle, in denen besonders schützenswerte Personendaten bearbeitet werden, eine grosse Anzahl Personen betroffen sind oder mehrere öffentliche Organe an der Datenbearbeitung beteiligt sind (vgl. z.B. § 2 Abs. 1 IDV/BS; § 6 Abs. 1 VIDAG/AG). Zu betonen ist, dass es sich bei den beurteilten Risiken im Kontext der Datenschutzgesetze stets um Risiken für die betroffenen Personen (bspw. Identitätsmissbrauch, Profiling) und nicht um solche für das betroffene öffentliche Organ (bspw. Vertrauensverlust) handelt.

KI-Systeme können je nach Ausgestaltung erhöhte Risiken für betroffene Personen bergen, die eine DSFA erforderlich machen. Die Risiken können sich etwa aus der Intransparenz und mangelnden Nachvollziehbarkeit der Datenbearbeitungen (z.B. aufgrund der Funktionsweise von generativer KI oder aber im Zusammenhang mit der Weiterverwendung von eingegebenen Daten zu KI-Trainingszwecken), aus dem Diskriminierungspotenzial (z.B. aufgrund von Biases in den Trainingsdaten), aus der Sensibilität des Einsatzgebietes (z.B. im Gesundheitsbereich) oder aus der Tragweite zu treffenden Entscheidung für die betroffenen Personen (z.B. bei der Gewährung von staatlichen Leistungen) ergeben.

Die DSFA muss zunächst eine ausführliche Beschreibung der mit dem Projekt verbundenen Datenbearbeitungen enthalten. Dies umfasst insbesondere die Kategorien von bearbeiteten Personendaten sowie von betroffenen Personen, den Zweck bzw. die Zwecke der Datenbearbeitungen sowie die einschlägigen Rechtsgrundlagen (die jedoch im Idealfall bereits vorgängig im Rahmen der Rechtsgrundlagenanalyse ermittelt worden sind). Bei KI-Systemen müssen insbesondere die Modalitäten des erfolgten Trainings sowie die Funktionsweise des Systems – soweit dies faktisch überhaupt möglich ist – dargelegt werden. Weiter müssen in der DSFA die relevanten Risiken für die betroffenen Personen aufgeführt werden. Dazu müssen schliesslich risikominimierende Massnahmen definiert werden, um die bestehenden Risiken auf ein tragbares Mass zu senken. Bei KI-Systemen kommen eine Reihe von risikominimierenden Massnahmen in Betracht, etwa die regelmässige Kontrolle bzw. Auditierung des Systems, die angemessene Schulung des Personals sowie die transparente Information der betroffenen Personen.

2.4 Vorabkonsultation/Vorabkontrolle der Datenschutzaufsichtsbehörde

Je nach kantonalem Datenschutzgesetz ist die DSFA der Datenschutzaufsichtsbehörde zur Prüfung vorzulegen. Dieser Prozess wird Vorabkonsultation oder Vorabkontrolle genannt. Namentlich in den Kantonen Basel-Stadt, Basel-Landschaft und St. Gallen muss jedes Vorhaben, für das eine DSFA erstellt werden muss, auch der Datenschutzaufsichtsbehörde vorgelegt werden. Im Kanton Zürich (in dem wie bereits oben erwähnt, bei jeder geplanten Datenbearbeitung eine DSFA zu erstellen ist), muss die DSFA der Datenschutzaufsichtsbehörde nur beim Vorliegen von «besonderen Risiken» für die betroffenen Personen vorgelegt werden (§ 10 Abs. 2 IDG/ZH).[4] 

Die Prüfung durch die Datenschutzaufsichtsbehörde kann namentlich bei komplexeren Projekten bis zu mehreren Monaten in Anspruch nehmen. Dies sollte entsprechend bei der Projektplanung berücksichtigt werden. Der konkrete Ablauf der Prüfung kann je nach Projekt und zuständiger Datenschutzaufsichtsbehörde unterschiedlich ausfallen. Als Ergebnis ihrer Prüfung erstellt die Datenschutzaufsichtsbehörde in der Regel einen Bericht. Falls die Datenschutzaufsichtsbehörde es als geboten erachtet, gibt sie im Bericht Empfehlungen zuhanden der Behörde ab. Falls die Behörde die Empfehlungen ablehnt bzw. nicht umsetzen will, verleihen die meisten Datenschutzgesetze der Aufsichtsbehörde die Möglichkeit, ihre Empfehlungen als anfechtbare Verfügung zu erlassen (z.B. § 36a Abs. 1 IDG/ZH; § 32 Abs. 4 IDAG/AG). In diesen Fällen muss die Behörde die Verfügung umsetzen oder gerichtlich anfechten.

Bei vorabkonsultations- bzw. vorabkontrollpflichtigen Projekten empfiehlt es sich, die Datenschutzaufsichtsbehörde möglichst frühzeitig im Projekt einzubeziehen und ihr die DSFA zur Prüfung zu unterbreiten. Dadurch können allfällige Empfehlungen der Aufsichtsbehörde leichter umgesetzt und unnötige Verzögerungen vermieden werden. 

Es bleibt zu betonen, dass das federführende öffentliche Organ trotz Prüfung durch die Datenschutzaufsichtsbehörde für die eingesetzten KI-Systeme vollumfänglich verantwortlich bleibt. Unabhängig von einer vorgenommenen Prüfung ist die Aufsichtsbehörde im Übrigen befugt, die tatsächliche Einhaltung der datenschutzrechtlichen Bestimmungen jederzeit beim öffentlichen Organ zu kontrollieren.

2.5 Zusätzliche datenschutzrechtliche Anforderungen, wenn KI-Systeme cloudbasiert genutzt werden

Noch weitere datenschutzrechtliche Anforderungen kommen zur Anwendung, wenn KI-Systeme nicht «on premise» in der IT-Infrastruktur des öffentlichen Organs genutzt werden, sondern cloudbasiert. In diesem Fall müssen öffentliche Organe insbesondere sicherstellen, dass die Bearbeitung als datenschutzkonforme Auftragsbearbeitung ausgestaltet ist (siehe z.B. § 6 IDG/ZH sowie im Kanton Zürich die «AGB Datenbearbeitung durch Dritte» und die «AGB Auslagerung Informatikleistungen»), einschliesslich einer in der Regel schriftlichen Auftragsbearbeitungsvereinbarung. Werden Personendaten im Rahmen der cloudbasierten Nutzung eines KI-Systems ins Ausland bekanntgegeben (was häufig der Fall ist, weil viele KI-Systeme im Ausland betrieben werden), sind zusätzlich die datenschutzrechtlichen Voraussetzungen für die Bekanntgabe von Personendaten ins Ausland zu beachten (siehe z.B. § 19 IDG/ZH). Überdies muss das öffentliche Organ prüfen, ob das durch externe Dritte betriebene KI-System die Anforderungen an eine ausreichende Informationssicherheit erfüllt, wobei diese Anforderung selbstverständlich auch an «on premise» betriebene KI-Systeme gilt.

3. Fazit

Die Einführung von KI-Anwendungen beschäftigt nicht nur den privaten, sondern zunehmend auch den öffentlichen Sektor. Allerdings gelten für öffentliche Organe strengere datenschutzrechtliche Vorgaben als für Private. Dazu gehören stets die Durchführung einer Rechtsgrundlagenanalyse und einer Risikoprüfung sowie gegebenenfalls auch die Erstellung einer DSFA und die Prüfung durch die Datenschutzaufsichtsbehörde. Die Beachtung der massgeblichen Vorgaben ist umso wichtiger, weil KI-Systeme mit einer Reihe von besonderen Risiken verbunden sind. Die rechtlichen Anforderungen sind allerdings von Kanton zu Kanton unterschiedlich. Durch eine frühzeitige und sorgfältige Abklärung der einschlägigen Anforderungen können Projektverzögerungen vermieden, die konkreten Risiken minimiert und schliesslich der sichere Einsatz von KI-Anwendungen gefördert werden.

[1]    Die Einwilligung der betroffenen Personen kommt nur ausnahmsweise bei Datenbearbeitungen von Behörden als Rechtsgrundlage in Betracht.

[2]    Es handelt sich um leicht vereinfachte Beispiele zur Veranschaulichung. Im Einzelfall ist stets eine vertiefte Rechtsgrundlagenanalyse erforderlich.

[3]    Im Kanton Solothurn ist für einen ähnlichen Anwendungsfall eine entsprechende Rechtsgrundlage geschaffen worden: § 148bis Steuergesetz/SO.

[4]    Diese «besonderen Risiken» werden sodann in der entsprechenden Verordnung konkretisiert (§ 24 Abs. 1 IDV/ZH).