„Jede Kommune braucht ein Datenschutzmanagement“

Liebe Frau Bauer, seit vielen Jahren beraten Sie vor allem Unternehmen zu Belangen rund um Datenschutz und Compliance. Mit KI ist ein weiteres Themenfeld in diesem Bereich hinzugekommen, das viele Fragen aufwirft. Wir interessieren uns vor allem dafür, wie Kommunen mit diesem Thema korrekt umgehen sollten. Mal angenommen, innerhalb der öffentlichen Verwaltung wird durch einen Mitarbeiter ChatGPT genutzt, wem gehört der Text rein juristisch? 

Das, was mit der KI erstellt wird, unterliegt grundsätzlich nicht dem Urheberrecht. Grundlage hierfür ist die Annahme, dass die künstliche Intelligenz selbst, beispielsweise ChatGPT, kein Werk schöpfen kann. Auch auf meine Prompts habe ich kein Urheberrecht. Gleichwohl muss ich als Mensch den Output der KI inhaltlich überprüfen. Das Ergebnis kann ich dann nehmen, um meine Rede für die Bürgermeisterin zu schreiben, und passe den KI-Text an der einen oder anderen Stelle etwas an. Je nachdem, wie stark ich den Output verändert habe, könnte so ein Text am Ende dann sogar meinem Urheberrecht unterliegen.

Müsste ich als Bürgermeisterin in diesem Fall sagen, dass meine Rede mithilfe von künstlicher Intelligenz erschaffen wurde?

Grundsätzlich muss ich das nicht sagen, es sei denn, ich bin im journalistischen Bereich tätig. Der Kölner Stadtanzeiger zum Beispiel weist in seinen Artikeln darauf hin, wenn diese mit künstlicher Intelligenz erstellt wurden. Im Innenverhältnis empfehlen wir auch, auf die Verwendung von KI hinzuweisen – beispielsweise, wenn der eine Mitarbeitende mithilfe von ChatGPT eine Vorlage für einen anderen Mitarbeitenden erstellt hat. Wenn man die Verwendung von KI zur Arbeitserleichterung erlaubt, muss man natürlich schauen, dass hier keine personenbezogenen Daten, Geschäftsgeheimnisse und kritische Daten eingegeben werden. Denn im Zweifelsfall gilt: Das, was reinkommt, kommt auch wieder raus. Wenn der Kämmerer eine webbasierte KI-Anwendung nutzt, um beispielsweise den Geschäftsbericht einer Gemeinde zu kommentieren – ob das jetzt sinnvoll ist oder nicht –, dann steht der Bericht auch der Öffentlichkeit zur Verfügung. Gerade in solchen Kontexten sollten diese Tools daher nur in einer geschützten Umgebung verwendet werden.

Ist es für Kommunen sinnvoll, hier interne Richtlinien für den Umgang mit KI zu erstellen?

Ja, immer. Wir unterstützen auch Unternehmen dabei, solche Richtlinien zu erstellen. In vielen Unternehmen gibt es einen KI-Ausschuss, d. h. ein Team, das sich explizit mit den Auswirkungen von KI beschäftigt.

Vorgaben für Unternehmen zur Einhaltung der KI-Verordnung

Was muss ich beachten, wenn ich anfange, mich mit KI zu beschäftigen?

Erstmal muss ich alle meine IT-Systeme daraufhin überprüfen, ob sie unter die KI-Verordnung fallen. Hierzu gehören – vereinfacht gesagt – automatisierte Systeme, die, auf Algorithmen basierend, irgendetwas ausgeben. Dann muss ich diese anhand verschiedener Cluster in der KI-Verordnung bewerten. Ist das z. B. eine verbotene KI? Darunter fallen Tools zur Echtzeit-Fernidentifizierung. Ein Beispiel hierfür: Die Kommune bringt eine Videoüberwachung am Rathaus an, über die Menschen erkannt werden, die nicht ins Gebäude hinein dürfen. Auch die Beeinflussung von Wahlen mittels smarter Systeme und Social Scoring zählen zu verbotener KI.

Dann gibt es die Hochrisiko-KI, bei der die Persönlichkeitsrechte des Einzelnen stärker betroffen sind. Diese findet sich beispielsweise in der Strafverfolgung und Justiz. Denkbar wäre, dass Kommunen diese Art der KI im Bereich Bildung oder bei der Erstellung eines automatisierten Wahlomaten einsetzen könnten. In dem Moment, in dem eine Kommune so eine Hochrisiko-KI nutzt, muss sie allen Pflichten der KI-Verordnung nachkommen – sowohl als Anbieterin als auch als Betreiberin eines solchen Systems. Hierzu gehört u. a. eine Risikoeinschätzung: Wie kann ich die Rechte der Betroffenen wahren? Ich muss außerdem transparent über meine Aktivitäten und erfassten Daten berichten und sichergehen, dass so wenige Daten wie möglich verarbeitet werden.

Was ist mit weniger kritischen KI-Systemen wie ChatGPT?

Bei dieser sogenannten General Purpose AI muss ich zumindest Transparenzpflichten erfüllen und mich bei der Implementierung an einem Code of Conduct orientieren. Dazu gehört auch die Schulung von Mitarbeitenden: Wie gehen wir im Unternehmen bzw. in der Kommune mit solchen Systemen um? Wie minimieren wir Risiken für die Betroffenen? Das sind alle Personen, aber auch Unternehmen bzw. öffentliche Einrichtungen, deren Daten in der KI-Anwendung verarbeitet werden.

Die KI-Verordnung ist kein Teil der Datenschutzgrundverordnung (DSGVO), sondern eine zusätzliche Regelung. Ist das aus Ihrer Sicht das richtige Vorgehen, oder hätte man die beiden Verordnungen auch zusammenfassen können?

Das sind tatsächlich zwei unterschiedliche Regelungen, die man auch nicht hätte zusammenwerfen können. Der Umgang mit personenbezogenen Daten hätte sich beispielsweise gedoppelt, wäre dieser Punkt auch noch in die KI-Verordnung aufgenommen worden. Überschneidungen gibt es tatsächlich bei den Risikobewertungen. Aber die KI-Verordnung gilt ja nicht immer nur dann, wenn auch personenbeziehbare Daten verarbeitet werden. Sie regelt auch die Verarbeitung von beispielsweise Maschinendaten, aus denen sich irgendetwas generieren lässt. Insofern gibt es hier einen etwas anderen Fokus. Es sei dahingestellt, ob man die DSGVO zu bürokratisch findet oder nicht. Sie ist grundsätzlich ein gutes Instrument, um den Zugang zu personenbeziehbaren Daten zu regeln.

Grenzen der Datenerhebung

Was dürfen Arbeitgeberinnen und Arbeitgeber bei der Erfassung und im Umgang mit Daten?

Da gibt es diverse Grenzen, die durch das Datenschutzrecht gesetzt werden. Das sagt ganz klar: Wenn ich Daten verarbeiten will, dann muss ich erst mal überlegen, wofür. Ich kann meinem Mitarbeitenden beispielsweise einen PC als Arbeitsmittel zur Verfügung stellen und tracke in dem Zusammenhang Daten für den Zweck, Anforderungen der IT-Sicherheit umzusetzen. Dabei tracke ich zum Beispiel auch, wann sich der Mitarbeitende einloggt und protokolliere seine Aktivitäten im Tagesverlauf. Diese Daten darf ich dann aber nur zu dem vorher festgelegten Zweck verarbeiten – hier: Sicherstellung der IT-Funktionen ­– und nicht zur Kontrolle des Mitarbeitenden. Neben der Zweckbindung muss ich auch die Vorgabe der Datenminimierung einhalten, d. h. die Daten löschen, die ich für meinen Zweck nicht brauche. Das alles muss ich dokumentieren, wenn ich es richtig mache, und mit entsprechenden Maßnahmen überziehen – das nennt sich Data Privacy by Design in Default (DPbD).

Wenn Arbeitgeberinnen und Arbeitgeber das Gesetz richtig anwenden, ist das im Ansatz schon ganz gut. Das Problem ist häufig nur, dass das nicht passiert. Datenschutz wird oft als hindernd und lästig empfunden. Dabei dient das Datenschutzrecht dazu, Mitarbeitende und Persönlichkeitsrechte des Einzelnen zu schützen. Es bringt den großen Vorteil, dass wir jeden und jede transparent darüber informieren müssen, was mit seinen und ihren Daten geschieht. Das darf auch meiner Ansicht nach etwas weniger formalistisch sein – die Datenschutzerklärungen sind zugegebenermaßen sehr lang. Dennoch würde ich mir manchmal wünschen, dass in der Praxis viel mehr dokumentiert wird, denn dadurch entsteht ein Bewusstsein dafür, wie mit persönlichen Daten umgegangen wird. Vielleicht würde das auch dazu beitragen, das Vertrauen der Menschen in digitale Anwendungen zu stärken.

Braucht es eine Einwilligung von Seiten des Arbeitnehmenden, wenn der Arbeitgeber bzw. die Arbeitgeberin bestimmte Tools zur Datenerhebung im Arbeitsalltag verwendet?

Die Verarbeitung personenbezogener Daten auf Basis von Einwilligung ist etwas, was wir im Arbeitsverhältnis eigentlich nicht wollen bzw. auch nicht hinkriegen. In unserem Bundesdatenschutzgesetz gibt es nur einen ganz engen Korridor, wann überhaupt ein Arbeitnehmender einwilligen kann. Das wäre der Fall, wenn es für ihn oder für beide Seiten einen wirtschaftlichen Vorteil bringt. Ein typisches Beispiel ist die Privatnutzung des Internets. Wenn ich das erlaube, muss ich als Arbeitgeberin bzw. Arbeitgeber gleichzeitig eine Kostenkontrolle darüber legen. Ich muss auch kontrollieren, wann der Mitarbeitende das Internet privat nutzt und was er dann dort treibt. Um diese Kontrolle machen zu dürfen, brauche ich wiederum die Einwilligung. Stimmt der Mitarbeitende nicht zu, darf er oder sie das Internet nicht privat nutzen.

Ein anderes Beispiel wäre der Mitarbeitende, der ein Abfallsammelfahrzeug fährt, welches mit einem GPS-Tracking ausgestattet ist. Hier ist es als Arbeitgeberin bzw. Arbeitgeber genau mein Ziel, zu schauen, was der Mitarbeitende gerade macht und wo er mit dem Fahrzeug unterwegs ist, damit ich die Tour gut planen kann. In diesem Fall ist die Erhebung der Geodaten diesem Arbeitsverhältnis immanent, also untrennbar mit diesem Arbeitsverhältnis verbunden.Es muss dann aber auch klar im Arbeitsvertrag bzw. der Datenschutzinformation für Beschäftigte stehen, dass die Daten zweckgebunden genutzt werden, und nicht um festzustellen, ob der Mitarbeitende zu lange Pause gemacht hat – Stichwort: Datenminimierung. Wenn ich das als Arbeitnehmender nicht möchte, habe ich natürlich ein Problem. Dann kann ich den Job nämlich nicht machen.

Datenschutz und Informationspflicht bei KI-Einsatz in Kommunen

Wie ist das mit der Informationspflicht gegenüber Bürgerinnen und Bürgern? Angenommen: ein Abfallsammelfahrzeug scannt die Tonnen der einzelnen Privathaushalte zum Zwecke der Gefahrgutbestimmung. Dabei kann zum Beispiel auch ermittelt werden, ob die Bewohnerinnen und Bewohner fleischlos leben, viele Textilien im Restabfall entsorgen oder nicht korrekt Müll trennen. Braucht es da eine Einwilligung für die Erhebung von Daten?

Mit dieser Art von KI könnte ich natürlich Rückschlüsse auf die Lebensweise der jeweiligen Bürgerinnen und Bürger ziehen. Das könnte dazu führen, dass ich als Haushalt befürchte, gegebenenfalls eine Ordnungsstrafe für falsche Mülltrennung zu kassieren. Da würde es tatsächlich Sinn machen, mit Einwilligungen zu arbeiten, denn was sonst wäre die Rechtsgrundlage? Oder solche Praktiken würden direkt im Vertrag mit dem Entsorgungsunternehmen geregelt werden. Wenn ich dem als Haushalt allerdings nicht zustimme, habe ich ein Problem. Dann würde mein Müll nicht abgeholt werden. Ein guter Ansatz wäre es hier, mit Anonymisierung zu arbeiten, also nur den Inhalt der Tonne zu tracken, ohne eine Verbindung zum jeweiligen Haushalt herzustellen. Auch darüber müsste ich die Bürgerinnen und Bürger aber aufklären, wenn sie einen Vertrag zur Müllabholung mit der Kommune abschließen.

Artikel 13 der Datenschutzgrundverordnung sagt ganz klar: In dem Moment, in dem ich Daten erhebe, muss ich mich darüber informieren, was ich mit diesen Daten mache. Best-Practise ist es tatsächlich, das in einem Vertrag zu tun. Eine weitere Möglichkeit, über Datenerhebung zu informieren, beispielsweise bei Videoüberwachung im öffentlichen Raum, ist die Anbringung eines QR-Codes unterhalb der Kamera. Den können Bürgerinnen und Bürger einscannen und kommen dann auf eine Website, wo entsprechende Informationen zur Verfügung gestellt werden. Auch kann ich z. B. im Bescheid über die Höhe der Müllgebühren einen QR-Code beilegen, der auf eine Website mit Informationen zur Datenverarbeitung im Rahmen der Abfallentsorgung führt.

Wie ist die Situation, wenn eine solche KI im Rahmen eines zeitlich begrenzten Pilotprojekts zum Einsatz kommt?

Hier stellt sich für mich die Frage: Muss ich im Pilotprojekt personenbeziehbare Daten verarbeiten oder geht das nicht auch mit Dummies, d. h. ohne Echtdaten oder personenbeziehbare Daten, also wirklich anonym? Das ist datenschutzrechtlich das Ideale. Wenn das nicht möglich ist, weil die ermittelten Daten immer auch irgendeinen Personenbezug haben, dann muss ich über die Nutzung im Testbetrieb informieren. Stimmen die betroffenen Personen der Datenerhebung nicht zu, darf ich sie auch nicht mit einbeziehen. Zudem muss ich ganz deutlich sagen, wofür ich die Daten verwende. Gerade in einem Pilotprojekt kann das ja auch mehr sein als im Normalbetrieb.

Die Verarbeitung personenbezogener Daten ist in Artikel 5 der Datenschutzgrundverordnung geregelt. Ein zentraler Aspekt dabei ist die Rechenschaftspflicht. Was genau ist darunter zu verstehen?

Die Rechenschaftspflicht nach Artikel 5 ist mit der DSGVO neu in unser Datenschutzrecht hineingekommen. Sie verpflichtet Verantwortliche dazu, nachzuweisen, dass die Grundsätze der Verarbeitung personenbezogener Daten eingehalten werden. Nehmen wir beispielsweise die Führung von Verzeichnissen der Verarbeitungstätigkeiten (VVT). Jede Kommune ist dazu verpflichtet, intern zu dokumentieren, welche Systeme wozu und von wem genutzt werden, wie viele Datensätze darin gespeichert sind, etc. Außerdem müssen Rechtsgrundlagen wie das Beschäftigtendatenschutzrecht oder das Ausländerrecht geprüft und dokumentiert werden. In Kommunen gibt es eine weitere Besonderheit. Sie unterliegen nämlich nicht direkt der DSGVO, sondern müssen immer noch das jeweilige Landesdatenschutzgesetz beachten. Da steht zwar im Wesentlichen dasselbe drin, aber es gibt Sonderfälle, beispielsweise im Umgang mit Videoüberwachung oder der Datenübermittlung zwischen Behörden.

Wenn ich dann zu der Erkenntnis komme – und da schließt sich der Kreis zur KI-Verordnung -, hier werden kritische Informationen wie Gesundheitsdaten verarbeitet, muss ich eine sogenannte Datenschutzfolgenabschätzung durchführen. Das ist noch ein Dokument mehr. So baue ich Schritt für Schritt eine Datenschutzorganisation auf, die auch ineinander greift. Bei Bedarf muss ich meine Dokumente dann der Datenschutzaufsichtsbehörde vorlegen können. Ich kann also jeder Kommune nur empfehlen, ein Datenschutzmanagement zu betreiben. Dafür gibt es mittlerweile viele Softwarelösungen. Die Organisation von Datenschutz ist auch nicht Aufgabe des Datenschutzbeauftragten. Der kontrolliert und überwacht am Ende nur noch aus einer möglichst neutralen Position – quasi als verlängerter Arm der Datenschutzaufsichtsbehörde. Um es richtig zu machen, brauche ich als Unternehmen bzw. Kommune also eigentlich zwei Personen, die sich mit diesem Thema beschäftigen.