KI in der Verwaltung

28. November 2024

Auf dem BvD-Behördentag diskutierten Datenschutzbeauftragte über Digitalisierung, Social Media und Microsoft.


KI und die KI-Verordnung werden in der Verwaltung ein Dauerbrenner-Thema. Mit zunehmender Digitalisierung nutzen Behörden, Kommunen und andere Einrichtungen der öffentlichen Hand KI-Anwendungen, um zum Beispiel Antrags- und Genehmigungsverfahren zu vereinfachen oder Übersetzungen schnell bereitzustellen. In Baden-Württemberg sollen Polizei und Landesverfassungsschutz im Rahmen des geplanten Landesicherheitspakets mit KI und teilautomatisierte Analysesoftware unter anderem zur Auswertung von Bild- und Videomaterial ausgestattet werden.

Und da zeichnen sich bereits die Probleme ab. Die Projekte in Baden-Württemberg sind zunächst Absichtserklärungen, sagte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Tobias Keber, in seiner Keynote zum BvD-Behördentag am 18. Oktober in Stuttgart. Die Vorhaben müssten nun in Gesetze gegossen werden. Ob diese vor einer gerichtlichen Überprüfung Bestand hätten, sei fraglich.

Keber appellierte in seiner Keynote zu Chancen und Herausforderungen von KI in der Verwaltung an Ämter und Behörde, sich jetzt zügig auf die in Teilen ab Februar 2025 geltende KI-Verordnung vorzubereiten. „KI-Kompetenz ist wichtig, hier müssen wir uns sehr gut aufstellen und sehr früh“, sagte Keber. Zum Start der KI-Verordnung müssen die Verwaltungen vorbereitet sein.

Keber zählte aktuell allein in Baden-Württemberg 54 KI-Anwendungen in der öffentlichen Verwaltung. Diese reichten von KI-gestützten Einspruchsregelungen etwa zur Grundsteuerreform über Verhaltensdetektionen bis hin zur intelligenten Fallauswahl beispielsweise von Stichproben. In einem Fall ermögliche eine KI Vernehmungsvergleiche. „Das ist aber ein hochsensibler Bereich“, sagte Keber. Da müsse man sich eine Datenschutzfolgenabschätzung genauer anschauen. Auch was die Anonymisierung betrifft, sei die Gefahr der Re-Anonymisierung nicht gebannt. Deshalb rät er Verwaltungen die Frage zu stellen: „Brauche ich das wirklich?“

KI nicht ohne den Mensch

Dass KI vom Menschen her gedacht werden und deshalb vertrauenswürdig und sozialverträglich ausgestaltet sein müsse, darauf verwies Dr. Verena Guttenberg, Regierungsdirektorin beim Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) in ihrem Vortrag in Stuttgart. Dabei müsse der Datenschutz von Anfang an mitgedacht werden. Denn diesen im Nachhinein zu implementieren sei oft gar nicht mehr möglich. “KI ohne Datenschutz geht schon”, sagte Guttenberg, “aber sinnvoll ist es nicht. Das gilt besonders für KI für öffentliche Stellen.” Beim Einsatz von KI in Behörden müssten die Verarbeitungsvorgänge für jeden verständlich beschrieben sein, Dokumentationen sollten von Anfang an erstellt werden. Zudem sollten sich Ämter im Klaren sein, dass das Training von KI durch öffentliche Stellen kritisch sei, sagte Guttenberg. Zudem müssten die Verwaltungen immer an die Zweckbindung erhobener Daten denken. Sollten öffentliche Verwaltungen eine KI für Entscheidungsprozesse einsetzen wollen, dürften diese nach der DSGVO nicht alleine Entscheidungen treffen. Die finale Entscheidung etwa bei Anträgen oder Genehmigungen müsse immer vom Menschen ausgehen, unterstrich Guttenberg. Außerdem müssten die Behörden darauf achten, wo der Server steht, auf dem die KI-Daten gespeichert würden und den Urheberrechtsschutz gewährleisten.

Ihr Fazit: Die technische Entwicklung der KI datenschutzrechtlich zu begleiten sei zwar ein anspruchsvolles Thema. Im Grundsatz aber unterliege sie der DSGVO. Damit könnten öffentliche Stellen auf bereits vorhandene Expertise zurückgreifen.

KI-Angriffe auf Kommunen und öffentliche Stellen

Vor dem Hintergrund KI-gesteuerter Cyberangriffe warnte die Präsidentin der Cybersicherheitsagentur Baden-Württemberg, Nicole Matthöfer, vor Nachlässigkeit bei Städten und Kommunen. Ohne Cybersicherheit sei kein Datenschutz möglich, sagte sie in ihrer Keynote in Stuttgart. Dabei hätten die Verwaltungen nicht nur die rechtlichen Vorgaben etwa durch die DSGVO und die KI-VO zu erfüllen, sondern auch eine moralische Verantwortung gegenüber ihren Bürgerinnen und Bürgern. Datenschutz und Cybersicherheit förderten letztendlich das Vertrauen in den Staat und seine Institutionen und damit in die Demokratie.

Eine Sensibilisierung der Mitarbeitenden für Datenschutzthemen trage dazu bei, Angriffe zu verhindern, sagte Matthöfer. Komme es zu einem Angriff, helfe das Wissen über den Umgang mit personenbezogenen Daten zu einer besseren Bearbeitung des Falls. Die Cybersicherheitsagentur Baden-Württemberg stellt unter cybersicherheit-bw.de Informationen zu Schulungen und Hilfen im Falle eines Angriffs bereit.

Weitere Themen: Social Media, Verfahrensverzeichnis und SDM

Darüber hinaus befasste sich der Behördentag mit einer Reihe weiterer aktueller Themen rund um Datenschutz in der Verwaltung. Ein Dauerbrenner: Die Behördenpräsenz auf Social Media. Das Thema griff Karoline Nutz vom LfDI auf. Und sie stellte klar: Nutzen Kommunen Facebook, Instagram, LinkedIn oder TikTok berührt das nicht nur den Datenschutz, sondern mitunter Persönlichkeitsrechte, Haftungsrechte, das Urheberrecht, das Haus- und Vertragsrecht, womöglich das Wettbewerbsrecht und den Jugendschutz. „Wer Social Media als Behörde nutzt, ist dafür verantwortlich, was er dort tut“, sagte Nutz. Dies habe das EuGH-Urteil 2022 zu den Fanpages auf Facebook klargestellt. Danach erstreckt sich die Verantwortlichkeit auch auf Datenverarbeitungen durch die Plattformbetreiber und auf die gemeinsame Erfüllung von Betroffenenrechten wie Auskunfts-, Lösch- oder Schadenersatzpflichten. Die „Machtverhältnisse“ zwischen den Beteiligten stimmten zudem oft nicht mit dem Leitbild aus der DSGVO überein, sagte Nutz. Eine Aufteilung der Pflichten wäre nur möglich, wenn die Plattformbetreiber alle Verarbeitungen personenbezogener Daten offen legten. Da die Einflussnahme der Verwaltungen auf die Dienste eingeschränkt sei, müssten sie sicherstellen, dass keine Daten von Bürgerinnen und Bürger von den Plattformen verarbeitet würden. Dies könne aber schon durch eine Einbindung von Social-Media-Widgets auf die Website der Verwaltung oder Tracking-Methoden wie Cookies geschehen. Noch schwieriger werde die Situation, weil die Plattformen inzwischen mit Nutzerdaten KI-Anwendungen trainierten. Insgesamt sei es für Verwaltungen auf Social-Media-Plattformen unmöglich, Zweck, Art und Umfang der vorgesehenen Nutzung festzulegen. „Behörden sind vertrauenswürdige gesellschaftliche Akteure und Vorbild für datenschutzrechtskonforme Kommunikation“, sagte Nutz.

Der europäische Gesundheitsraum – ohne Betroffenenrechte

Kritik an der Ausgestaltung des europäischen Gesundheitsraums übte der für die Verwaltung zuständige Bayerische Landesbeauftragte für den Datenschutz (BayLfD), Prof. Dr. Thomas Petri. Er kritisierte in Stuttgart, dass der Entwurf extrem detaillierte Regelungen für Gesundheitsdaten und Verarbeitungsgrundlagen enthalte. Aber die Betroffenenrechte würden weitestgehend abgeschafft.

Größtenteils erlaubt werden soll dagegen laut Petri das Teilen und Nutzen der Daten. „Eine tolle Sache für Gesundheitsdienstleistungen“, kritisierte er. Künftig müssten als Datenschutzbeauftragte noch stärker als bislang die Betroffenenrechte schützen.

Kein Bußgeld aber weitere Maßnahmen

Noch Fahrt aufnehmen dürfte das Thema von Schadensersatzklagen gegen öffentliche Einrichtungen. Zwar gebe es keine Bußgeldregelung für Verwaltungen bei Datenschutzverstößen, sagte Rechtsanwältin Isabelle Brams von Latham & Watkins in ihrem Vortrag zum Abschluss des Behördentags. Es gebe aber andere Möglichkeiten von Sanktionen bei Datenschutzverstößen wie Verwarnungen, Anordnungen und Schadensersatzklagen. Zugleich räumte sie ein, dass die Rechtsverfahren gegen Kommunen und ihrem Umgang mit der Verarbeitung personenbezogener Daten zunehmend komplexer und langwieriger würden, unter anderem, weil die Behörden mittlerweile über mehr Erfahrung in der Verfahrensführung verfügten. Als weiteres Hindernis sieht Brams die Verpflichtung von Betroffenen, im Falle einer Klage nachweisen zu müssen, dass der Missbrauch personenbezogener Daten aus einem bestimmten Datenschutzvorfall resultiert und das ihm ein konkreter und tatsächlicher Schaden entstanden ist.

Im Abschlussformat „Die Aufsichtsbehörden beantworten ihre Fragen“ berichtete Petri von einem Fall in Bayern, bei dem ein Bürgermeister gegen einen anderen Bürgermeister Strafanzeige gestellt hatte, weil dieser nicht öffentliche Daten veröffentlicht hatte. „Das kommt vor“, sagte Petri, „nicht so oft, aber es kommt vor“.

Über den Autor

Jürgen Hartz


ist BvD-Vorstandsmitglied und zuständig für Veranstaltungen.

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.