Datenschutz und KI-Beschaffungen im öffentlichen Sektor im Fokus
Experteneinschätzung zu den Veränderungen in der öffentlichen Vergabe - Teil 5 von 5
Verwaltung der Zukunft hat Rechtsanwalt Okan Doğan zu den Themen Künstliche Intelligenz in der öffentlichen Verwaltung, dem EU AI Act und Datenschutz befragt. In einer fünfteiligen Serie präsentieren wir seine Antworten.
Frage 5: Sie sind außerdem auch Experte im Datenschutzrecht. Inwiefern müssen die Vergabe- und Vertragsunterlagen angepasst werden, um die rechtlichen Anforderungen im Zusammenhang mit Datenschutz und KI-Beschaffungen im öffentlichen Sektor zu erfüllen?
Okan Doğan: Weil es in diesem Zusammenhang sehr stark auf technische und rechtliche Einzelumstände ankommt, lässt sich die Frage nur relativ abstrakt beantworten.
Beabsichtigen öffentliche Auftraggeber, KI-Systeme im Rahmen ihrer Ausschreibungen einzusetzen, ist zunächst zu prüfen, ob ein DSGVO-konformer Einsatz überhaupt möglich ist. Wenn diese Frage bejaht werden kann, ist im nächsten Schritt zu ermitteln, ob und inwieweit sich das neue Tool auf die eigene Datenschutzdokumentation, die datenschutzrechtlichen Hinweistexte (Art. 13, 14 DSGVO) usw. auswirkt.
Auch im Übrigen sind die datenschutzrechtlichen Grundlagen stets zu beachten. Das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt erfordert, dass für jede Datenverarbeitung, die im Rahmen von KI-Systemen stattfindet, eine adäquate Rechtsgrundlage vorhanden sein muss. Dies umfasst vor allem die Datenakquise, das Training, den Einsatz der KI und die Rückkopplung des Outputs sowie die Erstellung von Datenkopien.
Die Rollen und Verantwortlichkeiten der beteiligten Parteien (öffentliche Auftraggeber, Auftragnehmer, Subauftragnehmer und Hersteller) sollten im Vorfeld des Vergabeverfahrens geklärt und in den Vergabeunterlagen eindeutig festgelegt werden. Zumindest im einstufigen offenen Verfahren bestünde anderenfalls das Risiko, dass Bieter voneinander abweichende Auftragsverarbeitungsvereinbarungen (AVV) und Technisch-Organisatorische-Maßnahmen (TOM) einreichen. Dies würde den Auftraggeber nicht nur vor das Problem stellen, in datenschutzrechtlicher Hinsicht vor „vollendete Tatsachen“ gestellt zu werden, sondern zusätzlich die Vergleichbarkeit der Angebote gefährden. Es ist daher bedeutsam, dass alle Parteien ihre Pflichten und Verantwortlichkeiten kennen, um die Einhaltung der Datenschutzvorschriften zu gewährleisten.
Die öffentlichen Auftraggeber müssen zudem sicherstellen, dass ausreichende Informationen über die Funktionsweise der KI-Systeme verfügbar sind, um die Transparenzanforderungen der DSGVO erfüllen zu können. Dies schließt Informationen über die automatisierte Entscheidungsfindung, Profiling und die involvierte Logik ein. Auch verständliche Visualisierungen und Beschreibungen können unter Umständen notwendig werden, um die Komplexität der Systeme für alle Beteiligten und Betroffenen nachvollziehbar zu machen. Denn als Ausprägung des Transparenzgrundsatzes legt Art. 12 Abs. 1 S. 1 DSGVO fest, dass Datenschutzhinweise und sonstige Informationen an betroffene Personen (z. B. in Antworten auf Auskunftsersuchen) in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu übermitteln sind.
Vor der Implementierung eines KI-Systems wird oft eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchzuführen sein, um potenzielle Risiken für die Rechte und Freiheiten natürlicher Personen zu identifizieren und abzuschwächen. Dies ist besonders wichtig, da KI-Systeme komplexe Datenstrukturen nutzen und weitreichende Entscheidungen treffen können.