Das Datenschutzrecht ist anwendbar
2023 ist das Jahr, in dem Online-KI-Generatoren wie ChatGPT für die breite Bevölkerung zugänglich wurden. Auch die öffentlichen Organe wollen die neue Technologie einsetzen. Das kantonale Recht regelt den Einsatz von KI (noch) nicht spezifisch. Beim Einsatz von KI werden aber oft Personendaten bearbeitet. Deshalb sind die Regeln des Datenschutzes anwendbar.
Chatbots bearbeiten Informationen über die Personen, die Fragen stellen. Werden Steuerdossiers von einer KI vorsortiert, sind Informationen von Steuerzahlerinnen und Steuerzahlern betroffen. Das Datenschutzrecht gilt unabhängig von der Technologie und gibt Grundsätze und Prozesse vor. Sie müssen angesichts der Entwicklung von KI neu betrachtet werden. Exemplarisch kann dies an der Gesetzmässigkeit und der Transparenz illustriert werden.
Rechtsgrundlagen bei zusätzlichen Risiken für die Grundrechte
Das kantonale Datenschutzrecht erlaubt die Bearbeitung von Personendaten, wenn dies zur Erfüllung von gesetzlichen Aufgaben geeignet und erforderlich ist. Die gesetzliche Aufgabe des öffentlichen Organs kann den Einsatz von KI rechtfertigen. Entsteht jedoch aufgrund des Einsatzes von KI ein zusätzliches Risiko für die Grundrechte, ist ein rechtlicher Rahmen zu schaffen, der diesen Risiken Rechnung trägt. Würden beispielsweise Entscheidungen auf der Basis einer KI-generierten Einschätzung getroffen, könnten zusätzliche Risiken bei der Profilbildung, bei der Richtigkeit der Daten oder bei diskriminierenden Resultaten liegen.
Das IDG definiert den Einsatz neuer Technologien wie KI als besonderes Risiko für die Grundrechte.
Transparenz über den Einsatz von KI
Transparenz ist ein Grundsatz im Datenschutz. Die betroffenen Personen sollen wissen, wie ihre Daten bearbeitet werden. Dieser Grundsatz ist aufgrund der Entwicklungen im Bereich KI neu zu bewerten. Wie kann Transparenz über den Einsatz von KI gewährleistet werden? Der aktuell im Kantonsrat diskutierte Entwurf des Gesetzes über die Information und den Datenschutz (IDG) sieht ein Verzeichnis vor, worin die öffentlichen Organe die verwendeten algorithmischen Entscheidsysteme auflisten müssen, wenn sie sich auf die Grundrechte von Personen auswirken. Das ist eine allgemeine Massnahme zur Transparenz über den Einsatz von KI. Weiter ist zu regeln, dass betroffene Personen über eine Entscheidung zu informieren sind, die ausschliesslich auf einer automatisierten Bearbeitung von Personendaten beruht und mit Rechtsfolgen versehen ist oder sie erheblich beeinträchtigt. Zudem ist vorzusehen, dass betroffene Personen ihren Standpunkt darlegen dürfen und eine Überprüfung der automatisierten Entscheidung durch eine natürliche Person verlangen können.
Generelle Pflicht zur Vorabkontrolle
Wenn öffentliche Organe ein neues Projekt starten, das Personendaten beinhaltet, müssen sie eine Datenschutz-Folgenabschätzung (DSFA) erstellen. Zeigt die DSFA besondere Risiken für die Grundrechte, muss das Projekt der Datenschutzbeauftragten zur Vorabkontrolle vorgelegt werden. Das IDG definiert den Einsatz neuer Technologien wie KI als besonderes Risiko für die Grundrechte. Somit besteht für alle KI-Projekte die Pflicht zur Vorabkontrolle durch die Datenschutzbeauftragte.