Bekanntmachungen der Datenschutzbehörde
Informationen der Datenschutzbehörde zum Verhältnis zwischen der DSGVO und der Verordnung (EU) über künstliche Intelligenz (KI-VO) für Verantwortliche des öffentlichen Bereichs
Da die Entwicklung und der Einsatz von Systemen künstlicher Intelligenz (KI) auch in der öffentlichen Verwaltung eine immer größere Rolle spielen, nimmt die Datenschutzbehörde dies zum Anlass, auf Folgendes hinzuweisen:
Die „Verordnung des europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz)“ wurde am 21. Mai 2024 formal angenommen.
Nach der Veröffentlichung im Amtsblatt der Europäischen Union werden die Vorgaben der KI-VO (innerhalb der nächsten Monate und Jahre) schrittweise anwendbar sein.
Die Datenschutzbehörde nimmt dies zum Anlass, aus Sicht ihres Zuständigkeitsbereichs auf Folgendes hinzuweisen:
1) Der Einsatz von KI-Systemen im öffentlichen Bereich kann die Effizienz von Verwaltung und Justiz erheblich steigern, indem er Prozesse automatisiert und Entscheidungen beschleunigt.
Zur Wahrung des Grundrechts auf Datenschutz (Art. 8 EU-GRC, § 1 DSG) und zur Gewährleistung von Rechtssicherheit ist es jedoch erforderlich, dass die Vorgaben des Datenschutzrechts eingehalten werden.
2) Gemäß Art. 2 Abs. 7 KI-VO bleiben die Arbeit der Datenschutzbehörde und die Pflichten von Anbieter:innen und Betreiber:innen von KI-Systemen in ihrer Rolle als Verantwortliche oder Auftragsverarbeiter:innen unberührt. Die DSGVO ist daher (parallel) anwendbar, wenn es zur Verarbeitung personenbezogener Daten kommt.
Die KI-VO verdrängt somit die DSGVO nicht. Sofern personenbezogene Daten (Art. 4 Z 1 DSGVO) verarbeitet (Art. 4 Z 2 DSGVO) werden, ist die DSGVO weiterhin zu beachten! Selbiges gilt für die Richtlinie (EU) 2016/680, umgesetzt im 3. Hauptstück des DSG.
3) Soweit personenbezogene Daten bei der (Weiter-)Entwicklung und dem Einsatz von „KI-Systemen“ gemäß Art. 3 Z 1 KI-VO im hoheitlichen Bereich für hoheitliche Zwecke (dh nicht für Zwecke der Privatwirtschaftsverwaltung) verarbeitet werden, sind darüber hinaus die verfassungsgesetzlichen Vorgaben des § 1 Abs. 2 DSG maßgeblich. Daraus folgt insbesondere, dass eine qualifizierte gesetzliche Grundlage für die Datenverarbeitung erforderlich ist (zur Ausgestaltung einer Eingriffsnorm iSd § 1 Abs. 2 DSG siehe aus der stRsp des VfGH bspw. VfSlg. 19.886/2014).
4) Die Vorgaben des § 1 Abs. 2 DSG sind auch dann maßgeblich, wenn die KI-VO sachlich nicht anwendbar ist (so z.B. im Bereich der Landesverteidigung und der nationalen Sicherheit).
5) Liegt eine solche gesetzliche Grundlage nicht vor, kann dies zur Unzulässigkeit der Datenverarbeitung (und somit zum unzulässigen Einsatz des jeweiligen KI-Systems) führen. Die Beweislast dafür, dass die Verarbeitung personenbezogener Daten rechtmäßig erfolgt, trifft den Verantwortlichen (Art. 4 Z 7 DSGVO; siehe dazu auch EuGH 14.03.2024, C-46/23, Rz 32).
6) Als Beispiel ist auf die Judikatur des VwGH zum Arbeitsmarktchancen-Assistenzsystem (besser bekannt als „AMS-Algorithmus“) zu verweisen:
Dieser hat dem BVwG aufgetragen, weitere Ermittlungsschritte hinsichtlich der Anwendbarkeit der Vorgaben von Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall einschließlich Profiling) zu setzen. Laut VwGH ist für den Fall der Anwendbarkeit von Art. 22 DSGVO im AMSG jedoch kein Rechtfertigungstatbestand für die Datenverarbeitung ersichtlich (vgl. VwGH 21.12.2023, Ro 2021/04/0010).
7) Der Einhaltung der Vorgaben des bereits erwähnten Art. 22 DSGVO kommt im öffentlichen Bereich besondere Bedeutung zu:
Nach Judikatur des EuGH wird der Anwendungsbereich von Art. 22 DSGVO tendenziell weit ausgelegt (vgl. EuGH 7.12.2023, C‑634/21, Rz 73).
Soweit KI-Systeme im hoheitlichen Bereich zum Einsatz kommen und die damit verbundene Datenverarbeitung in den Anwendungsbereich von Art. 22 DSGVO fällt, müssen – neben der Einhaltung der KI-VO – die besonderen Anforderungen an eine gesetzliche Grundlage gemäß Art. 22 Abs. 2 lit. b und Abs. 4 leg. cit. beachtet werden.
Die Leitlinien der ehemaligen Art. 29-Datenschutzgruppe zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, 17/DE, WP251rev.01 (abrufbar unter https://ec.europa.eu/newsroom/article29/items/612053), können als Interpretationshilfe herangezogen werden.
Für Datenverarbeitungen, die unter das 3. Hauptstück des DSG fallen, sind die in § 41 leg. cit. normierten Voraussetzungen für automatisierte Entscheidungsfindungen im Einzelfall maßgeblich.
8) Aufsichtsbehörden nach der DSGVO bzw. der Richtlinie (EU) 2016/680 wird gemäß Art. 74 Abs. 8 KI-VO eine Sonderzuständigkeit für gewisse Hochrisiko-KI-Systeme zukommen, die u.a. für Strafverfolgungszwecke, Grenzmanagement, Justiz und Demokratie eingesetzt werden. In Österreich ist die Datenschutzbehörde die Aufsichtsbehörde nach diesen Rechtsakten (§§ 18 und 31 DSG).
Diesbezüglich steht die Datenschutzbehörde einem informellen Austausch mit den jeweils zuständigen Behörden offen gegenüber. Eine Kontaktaufnahme ist jederzeit möglich.
9) Weitere Informationen zum Thema KI und Datenschutz finden Sie unter dem Reiter "Künstliche Intelligenz" auf unserer Website.
Ein breites Informationsangebot zum Thema KI, auch zur KI-VO und regulatorischen Rahmenbedingungen, stellt die RTR als KI-Servicestelle zur Verfügung. Es ist abrufbar unter: https://ki.rtr.at
10) Abschließend ist auf die Strategie des Europäischen Datenschutzausschusses (EDSA) für den Zeitraum 2024-2027 hinzuweisen, abrufbar unter:
https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf
Demzufolge kommt der Erstellung von Leitlinien zum Verhältnis zwischen DSGVO und KI-VO eine hohe Priorität zu. Als Mitglied des EDSA wird die Datenschutzbehörde proaktiv zur Erstellung dieser Leitlinien beitragen.
Zusammenfassend hält die Datenschutzbehörde somit fest:
a) Die DSGVO bleibt auch nach In-Geltung-Treten der KI-VO beachtlich, wenn personenbezogene Daten verarbeitet werden.
b) Werden KI-Systeme im hoheitlichen Bereich für Zwecke der Hoheitsverwaltung eingesetzt und beinhaltet dies die Verarbeitung personenbezogener Daten, ist dies nur zulässig, wenn eine Rechtsgrundlage iSd § 1 Abs. 2 DSG vorliegt.
c) Liegt ein Anwendungsfall des Art. 22 DSGVO vor, sind die Vorgaben dieser Bestimmung maßgeblich.
d) Gemäß Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen die Beweislast dafür, dass die Verarbeitung rechtmäßig erfolgt.
Abschließend weist die Datenschutzbehörde darauf hin, dass sie, sollte sie im Rahmen eines Verfahrens zur Ansicht gelangen, dass das betreffende KI-System nicht im Einklang mit der DSGVO steht, sie unionsrechtlich verpflichtet ist, von einer Abhilfebefugnis nach Art. 58 Abs. 2 DSGVO – darunter auch die Untersagung – Gebrauch zu machen. Ein Ermessen besteht hier nur in der Wahl der passenden Abhilfebefugnis, nicht jedoch in der Frage, ob von einer Abhilfebefugnis überhaupt Gebrauch zu machen ist.
Informationen der Datenschutzbehörde zum Verhältnis zwischen der DSGVO und der Verordnung (EU) über künstliche Intelligenz (KI-VO) für Verantwortliche des öffentlichen Bereichs (PDF, 128 KB)