Der Staat hat ein Problem – Personalmangel – ist KI die Lösung?

Update: 18.2.2025 – angefragte Behörden
In den nächsten Jahren gehen geburtenstarke Jahrgänge der Beamtenschaft in den wohlverdienten Ruhestand. Tausende Beamte und Vertragsbedienstete deren Arbeitsplätze größtenteils nicht nachbesetzt werden können. Der Staat wurde in den letzten 10 Jahren zu einer Verwaltungs- und Datenkrake. Teilweise durch eigene Gesetze aus dem Parlament, Verordnungen aus den Ministerien oder durch Regelungen der EU. Über 80 personenbezogene Datenregister und immer mehr komplexe Antrags-, Förderungs- und Verwaltungsvorgänge die den Bürgern auferlegt werden müssen durch die Beamten abgearbeiet werden.
Geburtenstarke Jahrgänge bringen das Personalproblem
Tausende Arbeitsplätze können in der staatlichen Verwaltung in den nächsten Jahren größtenteils nicht nachbesetzt werden. Um die Personalabgänge und den steigenden Verwaltungsaufwand zu bewältigen wird KI eingesetzt. Sowohl in der staatlichen Verwaltung als auch in der Wirtschaft bis hin zur Landwirtschaft oder Produktion. Mit dem Projekt versucht der Autor über Anfragen bei verschiedenen staatlichen Dienststellen zu erheben wo bereits KI zum Einsatz gebracht wird. Grundlage ist der in Kraft getretene AI Act.
Erste Antwort auf die bkftv.at Anfrage aus dem Justizministerium

AI Act: Verwendung KI 2.2.25 +6 im JUSTIZMINISTERIUM

Aktuell werden Technologien aus dem Bereich Künstlicher Intelligenz in folgenden Bereichen eingesetzt, wobei hier allen voran Algorithmen aus den Bereichen Machine Learning bzw. Deep Learning sowie Natural Language Processing (NLP) zum Einsatz gebracht:
• Analyse von Aktenstücken zur Erleichterung der Bearbeitung (Erkennung von Dokumenten, Extraktion von Metadaten),
• Unterstützung der Anonymisierung von Gerichtsentscheidungen,
• Analyse von Datenbeständen im Ermittlungsverfahren der Staatsanwaltschaften in Zusammenarbeit mit der Polizei,
• Intelligente Verlinkung von Zitaten und Literaturverweisen in Schriftsätzen digital geführter Akten mit Rechtsdatenbanken,
• automatisierte Spracherkennung im Rahmen der Protokolls- und Urteilserstellung.
Das Justizministerium gibt an bei keinem der Anwendungsbereiche handle es sich um Bereiche nach Art. 5 („verboten“) sowie Art. 6 („Hochrisiko“) AI-Act.
Der Einsatz der KI-Technologien erfolge darüber hinaus im Rahmen der bestehenden IKT-Systeme der Justiz und richtet sich nach den dafür vorgesehenen gesetzlichen (und damit auch datenschutzrechtlichen) Rahmenbedingungen.
KI – Einsatz unter Wahrung des Datenschutzes wird dann die nächste Phase des Projekts, sobald der IST-Stand erhoben wurde. Denn es geht um Millionen von personenbezogenen Datensätzen der Österreicher die mit KI verarbeitet werden. Ob dies alles DSGVO datenschutzkonform vor sich geht, gilt es herauszufinden.

KI – künstliche Intelligenz die Rettung

Um die Personalabgänge und den steigenden Verwaltungsaufwand zu bewältigen wird KI eingesetzt. Sowohl in der staatlichen Verwaltung als auch in der Wirtschaft bis hin zur Landwirtschaft oder Produktion. Mit meinem Projekt versuche ich über Anfragen bei verschiedenen staatlichen Dienststellen zu erheben wo bereits KI zum Einsatz gebracht wurde. Welche Ministerien abgefragt wurden und wie die Antworten lauten können sie hier nachverfolgen. Eine erste Antwort aus dem JUSTIZMINISTERIUM liegt bereits vor.

AI Act in Kraft zur Verwendung künstlicher Intelligenz

Mit 1.8.2024 (20. Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union) ist der AI Act und somit die Richtlinien für den Einsatz und die Verwendung von künstlicher Intelligenz geregelt. Mit 2.2.2025 dürfen die als „verboten“ klassifizierten Praktiken nicht mehr angewandt werden. Anbieter und Betreiber von KI-Systemen sind verpflichtet ihr Personal welches mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, zu schulen. Diese Verpflichtung für KI-Kompetenz betrifft Organisationen unabhängig von ihrer Größe und unabhängig von der Risikoklassifizierung des KI-Systems. Ich habe verschiedene Behörden und Ministerien dazu angefragt. Mein journalistisches Projekt kann hier verfolgt werden.
https://www.datenschutzberater-dsgvo.at/ai-act-in-kraft/grundlagen/
https://fragdenstaat.at/profil/h.unger_1/

Ich habe auf Grundlage des aktuellen Auskunftspflichtgesetz verschiedene Behörden und Ministerien dazu angefragt.

  • Bundesministerium für Inneres
  • Bundesministerium für Landesverteidigung
  • Bundesministerium für Finanzen
  • Finanzmarktaufsicht
  • Justizministerium – erledigt
  • Bundesministerium für Gesundheit
  • Stadt/Land Wien – in Bearbeitung
  • Statistik Austria
  • Bundesministerium für Digitalisierung und Wirtschaft
  • Bundesamt für Fremdenwesen und Asyl
  • Parlamentsdirektion
  • Land Burgenland
  • Landeshauptstadt Eisenstadt – erledigt
  • Bundesministerium für Land- und Forstwirtschaft, Regionen und Wasserwirtschaft – in Bearbeitung
  • Bundesministerium für Arbeit und Wirtschaft
  • Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität
  • Bundesministerium für Wissenschaft und Forschung
  • Austro Control Zivilluftfahrt mbH
  • KommAustria Rundfunk und Telekom Regulierungs-GmbH

Dies betrifft alle EDV-Anwendungen, Apps, Systeme wie auch z.B. Mircosoft wenn der Copilot lizenziert wurde und Sie einen Microsoft Copilot Zugang zu den neuesten KI-Modellen haben. Die Auftragsverarbeiter und Dienstleister sind verpflichtet falls ihre Anwendungen KI Nutzen oder den Usern KI Nutzung zur Verfügung stellen den Auftraggeber darüber zu verständigen und darauf hinzuweisen. Auch der Auftraggeber hat seine Mitarbeiter nachweislich zu schulen.

Verbot inakzeptabler KI-Anwendungen in der EU
Vereinfacht ausgedrückt sind davon unter anderem Apps betroffen, die Menschen aufgrund ihres Verhaltens oder ihrer Eigenschaften bewerten und einordnen – wie etwa beim Social Scoring. Ebenso ist dann eine automatisierte biometrische Identifizierung von Menschen im öffentlichen Raum nicht mehr statthaft.
Die KI-VO sieht eine oder mehrere Marktüberwachungsbehörden vor, welche die Marktüberwachung durchführen. Durch die Marktüberwachung soll insbesondere gewährleistet werden, dass Hochrisiko-KI-Systeme den Vorgaben der KI-VO entsprechen. Es ist noch nicht fixiert, wer dies in Österreich sein wird. Auch für die EU-Kommission sind einige Rechtsdurchsetzungskompetenzen vorgesehen.
Für datenschutzrechtliche Fragestellungen im Zusammenhang mit KI-Systemen ist die Datenschutzbehörde zuständig.
Zudem ist in Art. 74 Abs. 8 KI-VO festgelegt, dass die für die DSGVO oder für die Richtlinie Polizei und Justiz zuständigen Aufsichtsbehörden die Funktion der Marktüberwachungsbehörde für KI-Systeme mit hohem Risiko u.a. im Bereich der Strafverfolgung, der Grenzverwaltung, der Justiz und der Demokratie zukommt. In Österreich kommt diese Zuständigkeit (nach aktueller Rechtslage) gemäß §§ 18, § 31 DSG der Datenschutzbehörde zu.
Als Vorbereitung für die Umsetzung der KI-VO gibt es eine KI-Servicestelle, welche in der RTR GmbH eingerichtet ist und als Ansprechpartnerin und Informationshub zum Thema KI dient.
KI – Einsatz unter Wahrung des Datenschutzes
Der Datenschutz in KI-Projekten wird dann die nächste Phase des Projekts prägen, sobald der IST-Stand erhoben wurde. Denn es geht um Millionen von personenbezogenen staatlichen Datensätzen der Österreicher die mit KI und externen Firmen/Dienstleistern verarbeitet werden. Ob dies alles DSGVO datenschutzkonform vor sich geht, gilt es herauszufinden.
Beim Einsatz von KI ist der Datenschutz zu beachten!
Grundsätzlich verfolgt die DSGVO einen technologieneutralen Ansatz und unterscheidet sich daher der Einsatz von KI-Systemen aus datenschutzrechtlicher Sicht nicht von jeder anderen Verarbeitung personenbezogener Daten. Aufgrund der Beschaffenheit vieler KI-Systeme spielt die Verarbeitung von personenbezogenen Daten aber eine zentrale Rolle. So werden bei KI-Systemen, insbesondere bei solchen, die auf maschinellem Lernen basieren, sowohl in der Lernphase als auch in der Betriebsphase vielfach personenbezogene Daten verarbeitet.

Grundsätze:
Die DSGVO kennt mehrere Grundsätze, welche alle bei jeder Verarbeitung personenbezogener Daten erfüllt sein müssen und die Verantwortlichen die Einhaltung auch bei KI nachweisen können muss (Art. 5 Abs. 1 und 2 DSGVO). Diese Grundsätze sind auch beim Einsatz von KI-Systemen (und der damit verbundenen Verarbeitung personenbezogener Daten) zu beachten.

Rechtmäßigkeit/Rechtsgrundlage:
Für jede Verarbeitung personenbezogener Daten muss zumindest einer der sechs Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO, vorliegen: Einwilligung, Erfüllung eines Vertrags, einer rechtlichen Verpflichtung, Wahrung lebenswichtiger Interessen, Erfüllung eines Auftrags im öffentlichen Interesse und Verfolgung eines berechtigten Interesses.

Sollten sogenannte „sensible Daten“ (eigentlich Daten besonderer Kategorie im Sinne des Art. 9 Abs. 1 DSGVO) verarbeitet werden, so muss zusätzlich eine Ausnahme des Verbots von Art. 9 Abs. 2 DSGVO vorliegen, welche etwas enger gefasst sind, als die Erlaubnistatbestände von Art. 6 Abs. 1 DSGVO.

„Sensible Daten“ sind:

  • Personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen
  • Gewerkschaftszugehörigkeit
  • Genetische Daten, biometrische Daten, die ausschließlich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person

Beispiel:
Bei der Beurteilung der Rechtmäßigkeit ist es sinnvoll, die verschiedenen Phasen der Verarbeitung personenbezogener Daten zu unterscheiden. Im Kontext der Entwicklung eines Large Language Models wäre etwa die Sammlung von Trainingsdaten (einschließlich der Verwendung von „Web-Scraping“) vom Training selbst oder von dem Betrieb mit Eingabeaufforderungen zu unterscheiden. Für derartige Verarbeitungen könnte beispielsweise der Tatbestand des berechtigten Interesses in Frage kommen. Ob dies im jeweiligen Fall anwendbar ist und nicht die Interessen der jeweils betroffenen Person (also jener, deren Daten verarbeitet werden) überwiegen, ist im Einzelfall zu prüfen.

Verarbeitung nach Treu und Glauben; Transparenz:
Bei der Verarbeitung nach Treu und Glauben handelt es sich um einen übergreifenden Grundsatz, der verlangt, dass personenbezogene Daten nicht in einer Weise verarbeitet werden dürfen, die für die betroffene Person ungerechtfertigt nachteilig, diskriminierend, unerwartet oder irreführend ist. Insbesondere darf es nicht zu einer Übertragung des Risikos vom Verantwortlichen auf die betroffene Person – etwa durch einen Hinweis in den AGB – kommen.

Der Grundsatz der Transparenz steht damit stark in Verbindung und verlangt, die betroffene Person entsprechend über die Verarbeitung ihrer personenbezogenen Daten zu informieren (siehe dazu auch den Punkt „Betroffenenrechte“).

Beispiel – intelligenter Chatbot bei einer Versicherung

Auf einer Versicherungs-Website wird ein „intelligenter Chatbot“ für den Kundenservice verwendet, bei welchem Kund:innen in ihren Anfragen auch regelmäßig personenbezogene Daten preisgeben. Es muss sichergestellt werden, dass die Kund:innen transparent darüber informiert werden, wie genau eingegebene personenbezogene Daten verarbeitet werden. Die Interaktion mit dem Chatbot hat für die betroffene Person zudem keine unvorhergesehenen oder nachteiligen Folgen.

Zweckbindung, Datenminimierung und Speicherbegrenzung:
Eine Verarbeitung personenbezogener Daten, auch im Rahmen von KI-Systemen, muss jeweils einen klar definierten Zweck aufweisen. Die verarbeiteten Daten müssen für diesen Zweck auch tatsächlich erforderlich und relevant sein und dürfen auch nur so lange verarbeitet und gespeichert werden, wie für die Erreichung des Zwecks notwendig.

Beispiel – Forschungsprojekt mit KI-System

Es soll ein KI-System bei einem medizinischen Forschungsprojekt verwendet werden. Dabei kommt es auch zur Verarbeitung personenbezogener Daten von Probanden. Die gesammelten Daten werden ausschließlich für diesen spezifischen Zweck und nicht für andere Zwecke, wie etwa Werbung oder Weiterverkauf an Dritte, verwendet. Es werden dabei nur die für das Forschungsprojekt notwendigen Daten verarbeitet, nicht erforderliche Informationen werden entfernt oder pseudonymisiert. Die gesammelten Daten werden für einen begrenzten Zeitraum gespeichert, um die Produktempfehlungen zu ermöglichen. Nach einer bestimmten Zeit, wenn die Daten nicht mehr relevant sind oder keine Rechtsgrundlage mehr vorhanden ist, werden sie anonymisiert oder gelöscht.

Richtigkeit:
Der Grundsatz der Datenrichtigkeit besagt, dass Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen und dabei alle angemessenen Maßnahmen zu treffen sind, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Dies ist gerade bei (text-)generierenden Systemen regelmäßig mit Herausforderungen verbunden, da bei aktuell vorhandenen Systemen üblicherweise ein Output generiert wird, der aus statistischer Sicht am wahrscheinlichsten, jedoch nicht notwendigerweise sachlich richtig ist.

In Anbetracht dessen sind betroffene Personen jedenfalls darüber zu informieren, dass die von derartigen Systemen erzeugten Ergebnisse irreführend und falsch sein können.

Integrität und Vertraulichkeit (Sicherheit):
Auch bei der Verarbeitung mit Hilfe von KI-Systemen muss eine angemessene Sicherheit gewährleistet sein. Dies beinhaltet auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust.

Es ist also sicherzustellen, dass das verwendete Tool über entsprechende Sicherheitsstandards verfügt und dass verarbeitete Daten nicht unrechtmäßig Dritten offengelegt werden.

Beispiel – Übersetzungstool mit KI Unterstützung

Es wird ein KI-unterstütztes Übersetzungs-Tool einer Drittanbieterin bzw. eines Drittanbieters verwendet, um verschiedenste Dokumente (Schriftsätze, Urkunden etc.) übersetzen zu lassen. Die eingespielten Dokumente werden auf Servern der Anbieterin bzw. des Anbieters gespeichert, deren Sicherheitsvorkehrungen nicht den aktuellen Standards entsprechen. Dadurch erlangen Dritte Zugriff auf die gespeicherten Dokumente und die darin enthaltenen Informationen bzw. personenbezogenen Daten.

Betroffenenrechte:
Die Rechte der betroffenen Person sind grundsätzlich wie bei jeder anderen Verarbeitung personenbezogener Daten zu gewährleisten.

Zuständigkeit – die Datenschutzbehörde

Bei künstlicher Intelligenz (KI) handelt es sich vereinfacht gesagt um Computersysteme, die Aufgaben ausführen können, die normalerweise menschliche Intelligenz erfordern. Das bedeutet, dass diese Systeme Probleme lösen, lernen, Entscheidungen treffen und mit ihrer Umgebung interagieren können, ähnlich wie Menschen es tun. Beim Einsatz von KI spielt Datenschutz eine wichtige Rolle, da oft personenbezogene Daten verarbeitet werden, um KI-Systeme zu entwickeln und zu verbessern.

Zuständigkeit – die RTR – Ki Servicestelle

Die Rechtsgrundlage für die KI-Servicestelle bilden § 20c KOG und § 194a TKG (BGBl. I Nr. 6/2024). Die in der RTR eingerichtete Servicestelle für Künstliche Intelligenz dient als Ansprechpartner und Informationshub einer breiten Öffentlichkeit zum Thema KI. Sie unterstützt auch bei der Umsetzung des europäischen AI Act. Auf diesen Seiten finden Sie Informationen rund um regulatorische Rahmenbedingungen beim Einsatz von künstlicher Intelligenz sowie den Aspekten im Hinblick

Quellen:
Share Button
Post Views: 4.266

Related posts