Ge­ne­ra­ti­ve künst­li­che In­tel­li­genz für öf­fent­li­che Or­ga­ne

Die Datenschutzbeauftragte hat erstmals den Einsatz generativer KI im Rahmen einer Vorabkontrolle beurteilt. Eine Gemeinde wollte ihren Mitarbeitenden eine Plattform mit Zugang zu einem eigenen LLM zur Verfügung stellen, die sie im beruflichen Alltag unterstützen soll. Das LLM wird durch einen Dritten im Auftrag der Gemeinde betrieben. Dabei soll das LLM laufend optimiert werden, so dass es für die Bedürfnisse der Gemeinde massgeschneidert wird.

Möchte ein öffentliches Organ wie zum Beispiel eine Gemeindeverwaltung eine KI für die Erfüllung ihrer Aufgaben einsetzen, hat sie sich in einem ersten Schritt zu fragen, für welche Aufgaben sie die KI einsetzen möchte: Sollen Briefe an Einwohnerinnen und Einwohner standardisiert vorformuliert werden? Soll die KI eine vollständige Steuerveranlagungsverfügung erstellen können? Geht es darum, Bau- oder Sozialhilfegesuche in das LLM einzugeben, damit dieses dann vorformulierte Entscheide für den Mitarbeitenden der Gemeinde erstellt?

In einem nächsten Schritt hat das öffentliche Organ abzuklären, ob für diese Aufgabenerfüllung genügende Rechtsgrundlagen bestehen. Werden besondere Personendaten wie Gesundheitsdaten oder Personendaten von Sozialhilfempfangenden eingegeben, muss dafür eine Grundlage in einem Gesetz im formellen Sinn vorliegen.

Die Verantwortung für die Bearbeitung von Personendaten mit einer KI liegt beim öffentlichen Organ. Die Gemeinde muss daher beispielsweise bei der Nutzung eines LLM protokollieren können, welche Mitarbeitende für welche Aufgabe das LLM verwenden. Nur so kann die Gemeinde Rechenschaft ablegen, dass das LLM gemäss den Rechtsgrundlagen verwendet wird. Ferner ist die Verantwortung innerhalb der Organisation eines öffentlichen Organs festzulegen. Es ist mit internen Reglementen und Weisungen zu regeln, ob die jeweiligen Mitarbeitenden die vom LLM erstellten Antworten kontrollieren und nach welchen Regeln eine Überprüfung vorzunehmen ist.

Schliesslich hat das öffentliche Organ aufzuzeigen, was mit den Eingabetexten, also den Prompts, passiert, wenn Mitarbeitende diese an das LLM übermitteln: Werden sie für das Training der KI verwendet? Werden sie gelöscht? Wer hat beim Dritten Einsicht in die Personendaten, die das öffentliche Organ an das LLM übermittelt? Über welche Trainingsdaten verfügt das LLM? Diese Fragen klären die öffentlichen Organe mit entsprechenden Dokumentationen ab.

Projekte zur Nutzung von KI unterbeitet das öffentliche Organ der Datenschutzbeauftragten zur Vorabkontrolle. Dafür reicht es ihr alle Dokumentationen ein. Die Datenschutzbeauftragte prüft das Projekt und hält in einer Stellungnahme Hinweise und Massnahmen zur datenschutzkonformen Umsetzung des Projekts fest. Bei der Gemeinde überprüfte die Datenschutzbeauftragte, ob die Dritten, die das LLM betrieben, Zugriff auf die von der Gemeinde eingegebenen Personendaten haben. Sie stellte dabei fest, dass die Personendaten zwar auf den Servern eines Unterauftragnehmers fliessen und anschliessend gelöscht werden sollen, der Löschprozess jedoch nicht genügend dokumentiert war. Entsprechend hielt sie fest, dass die Gemeinde zusammen mit den Dritten ein detailliertes Löschkonzept zu verfassen und genau aufzuzeigen hat, ob und wie lange die Dritten auf die Personendaten der Gemeinde zugreifen könnten. Zudem stellte sie bei der Überprüfung fest, dass es sich beim LLM um eine Open-Source-Lösung handelte, die lokal in Rechenzentren der Schweiz betrieben wurde.