Künstliche Intelligenz in der öffentlichen Verwaltung

Ohne Datensouveränität geht es nicht!

KI hat das Potenzial, die Verwaltung zu beschleunigen, dafür gibt es aber rechtliche Hürden. Eine der wichtigsten rechtlichen Bedingungen sind Anforderungen zum Datenschutz. Viele bestehende KI-Lösungen verursachen, dass Kunden die Kontrolle über ihre Daten verlieren. Damit sind diese KI-Lösungen nur schwer mit den rechtlichen Anforderungen der deutschen Verwaltung vereinbar. Dieses vermeintliche Dilemma lässt sich jedoch mit passgenauen individuellen Lösungen zuverlässig auflösen.

Rubrik:

KI, Cloud & Zukunftstechnologien

Tags:

Künstliche Intelligenz

Datenschutz

Daten

Digitale Souveränität

15.05.24

Benjamin Heitmann

Die Digitalisierung der deutschen Verwaltung kommt nur schleppend voran. Zumindest wenn man dem öffentlichen Diskurs Glauben schenken will. Künstliche Intelligenz (KI) kommt da gerade recht. Schließlich gibt es zahlreiche Erfolgsgeschichten, wie sie der Produktivität Beine gemacht oder Innovationen ermöglicht hat. Und da alles schon da ist, sollte einer schnellen Umsetzung nichts im Wege stehen.

Doch ganz so einfach ist es nicht. Dem Einsatz von KI stehen eine Reihe rechtlicher und organisatorischer Hürden entgegen. In der Wirtschaft erprobte Anwendungen können nicht an allen Stellen einfach übernommen werden. Doch was sind die größten Herausforderungen beim Einsatz von KI-Lösungen in der Verwaltungsdigitalisierung? Und welche Ansätze gibt es, diese erfolgreich zu meistern?

KI und ihre enormen Potenziale für die Digitalisierung der Verwaltung

Künstliche Intelligenz hat auf jeden Fall das Potenzial, die Digitalisierung der deutschen Verwaltung zu beschleunigen. Sprachmodelle wie ChatGPT beweisen, dass sie in der Lage sind, selbst komplexe Herausforderungen mit natürlichsprachlichen Anweisungen und ohne Programmierkenntnisse zu lösen. In der Verwaltung könnte die Anwendung von Sprachmodellen zum Beispiel so aussehen, dass KI-Dienste zwischen Datenformaten übersetzen, die sonst nur durch Programmierarbeit kompatibel gemacht werden können. Oder die Beschreibung von Prozessen in natürlicher Sprache könnte deren Automatisierung beschleunigen.

Nach dem Index für die digitale Wirtschaft und Gesellschaft (DESI) in Europa liegt Deutschland auf Platz 18 von 27. Die Ursachen sind vielfältig, liegen aber vor allem im technologischen Bereich:

die fehlende Digitalisierung von Akten im Sinne der Umwandlung von natürlichsprachlichen Daten oder Daten auf Papierformularen in maschinenlesbare Daten.
die fehlende Integration von Daten aus unterschiedlichen Systemen, die nicht für den Datenaustausch konzipiert wurden und daher nicht miteinander kompatibel sind.
die fehlende Automatisierung von Datenverarbeitungsprozessen zur Vorbereitung und Dokumentation von Entscheidungen menschlicher Akteure.
die Komplexität bei der Umsetzung des rechtlichen Rahmens im Bereich des Datenschutzes.

Potentiale für eine Beschleunigung der Verwaltungsdigitalisierung durch KI.

Das offensichtliche Problem: Um die Potenziale von KI zur Beschleunigung der Verwaltungsdigitalisierung bei der Digitalisierung von Akten, der Integration von Daten und der Automatisierung von Prozessen nutzen zu können, müssen zunächst die Herausforderungen des rechtlichen Rahmens im Bereich des Datenschutzes bewältigt werden. Dieses Dilemma gilt es zu lösen.

Rechtliche Rahmenbedingungen für den Einsatz von KI

Der Einsatz von KI zur Beschleunigung der Digitalisierung der deutschen Verwaltung erfordert die Umsetzung datenschutzrechtlicher Rahmenbedingungen. Dazu zählt insbesondere der Schutz personenbezogener Daten bei der Verarbeitung von Anträgen und Stammdaten. Diese Daten dürfen nur von Dienstleistern verarbeitet werden, die für entsprechende Sicherheitsmaßnahmen zertifiziert sind. Hardware wie z.B. Server und Software wie z.B. Online-Dienste müssen sich in Rechenzentren in Deutschland oder der EU befinden. Darüber hinaus muss sichergestellt sein, dass diese Datenschutzmaßnahmen vor, während und nach der Verarbeitung personenbezogener Daten gewährleistet sind.

Ein weiterer Aspekt des Datenschutzes sind vertrauliche Daten ohne Personenbezug. Darunter fallen alle Daten, die sich auf Geheimnisse beziehen oder nur bestimmten Personengruppen zugänglich sein sollen. Hier sind insbesondere Geschäftsgeheimnisse, Details zu internen Abläufen und Sicherheitsmaßnahmen zu nennen. Die Abwehr von Cyberkriminalität, wie beispielsweise der Ransomware-Angriff im Herbst 2023 in Rheinland-Pfalz und Nordrhein-Westfalen, erfordert den Schutz von Geheimnissen über den operativen Betrieb von Rechenzentren.

Hoher Datenbedarf vs. Prinzip der Datensparsamkeit

Um künstliche Intelligenz in einen Datenverarbeitungsprozess einbinden zu können, müssen Daten an den KI-Dienst übermittelt werden. Dies bedeutet, dass die Einhaltung des Datenschutzes zwangsläufig eine Herausforderung darstellt. Das folgende Beispiel, die Überprüfung eines bei der Antragstellung ausgefüllten Formulars, verdeutlicht den Datenbedarf, der bereits bei einem einfachen Anwendungsfall anfällt:

die Anweisung, der sogenannte Prompt: „Überprüfe, ob alle gesetzlich vorgeschriebenen Angaben auf diesem Formular gemacht wurden!“
die Daten, auf die sich die Anweisung bezieht. In diesem Beispiel ein Formular mit den Eingaben der Bürger*innen. Dabei handelt es sich um personenbezogene Daten, die besonders geschützt werden müssen.
sowie Texte mit organisationsspezifischem Wissen, das zum Verständnis der Anweisung notwendig ist.

In diesem Beispiel sind diese notwendigen Texte:

die öffentliche Anleitung zum Ausfüllen des Formulars.
interne, vertrauliche Verwaltungsnotizen zur Bearbeitung des Formulars.
öffentliche Gesetzestexte.
interne, vertrauliche juristische Anmerkungen zu den Gesetzestexten.

Im vorliegenden Fall würde der KI-Dienst entweder mit „Die Angaben sind vollständig“ oder mit „Nein, die Angaben sind nicht vollständig“ antworten, zusammen mit einer entsprechenden Begründung, wie z.B. „Der Antragsteller hat angegeben, verheiratet zu sein, hat aber im Abschnitt über den Ehepartner keine Angaben gemacht“. Bei komplexeren Anwendungsfällen steigt der Datenbedarf entsprechend.

Beispielhafter Verlauf eines mit KI Modellen durchgeführten Datenverarbeitungsprozess.

Eine besondere Herausforderung für KI-Dienste stellt daher das Prinzip der sogenannten Datensparsamkeit dar. Es sollen nur die Daten erhoben werden, die für die Bearbeitung einer Aufgabe unbedingt erforderlich sind. Darauf basieren auch die Anforderungen des Datenschutzes. Gleichzeitig haben KI-Dienste einen enormen Datenhunger, sie benötigen sehr große Datenmengen, um qualitativ hochwertige Antworten zu generieren. Damit ein KI-Dienst den Menschen bei seiner Arbeit unterstützen kann, benötigt er eine Vielzahl von Informationen. Dies führt zu einem sehr hohen Datenbedarf, welcher mit dem Prinzip der Datensparsamkeit vereinbar gemacht werden muss.

Datenschutz vs. Einsatz von KI

Viele Anbieter von KI-Lösungen verursachen für Nutzende den Kontrollverlust über die übermittelten Daten. Dies liegt unter anderem daran, dass Verfahren der Künstlichen Intelligenz geeignete Daten in ausreichender Menge benötigen, um optimale Ergebnisse zu erzielen. Die Anbieter von KI-Lösungen sind daher daran interessiert, alle ihnen übermittelten Daten zu speichern, um ihre Dienste zu warten, anzupassen und zu verbessern. Die Gesamtheit dieser Daten ist für einen Anbieter von KI-Anwendungen von großem Wert, da sie es ihm ermöglicht, aus den neu gesammelten Daten zu lernen, um so wettbewerbsfähig zu bleiben.

Die Speicherung von Daten, die an einen KI-Dienst übermittelt werden, ist jedoch häufig nicht mit den Anforderungen des Datenschutzes in der deutschen Verwaltung vereinbar. Zum einen wird die Pflicht zum Schutz personenbezogener Daten verletzt. Zum anderen steigt die Gefahr, dass vertrauliche Daten, z.B. über interne Vorgänge, nach außen gelangen. Der Kontrollverlust über personenbezogene und vertrauliche Daten stellt daher ein wesentliches Hindernis für die Beschleunigung der Digitalisierung in der deutschen Verwaltung durch KI dar.

KI und Datensouveränität - Lösungen für das vermeintliche Dilemma

Das Gegenteil von KI-Lösungen, die den Verlust der Kontrolle über sensible Daten in Kauf nehmen, sind Anwendungen, die auf Datensouveränität abzielen. Datensouveränität bedeutet, dass eine Organisation die vollständige Kontrolle über alle Daten während, vor und nach einem Datenverarbeitungsprozess behält und in der Lage ist, alle gesetzlichen Anforderungen an den Datenschutz zu erfüllen und vertrauliche Daten der Organisation vor Zugriffen von außen zu schützen.

Für KI-Lösungen, die in der Verwaltung eingesetzt werden sollen, ist die Hoheit über die eigenen Daten das oberste Gebot. Nur so können die gesetzlichen Anforderungen an den Schutz personenbezogener Daten erfüllt werden. Das bedeutet, dass KI-Lösungen, die für die öffentliche Verwaltung entwickelt werden, immer so konzipiert sein müssen, dass das Prinzip der Datensouveränität in allen Aspekten der Architektur und Implementierung berücksichtigt wird.

Es gibt verschiedene Möglichkeiten, das Prinzip der Datensouveränität in einem KI-Dienst umzusetzen. Jede Variante bietet unterschiedliche Möglichkeiten zur Einhaltung des Datenschutzes und hat unterschiedliche Stärken und Schwächen. Auch die Kosten für Entwicklung, Integration und Betrieb unterscheiden sich. Im Folgenden werden die verschiedenen Varianten näher betrachtet.

Open-Source-Lösungen: Open-Source-Lösungen im Bereich der künstlichen Intelligenz bieten die meisten Möglichkeiten hinsichtlich des Datenschutzes, da sie auf beliebigen Servern bereitgestellt werden können. Dabei kann es sich um Server handeln, die in zertifizierten Rechenzentren betrieben werden, oder um Server, die sich in den Räumlichkeiten einer Verwaltungsorganisation befinden. Auch der Einsatz auf einzelnen Desktops oder Laptops ist möglich. In jedem Fall ist jedoch zu prüfen, ob die Hardware für die Ausführung des jeweiligen mathematischen Modells geeignet ist. Für große Sprachmodelle sind dedizierte Hardwarebeschleuniger oder sehr leistungsfähige Prozessoren mit viel Arbeitsspeicher erforderlich. Die vielfältigen Möglichkeiten des Datenschutzes bei Open-Source-Lösungen führen jedoch dazu, dass Open-Source-Lösungen in der Regel ein bis zwei Entwicklungszyklen hinter den leistungsfähigsten privatwirtschaftlichen KI-Lösungen zurückbleiben. Dies kann sich insbesondere auf die Fähigkeit, Anweisungen in natürlicher Sprache zu verstehen und auf die Qualität der Antworten auswirken. Open-Source-Lösungen sind kostenlos, aber die Kosten für Entwicklung, Integration und Betrieb müssen bei den Nutzungskosten berücksichtigt werden. Mit dieser Variante kann die Datenhoheit einer Verwaltungsorganisation sehr einfach und effektiv gewahrt werden.
On-Premise-Hosting: Das On-Premise-Hosting von KI-Lösungen aus der Privatwirtschaft ermöglicht es, von den neuesten Entwicklungen der Privatwirtschaft zu profitieren und gleichzeitig alle Datenschutzanforderungen zu erfüllen. Dabei wird das von der Privatwirtschaft entwickelte mathematische Modell oder das große Sprachmodell, das den Kern der Lösung bildet, auf einem Rechner im Gebäude einer Verwaltungsorganisation betrieben. In diesem Fall ist die Bereitstellung der KI-Lösung mit höheren Kosten verbunden. Außerdem erlauben nicht alle Anbieter von KI-Lösungen, dass ihre Lösung vor Ort betrieben wird. Mit dieser Variante ist es möglich, die Datenhoheit einer Verwaltungsorganisation zuverlässig zu wahren und gleichzeitig von den neuesten Entwicklungen aus der Privatwirtschaft zu profitieren.
Hosting in Deutschland oder der EU: Das Hosting in Deutschland oder der EU unterstützt die potenzielle Nutzung einer Vielzahl unterschiedlicher KI-Dienste. Statt eine privatwirtschaftliche KI-Lösung in den Räumlichkeiten einer Verwaltungsorganisation zu hosten, befindet sich der Rechner mit dem KI-Modell in einem Rechenzentrum in Deutschland oder der EU. Die Kosten hierfür sind häufig geringer als beim Hosting vor Ort. Andererseits sind in diesem Fall die höchsten Anforderungen an den Datenschutz nicht erfüllt. Dies ist insbesondere bei Projekten zu beachten, die einer Geheimhaltungspflicht unterliegen oder bei denen Industriespionage zu befürchten ist. Die Datenhoheit einer Verwaltungsorganisation ist bei dieser Variante weitestgehend gewährleistet, solange die Rechenzentren sowie die KI-Anbieter vertrauenswürdig sind und ihren Verpflichtungen nachkommen.
Maßgeschneiderte Verträge für die Auftragsdatenverarbeitung: Maßgeschneiderte Verträge zur Auftragsdatenverarbeitung werden inzwischen von mehreren KI-Anbietern angeboten. Dabei handelt es sich um die Möglichkeit, den Datenschutz allein durch vertragliche Maßnahmen sicherzustellen. In diesem Fall ist der Zugang zu den neuesten KI-Lösungen aus der Privatwirtschaft sehr einfach, es werden aber nur die Mindestanforderungen an den Datenschutz erfüllt. Daher sollte in diesem Fall die Rechtslage im Detail geprüft werden. Die Wahrung der Datensouveränität einer Verwaltungsorganisation ist bei dieser Variante allerdings nur bedingt möglich, da hier keine technischen Maßnahmen zum Schutz der Daten eingesetzt werden.

Maß der Kontrolle über die Datensouveränität bei verschiedenen KI-Lösungen.

Anpassung von KI-Lösungen an individuelle Anforderungen in Bezug auf Datenschutz, Kosten und Leistung.

Die Wahrung der Datenhoheit ist für den Einsatz von KI in der öffentlichen Verwaltung unerlässlich. Je nach Art und Umfang der Daten können die Anforderungen an den Datenschutz in verschiedenen KI-Projekten stark variieren. Ebenso unterscheiden sich die Möglichkeiten, das Prinzip der Datensouveränität in einem KI-Dienst umzusetzen, hinsichtlich der Sicherheit sowie der Kosten für Entwicklung, Integration und Betrieb.

Bei SEITENBAU setzen wir daher in unseren Projekten für Kunden aus der öffentlichen Verwaltung auf maßgeschneiderte KI-Lösungen. Dabei werden stets alle individuellen Anforderungen an Datenschutz, Kosten und Performance umfassend berücksichtigt und sorgfältig abgewogen. Denn nur mit solchen maßgeschneiderten Lösungen lässt sich der Einsatz von Künstlicher Intelligenz in der öffentlichen Verwaltung so gestalten, dass diese den maximalen Wert aus ihren eigenen Daten schöpft und gleichzeitig die Hoheit über die Daten behält.

3. ZuKo-THINKTANK: Der kreative Satellit des Zukunftskongresses

ZuKo Cloud-Spezial

25. Beschaffungskonferenz 2024 - Das Original aller Vergabetage

3. Digital Justice Summit

3. ZuKo-Sozialversicherungsforum - Soziale Sicherheit im digitalen Wandel

7. Berliner Kongress Wehrhafte Demokratie

10. Zukunftskongress Staat & Verwaltung

3. BKK-THINKTANK: Der agile Satellit des Beschaffungskongresses

15. Beschaffungskongress der Krankenhäuser

Künstliche Intelligenz in der öffentlichen Verwaltung

Ohne Datensouveränität geht es nicht!

KI und ihre enormen Potenziale für die Digitalisierung der Verwaltung

Rechtliche Rahmenbedingungen für den Einsatz von KI

Hoher Datenbedarf vs. Prinzip der Datensparsamkeit

Datenschutz vs. Einsatz von KI

KI und Datensouveränität - Lösungen für das vermeintliche Dilemma

Anpassung von KI-Lösungen an individuelle Anforderungen in Bezug auf Datenschutz, Kosten und Leistung.

Weiterführende Informationen: seitenbau.com

Datenschutz und KI-Beschaffungen im öffentlichen Sektor im Fokus

Experteneinschätzung zu den Veränderungen in der öffentlichen Vergabe - Teil 5 von 5

Wie Virtual Reality den Unterricht bereichert

Ein Praxisbeispiel aus der Stadt Leipzig

Vertragsfehler bei KI-Ausschreibungen im Fokus

Experteneinschätzung zu den Veränderungen in der öffentlichen Vergabe - Teil 4 von 5

3 Empfehlungen für die Beschaffung von KI im Fokus

Experteneinschätzung zu den Veränderungen in der öffentlichen Vergabe - Teil 3 von 5