CNIL zeigt Best Practices für KI in Behörden

15. Mai 2025

CNIL zeigt Best Practices für KI in BehördenDie französische Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) hat kürzlich die Ergebnisse und Empfehlungen aus ihrer dritten “bac à sable”-Initiative (Sandbox) veröffentlicht. Drei Pilotprojekte zur Nutzung von künstlicher Intelligenz (KI) wurden begleitet. Im Fokus standen datenschutzrelevante Herausforderungen wie menschliche Kontrolle bei KI-gestützten Entscheidungen, Datenminimierung bei generativer KI und der Umgang mit neuartigen Sensoren zur Ereigniserkennung. Die Erkenntnisse bieten eine praxisnahe Orientierung für eine rechtskonforme und vertrauenswürdige KI-Implementierung im öffentlichen Dienst.

Datenschutzgerechte KI-Empfehlungssysteme

Die CNIL begleitete das KI-Projekt „Conseils Personnalisés“ von France Travail, das mithilfe eines Sprachmodells mit Retrieval Augmented Generation (RAG) personalisierte Weiterbildungsvorschläge für Arbeitsuchende erstellt. Im Zentrum stand die Frage, ob es sich bei den Empfehlungen um automatisierte Entscheidungen im Sinne von Art. 22 DSGVO handelt. Die CNIL kam zu dem Schluss, dass dies nicht der Fall sei, sofern eine signifikante menschliche Intervention vorliegt. Entscheidend dafür sind eine nachvollziehbare Tool-Funktionalität und die Schulung der Berater. Diese müssen die Vorschläge kritisch prüfen und korrigieren können. Da das System keine rechtlichen oder vergleichbar erheblichen Auswirkungen auf die Betroffenen hat, fällt es nicht unter das Verbot automatisierter Entscheidungen.

Zusätzlich prüfte die CNIL die Einhaltung des Datenminimierungsgrundsatzes. Der Umfang der genutzten Trainings- und Profildaten wurde reduziert, potenziell diskriminierende Informationen ausgeschlossen und Maßnahmen wie standardisierte Prompts, Filtermechanismen sowie UI-Warnungen empfohlen. Die Speicherung von Prompts zu Analysezwecken ist nur bei klarer Zweckbindung und angemessener Aufbewahrungsfrist zulässig. Hinsichtlich Bias-Risiken unterstrich die CNIL, dass sensible Profildaten nicht für Audits genutzt werden dürfen, auch wenn das kommende EU-KI-Gesetz hier künftig rechtliche Spielräume eröffnen könnte. Insgesamt stellte die CNIL keine konkreten Diskriminierungsrisiken fest, betonte jedoch die Bedeutung risikobasierter Schutzmaßnahmen, insbesondere bei KI im öffentlichen Sektor.

KI zur Förderung eines bewussten Wasserverbrauchs

Im Projekt „Ekonom’IA“ verfolgt Nantes Métropole das Ziel, Bürger mittels KI-basierter Vergleichsdaten auf der Wasserrechnung für ihren Verbrauch zu sensibilisieren. Die CNIL begleitete das Vorhaben und prüfte insbesondere die datenschutzrechtliche Zulässigkeit der Verarbeitung. Rechtsgrundlage ist die Wahrnehmung einer Aufgabe im öffentlichen Interesse, da das Projekt direkt der Trinkwasserversorgung und der Nutzersensibilisierung dient. Wichtig ist die Zweckbindung zur ursprünglichen vertraglichen Datenverarbeitung. Der Zugriff auf externe Datenquellen wie Steuerinformationen war durch gesetzliche Geheimhaltung eingeschränkt; als Zwischenlösung kamen fiktive Datensätze zum Einsatz. Im Rahmen der Datenverarbeitung wurde differenziert zwischen Pseudonymisierung und echter Anonymisierung. Letztere setzt voraus, dass Rückschlüsse auf Einzelpersonen ausgeschlossen sind – insbesondere bei Risiken wie Individualisierung, Korrelation und Inferenz. Erste Tests mit anonymisierten Daten verliefen erfolgreich. Dennoch betonte die CNIL, dass reale Verbrauchsdaten zusätzliche Risiken bergen, etwa durch extreme oder untypische Nutzungsmuster.

Auch die Transparenz gegenüber den Betroffenen wurde thematisiert. Informationen zum Projekt sollen unabhängig vom Wasservertrag, etwa über Rechnungsbeilagen und digitale Kanäle, bereitgestellt werden. Die Funktionsweise der KI und die Auswirkungen auf die Bürger müssen Behörden dabei verständlich erklären. Obwohl gesetzliche Ausnahmen eine Einschränkung des Widerspruchsrechts bei statistischer Nutzung erlauben könnten, verzichtete Nantes Métropole bewusst auf diese Möglichkeit und gewährleistet den Betroffenen weiterhin uneingeschränkt ihr Recht auf Widerspruch.

ToF-Sensoren zur datensparsamen Videoanalysen

Im Projekt „PRIV-IA“ der Pariser Verkehrsbetriebe RATP steht der Einsatz sogenannter Time-of-Flight-Sensoren (ToF) im Fokus Diese erfassen visuelle Daten zur Ereigniserkennung in deutlich weniger identifizierender Form als herkömmliche Kameras. Diese Sensoren messen die Rücklaufzeit eines ausgesendeten Signals, etwa eines Lasers, und erzeugen Bilder, die Silhouetten und Bewegungsmuster statt klarer Gesichter zeigen. Durch moderne Computer-Vision-Algorithmen lassen sich dennoch Gesten, Personenströme oder Anomalien erkennen – bei gleichzeitig reduziertem Risiko für die Privatsphäre. Die CNIL sieht darin eine relevante Maßnahme zur Datenminimierung und Umsetzung von „Privacy by Design“. Eine zentrale Erkenntnis war jedoch, dass die Anonymität solcher Daten stets im Nutzungskontext zu bewerten ist. Werden ToF-Daten mit klassischen Videoüberwachungssystemen kombiniert oder für direkte Eingriffe verwendet (z. B. bei der Intrusionserkennung), gelten sie weiterhin als personenbezogen.

Dennoch können sie gegenüber herkömmlichen Bildquellen datenschutzrechtlich vorteilhaft sein, da sie den Eingriffsgrad deutlich reduzieren. Für die rein statistische Nutzung – etwa zur Analyse oder Optimierung von Verkehrsflüssen – sind ToF-Daten zulässig, sofern sie vollständig aggregiert und nicht rückführbar sind. Anwendungen, die zu unmittelbaren Reaktionen führen (z. B. Werbung oder Zugangskontrollen), fallen nicht darunter. Die CNIL erkannte an, dass mehrere Einsatzszenarien diese Anforderungen erfüllen und damit als DSGVO-konforme, anonyme statistische Verarbeitung gelten können – vorausgesetzt, es bestehen keine Rückwirkungen auf einzelne Reisende.

Fazit

Die CNIL-Sandbox bietet praxisnahe Erkenntnisse für eine datenschutzkonforme Nutzung von KI im öffentlichen Dienst. Anhand realer Projekte demonstriert sie die komplexen Herausforderungen, etwa bei der Wahl geeigneter Rechtsgrundlagen, der Sicherstellung von Transparenz und dem Zugang zu Daten zwischen Behörden. Zentrale Schwerpunkte sind die menschliche Kontrolle, Datenminimierung und Bias-Risiken. Diese sind frühzeitig zu identifizieren und zu adressieren, beispielsweise durch technische Maßnahmen und gezielte Schulungen.

Das Projekt Nantes Métropole beleuchtet die Schwierigkeiten beim interbehördlichen Datenaustausch, während das RATP-Projekt zeigt, dass auch weniger identifizierende Technologien wie ToF-Sensoren personenbezogen sein können – insbesondere bei möglicher Re-Identifizierung oder gezielter Intervention. Die CNIL konkretisiert zudem die Voraussetzungen für eine statistische Verarbeitung im Sinne der DSGVO. Nur vollständig aggregierte, nicht rückführbare Daten, die keine direkten Auswirkungen auf Einzelpersonen haben, sind zulässig.

Der KI-Einsatz im öffentlichen Sektor erfordert fundierte rechtliche und technische Prüfungen. Die CNIL gibt mit ihren Empfehlungen wertvolle Orientierung – und kündigt weitere Unterstützung mit einer neuen Sandbox an.

 

Kategorien: Anonymisierung & Pseudonymisierung · Aufsichtsbehördliche Maßnahmen · berechtigtes Interesse · Datenschutz in der Verwaltung · DSGVO · EU-Datenschutzgrundverordnung · Europäische Union · Europäisches Recht · KI-News · KI-Verordnung · Künstliche Intelligenz · Privacy by Design · Videoüberwachung