Datenschutz im Kontext von Cybersecurity und KI

Der Aufsatz behandelt die datenschutzrechtlichen Anforderungen beim Einsatz von Künstlicher Intelligenz (KI), insbesondere die Zusammenhänge zwischen der Datenschutz‑Grundverordnung (DSGVO) und der europäischen KI‑Verordnung (KI‑VO), im Kontext der öffentlichen Vergabe. Es wird dargelegt, dass KI und andere IT-Produkte zunehmend in Verwaltungsprozessen Anwendung finden und damit regelmäßig personenbezogene Daten verarbeitet werden. Zur Gewährleistung einer gesetzeskonformen Verwaltung sei die Berücksichtigung datenschutzrechtlicher Vorgaben daher bereits im Beschaffungsprozess erforderlich. Vor diesem Hintergrund beschreibt die Autorin die Grundsätze und zentralen Vorschriften von DSGVO und KI-VO, angefangen mit deren Anwendungsbereichen: Während die DSGVO immer dann gilt, wenn personenbezogene Daten verarbeitet werden, ist die KI‑VO unabhängig vom Personenbezug anwendbar, wenn KI-Systeme Daten verarbeiten. Es folgt eine Darstellung der Rollen von Anbietern, Betreibern, Verantwortlichen und Auftragsverarbeitern. Diese Rollen und die daran anknüpfenden Pflichten können je nach Phase im Lebenszyklus eines KI Systems variieren und seien stets im Einzelfall zu bestimmen. Ausführlich dargestellt werden die Datenschutzgrundsätze sowie die konkreten Rechtsgrundlagen für die Datenverarbeitung (Art. 6 Abs. 1 DSGVO), darunter Einwilligung, Vertragserfüllung, rechtliche Verpflichtungen und berechtigte Interessen. In diesem Kontext werden auch die Prinzipien der Transparenz, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung erläutert. Ergänzend werden auch die Rechte betroffener Personen, der Begriff der Datenschutzverletzung, sowie die zur Risikobewertung vorgesehene Grundrechte‑Folgenabschätzung (FRIA) und die Datenschutz‑Folgenabschätzung (DSFA) beschrieben. Abschließend zeigt der Beitrag, wie Datenschutz als Kriterium im Vergabeverfahren ausgestaltet werden kann. Öffentliche Auftraggeber seien dazu angehalten, konkrete datenschutzrechtliche Anforderungen in Vergabeunterlagen aufzunehmen, Auftragnehmer sorgfältig auszuwählen und technische sowie organisatorische Schutzmaßnahmen einschließlich „Privacy by Design“ und „Privacy by Default“ sicherzustellen.