Künstliche Intelligenz (KI) in der Polizeiarbeit

Verfassungsrechtliche Leitplanken und unionsrechtliche Grenzen

4 Training von KI

Neben dem operativen Einsatz von KI-Systemen verdient auch der Entwicklungsprozess und damit insbesondere das Training und die Testung besondere Beachtung, da diese zwingende Voraussetzung für zuverlässige und grundrechtskonforme Anwendungen ist. Das Training von KI ist nicht explizit in der KI-VO definiert, umfasst aber den Prozess, in dem ein Modell anhand von Trainingsdaten Muster erlernt, um diese später auf neue Eingaben zu übertragen.²⁹ Hierfür ist eine große Menge an Datensätzen erforderlich, die aus datenschutzrechtlicher Sicht vorzugsweise lediglich synthetische oder mindestens pseudonymisierte Daten enthalten. Gerade im Sicherheitsbereich können jedoch umfangreiche Trainings und Tests mit Echtdaten erforderlich sein, um belastbare Aussagen zur Performance und zu Verzerrungsrisiken zu erhalten.³⁰

Besonders interessant ist daher die Frage, wie das Training, die Testung und die laufende Evaluierung eines KI-Systems rechtlich einzustufen sind. Die KI-VO schafft keine eigenständige Ermächtigungsgrundlage für die hierfür datenschutzrechtlich relevante Verarbeitung personenbezogener Daten, obwohl sowohl die Nutzung vorhandener Daten als auch die Erhebung neuer Daten für die Entwicklung von KI-Systemen einer klaren gesetzlichen Grundlage bedarf.

Ob und in welchem Umfang polizeiliche Datenbestände zu den genannten Zwecken herangezogen werden dürfen, bestimmt sich nach dem einschlägigen Datenschutzrecht. Laut der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ist für die datenschutzrechtliche Bewertung entscheidend, einzelne Verarbeitungsschritte strikt zu trennen, insbesondere könne die Nutzung personenbezogener Daten im Training einem anderen Datenschutzregime unterfallen als der spätere Produktiveinsatz zur Aufgabenwahrnehmung.³¹ Auch Teile der Literatur vertreten, dass die Testung und das Training von KI durch Sicherheitsbehörden in den Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) fällt, da es sich noch nicht um eine unmittelbare Tätigkeit zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten i.S.d. Richtlinie (EU) 2916/680 zur Verarbeitung personenbezogener Daten zu Zwecken der Gefahrenabwehr und Strafverfolgung handelt.³² Vor diesem Hintergrund gewinnen insbesondere aktuelle Gesetzgebungsansätze an Bedeutung, die Trainings- und Testbefugnisse ausdrücklich regeln (etwa § 37a HmbPolDVG sowie der Vorschlag eines §  22 Abs. 3 BKAG- E)³³. In der Diskussion werden diese Umsetzungen bzw. Vorhaben jedoch wegen einer zu weitgehenden Datenübermittlungsbefugnis an Private, unzureichender Ausschlüsse besonders sensibler Datenbestände, praktischer Probleme von Berichtigungs- /Löschrechten nach dem Training sowie fehlender Vorgaben zu Bias- Kontrolle und Nachvollziehbarkeit kritisiert.³⁴ Die BfDI empfiehlt, grundrechtsmindernde Vorkehrungen, wie eine strikte Begrenzung der herangezogenen Datenbestände, den Ausschluss sozialer Netzwerk-Daten, die Nutzung von Stand-Alone-Rechnern ohne Internetanbindung und die Zugangsbeschränkung auf besonders qualifiziertes Personal, zu treffen. Für Trainings- und Testphasen wird als vorrangige Option der Einsatz anonymisierter, synthetischer oder zumindest pseudonymisierter Daten hervorgehoben. Zudem seien diskriminierende Wirkungen aktiv zu verhindern und die Zweckentsprechung der Algorithmen regelmäßig zu überprüfen.³⁵

5 Ausblick

KI eröffnet der Kriminalitätsbekämpfung zweifellos neue Möglichkeiten. Insbesondere bei der Bewältigung großer, heterogener Datenmengen, der Analyse komplexer Netzwerke und der operativen Unterstützung von Lagen, kann sie einen erheblichen Mehrwert bieten. Verfassungsrechtlich ist jedoch klar: Je „intelligenter“ ein System ist, je mehr Daten es verarbeitet, je umfassender und sensibler diese Daten sind, desto höher ist die Eingriffsintensität und desto strenger sind die Anforderungen an Rechtsgrundlage, Technikgestaltung und Kontrolle. Das BVerfG hat deutlich gemacht, dass solche Systeme eigenständige Grundrechtseingriffe begründen und damit nicht als bloße „Effizienztools“ behandelt werden dürfen, sondern einer spezifischen verfassungsrechtlichen Rechtfertigung bedürfen.³⁶

Für Gesetzgeber und Praxis bedeutet dies, dass KI in der Kriminalitätsbekämpfung möglich ist, aber nur dann, wenn sie grund- und unionsrechtskonform ausgestaltet ist. Zentral ist das Zusammenspiel aus hinreichend bestimmten, am BVerfG-Maßstab orientierten Eingriffsbefugnissen und der Einhaltung der materiellen und organisatorischen Anforderungen der KI-VO. Die Kunst besteht nicht darin, die Technik zu bremsen und innovationsfeindlich zu sein, sondern sie so auszugestalten und einzubetten, dass Sicherheit und Freiheit ausgewogen gemeinsam gestärkt werden. Moderne Werkzeuge sollten dann genutzt werden, wenn deren Einsatz gerechtfertigt werden kann.

Hinzu kommt, dass sich der unionsrechtliche Rahmen selbst in Bewegung befindet. Mit dem von der Kommission kürzlich vorgelegten Digital Omnibus-Paket³⁷ werden bereits wenige Monate nach Inkrafttreten der KI-VO gezielte Änderungen vorgeschlagen, die auch den Bereich der Kriminalitätsbekämpfung mittelbar betreffen. Vorgesehen sind unter anderem die Verschiebung der Anwendungsfristen für Hochrisiko-Systeme, die Erweiterung der Möglichkeiten zur Verarbeitung sensibler Daten zur Bias-Erkennung und -Korrektur, die Ausweitung und Vereinfachung der Einrichtung von KI-Reallaboren. Zugleich wird aus Sicht vieler Beobachter kritisiert, dass dieses Nachjustieren die ohnehin komplexe Rechtslage weiter verkompliziert, Fristen und Pflichten lediglich verschiebt und somit das Risiko fortdauernder Rechtsunsicherheit verstärkt. ³⁸

Für die Polizei folgt daraus ein doppelter Auftrag: Einerseits muss sie die Chancen von KI entschlossen nutzen, um auch in einer digitalisierten Kriminalitätslandschaft handlungsfähig zu bleiben. Andererseits ist sie in besonderem Maße gehalten, die verfassungsgerichtlichen Leitplanken und die sich dynamisch entwickelnden unionsrechtlichen Vorgaben – einschließlich der anstehenden Änderungen durch den Digital Omnibus – aufmerksam zu beobachten und in ihre Organisations- und Technikentscheidungen zu integrieren. Nur wenn der KI-Einsatz als fortlaufender Rechts- und Organisationsprozess verstanden wird und nicht als einmalig beschafftes Werkzeug, kann er den hohen Anforderungen genügen.