Gesetz über die Möglichkeit des Einsatzes von datengetriebenen Informationstechnologien bei öffentlich-rechtlicher Verwaltungstätigkeit (IT-Einsatz-Gesetz - ITEG) Vom 16. März 2022

Zum 09.06.2023 aktuellste verfügbare Fassung der Gesamtausgabe

Fußnoten

Verkündet als Artikel 12 des Gesetzes zur Förderung der Digitalisierung und Bereitstellung von offenen Daten und zur Ermöglichung des Einsatzes von datengetriebenen Informationstechnologien in der Verwaltung (Digitalisierungsgesetz) vom 16. März 2022 (GVOBl. S. 285)

Nichtamtliches Inhaltsverzeichnis

Titel	Gültig ab
Gesetz über die Möglichkeit des Einsatzes von datengetriebenen Informationstechnologien bei öffentlich-rechtlicher Verwaltungstätigkeit (IT-Einsatz-Gesetz - ITEG) vom 16. März 2022	15.04.2022
§ 1 - Zweck und Anwendungsbereich, Verantwortlichkeit	15.04.2022
§ 2 - Grundsatz der Zulässigkeit des Einsatzes von datengetriebenen Informationstechnologien; Ausnahmen	15.04.2022
§ 3 - Begriffe und Automationsstufen	15.04.2022
§ 4 - Verantwortlichkeit	15.04.2022
§ 5 - Zuordnung zu einer Automationsstufe	15.04.2022
§ 6 - Transparenz; Nichtigkeit von Verwaltungsakten	15.04.2022
§ 7 - Menschliche Aufsicht; Vorrang menschlicher Entscheidungen	15.04.2022
§ 8 - Datengrundlage; Verarbeitung personenbezogener Daten	15.04.2022
§ 9 - Beherrschbarkeit und Risiko	15.04.2022
§ 10 - Sicherheit, Robustheit und Resilienz	15.04.2022
§ 11 - Verordnungsermächtigung	15.04.2022
§ 12 - KI-Rüge	15.04.2022
§ 13 - Überprüfung und Bericht	15.04.2022

§ 1 Zweck und Anwendungsbereich, Verantwortlichkeit

(1) Dieses Gesetz gilt für die öffentlich-rechtliche Verwaltungstätigkeit der Träger der öffentlichen Verwaltung im Lande Schleswig-Holstein.

(2) Die folgenden Regelungen ermöglichen den Einsatz von datengetrieben Informationstechnologien. Sie sollen sicherstellen, dass der Einsatz dieser Technologien bei der Wahrnehmung der öffentlich-rechtlichen Verwaltungstätigkeit der Träger der öffentlichen Verwaltung im Sinne des § 2 des Landesverwaltungsgesetzes (LVwG) unter Wahrung des Rechts auf informationelle Selbstbestimmung sowie der Prinzipien des Vorrangs des menschlichen Handelns, der menschlichen Aufsicht und Verantwortlichkeit, der Transparenz, der technischen Robustheit und Sicherheit, der Vielfalt, Nicht-Diskriminierung, Fairness sowie des gesellschaftlichen und ökologischen Wohlergehens erfolgt.

(3) Zu den datengetriebenen Informationstechnologien gehören automatisierte Verfahren, die zur Lösung komplexer Aufgaben und Ziele aus einer oder mehreren Datenquellen vorhandene, von ihnen gemessene, wahrgenommene oder kombinierte Daten selbständig vergleichen oder interpretieren. Die Auswahl, welche Daten mit welcher Gewichtung berücksichtigt werden, wird hierbei auf Grundlage vorhergehender Bewertungen des Verfahrens oder auf Basis von Referenzdaten und vorgegebenen Bewertungen getroffen.

§ 2 Grundsatz der Zulässigkeit des Einsatzes von datengetriebenen Informationstechnologien; Ausnahmen

(1) Der Einsatz datengetriebenen Informationstechnologien muss gemäß den Grundsätzen aus § 1 Absatz 2 Satz 2 erfolgen und ist unter Beachtung der Bestimmungen nach Absatz 2 zulässig, soweit nicht durch Gesetz oder aufgrund eines Gesetzes etwas anderes bestimmt ist. Dabei stellt jede öffentliche Stelle die Transparenz, Beherrschbarkeit, Robustheit und Sicherheit der von ihr eingesetzten, datengetriebenen Informationstechnologie durch geeignete technische und organisatorische Maßnahmen sicher.

(2) Der Einsatz von datengetriebenen Informationstechnologien ist in folgenden Anwendungsbereichen nicht zulässig:

bei der Ausübung unmittelbaren Zwangs gegen das Leben und die körperliche Unversehrtheit natürlicher Personen im Verwaltungsvollzug,

bei der Verarbeitung personenbezogener Daten zum Zweck der Beurteilungen der Persönlichkeit, der Arbeitsleistung, der physischen und psychischen Belastbarkeit, der kognitiven oder emotionalen Fähigkeiten von Menschen, der Erstellung von Prognosen über die Straffälligkeit einzelner Personen oder Personengruppen,

zur massenweisen Identifikation von Personen bei Versammlungen oder Veranstaltungen anhand von biometrischen Merkmalen und

dem Erlass eines Verwaltungsakts, bei dem ein Ermessen oder ein Beurteilungsspielraum besteht.

Werden datengetriebene Informationstechnologien entgegen den Bestimmungen in Satz 1 eingesetzt, so dürfen Informationen, die aus diesem Einsatz unmittelbar oder mittelbar hervorgehen, nicht weiterverwendet oder verwertet werden. Sofern ein Verwaltungsakt erlassen wird, ist dieser nichtig.

(3) Der Einsatz von datengetriebenen Informationstechnologien zur Umkehr von technisch-organisatorischen Maßnahmen des Datenschutzes und der Informationssicherheit, insbesondere der Verschlüsselung, Anonymisierung und Pseudonymisierung ist nur unter den Voraussetzungen zulässig, unter denen die Daten erhoben oder sonst weiterarbeitet werden dürfen.

(4) Die jeweilige öffentliche Stelle überprüft in regelmäßigen Abständen, ob der Einsatz datengetriebener Informationstechnologien im Einklang mit den Bestimmungen dieses Gesetzes erfolgt.

§ 3 Begriffe und Automationsstufen

(1) Im Sinne dieses Gesetzes ist

eine datengetriebene Informationstechnologie ein Basisdienst gemäß § 2 Nummer 10 des E-Government-Gesetzes (EGovG) vom 8. Juli 2009 (GVOBl. Schl.-H. S. 398) zuletzt geändert durch Artikel 4 des Gesetzes vom 16. März 2022 (GVOBl. Schl.-H. S. 285), ein Fachverfahren gemäß § 2 Nummer 4 EGovG oder eine Fachanwendung gemäß § 2 Nummer 5 EGovG, die zur effizienten Lösung einer speziellen Aufgabe oder einer komplexen Fragestellung auf Grundlage eines Datensatzes mit Hilfe spezieller Systeme, wie künstlicher neuronaler Netze und maschineller Lernverfahren, eingesetzt wird und ohne aktiven Eingriff Parameter der Entscheidungsfindung weiterentwickelt;

ein Chatbot ein Text- oder sprachbasierter Basisdienst gemäß § 2 Nummer 10 EGovG, ein Fachverfahren gemäß § 2 Nummer 4 EGovG oder eine Fachanwendung gemäß § 2 Nummer 5 EGovG, der beziehungsweise die durch Nutzung von Datenbanken und Schnittstellen in adressatengerechter Sprache einen Dialog zwischen einem Menschen und einem technischen System initiieren kann.

(2) Nach diesem Gesetz werden Automationsstufen von datengetriebenen Informationstechnologie wie folgt klassifiziert:

Stufe 1 (Assistenzsystem) entspricht einer Technologie, die für eine ihr zugewiesene Aufgabe selbstständig die Auswahl der relevanten Informationen sowie eine Priorisierung entscheidungsrelevanter Faktoren vornimmt; die oder der zuständige Beschäftigte entscheidet, ob die Technologie zur Bearbeitung der Aufgabe eingesetzt und ob das gelieferte Ergebnis angenommen, abgelehnt oder unter Verwendung neuer Parameter wiederholt zur Bearbeitung gestellt wird;

Stufe 2 (Delegation) entspricht einer Technologie, die dauerhaft zur Bearbeitung einer bestimmten Aufgabe eingesetzt wird, ohne dass die Bearbeitung dieser Aufgabe im Einzelfall von einer oder einem Beschäftigten initiiert werden muss; zur Bearbeitung der vorgegebenen Aufgabe kann der Lösungsweg ohne menschlichen Eingriff optimiert werden; Probleme bei der Bearbeitung der Aufgabe können mit Hilfe einer Mitarbeiterin oder eines Mitarbeiters gelöst werden, zudem können in vorhersehbaren Situationen Entscheidungen ohne menschliche Unterstützung getroffen werden;

Stufe 3 (autonome Entscheidung) entspricht einer Technologie, die über Stufe 2 hinausgehend Probleme bei der Bearbeitung der ihr zugewiesenen Aufgabe selbstständig lösen und auch in unvorhergesehenen Situationen Entscheidungen ohne menschliche Unterstützung treffen kann.

§ 4 Verantwortlichkeit

(1) Für den Einsatz von datengetriebenen Informationstechnologien und dessen Folgen sowie die Beachtung der Vorgaben dieses Gesetzes ist die öffentliche Stelle verantwortlich, die diese Technologien zur Erledigung der ihr übertragenen Aufgaben einsetzt.

(2) Verwenden mehrere öffentliche Stellen dieselbe datengetriebene Informationstechnologie, so sind sie gemeinschaftlich Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß diesem Gesetz erfüllt. In der Vereinbarung ist zudem die Ansprechperson gemäß § 7 anzugeben.

(3) Bedienen sich öffentliche Stellen Dritter für den Einsatz von datengetriebener Informationstechnologien, müssen sie hinreichende Garantien dafür bieten, dass die nach diesem Gesetz erforderlichen Bedingungen, insbesondere die geeigneten technischen und organisatorischen Maßnahmen, durch die Dritten beachtet und eingehalten werden. Der Einsatz erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments, in dem die Pflichten des Dritten zur Beachtung dieses Gesetzes festgelegt werden.

§ 5 Zuordnung zu einer Automationsstufe

(1) Eine datengetriebene Informationstechnologie ist immer einer der in § 3 Absatz 2 benannten Automationsstufen zuzuordnen. Die Zuordnung zur jeweiligen Stufe soll zur Beurteilung von Risiken sowie für die Auswahl geeigneter technischer und organisatorischer Maßnahmen herangezogen werden. Die jeweilige Stufe ist in einer gesonderten Erklärung anzugeben.

(2) Bei Informationstechnologien gemäß § 3 Absatz 2 ist eine Übernahme der Erfüllung der Aufgabe durch eine oder einen Beschäftigten erforderlich, wenn

der oder die Antragstellende auf gewichtige Umstände hinweist, die nach deren Würdigung einer automatisierten Bearbeitung entgegenstehen,

ein Problem bei der Bearbeitung der Aufgaben gemeldet wird,

die Bearbeitung der zugewiesenen Aufgabe aus technischen Gründen nicht möglich ist oder

die Informationstechnologie trotz Einhaltung der vordefinierten Parameter keine dem Zweck des Einsatzes entsprechenden Ergebnisse liefert.

Für das Eintreten einer der in Nummer 1 bis 4 genannten Fälle muss ein Prozess vorliegen, der sowohl eine Abschaltung der datengetriebenen Informationstechnologie durch eine oder einen Beschäftigten als auch die Übernahme der Bearbeitung der entsprechenden Aufgabe durch eine oder einen Beschäftigten ermöglicht.

§ 6 Transparenz; Nichtigkeit von Verwaltungsakten

(1) Die Behörde legt den Algorithmus von datenbasierten Informationstechnologien und die dieser zugrundeliegenden Datenbasis offen, sofern nicht der Schutz personenbezogener Daten, sonstige Rechte Dritter oder öffentliche Interessen an der Geheimhaltung dem entgegenstehen. Sofern Gründe einer Offenlegung des Algorithmus entgegenstehen, sind diese dem Grunde nach zu nennen. Der Offenlegung ist zudem eine in allgemeinverständlicher Form und Sprache formulierte Beschreibung beizufügen, aus der sich die grundsätzliche Funktionsweise und die Entscheidungslogik des Algorithmus ergeben.

(2) Datengetriebene Informationstechnologien, die keine personenbezogenen Daten verarbeiten, sind in einem Verzeichnis analog zu Artikel 30 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

zu führen.

(3) Werden datengetriebene Informationstechnologien zu Kommunikationszwecken oder vergleichbaren Aktivitäten eingesetzt, sind die Beteiligten vorab, zweifelsfrei und in verständlicher Form darauf hinzuweisen, dass sie nicht mit einem Menschen kommunizieren. Darüber hinaus muss neben der Kommunikationsweise gemäß Satz 1 eine alternative Kommunikationsform möglich sein, die sich unmittelbar auf menschliches Handeln zurückführen lässt.

(4) Entscheidungen, insbesondere in Form von Verwaltungsakten, ist ein Hinweis auf die teilweise oder vollständige Bearbeitung und gegebenenfalls Entscheidungsfindung mittels datengetriebenen Informationstechnologien hinzuzufügen. Der Hinweis enthält mindestens folgende Informationen:

die Offenlegung des verwendeten Algorithmus,

den Umfang des Einsatzes der datengetriebenen Informationstechnologien unter Nennung und Erläuterung der Automationsstufe gemäß § 3 Absatz 2 und

die Belehrung über die Möglichkeit und die rechtlichen sowie tatsächlichen Folgen der KI-Rüge gemäß § 12, sofern eine datengetriebene Informationstechnologie gemäß § 3 Absatz 2 Nummer 2 oder 3 eingesetzt wurde.

(5) Sofern ein schriftlicher oder elektronischer sowie ein schriftlich oder elektronisch bestätigter Verwaltungsakt im Sinne des § 106 LVwG mithilfe oder aufgrund von datengetriebener Informationstechnologie mit der Automationsstufe 2 oder 3 gemäß § 3 Absatz 2 erlassen wird und keinen oder einen unvollständigen Hinweis gemäß Absatz 4 enthält, ist der Verwaltungsakt nichtig.

Fußnoten

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 S. 1, ber. 2016 ABl. L 314 S. 72).

§ 7 Menschliche Aufsicht; Vorrang menschlicher Entscheidungen

(1) Datengetriebene Informationstechnologien dürfen nur unter menschlicher Aufsicht unter Nennung einer Ansprechperson verwendet werden. Jede für das Verwaltungsverfahren maßgebliche Entscheidung muss jederzeit einer oder einem Beschäftigten zugeordnet werden können.

(2) Entscheidungen einer öffentlichen Stelle, die auf dem Einsatz datengetriebener Informationstechnologien beruhen oder maßgeblich von diesen vorbereitet wurden, können durch zuständige Beschäftigte abgeändert werden.

§ 8 Datengrundlage; Verarbeitung personenbezogener Daten

(1) Zum Zweck der Entwicklung und des Trainings von datengetriebenen Informationstechnologien dürfen Daten von Trägern der öffentlichen Verwaltung verarbeitet werden. Personenbezogene Daten dürfen nur verarbeitet werden, wenn ein effektives Training der datengetriebenen Informationstechnologien nur mit unverhältnismäßigem Aufwand auf andere Weise erfolgen kann.

(2) Werden personenbezogene Daten zu Trainingszwecken verarbeitet oder ist nicht auszuschließen, dass personenbezogene Daten betroffen sein könnten, dürfen nur solche Daten verarbeitet werden, die im Zusammenhang mit der zu trainierenden Aufgabenwahrnehmung erhoben und gespeichert wurden. Die personenbezogenen Daten sind vor einer Verarbeitung zu Trainingszwecken zu pseudonymisieren, sofern der Zweck dadurch nicht verhindert wird.

(3) Die öffentliche Stelle überprüft und stellt sicher, dass die bei der Entwicklung, dem Training und dem Einsatz der datengetriebenen Informationstechnologie zugrunde gelegten Daten nicht-diskriminierend, integer, objektiv und valide sind sowie den in § 1 dargelegten grundsätzlichen Prinzipien entsprechen.

(4) Die öffentliche Stelle dokumentiert die für die Entwicklung und den Einsatz der datengetriebenen Informationstechnologien verwendeten Daten. Dabei sind mindestens die Quelle der Daten, der Datenlieferant, der Erhebungskontext und der Erhebungszeitpunkt zu dokumentieren. Soweit möglich, sollen auch die Mess- und Erhebungsmethode dokumentiert werden.

§ 9 Beherrschbarkeit und Risiko

(1) Je höher der Grad der Automation im Sinne des § 3 Absatz 2 eingestuft wird, desto umfangreichere Maßnahmen sind zur Gewährleistung der Beherrschbarkeit der datengetriebenen Informationstechnologien zu ergreifen. Zu diesen Maßnahmen zählen insbesondere:

die Gewährleistung, dass menschliche Entscheidungen in jedem Fall Vorrang im Sinne des § 7 Absatz 2 haben,

Methoden zur Überprüfung und Nachvollziehbarkeit der Entscheidungsprozesse,

die Erstellung von Rechte- und Rollenkonzepten, um Entscheidungen bei Bedarf zu korrigieren,

die Möglichkeiten, den Grad der Automation zu verringern,

die Implementierung von Prozessen im Sinne von § 5 Absatz 2 Satz 2,

die Schulung der Beschäftigten, um diese zur Kontrolle der eingesetzten Technologie zu befähigen.

(2) Bevor eine öffentliche Stelle datengetriebene Informationstechnologie erstmalig trainiert oder einsetzt, führt sie eine Datenschutz-Folgenabschätzung gemäß Artikel 35 Datenschutz-Grundverordnung beziehungsweise § 43 Landesdatenschutzgesetz vom 2. Mai 2018 (GVOBl. Schl.-H. S. 162) oder, sofern keine personenbezogenen Daten verarbeitet werden, eine Technik-Folgenabschätzung durch. Sofern eine öffentliche Stelle nicht vollständig ausschließen kann, dass auch personenbezogene Daten verarbeitet werden, führt sie eine dem Artikel 35 Datenschutz-Grundverordnung entsprechende Folgenabschätzung vor dem Einsatz durch und dokumentiert das potentielle Risiko für die Rechte der Betroffenen.

§ 10 Sicherheit, Robustheit und Resilienz

(1) Datengetriebene Informationstechnologien sind durch dem Stand der Technik entsprechende und dem Schutzbedarf angepasste technische und organisatorische Maßnahmen zu schützen.

(2) Die Integrität, Vertraulichkeit und Verfügbarkeit der für die datengetriebene Informationstechnologie verwendeten Datenbasis sowie der beteiligten Daten, Systeme und Prozesse sind durch die Verwendung anerkannter Standards der Informationssicherheit zu gewährleisten.

(3) Die Robustheit von datengetriebener Informationstechnologie gegenüber unerwünschten oder unerlaubten Veränderungen oder Manipulationen ist durch geeignete Schutzmaßnahmen sicherzustellen.

(4) Die Resilienz der verwendeten Algorithmen ist durch geeignete Maßnahmen sicherzustellen. Für den Fall einer unerwünschten oder unerlaubten Veränderung im Sinne des Absatz 3 ist sicherzustellen, dass eine Rückkehr zu einer Version, die innerhalb der erwünschten Arbeitsweise arbeitet, möglich ist oder durch Eingabe zusätzlicher Parameter die erwünschte Arbeitsweise wieder herbeigeführt wird.

§ 11 Verordnungsermächtigung

(1) Die für die ressortübergreifende Informations- und Kommunikationstechnik (IT) zuständige oberste Landesbehörde kann verbindliche Mindeststandards für den Einsatz von datengetriebenen Informationstechnologien durch Verordnung festlegen. Die Verordnung kann insbesondere Regelungen enthalten zu

Anforderungen an die Informationssicherheit,

Prüfkriterien für die Eignung von Trainingsdaten,

Dokumentations- und Protokollierungspflichten der öffentlichen Stellen,

von den öffentlichen Stellen einzuhaltende Notfall-, Abschalt- und Meldeprozesse,

Prüfkriterien zur Gewährleistung eines ordnungsgemäßen Betriebs sowie

Inhalt und Prüfung der Einhaltung der Vereinbarungen gemäß § 4 Absatz 2 und 3.

(2) Darüber hinaus kann die für die ressortübergreifende IT zuständige oberste Landesbehörde auch Regelungen im Sinne des Absatz 1 bezüglich bestimmter Formen von datengetriebenen Informationstechnologien, insbesondere zu den Kategorien Spracherkennung, Textklassifizierung, Mustererkennung, Datenanalyse oder Künstliche Intelligenz-Anwendungen (KI-Anwendungen), treffen. Neben Regelungen zu den Kategorien sind auch Regelungen zu konkreten, datengetriebenen Informationstechnologien möglich.

§ 12 KI-Rüge

(1) Jede Adressatin und jeder Adressat einer auf einer datengetriebenen Informationstechnologie der Automationsstufe 2 oder 3 im Sinne des § 3 Absatz 2 beruhenden Entscheidung einer öffentlichen Stelle kann innerhalb eines Monats ab Bekanntgabe der Entscheidung verlangen, dass diese durch eine natürliche Person überprüft und bestätigt oder geändert oder aufgehoben wird (KI-Rüge). § 5 Absatz 2 Satz 2 gilt entsprechend. Die KI-Rüge ist schriftlich, in elektronischer Form nach § 52a Absatz 2 LVwG oder zur Niederschrift bei der öffentlichen Stelle zu erheben, die die Entscheidung getroffen hat. Die Möglichkeit, andere förmliche Rechtsbehelfe zu erheben, bleibt hiervon unberührt. Die KI-Rüge ist keine Zulässigkeitsvoraussetzung für andere Rechtsbehelfe. Sobald ein anderer förmlicher Rechtsbehelf erhoben wurde, ist die KI-Rüge nicht mehr zulässig. Im Zweifel gehen andere Rechtsbehelfe der KI-Rüge vor.

(2) Wird eine zulässige KI-Rüge gegen einen Verwaltungsakt im Sinne des § 106 Landesverwaltungsgesetzes erhoben, gilt der Verwaltungsakt als nicht bekanntgegeben. Ein neuer Verwaltungsakt darf daraufhin ausschließlich durch eine natürliche Person erlassen werden. Dabei müssen auch vorbereitende Informationen, die Grundlage der abschließenden Entscheidung waren und mithilfe von datengetriebenen Informationstechnologien verarbeitet wurden, geprüft werden.

(3) Die KI-Rüge ist kostenfrei. Auslagen werden nicht erstattet.

§ 13 Überprüfung und Bericht

Die Landesregierung überprüft die Auswirkungen dieses Gesetzes mit wissenschaftlicher Unterstützung. Sie legt dem Landtag dazu spätestens nach vier Jahre nach Inkrafttreten des Gesetzes und dann jeweils alle vier Jahre einen Bericht vor.