Jurafuchs

§ 79c

SächsPVDG
Entwicklung, Training und Testen von regelbasierten und lernenden IT-Systemen
Befugnisse zur weiteren Datenverarbeitung, Kennzeichnung
Stand 2026-07-01
(1)
1Die Polizei kann rechtmäßig gespeicherte personenbezogene Daten zum Zweck der Entwicklung, des Trainierens und Testens von IT-Systemen über die vorgesehene Speicherdauer hinaus nach Maßgabe der Absätze 2 bis 5 zur Aufgabenerfüllung weiterverarbeiten und dafür auch an Auftragsverarbeiter übermitteln, soweit dies für die Aufgabenerfüllung und für die Entwicklung, das Training oder Testen des jeweiligen IT-Systems erforderlich ist. 2Die Verarbeitung personenbezogener Daten ist auf das für den jeweiligen Trainingszweck erforderliche Maß zu beschränken. 3Soweit personenbezogene Daten zu Trainingszwecken verarbeitet werden, dürfen nur solche Daten verarbeitet werden, die im Zusammenhang mit der zu trainierenden Aufgabenwahrnehmung erhoben und gespeichert wurden. 4Die Polizei hat zu überprüfen und sicherzustellen, dass bei der Entwicklung sowie dem Trainieren und Testen von IT-Systemen nur Daten zugrunde gelegt werden, die nicht diskriminierend sind. 5Es ist sicherzustellen, dass bei der Weiterverarbeitung nach Absatz 1 Satz 1 diskriminierende Algorithmen weder herausgebildet noch verwendet werden. 6Hierzu sind bei der Entwicklung, dem Training und Testen von KI-Systemen gezielt auch geeignete Datensätze aus nicht-polizeilichen Datenbanken zu verwenden. 7Durch geeignete technische und organisatorische Maßnahmen ist die Nachvollziehbarkeit des verwendeten Verfahrens sicherzustellen. 8Es ist zu dokumentieren, welche Daten für die Entwicklung, das Trainieren oder das Testen von IT-Systemen verwendet wurden. 9Die Weiterverarbeitung von personenbezogenen Daten, die durch einen verdeckten Einsatz technischer Mittel in oder aus Wohnungen nach § 65 Absatz 1, die durch den Einsatz von körpernah getragenen Aufzeichnungsgeräten in Wohnungen nach § 57 Absatz 5 Satz 2 oder durch Überwachung und Aufzeichnung von Telekommunikation nach § 66 Absatz 1 und 2 erhoben wurden, oder von Daten nach § 79a Absatz 4 Satz 3 ist unzulässig.(1) Die Polizei kann rechtmäßig gespeicherte personenbezogene Daten zum Zweck der Entwicklung, des Trainierens und Testens von IT-Systemen über die vorgesehene Speicherdauer hinaus nach Maßgabe der Absätze 2 bis 5 zur Aufgabenerfüllung weiterverarbeiten und dafür auch an Auftragsverarbeiter übermitteln, soweit dies für die Aufgabenerfüllung und für die Entwicklung, das Training oder Testen des jeweiligen IT-Systems erforderlich ist. Die Verarbeitung personenbezogener Daten ist auf das für den jeweiligen Trainingszweck erforderliche Maß zu beschränken. Soweit personenbezogene Daten zu Trainingszwecken verarbeitet werden, dürfen nur solche Daten verarbeitet werden, die im Zusammenhang mit der zu trainierenden Aufgabenwahrnehmung erhoben und gespeichert wurden. Die Polizei hat zu überprüfen und sicherzustellen, dass bei der Entwicklung sowie dem Trainieren und Testen von IT-Systemen nur Daten zugrunde gelegt werden, die nicht diskriminierend sind. Es ist sicherzustellen, dass bei der Weiterverarbeitung nach Absatz 1 Satz 1 diskriminierende Algorithmen weder herausgebildet noch verwendet werden. Hierzu sind bei der Entwicklung, dem Training und Testen von KI-Systemen gezielt auch geeignete Datensätze aus nicht-polizeilichen Datenbanken zu verwenden. Durch geeignete technische und organisatorische Maßnahmen ist die Nachvollziehbarkeit des verwendeten Verfahrens sicherzustellen. Es ist zu dokumentieren, welche Daten für die Entwicklung, das Trainieren oder das Testen von IT-Systemen verwendet wurden. Die Weiterverarbeitung von personenbezogenen Daten, die durch einen verdeckten Einsatz technischer Mittel in oder aus Wohnungen nach § 65 Absatz 1, die durch den Einsatz von körpernah getragenen Aufzeichnungsgeräten in Wohnungen nach § 57 Absatz 5 Satz 2 oder durch Überwachung und Aufzeichnung von Telekommunikation nach § 66 Absatz 1 und 2 erhoben wurden, oder von Daten nach § 79a Absatz 4 Satz 3 ist unzulässig.
(2)
1Personenbezogene Daten sind für die Verwendung zu Entwicklungs-, Trainings- oder Testzwecken zu anonymisieren. 2Können diese Zwecke der Entwicklung, des Trainings oder des Testens mit anonymisierten Daten nicht erreicht werden oder ist die Anonymisierung nur mit unverhältnismäßigem Aufwand möglich, sind sie zu pseudonymisieren. 3Besondere Kategorien personenbezogener Daten dürfen unter Gewährleistung von Garantien im Sinne des § 4 Absatz 2 des Sächsischen Datenschutz-Umsetzungsgesetzes verwendet werden. 4Die Daten sind unverzüglich zu löschen, soweit sie nicht mehr benötigt werden. 5Die Löschung ist zu protokollieren. 6Die Wiederherstellung von personenbezogenen Daten, die zum Zweck der Entwicklung, des Trainings oder des Testens von KI-Systemen verwendet wurden und die Deanonymisierung von Daten nach Satz 1 sind unzulässig.(2) Personenbezogene Daten sind für die Verwendung zu Entwicklungs-, Trainings- oder Testzwecken zu anonymisieren. Können diese Zwecke der Entwicklung, des Trainings oder des Testens mit anonymisierten Daten nicht erreicht werden oder ist die Anonymisierung nur mit unverhältnismäßigem Aufwand möglich, sind sie zu pseudonymisieren. Besondere Kategorien personenbezogener Daten dürfen unter Gewährleistung von Garantien im Sinne des § 4 Absatz 2 des Sächsischen Datenschutz-Umsetzungsgesetzes verwendet werden. Die Daten sind unverzüglich zu löschen, soweit sie nicht mehr benötigt werden. Die Löschung ist zu protokollieren. Die Wiederherstellung von personenbezogenen Daten, die zum Zweck der Entwicklung, des Trainings oder des Testens von KI-Systemen verwendet wurden und die Deanonymisierung von Daten nach Satz 1 sind unzulässig.
(3)
Personenbezogene Daten dürfen zur Entwicklung, zum Testen und Trainieren von IT-Systemen nur an Auftragsverarbeiter übermittelt werden, deren Firmensitz und Serverstrukturen innerhalb der Europäischen Union liegen, wenn eine Verarbeitung bei der Polizei selbst nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.
(4)
1Personenbezogene Daten dürfen nur an solche Personen übermittelt werden, die Amtsträgerinnen oder Amtsträger oder für den öffentlichen Dienst besonders Verpflichtete sind oder die zur Geheimhaltung verpflichtet worden sind. 2§ 1 Absatz 2 und 3 sowie Absatz 4 Nummer 2 des Verpflichtungsgesetzes ist auf die Verpflichtung zur Geheimhaltung entsprechend anzuwenden. 3Durch technische und organisatorische Maßnahmen ist zu gewährleisten, dass die Daten gegen unbefugte Kenntnisnahme geschützt sind.(4) Personenbezogene Daten dürfen nur an solche Personen übermittelt werden, die Amtsträgerinnen oder Amtsträger oder für den öffentlichen Dienst besonders Verpflichtete sind oder die zur Geheimhaltung verpflichtet worden sind. § 1 Absatz 2 und 3 sowie Absatz 4 Nummer 2 des Verpflichtungsgesetzes ist auf die Verpflichtung zur Geheimhaltung entsprechend anzuwenden. Durch technische und organisatorische Maßnahmen ist zu gewährleisten, dass die Daten gegen unbefugte Kenntnisnahme geschützt sind.
(5)
1Auftragsverarbeiter dürfen die übermittelten Daten nur im Rahmen der jeweiligen Entwicklung, des jeweiligen Trainings und des jeweiligen Tests verarbeiten. 2Sie sind verpflichtet, die Daten nach Abschluss von Training und Test des lernenden Systems unverzüglich wieder zu löschen. 3Sie dürfen die trainierten Modelle für eigene Zwecke weiternutzen, wenn die Polizei dem ausdrücklich zugestimmt hat und sichergestellt werden kann, dass aus den trainierten Modellen keine Trainingsdaten abgeleitet werden können.(5) Auftragsverarbeiter dürfen die übermittelten Daten nur im Rahmen der jeweiligen Entwicklung, des jeweiligen Trainings und des jeweiligen Tests verarbeiten. Sie sind verpflichtet, die Daten nach Abschluss von Training und Test des lernenden Systems unverzüglich wieder zu löschen. Sie dürfen die trainierten Modelle für eigene Zwecke weiternutzen, wenn die Polizei dem ausdrücklich zugestimmt hat und sichergestellt werden kann, dass aus den trainierten Modellen keine Trainingsdaten abgeleitet werden können.
(6)
Für das Testen oder Trainieren von lernenden IT-Systemen hat die Staatsregierung in einer nach Anhörung der oder des Sächsischen Datenschutz- und Transparenzbeauftragten zu erlassenden Rechtsverordnung die technisch-organisatorischen Einzelheiten zu regeln und insbesondere zu bestimmen:
1.
Art, Umfang und Anforderungen an die Qualität der zu verarbeitenden Daten,
2.
den Personenkreis, der von der Verarbeitung betroffen ist,
3.
Maßnahmen, die die Einhaltung der fachlichen und rechtlichen Anforderungen an die Entwicklung, das Training und das Testen von lernenden IT-Systemen sicherstellen,
4.
Sicherungsmaßnahmen zur Datenaktualität und -qualität,
5.
Sicherungsmaßnahmen zur Verhinderung unbefugter Datenzugriffe,
6.
die Mindeststandards zur technischen Durchführung der Anonymisierung und Pseudonymisierung von Daten sowie die Beschreibung eines etwaigen unverhältnismäßigen Aufwands im Sinne von Absatz 2 Satz 2 und 3 und Absatz 3 Satz 1 und 2,
7.
die Lösch- und Protokollierungspflichten sowie
8.
die Entscheidungsträger.

66

Meine Notizen

Nur lokal gespeichert · nicht synchronisiert.Anmelden, um geräteübergreifend zu speichern →