Behörden machen die technischen Rahmenbedingungen sowie deren Implikationen für die Dateneingabe für Nutzende leicht verständlich kenntlich.

Die verantwortliche Behörde spezifiziert die Art der Daten, die von Nutzenden in KI-Systeme eingegeben werden dürfen. Dies gilt für von der Bundesverwaltung oder in ihrem Auftrag entwickelte oder durch die Bundesverwaltung angebotene, bereitgestellte beziehungsweise freigegebene Systeme:

• Ein System kann beispielsweise nur für die Eingabe öffentlicher, nicht personenbezogener Daten freigegeben sein.[46]
• Je nach technischen Rahmenbedingungen eines spezifischen Systems kann auch die Eingabe anderer Arten von Daten freigegeben werden. Dies können personenbezogene Daten sein (sofern die Rechtsgrundlage für die Verarbeitung dieser Daten gegeben ist) [47] oder andere sensible dienstliche Daten (beispielsweise Daten, die einer Verschwiegenheits- oder Geheimhaltungspflicht unterliegen sowie Verschlusssachen gemäß VSA).

Entsprechende Informationen sollten für Nutzende leicht ersichtlich im KI-System beispielsweise in der Eingabemaske sowie in relevanten Dokumentationen wie Nutzungsbedingungen oder FAQs bereitgestellt werden. Alternativ kann die verantwortliche Behörde Nutzende auch über Schulungen zum Thema Dateneingabe für das betreffende KI-System aufklären.

Um zu beurteilen, welche Daten eingegeben werden dürfen, prüft die verantwortliche Behörde (beispielsweise durch IT- oder Maßnahmenverantwortliche) vor der Bereitstellung, in welcher IT-Infrastruktur das KI-System betrieben wird. Dabei können die folgenden Fragen hilfreich sein [48]:

• Welchen Sicherheitsstandards [49] entspricht die Betriebsumgebung des KI-Systems?
• Läuft das KI-System in einer geschützten Umgebung ohne „Datenabfluss“?
• Existiert ein Rollen- und Rechtekonzept mit abgestimmten Zugriffsrechten?
• Wie muss das KI-System bezüglich Vertraulichkeit, Integrität und Verfügbarkeit geschützt werden (Schutzbedarfsfeststellung nach BSI-Standard 200-2)?

Von der Betriebsumgebung hängt ab, wie sicher die eingegebenen Daten sind (beispielsweise vor Zugriffen durch Dritte) und welche Daten Nutzende somit in das KI-System eingeben dürfen.

Grundsätzlich [50] sind im Hinblick auf die Charakteristiken eines KI-Systems und dessen technischer Umgebung die folgenden Betriebsumgebungen zu unterscheiden:

• Betrieb auf bundesverwaltungsexterner IT-Infrastruktur: Das KI-System wird auf IT-Plattformen von Dritten betrieben. Beispiele hierfür sind die Nutzung der Infrastruktur von privaten Cloud-Anbietenden für das Hosting eines Systems oder die direkte Anbindung einer Anwendung an ein Sprachmodell via API. Die Möglichkeit der Eingabe sensibler dienstlicher Daten ist hierbei besonders zu prüfen und sollte im Zweifelsfall nicht erfolgen. Vorausgesetzt, dass die datenschutzrechtlichen Voraussetzungen erfüllt werden, ist auf solchen Strukturen aber grundsätzlich auch die Verarbeitung personenbezogener Daten möglich. Je nach Ausgestaltung wären nach der VSA auch VS-IT-Freigaben für privatrechtlich betriebene IT-Infrastrukturen möglich (und in Zukunft wahrscheinlich). [51]
• Betrieb auf bundesverwaltungsinterner IT-Infrastruktur (mit oder ohne entsprechender VS-IT-Freigabe [52]): Das KI-System wird auf einer Umgebung der Bundesverwaltung eigenständig oder durch Dritte betrieben. Beispiele hierfür sind der Betrieb eines KI-Systems über eine gemeinsame „Private Cloud“ [53] (zum Beispiel innerhalb der Netze des Bundes) mit zentraler IT-Plattform oder auch das ressort- oder behördeninterne Hosting. Je nach Schutzniveau der genutzten IT-Infrastruktur kann eine Nutzung von VS-NfD-Daten für ein KI-System freigegeben werden. [54], [55] Auch in diesem Fall ist bei Erfüllung der datenschutzrechtlichen Vorgaben die Verarbeitung personenbezogener Daten möglich.

Neben der Umgebung, in der ein KI-System betrieben wird, hängt die Sicherheit der eingegebenen Daten auch von vertraglichen Regelungen zwischen der verantwortlichen Behörde und dem Modellbetreiber ab. Relevante Faktoren können sein, welche technische Verbindung zu dem Modell besteht, welche Rechte der Datenverarbeitung durch den Modellbetreiber bestehen und ob bereits ein Auftragsverarbeitungsvertrag (AVV) durch die verantwortliche Behörde abgeschlossen wurde. Darüber hinaus können die Netzanbindung und einschlägige Zertifizierungen die Sicherheit beeinflussen. Sobald mit einem KI-System (Software) Verschlusssachen elektronisch verarbeitet werden, bedarf zudem auch das KI-System selbst einer VS-IT-Freigabe (vgl. § 50 Absatz 1 VSA).