Vorwort
§ 1 § 1 Ziel und Anwendungsbereich
Ziel dieses Landesgesetzes ist die Förderung der digitalen Transformation und eines transparenten und nachvollziehbaren Einsatzes von Systemen, die die derzeit bekannten Formen sogenannter „künstlicher Intelligenz“ beinhalten (in der Folge: KI-Systeme) sowie von Informationstechnologie zur automatisierten Entscheidung durch
1. den Oö. Landtag, den Oö. Landesrechnungshof, das Oö. Landesverwaltungsgericht, die Behörden und Dienststellen des Landes Oberösterreich,
2. die oö. Gemeinden und Gemeindeverbände und
3. die sonstigen Körperschaften öffentlichen Rechts im Zuständigkeitsbereich des Landes Oberösterreich.
§ 2 § 2 Datenverarbeitung zur Entwicklung von KI-Systemen
(1) Zum Zweck der Förderung der digitalen Transformation, insbesondere zur Steigerung der Effizienz der Verwaltung bei der Vorbereitung und Durchführung ihrer Aufgaben sind die in § 1 genannten Einrichtungen ermächtigt, sich an KI-Reallaboren gemäß Art. 57 VO (EU) 2024/1689 zu beteiligen. Die Verarbeitung der personenbezogenen Daten erfolgt nach Art. 59 VO (EU) 2024/1689. Die Landesregierung kann durch Verordnung nähere Vorschriften über das Entwicklungsvorhaben, die verarbeiteten Daten und das vor dem und für den Einsatz derartiger Systeme oder Komponenten einzuhaltende Verfahren erlassen.
(2) Die in § 1 genannten Einrichtungen sind weiters ermächtigt, personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten im Sinn des Art. 9 VO (EU) 2016/679 und personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten im Sinn des Art. 10 VO (EU) 2016/679 zu verarbeiten. Dies ist nur zum Zweck der Entwicklung sowie für das dafür erforderliche Einüben (Trainieren), die erforderliche Überprüfung der Eignung der Methode für einen bestimmten Zweck (Validieren) und das Testen von KI-Systemen sowie deren weiteren Betrieb zulässig,
1. für die die VO (EU) 2024/1689 nach Art. 2 nicht gilt oder
2. die keine verbotenen Praktiken nach Art. 5 VO (EU) 2024/1689 anwenden und die nicht als Hochrisiko-KI-Systeme im Sinn von Art. 6 VO (EU) 2024/1689 einzustufen sind.
(3) Eine Verarbeitung nach Abs. 2 ist nur dann und insoweit zulässig, als dies zur Zweckerreichung erforderlich ist und gleichwertige Ergebnisse nicht ohne unverhältnismäßig hohen Aufwand auf andere Weise mit anonymisierten, anderweitig zusammengefügten (synthetischen) oder sonstigen nicht personenbezogenen Daten wirksam erzielt werden können.
(4) Für die in Abs. 2 genannten Zwecke, die keine personenbezogenen Ergebnisse zum Ziel haben, darf der Verantwortliche alle personenbezogenen Daten verarbeiten, die
1. er für andere Zwecke zulässigerweise ermittelt hat,
2. für ihn pseudonymisierte personenbezogene Daten sind und der Verantwortliche die Identität der betroffenen Person mit rechtlich zulässigen Mitteln nicht bestimmen kann oder
3. über Register von Verantwortlichen des öffentlichen Bereichs zulässiger Weise zugänglich sind.
(5) Bei der Auswahl der Daten ist darauf zu achten, dass diese hinreichend notwendig (relevant), repräsentativ, nicht-diskriminierend und so weit wie möglich fehlerfrei und im Hinblick auf den verfolgten Zweck vollständig sind. Die Verarbeitung personenbezogener Daten nach dieser Bestimmung darf zu keinen Maßnahmen oder Entscheidungen führen, die Auswirkungen auf die betroffenen Personen haben.
(6) Die Erfüllung von datenschutzrechtlichen Informations , Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Pflichten obliegt bei gemeinsamen Verantwortlichen nach Art. 26 VO (EU) 2016/679 jenem Verantwortlichen, der als Anlaufstelle genannt ist.
§ 3 § 3 Automatisierte Entscheidungen
(1) Soweit von Verantwortlichen Leistungen als Träger von Privatrechten erbracht werden, ist es zulässig, die dafür notwendigen Entscheidungen durch Informationstechnologie, welche keine KI-Systeme nach der VO (EU) 2024/1689 darstellen, vollständig automatisiert vorzunehmen.
(2) Ausfertigungen dieser Entscheidungen haben eine Begründung zu enthalten, müssen als Ergebnis eines automatisierten Entscheidungsprozesses gekennzeichnet sein und sind mit der Amtssignatur (§ 19 E-GovG) des Verantwortlichen zu versehen.
(3) Der Verantwortliche hat zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person angemessene Maßnahmen, die mehrere gleichartige Verarbeitungsvorgänge umfassen können, zu ergreifen. Diese Maßnahmen sind jedenfalls:
1. die Dokumentation, dass die bestimmungsgemäße Funktionsweise des Systems vor seinem tatsächlichen Einsatz (Produktivsetzung) gründlich überprüft, validiert und getestet wurde,
2. der Einsatz (Implementierung) wirksamer Kontrollen samt regelmäßiger Überprüfung der Richtigkeit und Zweckerreichung (Relevanz) der automatisierten Entscheidungen,
3. die Erstellung einer Dokumentation vor Produktivsetzung, die auf dem neuesten Stand zu halten und für einen Zeitraum von zehn Jahren ab Beendigung der Datenverarbeitung aufzubewahren ist und insbesondere Folgendes umfasst:
a) eine allgemeine Beschreibung, einschließlich der Systemarchitektur, der Systemzusammenhänge und der Zweckbestimmung, sowie allfällige Bezugnahmen (Interaktionen) mit anderen Systemen,
b) aussagekräftige Informationen über die involvierte Logik und die Algorithmen des Systems,
c) die ergriffenen technischen und organisatorischen Maßnahmen zur Daten- und Informationssicherheit,
4. die Protokollierung über tatsächlich durchgeführte Verarbeitungsvorgänge (Anwendungsprotokolle), wie beispielsweise Änderungen und Übermittlungen, im zur Nachvollziehbarkeit notwendigen Ausmaß, welche für mindestens sechs Monate gespeichert wird,
5. das Speichern von Zugriffsdateien (Logdateien), die aus technischen Gründen geführt werden, für mindestens sechs Monate, und
6. geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen für die Verfügbarkeit und Integrität der Daten.
§ 4 § 4 Transparenz
(1) Die Pflichten gemäß Art. 13 bis 15 VO (EU) 2016/679 bestehen nicht, soweit die öffentliche Sicherheit oder Ordnung gefährdet würde, überwiegende berechtigte Interessen des Verantwortlichen oder Dritter geschädigt würden oder der Schutz personenbezogener Daten oder andere öffentliche Interessen an der Geheimhaltung dem entgegenstehen.
(2) Bei der Entwicklung von KI-Systemen nach § 2 Abs. 2 ist eine Dokumentation aller mit der Entwicklung in Zusammenhang stehenden Tätigkeiten zu erstellen und jedenfalls für die Dauer der Anwendung aufzubewahren. Diese Dokumentation hat jedenfalls zu enthalten:
1. die Herkunft der Daten,
2. im Fall personenbezogener Daten den ursprünglichen Zweck der Datenerfassung, die Datenlieferantin bzw. den Datenlieferanten, den Erhebungszusammenhang (Kontext) und den Erhebungszeitpunkt sowie
3. die Gründe, die Entwicklung sowie die Methoden des Trainierens, Validierens und Testens, den Prozess und die Testergebnisse.
§ 5 § 5 Eigener Wirkungsbereich
Die in diesem Landesgesetz geregelten Aufgaben der Gemeinden, der Gemeindeverbände und sonstiger Selbstverwaltungskörper sind solche des eigenen Wirkungsbereichs.
§ 6 § 6 Verweise
(1) Soweit in diesem Landesgesetz auf Unionsrechtsakte verwiesen wird, ist dies als Verweis auf die jeweils geltende Fassung folgender Rechtsakte zu verstehen:
- Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz), ABl. L 2024/1689, 12.7.2024.
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4.5.2016, S 1.
(2) Soweit in diesem Landesgesetz auf Bundesgesetze verwiesen wird, ist dies als Verweis auf folgende Fassung zu verstehen:
- Bundesgesetz über Regelungen zur Erleichterung des elektronischen Verkehrs mit öffentlichen Stellen (E Government-Gesetz - E-GovG), BGBl. I Nr. 10/2004, in der Fassung des Bundesgesetzes BGBl. I Nr. 117/2024.
§ 7 § 7 Inkrafttreten
Dieses Landesgesetz tritt mit Ablauf des Tages seiner Kundmachung im Landesgesetzblatt für Oberösterreich in Kraft.