Navigation

Sprunglink

 Zur Bereichsauswahl Zum Inhalt
Stadt Zürich: Tätigkeitsbericht der Datenschutzstelle 2025 – Zur Startseite
Online-Artikel Seite vorlesen KI und Datenschutz – Vereinbarkeit und Massnahmen im Berichtsjahr Die Vereinbarkeit von KI und Datenschutz in der Stadtverwaltung, Massnahmen im Berichtsjahr.

Der Einsatz von künstlicher Intelligenz (KI) in der Verwaltung der Stadt Zürich bietet Potenzial: Sie kann administrative Prozesse beschleunigen, Fehler reduzieren und Ressourcen effizienter einsetzen – etwa bei der Automatisierung von Anträgen, der Auswertung von Bürger*innen-Feedbacks oder der Vorhersage des Bedarfs im Sozial- oder Umweltbereich.

Gleichzeitig bringen KI-Systeme auch komplexe Fragen mit sich und stellen die öffentliche Verwaltung vor zentrale datenschutzrechtliche Herausforderungen. Zunächst geht es um die Wahrung von Rechtsstaatlichkeit und Transparenz. Staatliches Handeln muss nachvollziehbar und überprüfbar bleiben – auch dann, wenn KI-Systeme eingesetzt werden. Bürger*innen müssen verstehen können, auf welcher Grundlage Entscheidungen getroffen werden. Eine abschliessende Beurteilung durch städtische Mitarbeiter*innen, also natürliche Personen, bleibt dabei zentral.

Im Kontext der KI-Nutzung kommt die Frage nach dem Schutz sensibler Verwaltungsdaten hinzu. Behörden bearbeiten häufig besondere Personendaten in den Bereichen Gesundheit, Polizei und Soziales oder weitere Personendaten unter speziellen Geheimhaltungsbestimmungen wie im Steuerbereich. Beim Einsatz von KI-Systemen muss daher sichergestellt werden, dass diese Daten angemessen geschützt und nicht zweckwidrig verwendet werden.

Um den Herausforderungen der KI-Nutzung zu begegnen und datenschutzkonform mit dieser Technologie umzugehen, braucht die Stadt Zürich klare und verbindliche Vorgaben, wie KI-Systeme in der Verwaltung eingesetzt werden dürfen. Solche Richtlinien schaffen Orientierung für die Mitarbeitenden und stellen sicher, dass der Einsatz von KI rechtlich korrekt, verantwortungsvoll und transparent erfolgt.

Zudem muss jedes KI-Vorhaben die für die Verwaltung im Bereich Datenschutz und Informationssicherheit festgelegten Prozesse durchlaufen. Dazu gehört insbesondere die Durchführung einer Datenschutz-Folgenabschätzung. In besonders sensiblen Fällen ist zusätzlich eine Vorabkontrolle durch die Datenschutzstelle erforderlich. So wird sichergestellt, dass mögliche Gefahren für die Rechte und Freiheiten betroffener Personen frühzeitig erkannt und minimiert werden.

KI und die Stadtverwaltung im Berichtsjahr

In Zusammenarbeit zwischen der Datenschutzstelle, der OIZ und dem Rechtskonsulenten wurde im Berichtsjahr eine städtische KI-Richtlinie erarbeitet. Sie regelt den Umgang mit Werkzeugen der generativen künstlichen Intelligenz (sog. KI-Werkzeuge) von verwaltungs­externen Anbietenden (z.B. ChatGPT).

Die KI-Richtlinie wurde am 20. August 2025 vom Stadtrat verabschiedet (STRB Nr. 2281/2025) und ist in der Stadtverwaltung für alle Nutzenden von KI-Werkzeugen verpflichtend.

Trotz der Etablierung der Richtlinie bleibt der Umgang mit KI-Werkzeugen, die durch verwaltungsexterne Anbietende zur Verfügung gestellt werden und über das Internet zugänglich sind, herausfordernd. Ein zentrales Risiko betrifft dabei den Datenschutz. In der Verwaltung werden häufig besondere Personendaten oder weitere Personendaten unter speziellen Geheimhaltungsbestimmungen verarbeitet, etwa zu Gesundheit, Sozialleistungen, Strafverfahren oder Steuern. Zudem ist eine effektive Anonymisierung von Daten oftmals viel schwieriger zu erreichen, als dies allgemein bekannt ist. Werden solche Informationen unbedacht in ein externes KI-System eingegeben, kann nicht kontrolliert werden, wo und wie diese Daten weiterverarbeitet oder gespeichert werden. Dadurch besteht die Gefahr von Datenschutzverletzungen oder einer unzulässigen Datenübermittlung.

Die OIZ hat mitunter aus diesem Grund im Berichtsjahr eine stadteigene KI-Assistenz geschaffen, die ZüriA. Sie ist ein KI-Chatbot basierend auf Open-Source-Sprachmodellen. Die KI-Infrastruktur ist in die Rechenzentren der Stadt Zürich integriert. Am Ende des Berichtsjahrs hat die Datenschutzstelle die Basisversion von ZüriA mittels Vorabkontrolle geprüft. Sie konnte in ihrem Prüfbericht festhalten, dass die Lösung hohen Datenschutzanforderungen genügt.

Ansonsten wurden bei der Datenschutzstelle im Berichtsjahr nur wenige KI-Projekte aktiv zur Vorabkontrolle angemeldet. Die Datenschutzstelle wurde mehrmals aufgrund von Medienberichten und/oder städtischen Intranet-Meldungen auf kritische KI-Vorhaben aufmerksam und musste die Anmeldung solcher Vorhaben nachträglich einfordern.

Dies zeigt, dass Dienstabteilungen und Projektleitende die potenziellen Risiken beim Einsatz mit KI regelmässig unterschätzen. Zudem fehlt zum Teil das Bewusstsein, dass der städtische Informationssicherheits- und Datenschutzprozess (ISDS-Prozess) auch bei KI-Vorhaben verbindlich eingehalten werden muss. Die Datenschutzstelle wird in den kommenden Jahren diesbezüglich ihr Beratungsangebot und ihre Kontrolltätigkeit ausbauen müssen. Mitarbeitende müssen die datenschutzrechtlichen Anforderungen verstehen und wissen, wie sie KI-Werkzeuge korrekt und sicher einsetzen. Zudem werden auch vermehrt Stichproben im Bereich von KI-Vorhaben durchgeführt werden müssen.

Grundsätzlich muss festgehalten werden, dass die Stadtverwaltung auf sogenannte Hochrisiko-KI-Systeme (zu nennen ist hier das Beispiel der Gesichtserkennung im öffentlichen Raum) verzichten sollte, wenn die damit verbundenen rechtlichen oder ethischen Risiken nicht ausreichend beherrschbar sind. Der Schutz der Bevölkerung und die Wahrung rechtsstaatlicher Grundsätze haben Vorrang vor allfälligen Effizienzgewinnen.