§ 37a

(1) Die Polizei darf zum Trainieren und Testen von lernenden IT-Systemen, die die Polizei für die eigene Aufgabenwahrnehmung entwickelt oder nutzt, soweit erforderlich bei ihr vorhandene personenbezogene Daten nach Maßgabe der Absätze 2 bis 5 weiterverarbeiten und dafür auch an Dritte oder Auftragsverarbeiter übermitteln. Es ist dabei sicherzustellen, dass diskriminierende Algorithmen weder herausgebildet noch verwendet werden. Soweit wie technisch möglich muss die Nachvollziehbarkeit des verwendeten Verfahrens sichergestellt werden. Die Weiterverarbeitung von personenbezogenen Daten, die durch einen verdeckten Einsatz technischer Mittel in oder aus Wohnungen nach § 22 Absatz 1, durch Überwachung und Aufzeichnung von Telekommunikation nach § 23 Absatz 1 oder durch den verdeckten Einsatz technischer Mittel aus vom Betroffenen genutzten informationstechnischen Systeme nach § 24 Absatz 1 erhoben wurden, ist unzulässig. (2) Personenbezogene Daten sind für die Verwendung zu Test- oder Trainingszwecken zu anonymisieren. Kann der Zweck des Tests oder Trainings mit anonymisierten Daten nicht erreicht werden oder ist die Anonymisierung nur mit unverhältnismäßigem Aufwand möglich, sind sie zu pseudonymisieren. Kann der Zweck des Tests oder Trainings mit pseudonymisierten Daten nicht erreicht werden oder ist die Pseudonymisierung nur mit unverhältnismäßigem Aufwand möglich, dürfen personenbezogene Daten zum Zweck des Tests oder Trainings verarbeitet werden. Besondere Kategorien personenbezogener Daten nach Artikel 10 der Richtlinie (EU) 2016/680 oder Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 dürfen unter Gewährleistung von Garantien im Sinne des § 4 Absatz 2 zum Zweck des Tests oder Trainings verwendet werden. (3) Personenbezogene Daten dürfen zum Testen und Trainieren von lernenden Systemen nur an Auftragsverarbeiter übermittelt werden, wenn eine Verarbeitung bei der Polizei selber nur mit unverhältnismäßigem Aufwand möglich ist. An Dritte dürfen die Daten nur übermittelt werden, wenn eine Verarbeitung durch die Polizei auch unter Zuhilfenahme eines Auftragsverarbeiters nur mit unverhältnismäßigem Aufwand möglich ist. Sofern personenbezogene Daten zum Testen oder Trainieren von lernenden IT-Systemen an Dritte oder im Wege der Auftragsverarbeitung übermittelt werden, ist die Übermittlung von personenbezogenen Daten, die durch einen verdeckten Einsatz technischer Mittel in oder aus Wohnungen nach § 22 Absatz 1, durch Überwachung und Aufzeichnung von Telekommunikation nach § 23 Absatz 1 oder durch den verdeckten Einsatz technischer Mittel aus vom Betroffenen genutzten informationstechnischen Systeme nach § 24 Absatz 1 erhoben wurden, unzulässig. Personenbezogene Daten dürfen nur an solche Personen übermittelt werden, die Amtsträger oder für den öffentlichen Dienst besonders Verpflichtete sind oder die zur Geheimhaltung verpflichtet worden sind. § 1 Absätze 2 und 3 sowie Absatz 4 Nummer 2 des Verpflichtungsgesetzes vom 2. März 1974 (BGBl. I S. 469, 547), geändert am 15. August 1974 (BGBl. I S. 1942), ist auf die Verpflichtung zur Geheimhaltung entsprechend anzuwenden. Durch organisatorische und technische Maßnahmen ist zu gewährleisten, dass die Daten gegen unbefugte Kenntnisnahme geschützt sind. (4) Auftrags- und Drittverarbeiter dürfen die übermittelten Daten nur im Rahmen des jeweiligen Trainings und der jeweiligen Tests verarbeiten. Sie sind verpflichtet, die Daten nach Abschluss von Training und Testung des lernenden Systems wieder zu löschen. Sie dürfen die trainierten Modelle für eigene Zwecke weiternutzen, wenn die Polizei dies genehmigt und sichergestellt werden kann, dass aus den trainierten Modellen keine Trainingsdaten abgeleitet werden können. (5) Für das Testen oder Trainieren von lernenden IT-Systemen wird in einer nach Anhörung durch die oder den Beauftragten für Datenschutz und Informationsfreiheit zu veröffentlichenden und erlassenden Verwaltungsvorschrift das Nähere zu dem Verfahren, den Sicherungsmaßnahmen zur Verhinderung unbefugter Datenzugriffe sowie zu Art und Umfang der verarbeitenden Daten bestimmt. In der Verwaltungsvorschrift nach Satz 1 ist insbesondere zu bestimmen: 1. die Art der zu verarbeitenden Daten, 2. der Personenkreis, der von der Verarbeitung betroffen ist, 3. die Entscheidungsträger und das Verfahren, die die Einhaltung der maßgeblichen fachlichen und rechtlichen Anforderungen an das Training und die Testung von lernenden IT-Systemen sicherstellen, 4. Sicherungsmaßnahmen zur Datenaktualität und -qualität, 5. die Mindeststandards zur technischen Durchführung der Anonymisierung und Pseudonymisierung von Daten sowie die Beschreibung eines etwaigen unverhältnismäßigen Aufwands im Sinne von Absatz 2 Sätze 2 und 3 und Absatz 3 Sätze 1 und 2, 6. die Lösch- und Protokollierungspflichten.