Polizei und Feuerwehr können die bei ihnen jeweils rechtmäßig gespeicherten personenbezogenen Daten auch über die vorgesehene Speicherdauer hinaus weiterverarbeiten, wenn dies erforderlich ist, um KI-Systeme, die der Erfüllung ihrer jeweiligen Aufgaben dienen, unter Verwendung dieser Daten zu trainieren und zu testen.

Bei der Weiterverarbeitung ist sicherzustellen, dass diskriminierende Algorithmen weder herausgebildet noch verwendet werden.

Soweit wie technisch möglich, muss die Nachvollziehbarkeit des verwendeten Verfahrens sichergestellt werden.

Die Weiterverarbeitung von personenbezogenen Daten, die aus in § 42c Absatz 2 genannten Maßnahmen erlangt wurden, ist unzulässig.

Personenbezogene Daten nach Satz 1 dürfen nicht zum Trainieren oder Testen von KI-Systemen weiterverarbeitet werden, wenn die Daten nicht mit Hilfe solcher KI-Systeme erhoben oder verarbeitet werden dürften.

Personenbezogene Daten sind für die Verwendung zu Test- oder Trainingszwecken zu anonymisieren.

Kann der Zweck des Tests oder Trainings mit anonymisierten Daten nicht erreicht werden oder ist die Anonymisierung nur mit unverhältnismäßigem Aufwand möglich, sind sie zu pseudonymisieren.

Kann der Zweck des Tests oder Trainings auch mit pseudonymisierten Daten nicht erreicht werden oder ist auch die Pseudonymisierung nur mit unverhältnismäßigem Aufwand möglich, dürfen personenbezogene Daten verwendet werden.

Besondere Kategorien personenbezogener Daten dürfen nur unter Gewährleistung von Garantien im Sinne des § 51a Absatz 2 verwendet werden.

Die Daten sind unverzüglich zu löschen oder unumkehrbar zu anonymisieren, sobald sie zu Test- oder Trainingszwecken nicht mehr benötigt werden, sonst spätestens nach zwei Jahren, es sei denn, ihre Weiterverarbeitung ist nach anderen Rechtsvorschriften zulässig.

Die Löschung ist zu protokollieren.

Es ist unzulässig,

Zur Durchführung von Maßnahmen nach Absatz 1 und nach Maßgabe von Absatz 2 dürfen Polizei und Feuerwehr personenbezogene Daten an Auftragsverarbeitende weitergeben, wenn eine Verarbeitung durch sie selbst nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.

Ist die Verarbeitung durch Polizei und Feuerwehr auch unter Zuhilfenahme Auftragsverarbeitender nicht oder nur mit unverhältnismäßigem Aufwand möglich, dürfen Polizei und Feuerwehr personenbezogene Daten auch an Dritte zu dem in Satz 1 genannten Zweck übermitteln.

Auftragsverarbeitende oder zur Verarbeitung eingesetzte Dritte müssen ihren Sitz in einem Mitgliedstaat der Europäischen Union oder in einem Schengen-assoziierten Staat haben; die Daten dürfen nur dorthin weitergeleitet und nur dort weiterverarbeitet werden. § 42c Absatz 3, 4 und 5 Satz 1 gilt entsprechend.

Die bei Auftragsverarbeitenden oder zur Verarbeitung eingesetzten Dritten eingesetzten Personen sind nach § 1 des Verpflichtungsgesetzes zu verpflichten, sofern dies geboten erscheint.

Die Übermittlung von Daten nach Absatz 1 Satz 4 ist unzulässig.

Auftragsverarbeitende und zur Verarbeitung eingesetzte Dritte dürfen die übermittelten Daten nur im Rahmen des jeweiligen Trainings und der jeweiligen Tests verarbeiten.

Sie dürfen die trainierten Modelle für eigene Zwecke weiternutzen, wenn Polizei oder Feuerwehr dem zugestimmt haben und sichergestellt werden kann, dass aus den trainierten Modellen keine Trainingsdaten abgeleitet werden können.

Verwaltungsvorschriften bestimmen das Nähere insbesondere zu

Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist vor Erlass oder einer Änderung der Verwaltungsvorschriften anzuhören.

Die Verwaltungsvorschriften sind zu veröffentlichen.