Regulatorik & Compliance

EU-Wasserrahmenrichtlinie & KI

Rechtliche Grundlagen für KI-Einsatz

Wasserrahmenrichtlinie (WRRL) 2000/60/EG: Die EU-Wasserrahmenrichtlinie schafft explizit Raum für innovative Technologien in der Wasserwirtschaft.

Artikel 11 – Maßnahmenprogramme:

  • Explizite Erwähnung „innovativer Technologien“
  • Digitalisierung als Instrument zur Zielerreichung
  • KI-basierte Überwachung ausdrücklich erwünscht

Artikel 8 – Überwachung der Gewässer:

  • „Geeignete moderne Überwachungstechnologien“
  • Real-time Monitoring wird gefördert
  • Automatisierte Datenerfassung und -auswertung

Praxisrelevanz für Wasserversorger: ✅ KI für Überwachung und Berichterstattung ist rechtlich abgesichert ✅ Automatisierte WRRL-Berichte sind zulässig ✅ Innovative Messverfahren werden anerkannt

Nationale Umsetzung in Deutschland

Wasserhaushaltsgesetz (WHG) §§ 9, 13:

  • § 9 Abs. 2: „…moderne Überwachungs- und Steuerungstechnik…“
  • § 13 Abs. 3: Erlaubnis für automatisierte Entscheidungen
  • § 23: Digitale Wasserrechts-Verwaltung

Trinkwasserverordnung (TrinkwV 2023):

  • § 19a: Online-Monitoring explizit geregelt
  • § 20: KI-gestützte Risikobewertung zulässig
  • Anlage 4: Standards für automatisierte Messungen

Praktische Anwendung:

  • KI-Systeme können Wasserrechts-Anträge unterstützen
  • Automatische Grenzwert-Überwachung ist rechtssicher
  • Algorithmus-basierte Optimierung ist genehmigungsfähig

DSGVO-Leitfaden für Wasserdaten

Datenschutz in KI-Wassersystemen

Grundprinzipien der DSGVO (Art. 5):

  1. Rechtmäßigkeit: KI-Verarbeitung benötigt Rechtsgrundlage
  2. Zweckbindung: Daten nur für definierten Zweck nutzen
  3. Datenminimierung: Nur notwendige Daten verarbeiten
  4. Richtigkeit: Algorithmen müssen korrekte Daten verwenden
  5. Speicherbegrenzung: Historische Daten nach Bedarf löschen
  6. Integrität: Schutz vor unbefugter Verarbeitung

Rechtsgrundlagen für KI in der Wasserwirtschaft

Art. 6 Abs. 1 DSGVO – Rechtmäßige Verarbeitung:

a) Einwilligung:

  • Für Smart Metering bei Privatkunden
  • Muss freiwillig, informiert und spezifisch sein
  • Jederzeit widerrufbar

c) Rechtliche Verpflichtung:

  • Wasserqualitäts-Überwachung (TrinkwV)
  • Umweltüberwachung (WRRL)
  • Betriebssicherheit kritischer Infrastruktur

e) Öffentliches Interesse:

  • Versorgungssicherheit
  • Umweltschutz
  • Hochwasserschutz

f) Berechtigtes Interesse:

  • Netzoptimierung
  • Energieeffizienz
  • Predictive Maintenance

Spezifische Datenanforderungen

Personenbezogene Daten in Wassersystemen:

Direkt personenbezogen:

  • Kundendaten (Name, Adresse)
  • Verbrauchsabrechnungen
  • Zahlungsinformationen

Indirekt personenbezogen:

  • Smart Meter Verbrauchsdaten
  • Zeitpunkte der Wasserentnahme
  • Verbrauchsmuster (können Rückschlüsse auf Lebensgewohnheiten ermöglichen)

Nicht personenbezogen:

  • Aggregierte Netzverbrauchsdaten
  • Wasserqualitätsmessungen
  • Technische Anlagendaten

Anonymisierung und Pseudonymisierung

Anonymisierung (Art. 4 Nr. 1 DSGVO):

  • Irreversible Entfernung des Personenbezugs
  • KI kann anonyme Daten unbeschränkt nutzen
  • Praktisches Beispiel: Verbrauchsdaten von 100+ Haushalten aggregieren

Pseudonymisierung (Art. 4 Nr. 5 DSGVO):

  • Ersetzung von Identifikatoren durch Codes
  • Zusätzliche Informationen getrennt speichern
  • Praktisches Beispiel: Kundennummer statt Name für KI-Analyse

Technische Umsetzung:

Original: "Müller, Hans → 150L/Tag"
Pseudonymisiert: "Kunde_7391 → 150L/Tag"
Anonymisiert: "Durchschnitt 100 Kunden → 145L/Tag"

Datenschutz-Folgenabschätzung (DSFA)

Wann ist eine DSFA erforderlich? (Art. 35 DSGVO)

  • Automatisierte Entscheidungsfindung mit Rechtswirkung
  • Umfangreiche Verarbeitung sensibler Daten
  • Systematische Überwachung öffentlicher Bereiche

KI-Wassersysteme mit DSFA-Pflicht: ✅ Smart Metering mit Verhaltensanalyse ✅ Automatische Wassersperrung durch KI ✅ Umfassende Kundenprofilierung ❌ Anonyme Netzoptimierung ❌ Wasserqualitäts-Monitoring ohne Personenbezug

DSFA-Durchführung:

  1. Beschreibung: Verarbeitungsvorgang detailliert dokumentieren
  2. Bewertung: Notwendigkeit und Verhältnismäßigkeit prüfen
  3. Risiken: Für Betroffene identifizieren und bewerten
  4. Maßnahmen: Risikominimierung definieren
  5. Konsultation: Bei hohem Risiko Aufsichtsbehörde einbeziehen

EU AI Act – Auswirkungen auf die Wasserwirtschaft

Klassifizierung von KI-Systemen

Der EU AI Act (Verordnung 2024/1689) kategorisiert KI-Systeme:

Hochrisiko-KI-Systeme (Anhang III, Nr. 2): „KI-Systeme zur Steuerung kritischer digitaler Infrastrukturen“

Wasserwirtschaftliche Anwendungen als Hochrisiko:

  • Automatische Steuerung der Wasserversorgung
  • KI-gestützte Trinkwasseraufbereitung
  • Autonome Hochwasserschutz-Systeme
  • Kritische Infrastruktur-Überwachung

Geringes Risiko:

  • Datenanalyse ohne automatische Entscheidungen
  • Beratende KI-Systeme (Empfehlungen)
  • Reine Überwachungs- und Reportingsysteme

Compliance-Anforderungen für Hochrisiko-KI

Artikel 9 – Risikomanagement:

  • Dokumentiertes Risikomanagement-System
  • Regelmäßige Risikobewertung und -aktualisierung
  • Residuale Risiken für Nutzer identifizieren

Artikel 10 – Daten und Datenmanagement:

  • Trainingsdaten müssen repräsentativ sein
  • Datenqualität kontinuierlich überwachen
  • Bias-Erkennung und -Vermeidung implementieren

Artikel 13 – Transparenz und Bereitstellung von Informationen:

  • Benutzer müssen über KI-Nutzung informiert werden
  • Verständliche Dokumentation bereitstellen
  • Grenzen und Fähigkeiten kommunizieren

Artikel 14 – Menschliche Aufsicht:

  • Meaningful human oversight sicherstellen
  • Override-Möglichkeiten für menschliche Operatoren
  • Kontinuierliche Überwachung der KI-Entscheidungen

Praktische Umsetzung für Wasserversorger

Schritt 1: Klassifizierung (bis Mai 2025)

  • Alle KI-Systeme identifizieren und kategorisieren
  • Risikobewertung dokumentieren
  • Compliance-Roadmap erstellen

Schritt 2: Technische Dokumentation (bis August 2026)

  • Algorithmus-Beschreibung
  • Training und Validierung dokumentieren
  • Risikomanagement-Verfahren etablieren

Schritt 3: Konformitätsbewertung (bis August 2027)

  • CE-Kennzeichnung für Hochrisiko-Systeme
  • Externe Prüfung durch notifizierte Stelle
  • EU-Konformitätserklärung abgeben

Zeitplan und Übergangsbestimmungen:

  • 02.08.2025: AI Act vollständig anwendbar
  • 02.08.2026: Hochrisiko-Systeme müssen konform sein
  • 02.08.2027: Alle bestehenden Systeme müssen angepasst sein

Standards & Zertifizierungen

ISO-Standards für KI-Management

ISO/IEC 42001:2023 – KI-Managementsysteme

  • Geltungsbereich: Organisationen, die KI entwickeln oder nutzen
  • Anforderungen: Systematisches KI-Management etablieren
  • Zertifizierung: Durch akkreditierte Prüfstellen möglich

Relevante Norminhalte für Wasserwirtschaft:

  • Kapitel 4: Kontext der Organisation (Stakeholder, Risiken)
  • Kapitel 6: Planung (KI-Ziele, Risikomanagement)
  • Kapitel 8: Betrieb (KI-Systeme, Datenmanagement)
  • Kapitel 9: Bewertung (Monitoring, interne Audits)

ISO 46001:2019 – Wassereffizienz-Managementsysteme

  • Integration: KI-Systeme in Wassermanagement einbinden
  • Synergien: Kombination beider Standards möglich
  • Mehrwert: Ganzheitlicher Ansatz für nachhaltige Wasserwirtschaft

Branchenspezifische Standards

DVGW-Arbeitsblatt W 1001 (Entwurf): „Künstliche Intelligenz in der Trinkwasserversorgung“

Geplante Inhalte (Veröffentlichung Q2 2025):

  • Sicherheitsanforderungen für KI-Systeme
  • Qualitätssicherung bei Algorithmus-Training
  • Dokumentationspflichten
  • Test- und Validierungsverfahren

DIN 2403:2024 – Kennzeichnung von Rohrleitungen

  • KI-Bezug: Automatische Erkennung von Rohrleitungsmarkierungen
  • Integration: Computer Vision in bestehende Standards

VDI 3807 – Energiemanagement

  • Blatt 1: Grundlagen (KI-Integration möglich)
  • Blatt 5: Wasserwirtschaftliche Anlagen (in Überarbeitung für KI)

Cybersecurity-Standards

IEC 62443 – Industrielle Kommunikationsnetze Besonders relevant für vernetzte Wassersysteme mit KI

IEC 62443-4-2 – Technische Sicherheitsanforderungen:

  • SR 1: Identifikation und Authentisierung
  • SR 2: Verwendungskontrolle
  • SR 3: Systemintegrität (besonders wichtig bei KI)
  • SR 7: Ressourcenverfügbarkeit

BSI IT-Grundschutz-Kompendium:

  • Baustein IND.2.7: Wasserwirtschaft
  • Baustein APP.7: KI-Systeme (in Entwicklung)
  • Zertifizierung: Nach ISO 27001 auf Basis IT-Grundschutz

Compliance-Checkliste für Wasserversorger

Rechtliche Compliance:

  • DSGVO-konforme Datenverarbeitung
  • WHG-konforme Anlagenbetrieb
  • TrinkwV-konforme Qualitätsüberwachung
  • EU AI Act Klassifizierung durchgeführt

Technische Standards:

  • ISO 42001 Konformität geprüft
  • DVGW-Regelwerk beachtet
  • Cybersecurity nach IEC 62443
  • Dokumentation vollständig

Betriebliche Aspekte:

  • Risikomanagement etabliert
  • Mitarbeiterschulung durchgeführt
  • Notfallpläne für KI-Ausfall
  • Regelmäßige Compliance-Audits

Empfohlene Vorgehensweise:

  1. Gap-Analyse durchführen (Status Quo vs. Anforderungen)
  2. Compliance-Roadmap erstellen (Prioritäten und Zeitplan)
  3. Externe Beratung für komplexe Rechtsfragen
  4. Schrittweise Umsetzung mit regelmäßiger Erfolgskontrolle
  5. Kontinuierliche Aktualisierung bei Rechtsänderungen