1. Home
  2. Leitlinie für KI in der...
DataAgenda

Leitlinie für KI in der Bundesverwaltung

KI in Behörden und Verwaltung

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat Ende 2025 eine praxisorientierte Handreichung veröffentlicht, die öffentlichen Stellen systematische datenschutzrechtliche Orientierung beim Einsatz Künstlicher Intelligenz (KI), insbesondere großer Sprachmodelle (Large Language Models, LLMs), geben soll. Im Fokus stehen Planung, Entwicklung, Einführung und Betrieb solcher Systeme im öffentlichen Sektor unter Berücksichtigung der DS-GVO und der EU-KI-Verordnung (KI-VO).

Kontext und Herausforderungen

Die Handreichung beginnt mit einer Einordnung der KI-Regulierung: Die KI-VO und die DS-GVO bilden einen kohärenten Rechtsrahmen, in dem datenschutzrechtliche Anforderungen bei KI-Systemen in Ergänzung zu produktsicherheits- und verwaltungsrechtlichen Vorgaben zu beachten sind.

LLMs können personenbezogene Daten in mehreren Lebenszyklusphasen verarbeiten – sowohl im Training als auch im produktiven Einsatz. Durch das abstrakte Einbetten von Trainingsdaten in Modellparameter besteht das Risiko der Memorisierung und reproduktiven Ausgabe personenbezogener Informationen. Zudem stellen der Black-Box-Charakter von KI, potenzielle Bias-Effekte und die Möglichkeit der Inferenz personenbezogener Merkmale in Ausgaben zusätzliche datenschutzrechtliche Herausforderungen dar.

Datenschutzrechtliche Eckpfeiler

Die Handreichung strukturiert die datenschutzkonforme Nutzung von KI entlang zentraler Prinzipien:

  • Personenbezug erkennen und definieren: Verantwortliche müssen frühzeitig erfassen, in welchem Umfang personenbezogene Daten im gesamten KI-Lebenszyklus vorkommen – sei es bei Trainingsdaten, Interaktionsdaten oder Ausgaben.
  • Verantwortlichkeit klären: Die rollenbasierte Zuordnung datenschutzrechtlicher Verantwortlichkeit nach Art. 4 DSGVO ist für Entwicklung, Training, Fine-Tuning und Betrieb differenziert vorzunehmen.
  • Rechtsgrundlagen analysieren: Je nach Phase und Zweck der Verarbeitung müssen geeignete Rechtsgrundlagen geprüft und dokumentiert werden – etwa Erfüllung öffentlicher Aufgaben oder gesetzliche Verpflichtungen.

Technische und organisatorische Maßnahmen

Die Handreichung beschreibt technische und organisatorische Maßnahmen (TOM) zur Minimierung datenschutzrechtlicher Risiken:

  • Datenminimierung und Speicherbegrenzung: Modelle sollten so trainiert und betrieben werden, dass nur notwendige personenbezogene Daten verarbeitet werden.
  • Datenschutz-Folgenabschätzung: Bei hohem Risikopotenzial, bspw. bei systemischer Verwendung komplexer KI-Modelle ist eine DSFA verpflichtend und sollte die spezifischen Risiken von LLMs adressieren.
  • Transparenz und Betroffenenrechte: Verantwortliche müssen geeignete Maßnahmen zur Informationspflicht und zur Wahrung der Betroffenenrechte (Zugriff, Berichtigung, Löschung) etablieren.

Empfehlungen für die Praxis

Abschließend bietet die Handreichung eine lebenszyklusbezogene Übersicht möglicher Maßnahmen – von der Planung über Training bis zum produktiven Einsatz sowie Hinweise zur Rechenschaftspflicht, Monitoring und vertraglichen Absicherung bei Drittanbieterlösungen.

Diese Handreichung kann als operative Grundlage für Datenschutzbeauftragte und Verantwortliche in Behörden dienen, um KI-Projekte rechtskonform zu planen und umzusetzen – unter Berücksichtigung sowohl technischer Eigenheiten großer KI-Modelle als auch der einschlägigen Datenschutzvorgaben.

(Foto: IDOL’foto – stock.adobe.com)

Letztes Update:03.01.26

Das könnte Sie auch interessieren

  • Chatbots in der Verwaltung

    LLM-gestützte Chatbots in der öffentlichen Verwaltung

    Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung. Beschaffung: Vorabprüfung als Pflichtprogramm Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob

    Mehr erfahren
  • Incidentmanagement im Krankenhaus

    Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen

    Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand

    Mehr erfahren
  • Auftragsverarbeiter Kontrolle Verwarnung

    Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde

    Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht: für Löschkontrolle, Vertragsgestaltung und Incident-Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässgt werden. Der Vorfall Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner