Leitlinie für KI in der Bundesverwaltung

KI in Behörden und Verwaltung

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat Ende 2025 eine praxisorientierte Handreichung veröffentlicht, die öffentlichen Stellen systematische datenschutzrechtliche Orientierung beim Einsatz Künstlicher Intelligenz (KI), insbesondere großer Sprachmodelle (Large Language Models, LLMs), geben soll. Im Fokus stehen Planung, Entwicklung, Einführung und Betrieb solcher Systeme im öffentlichen Sektor unter Berücksichtigung der DS-GVO und der EU-KI-Verordnung (KI-VO).

Kontext und Herausforderungen

Die Handreichung beginnt mit einer Einordnung der KI-Regulierung: Die KI-VO und die DS-GVO bilden einen kohärenten Rechtsrahmen, in dem datenschutzrechtliche Anforderungen bei KI-Systemen in Ergänzung zu produktsicherheits- und verwaltungsrechtlichen Vorgaben zu beachten sind.

LLMs können personenbezogene Daten in mehreren Lebenszyklusphasen verarbeiten – sowohl im Training als auch im produktiven Einsatz. Durch das abstrakte Einbetten von Trainingsdaten in Modellparameter besteht das Risiko der Memorisierung und reproduktiven Ausgabe personenbezogener Informationen. Zudem stellen der Black-Box-Charakter von KI, potenzielle Bias-Effekte und die Möglichkeit der Inferenz personenbezogener Merkmale in Ausgaben zusätzliche datenschutzrechtliche Herausforderungen dar.

Datenschutzrechtliche Eckpfeiler

Die Handreichung strukturiert die datenschutzkonforme Nutzung von KI entlang zentraler Prinzipien:

  • Personenbezug erkennen und definieren: Verantwortliche müssen frühzeitig erfassen, in welchem Umfang personenbezogene Daten im gesamten KI-Lebenszyklus vorkommen – sei es bei Trainingsdaten, Interaktionsdaten oder Ausgaben.
  • Verantwortlichkeit klären: Die rollenbasierte Zuordnung datenschutzrechtlicher Verantwortlichkeit nach Art. 4 DSGVO ist für Entwicklung, Training, Fine-Tuning und Betrieb differenziert vorzunehmen.
  • Rechtsgrundlagen analysieren: Je nach Phase und Zweck der Verarbeitung müssen geeignete Rechtsgrundlagen geprüft und dokumentiert werden – etwa Erfüllung öffentlicher Aufgaben oder gesetzliche Verpflichtungen.

Technische und organisatorische Maßnahmen

Die Handreichung beschreibt technische und organisatorische Maßnahmen (TOM) zur Minimierung datenschutzrechtlicher Risiken:

  • Datenminimierung und Speicherbegrenzung: Modelle sollten so trainiert und betrieben werden, dass nur notwendige personenbezogene Daten verarbeitet werden.
  • Datenschutz-Folgenabschätzung: Bei hohem Risikopotenzial, bspw. bei systemischer Verwendung komplexer KI-Modelle ist eine DSFA verpflichtend und sollte die spezifischen Risiken von LLMs adressieren.
  • Transparenz und Betroffenenrechte: Verantwortliche müssen geeignete Maßnahmen zur Informationspflicht und zur Wahrung der Betroffenenrechte (Zugriff, Berichtigung, Löschung) etablieren.

Empfehlungen für die Praxis

Abschließend bietet die Handreichung eine lebenszyklusbezogene Übersicht möglicher Maßnahmen – von der Planung über Training bis zum produktiven Einsatz sowie Hinweise zur Rechenschaftspflicht, Monitoring und vertraglichen Absicherung bei Drittanbieterlösungen.

Diese Handreichung kann als operative Grundlage für Datenschutzbeauftragte und Verantwortliche in Behörden dienen, um KI-Projekte rechtskonform zu planen und umzusetzen – unter Berücksichtigung sowohl technischer Eigenheiten großer KI-Modelle als auch der einschlägigen Datenschutzvorgaben.

(Foto: IDOL’foto – stock.adobe.com)

Letztes Update:03.01.26

  • Vier Expertenporträts und Logo des Data Agenda Podcasts, Folge 94 mit Prof. Dr. Schwartmann, Markus Beckedahl, Lucia Burkhardt und Felix Sahm.

    Folge 94: KI-Reallabore, Kinder und Gesundheit

    Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),

    Mehr erfahren
  • Datenschutz Entbürokratisierung

    Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts

    Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO

    Mehr erfahren
  • Online Recruiting Datenschutzhinweis Transparenz

    Datenschutzverstoß beim Online-Recruiting

    Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner