LLM-gestützte Chatbots in der öffentlichen Verwaltung
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung.
Beschaffung: Vorabprüfung als Pflichtprogramm
Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob und in welchem Umfang eine Verarbeitung personenbezogener Daten überhaupt erforderlich ist. Dabei sind grundlegende Architekturentscheidungen zu treffen: offenes oder abgeschottetes System, Anbindung eines RAG-Subsystems, Nutzung eines vortrainierten Modells oder cloudbasierter Infrastruktur. Daneben ist frühzeitig zu prüfen, ob Auftragsverarbeitungsvereinbarungen nach Art. 28 Abs. 3 DSGVO abzuschließen sind.
Implementierung: Dokumentation, Transparenz und technische Absicherung
Beim Einsatz extern vortrainierter Chatbots ist eine angemessene Bewertung der Datenschutzkonformität des Systems vorzunehmen und sind gegebenenfalls risikomindernde Maßnahmen zu ergreifen. Pflichtdokumente sind Datenschutz-Folgenabschätzung und Verarbeitungsverzeichnis. Gegenüber externen Nutzern ist zudem die Transparenzpflicht aus Art. 50 Abs. 1 KI-VO zu beachten: Personen müssen darüber informiert werden, dass sie mit einer Maschine interagieren.
Auf technischer Ebene empfiehlt der BayLfD die Minimierung unzulässiger Dateneingaben, die Deaktivierung des Nachtrainings mit Eingabedaten sowie die Deaktivierung der Chat-Historie. Bei behördeninterner Nutzung sollten zusätzlich Funktionsaccounts und Schnittstellen zur Datenminimierung eingesetzt sowie Dienstanweisungen und Beschäftigtenschulungen implementiert werden.
Nutzung: Laufende Kontrolle und Ausgabenprüfung
Im Betrieb sind die Datenschutzmaßnahmen regelmäßig zu überprüfen und bei Bedarf anzupassen. Chatbot-Ausgaben sind insbesondere hinsichtlich Diskriminierungsfreiheit, Richtigkeit, Vollständigkeit sowie etwaigem Personenbezug und der zugehörigen Rechtsgrundlage zu kontrollieren.
Das Dokument ergänzt die bereits im März 2026 veröffentlichte umfassende Orientierungshilfe des BayLfD zu KI-Projekten in der bayerischen Verwaltung und bietet Datenschutzverantwortlichen eine kompakte Checkliste für alle Projektphasen.
(Foto: Anusa – stock.adobe.com)
Das könnte Sie auch interessieren
-
Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen
Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand
Mehr erfahren -
Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde
Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht: für Löschkontrolle, Vertragsgestaltung und Incident-Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässgt werden. Der Vorfall Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag
Mehr erfahren -
KI-Verordnung: Rat und Parlament einigen sich auf Vereinfachungen im Omnibus-Paket
Am 7. Mai 2026 haben sich Europäisches Parlament und Rat auf eine vorläufige Einigung zum sogenannten „Digital Omnibus on AI“ verständigt. Es ist damit die erste substanzielle Änderung der KI-Verordnung (EU) 2024/1689, bevor deren zentrale Hochrisiko-Pflichten überhaupt in Kraft getreten sind. Der Vorschlag ist Teil des „Omnibus VII“-Gesetzgebungspakets im Rahmen der EU-Vereinfachungsagenda und zielt darauf
Mehr erfahren
