LLM-gestützte Chatbots in der öffentlichen Verwaltung

Chatbots in der Verwaltung

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung.

Beschaffung: Vorabprüfung als Pflichtprogramm

Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob und in welchem Umfang eine Verarbeitung personenbezogener Daten überhaupt erforderlich ist. Dabei sind grundlegende Architekturentscheidungen zu treffen: offenes oder abgeschottetes System, Anbindung eines RAG-Subsystems, Nutzung eines vortrainierten Modells oder cloudbasierter Infrastruktur. Daneben ist frühzeitig zu prüfen, ob Auftragsverarbeitungsvereinbarungen nach Art. 28 Abs. 3 DSGVO abzuschließen sind.

Implementierung: Dokumentation, Transparenz und technische Absicherung

Beim Einsatz extern vortrainierter Chatbots ist eine angemessene Bewertung der Datenschutzkonformität des Systems vorzunehmen und sind gegebenenfalls risikomindernde Maßnahmen zu ergreifen. Pflichtdokumente sind Datenschutz-Folgenabschätzung und Verarbeitungsverzeichnis. Gegenüber externen Nutzern ist zudem die Transparenzpflicht aus Art. 50 Abs. 1 KI-VO zu beachten: Personen müssen darüber informiert werden, dass sie mit einer Maschine interagieren.

Auf technischer Ebene empfiehlt der BayLfD die Minimierung unzulässiger Dateneingaben, die Deaktivierung des Nachtrainings mit Eingabedaten sowie die Deaktivierung der Chat-Historie. Bei behördeninterner Nutzung sollten zusätzlich Funktionsaccounts und Schnittstellen zur Datenminimierung eingesetzt sowie Dienstanweisungen und Beschäftigtenschulungen implementiert werden.

Nutzung: Laufende Kontrolle und Ausgabenprüfung

Im Betrieb sind die Datenschutzmaßnahmen regelmäßig zu überprüfen und bei Bedarf anzupassen. Chatbot-Ausgaben sind insbesondere hinsichtlich Diskriminierungsfreiheit, Richtigkeit, Vollständigkeit sowie etwaigem Personenbezug und der zugehörigen Rechtsgrundlage zu kontrollieren.

Das Dokument ergänzt die bereits im März 2026 veröffentlichte umfassende Orientierungshilfe des BayLfD zu KI-Projekten in der bayerischen Verwaltung und bietet Datenschutzverantwortlichen eine kompakte Checkliste für alle Projektphasen.

(Foto: Anusa – stock.adobe.com)

Letztes Update:28.05.26

  • Vier Expertenporträts und Logo des Data Agenda Podcasts, Folge 94 mit Prof. Dr. Schwartmann, Markus Beckedahl, Lucia Burkhardt und Felix Sahm.

    Folge 94: KI-Reallabore, Kinder und Gesundheit

    Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),

    Mehr erfahren
  • Datenschutz Entbürokratisierung

    Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts

    Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO

    Mehr erfahren
  • Online Recruiting Datenschutzhinweis Transparenz

    Datenschutzverstoß beim Online-Recruiting

    Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner