1. Home
  2. Leitlinie für KI in der...
DataAgenda

Leitlinie für KI in der Bundesverwaltung

KI in Behörden und Verwaltung

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat Ende 2025 eine praxisorientierte Handreichung veröffentlicht, die öffentlichen Stellen systematische datenschutzrechtliche Orientierung beim Einsatz Künstlicher Intelligenz (KI), insbesondere großer Sprachmodelle (Large Language Models, LLMs), geben soll. Im Fokus stehen Planung, Entwicklung, Einführung und Betrieb solcher Systeme im öffentlichen Sektor unter Berücksichtigung der DS-GVO und der EU-KI-Verordnung (KI-VO).

Kontext und Herausforderungen

Die Handreichung beginnt mit einer Einordnung der KI-Regulierung: Die KI-VO und die DS-GVO bilden einen kohärenten Rechtsrahmen, in dem datenschutzrechtliche Anforderungen bei KI-Systemen in Ergänzung zu produktsicherheits- und verwaltungsrechtlichen Vorgaben zu beachten sind.

LLMs können personenbezogene Daten in mehreren Lebenszyklusphasen verarbeiten – sowohl im Training als auch im produktiven Einsatz. Durch das abstrakte Einbetten von Trainingsdaten in Modellparameter besteht das Risiko der Memorisierung und reproduktiven Ausgabe personenbezogener Informationen. Zudem stellen der Black-Box-Charakter von KI, potenzielle Bias-Effekte und die Möglichkeit der Inferenz personenbezogener Merkmale in Ausgaben zusätzliche datenschutzrechtliche Herausforderungen dar.

Datenschutzrechtliche Eckpfeiler

Die Handreichung strukturiert die datenschutzkonforme Nutzung von KI entlang zentraler Prinzipien:

  • Personenbezug erkennen und definieren: Verantwortliche müssen frühzeitig erfassen, in welchem Umfang personenbezogene Daten im gesamten KI-Lebenszyklus vorkommen – sei es bei Trainingsdaten, Interaktionsdaten oder Ausgaben.
  • Verantwortlichkeit klären: Die rollenbasierte Zuordnung datenschutzrechtlicher Verantwortlichkeit nach Art. 4 DSGVO ist für Entwicklung, Training, Fine-Tuning und Betrieb differenziert vorzunehmen.
  • Rechtsgrundlagen analysieren: Je nach Phase und Zweck der Verarbeitung müssen geeignete Rechtsgrundlagen geprüft und dokumentiert werden – etwa Erfüllung öffentlicher Aufgaben oder gesetzliche Verpflichtungen.

Technische und organisatorische Maßnahmen

Die Handreichung beschreibt technische und organisatorische Maßnahmen (TOM) zur Minimierung datenschutzrechtlicher Risiken:

  • Datenminimierung und Speicherbegrenzung: Modelle sollten so trainiert und betrieben werden, dass nur notwendige personenbezogene Daten verarbeitet werden.
  • Datenschutz-Folgenabschätzung: Bei hohem Risikopotenzial, bspw. bei systemischer Verwendung komplexer KI-Modelle ist eine DSFA verpflichtend und sollte die spezifischen Risiken von LLMs adressieren.
  • Transparenz und Betroffenenrechte: Verantwortliche müssen geeignete Maßnahmen zur Informationspflicht und zur Wahrung der Betroffenenrechte (Zugriff, Berichtigung, Löschung) etablieren.

Empfehlungen für die Praxis

Abschließend bietet die Handreichung eine lebenszyklusbezogene Übersicht möglicher Maßnahmen – von der Planung über Training bis zum produktiven Einsatz sowie Hinweise zur Rechenschaftspflicht, Monitoring und vertraglichen Absicherung bei Drittanbieterlösungen.

Diese Handreichung kann als operative Grundlage für Datenschutzbeauftragte und Verantwortliche in Behörden dienen, um KI-Projekte rechtskonform zu planen und umzusetzen – unter Berücksichtigung sowohl technischer Eigenheiten großer KI-Modelle als auch der einschlägigen Datenschutzvorgaben.

(Foto: IDOL’foto – stock.adobe.com)

Letztes Update:03.01.26

Das könnte Sie auch interessieren

  • Folge 90: KI Omnibus Update März 2026 reloaded: Reallabore Spezial

    Im DataAgenda-Podcast Folge 89 hat Kai Zenner über die anstehenden Änderungen der KI-Verordnung berichtet, die im August 2026 Geltung erlangen sollen. Einer der Gegenstände der Änderung betrifft das sog. New Legal Framework in Anhang 1. Die dort unter Abschnitt A aufgelisteten Harmonisierungsvorschriften führen zu einer Doppelregulierung. Deshalb sollen die dort aufgeführten Produkte in Abschnitt B

    Mehr erfahren
  • DataAgenda Podcast Cover Folge 89 mit Kai Zenner

    Folge 89: KI Omnibus Update März 2026

    Änderungen der KI-VO stehen in den Startblöcken. So wie es aussieht, wird das am 1. August 2024 in Kraft getretene EU-Gesetz geändert, noch bevor der Großteil der maßgeblichen Pflichten am 2. August 2026 Geltung erlangt. Kai Zenner, Büroleiter von MdEP Axel Voss berichtet am Tag der Ausschussabstimmung im Europäischen Parlament tagesaktuell von Zeitplan und Inhalten

    Mehr erfahren
  • DataAgenda Podcast Cove Folge 88 mit Dr. Judith Nink

    Folge 88: „NIS-2: Regulierung als Chance oder Bürokratiemonster?“

    Mit der fortschreitenden Digitalisierung wachsen nicht nur die Risiken für die Datensicherheit, sondern auch die regulatorischen Anforderungen. Dr. Judith Nink, Fachbereichsleiterin Cybersicherheit bei Unternehmen, Digitale Sicherheit beim Bundesamt für Sicherheit in der Informationstechnologie (BSI), erläutert NIS-2 im europäischen Regulierungskontext. Warum ist NIS-2 notwendig? Was ist zu tun? Wie können Unternehmen das Recht umsetzen und welche

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner