Stufe 1: Awareness & Compliance

Datenschutz und KI

⏱ 12 Min 📋 Pflichtmodul 🔓 Verfügbar

Lernziele

Die fünf wichtigsten DSGVO-Regeln für KI-Anwendungen in der Verwaltung nennen können
Erkennen können, ob eine KI-Anwendung eine Rechtsgrundlage braucht und welche das ist
Erklären können, warum KI in sozialrechtlichen Verfahren nicht allein entscheiden darf
Datenschutzfreundliche Alternativen und typische Risiken beim KI-Einsatz benennen können

1. DSGVO-Grundsätze und KI

Die DSGVO (Datenschutz-Grundverordnung) regelt den Umgang mit personenbezogenen Daten in der EU. KI-Systeme verarbeiten oft enorme Datenmengen – deshalb müssen sie denselben Regeln folgen wie jede andere Datenverarbeitung.

Kernprinzipien, die bei KI besonders relevant sind:

Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. KI-Systeme, die Daten für unvorhergesehene Trainings oder Analysen verwenden, verstoßen gegen dieses Prinzip.
Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck wirklich erforderlich sind. Große Sprachmodelle verarbeiten oft überflüssige Kontextdaten – ein Risiko.
Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO): Personalien müssen richtig und aktuell sein. KI generiert manchmal "halluzinierte" falsche Daten – das ist problematisch bei amtlichen Verfahren.
Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Daten dürfen nicht länger als nötig gespeichert werden. KI-Trainingsdaten müssen regelmäßig auf Aktualität geprüft werden.
Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO): Technische und organisatorische Maßnahmen (TOMs) müssen KI-Datenverarbeitung absichern.

2. Rechtsgrundlagen für KI in der Verwaltung

Jede Datenverarbeitung braucht eine Rechtsgrundlage. Für den Einsatz von KI im öffentlichen Dienst kommen diese in Frage:

Wirksame Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Selten in der Verwaltung, da Bürger:innen oft keine echte Wahlfreiheit haben.
Vertrag (Art. 6 Abs. 1 lit. b DSGVO): Wenn KI zur Vertragserfüllung eingesetzt wird (z. B. Bearbeitung von Anträgen).
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Wenn eine KI-Anwendung durch Gesetz vorgeschrieben ist.
Öffentliches Interesse / Hoheitliche Befugnis (Art. 6 Abs. 1 lit. e DSGVO): Der Standard in der Verwaltung! Sozialrechtliche Verfahren, Bafög, Wohngeld etc. basieren auf öffentlichem Interesse.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Für Behörden in Erfüllung ihrer Aufgaben ausdrücklich ausgeschlossen (Art. 6 Abs. 1 Satz 2 DSGVO). Die einschlägige Grundlage ist immer lit. e.

Praxisfall: Rechtsgrundlage prüfen

Eine Behörde möchte ein KI-System einsetzen, das Antragsdaten auf Plausibilität prüft. Dazu werden Name, Adresse, Einkommen und Familienstand verarbeitet. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. e DSGVO (öffentliches Interesse) in Verbindung mit dem einschlägigen Fachrecht (z. B. SGB II, BAföG). Bevor das System produktiv geht, ist die Mitbestimmung des Personalrats nach dem einschlägigen Personalvertretungsrecht (BPersVG bzw. Landes-PersVG) Pflicht.

3. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Art. 22 DSGVO regelt Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen – also, wenn ein KI-System ohne menschliches Zutun über Rechte, Pflichten oder Leistungen entscheidet.

Regel: Betroffene Personen haben das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt.

Ausnahmen für die Verwaltung:

Erforderlich für den Vertrag: Wenn eine automatisierte Prüfung Bestandteil des Antragsverfahrens ist.
Aufgrund von Unionsrecht oder Mitgliedstaatenrecht: Wenn das Gesetz explizit automatisierte Verfahren vorsieht (z. B. automatisierte Bußgeldbescheide).
Mit ausdrücklicher Einwilligung: In der Verwaltung praktisch irrelevant.

Wichtig für die Praxis

Selbst wenn automatisierte Entscheidungen zulässig sind, muss immer ein Mensch die Entscheidung überprüfen und bestätigen können. KI darf niemals das letzte Wort in sozialrechtlichen Verfahren haben – das ist rechtlich unsicher und ethisch bedenklich.

Merksatz

"KI unterstützt, der Mensch entscheidet." Automatisierte Entscheidungen ohne menschliche Prüfung sind in der Sozialverwaltung nahezu immer rechtswidrig. Die menschliche Aufsicht (Human-in-the-Loop) ist kein Nice-to-have, sondern Pflicht.

4. Datenschutzfreundlich arbeiten: Pseudonymisierung

Pseudonymisierung (Art. 4 Nr. 5 DSGVO) bedeutet, personenbezogene Daten so zu verarbeiten, dass sie ohne Zusatzwissen nicht mehr einer bestimmten Person zugeordnet werden können. Sie ist eine der wirksamsten Schutzmaßnahmen beim KI-Einsatz und direkt aus dem Datenminimierungsgebot (Art. 5 Abs. 1 lit. c DSGVO) ableitbar.

Praktisches Beispiel: Statt „Müller, Hans, geb. 15.03.1974, Antrag SGB II, Wohnort Neukölln" verwenden Sie in der KI-Analyse „ID-4821, Altersgruppe 45–55, Antragstyp Sozialleistung, Bezirk Süd". Die Zuordnung zur echten Person bleibt in einer separaten, gesicherten Tabelle – die KI sieht sie nicht.

Faustregel

So wenig echte Personendaten wie möglich in KI-Systeme eingeben. Was die KI nicht kennt, kann sie nicht versehentlich weitergeben oder fehlverwenden. Pseudonymisierung ist kein Luxus – sie ist datenschutzrechtliches Gebot.

← Zurück zum EU AI Act Zum Quiz →

💬 Diskussion & Erfahrungsaustausch Klicken zum Aufklappen

Wie nutzen Sie KI in Ihrer Behörde zu diesem Thema? Teilen Sie Erfahrungen, stellen Sie Fragen — anonym oder mit E-Mail. Kommentare liegen auf eigenen Servern (DSGVO-konform).

Kommentare werden geladen…