KI und DSGVO in Behörden: Was erlaubt ist und was nicht

Von |

und warum Datenschutz kein Grund ist, nichts zu tun.

„Das können wir aus Datenschutzgründen nicht machen.“

Dieser Satz fällt in deutschen Behörden regelmäßig – und meistens beendet er die Diskussion. Keine Rückfrage. Kein Gegenargument. Kein weiterer Gedanke.

Dabei ist Datenschutz kein Verbot. Er ist ein Rahmen. Und wer diesen Rahmen kennt, stellt fest: Innerhalb dieses Rahmens ist erheblich mehr möglich, als die meisten Behörden heute umsetzen.

Dieser Artikel klärt, was wirklich gilt – konkret, ohne Juristendeutsch, für Entscheider und Datenschutzbeauftragte gleichermaßen.

1. Die Ausgangslage: Datenschutz als Totschlagargument

Ich habe in verschiedenen Verwaltungsstellen gearbeitet: Ausländerbehörde, Einwohnermeldeamt, Stadtverordnetenversammlung, Kleingartenverwaltung. In allen diesen Bereichen spielte der Schutz sensibler Daten eine zentrale Rolle. Zu Recht.

Aber ich habe auch erlebt, wie Datenschutz eingesetzt wird, um Entscheidungen zu vermeiden. Nicht böswillig sondern aus Unsicherheit. Weil niemand genau weiß, was erlaubt ist. Weil es einfacher ist, Nein zu sagen als nachzufragen. Weil ein Fehler sichtbarer ist als eine verpasste Chance.

Das ist das eigentliche Problem: Nicht zu viel Datenschutz, sondern zu wenig Wissen darüber, was Datenschutz tatsächlich bedeutet.

Die Folge: Behörden verzichten auf Automatisierungen, die DSGVO-konform wären. Sie schreiben externe Dienstleister aus, weil intern niemand urteilen kann. Sie warten auf Grundsatzentscheidungen, die nie kommen.

2. Was die DSGVO tatsächlich fordert

Die DSGVO ist kein Verbot der Datenverarbeitung. Sie ist ein Regelwerk für rechtmäßige Datenverarbeitung. Das ist ein fundamentaler Unterschied.

Fünf Grundprinzipien sind dabei relevant für den KI-Einsatz in Behörden:

Rechtmäßigkeit: Es muss eine Rechtsgrundlage vorliegen in Behörden typischerweise die gesetzliche Aufgabenerfüllung (Art. 6 Abs. 1 lit. e DSGVO). Das deckt viele Automatisierungsvorhaben bereits ab.

Zweckbindung: Daten dürfen nur für den Zweck genutzt werden, für den sie erhoben wurden. Ein Automatisierungsworkflow, der Antragsunterlagen verarbeitet, um genau diesen Antrag zu bearbeiten, ist zweckkonform.

Datensparsamkeit: Es dürfen nur so viele Daten verarbeitet werden wie nötig. Das ist kein Argument gegen KI – es ist ein Argument für gut konzipierte KI, die nur das liest, was sie braucht.

Transparenz: Betroffene müssen wissen, dass ihre Daten verarbeitet werden. Das ist im Verwaltungskontext meist durch bestehende Datenschutzerklärungen abgedeckt – muss aber bei neuen Verfahren aktualisiert werden.

Integrität und Vertraulichkeit: Technische und organisatorische Maßnahmen (TOMs) müssen sicherstellen, dass Daten geschützt sind. Das gilt für klassische IT-Systeme genauso wie für KI-Anwendungen.

Fazit: Die DSGVO verbietet KI nicht. Sie stellt Anforderungen an die Art, wie KI eingesetzt wird. Wer diese Anforderungen von Anfang an einplant, hat kein Datenschutzproblem, er hat Datenschutz-Compliance.

3. Die entscheidende Frage: Cloud oder On-Premise?

Das ist in der Praxis die häufigste Streitfrage – und sie ist berechtigt. Denn hier liegt ein echter Unterschied.

Cloud-Lösungen (z.B. ChatGPT, externe KI-APIs):

  • Daten verlassen den Behördenserver und werden extern verarbeitet
  • Bei personenbezogenen Daten ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht
  • Drittstaatentransfers (z.B. USA) erfordern zusätzliche Schutzmaßnahmen (Standardvertragsklauseln o.ä.)
  • Nicht grundsätzlich verboten – aber rechtlich und technisch anspruchsvoll

On-Premise-Lösungen:

  • Daten bleiben auf eigenen Servern oder in einer Behörden-Cloud innerhalb der EU
  • Kein Drittstaatentransfer, keine externen Auftragsverarbeiter notwendig
  • Höherer Einrichtungsaufwand, aber volle Kontrolle über die Daten
  • Für sensible Verwaltungsdaten die sicherere und rechtlich unkompliziertere Wahl
Aus der Praxis: Für viele der Automatisierungsworkflows aus Artikel 3: E-Mail-Zusammenfassungen, Fristprüfungen, Mahnläufe – genügen Tools, die on-premise oder innerhalb einer DSGVO-konformen EU-Cloud betrieben werden. Die Daten verlassen die Behörde nicht. Kein Drittstaatenproblem. Kein Grundsatzkonflikt.

4. Was konkret erlaubt ist – und was nicht

Kein Juristendeutsch. Eine klare Einschätzung für die Praxis:

✅  In der Regel datenschutzkonform möglich:

  • Automatische Zusammenfassung von Rundschreiben und internen Fachinformationen (keine personenbezogenen Daten)
  • Klassifizierung und Weiterleitung von eingehenden Dokumenten (wenn keine Inhalte an externe Dienste übertragen werden)
  • Fristprüfung und Erinnerungsworkflows auf Basis von Fachverfahrensdaten (on-premise)
  • KI-gestützte Transkription von Sitzungen (on-premise, mit Einwilligung der Teilnehmenden)
  • Automatisierte Standardschreiben auf Basis vorhandener Antragsdaten

⚠️  Erfordert besondere Sorgfalt:

  • Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheit, Religion, politische Meinung) – Art. 9 DSGVO
  • Cloud-Dienste mit Sitz außerhalb der EU ohne angemessene Schutzmaßnahmen
  • Vollautomatisierte Entscheidungen mit Rechtswirkung für Betroffene (Art. 22 DSGVO) – grundsätzlich unzulässig

❌  In der Regel nicht zulässig:

  • Automatisierte Verwaltungsentscheidungen ohne menschliche Überprüfung (z.B. automatische Ablehnung eines Antrags)
  • Profilbildung von Bürgerinnen und Bürgern ohne explizite Rechtsgrundlage
  • Nutzung von Verwaltungsdaten zum Training externer KI-Modelle ohne Einwilligung
Wichtig: Diese Einschätzung ersetzt keine rechtliche Prüfung im Einzelfall. Der oder die behördliche Datenschutzbeauftragte muss bei neuen Verarbeitungsverfahren einbezogen werden. Das ist keine Bürokratiehürde – das ist gute Praxis.

5. Die Rolle des Datenschutzbeauftragten – früh einbinden, nicht spät ausbremsen

In vielen Behörden wird der Datenschutzbeauftragte (DSB) erst dann eingeschaltet, wenn ein Vorhaben schon weit gediehen ist – und dann kommt das Nein. Das ist kein Versagen des DSB. Das ist ein Planungsfehler.

Der DSB ist kein Kontrolleur am Ende – er ist ein Berater am Anfang. Wer ihn früh in ein Automatisierungsprojekt einbindet, erhält eine fundierte Einschätzung, welche Anforderungen zu erfüllen sind und kann das Vorhaben entsprechend gestalten.

Konkret bedeutet das:

  • DSB früh – idealerweise vor dem ersten Konzept – über das Vorhaben informieren
  • Datenschutz-Folgenabschätzung (DSFA) prüfen, ob sie erforderlich ist (bei hohem Risiko für Betroffene: ja)
  • Verarbeitungsverzeichnis von Anfang an mitdenken
  • TOMs (technische und organisatorische Maßnahmen) dokumentieren
Aus der Praxis: Behörden, die ihren DSB als Partner verstehen, kommen schneller zum Ziel als solche, die ihn als Hindernis betrachten. Das klingt banal – ist aber in der Praxis ein echter Unterschied.

6. Checkliste: Ist mein KI-Vorhaben datenschutzkonform?

Fünf Fragen für die erste Einschätzung:

☐  Welche Daten werden verarbeitet? Personenbezogen, besondere Kategorien oder anonym? Je sensitiver, desto höher die Anforderungen.

☐  Wohin fließen die Daten? Bleiben sie on-premise, gehen sie in eine EU-Cloud oder zu externen Diensten außerhalb der EU?

☐  Gibt es eine Rechtsgrundlage? Für Behörden meist Art. 6 Abs. 1 lit. e DSGVO gesetzliche Aufgabenerfüllung.

☐  Trifft die KI Entscheidungen oder unterstützt sie nur? Unterstützung ist grundsätzlich möglich, vollautomatisierte Rechtsentscheidungen nicht.

☐  Ist der DSB eingebunden? Nicht als letzte Instanz, sondern als früher Gesprächspartner.

Drei oder mehr offene Punkte? Dann ist das nicht das Ende des Vorhabens, sondern der Anfang einer gezielten Klärung.
Nächste Woche: Pillar Page 1
„KI in der öffentlichen Verwaltung – Der komplette Überblick“ – der umfassendste Artikel auf diesem Blog, für alle, die den Gesamtzusammenhang verstehen wollen.
Kein Artikel verpassen? Jetzt Newsletter abonnieren unter behoerde.ai.

Fazit

Datenschutz ist kein Argument gegen KI in Behörden. Er ist ein Argument für die richtige KI in Behörden.

Wer On-Premise-Lösungen nutzt, Daten nicht unnötig überträgt, den DSB früh einbindet und vollautomatisierte Rechtsentscheidungen vermeidet, hat keinen Datenschutzkonflikt. Er hat einen datenschutzkonformen Automatisierungsworkflow.

Die Frage „Darf ich das?“ ist berechtigt. Sie verdient aber eine echte Antwort – keine reflexhafte Absage.

Weiterführende Artikel:

→  KI in der öffentlichen Verwaltung – Der komplette Überblick

→  7 Prozesse in Behörden, die sich sofort automatisieren lassen

→  RPA in der Verwaltung einfach erklärt

→  Wann lohnt sich Automatisierung in Behörden?

Über den Autor Simon arbeitet seit 2014 in der öffentlichen Verwaltung – unter anderem in der Ausländerbehörde, im Einwohnermeldeamt, im Büro der Stadtverordnetenversammlung und in der Kleingartenverwaltung. Parallel studiert er angewandte Künstliche Intelligenz.Auf behoerde.ai zeigt er, wie KI und Automatisierung in Behörden wirklich funktionieren – praxisnah, verständlich und ohne Buzzword-Bingo.