BfDI-Han­d­­rei­chung „KI in Be­hör­den“: Daten­schutz von Anfang an mit­den­ken – und was Un­ter­neh­men daraus mit­neh­men können

Große Sprach­mo­del­le (LLMs) sind längst im Ar­beits­all­tag an­ge­kom­men – als Chat­bots, As­sis­tenz­sys­te­me, Re­cher­che- und Text­werk­zeu­ge oder zur Zu­sam­men­fas­sung und Struk­tu­rie­rung von In­hal­ten. Mit ihrer Hand­rei­chung „KI in Be­hör­den – Daten­schutz von Anfang an mit­den­ken“ (für die Bun­des­ver­wal­tung) adres­siert die Bun­des­be­auf­trag­te für den Daten­schutz und die In­for­ma­ti­ons­frei­heit (BfDI) diese Ent­wick­lung und stellt dabei klar: LLMs ver­ar­bei­ten häufig per­so­nen­be­zo­ge­ne Daten – im Trai­ning und/oder in kon­kre­ten Nut­zungs­sze­na­ri­en. Au­ßer­dem können per­so­nen­be­zo­ge­ne Trai­nings­da­ten in den Mo­dell­pa­ra­me­tern re­prä­sen­tiert sein und unter Um­stän­den wieder aus­ge­ge­ben werden.

Die Hand­rei­chung soll öf­fent­li­chen Stellen dabei helfen, zen­tra­le Fra­ge­stel­lun­gen zu iden­ti­fi­zie­ren und eine struk­tu­rier­te Her­an­ge­hens­wei­se an KI-Pro­­jek­­te zu ent­wi­ckeln. Gleich­zei­tig wird die Par­al­le­li­tät von DS-GVO und KI-Ver­­or­d­­nung (KI-VO) betont: Die KI-VO lässt die da­ten­schutz­recht­li­chen Be­stim­mun­gen un­be­rührt. Beide Re­gel­wer­ke bilden einen ko­hä­ren­ten Rahmen und sobald per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet werden, sind die da­ten­schutz­recht­li­chen Vor­ga­ben zu beachten.

Genau deshalb lohnt sich die Hand­rei­chung auch für Un­ter­neh­men. Nicht, weil Un­ter­neh­men „wie Be­hör­den“ handeln, sondern weil die da­ten­schutz­recht­li­chen Kern­fra­gen beim Einsatz von LLMs wie bei­spiels­wei­se Per­so­nen­be­zug, Trans­pa­renz, Rechte der Be­trof­fe­nen, Go­ver­nan­ce, Nach­wei­se, Ver­trä­ge und Ri­si­ko­min­de­rung in beiden Welten prak­tisch iden­tisch sind.

1. Warum LLMs da­ten­schutz­recht­lich be­son­ders her­aus­for­dernd sind

Die Hand­rei­chung der BfDI be­schreibt drei ty­pi­sche Stol­per­stei­ne, die in der Praxis fast immer re­le­vant werden:

• Black-Box-Cha­rak­­ter: Die Er­geb­nis­se sind für Men­schen nicht ohne Wei­te­res nach­voll­zieh­bar. Das er­schwert ins­be­son­de­re die Be­trof­fe­nen­rech­te (Aus­kunft, Lö­schung, Be­rich­ti­gung etc.). Au­ßer­dem sind per­so­nen­be­zo­ge­ne Daten nicht „im Klar­text“ ge­spei­chert, sondern ver­teilt in Mo­dell­ge­wich­ten und somit tech­nisch schwer zu iden­ti­fi­zie­ren, zu ändern oder zu entfernen.

• Hal­lu­zi­na­tio­nen: LLM-Aus­­­ga­­ben beruhen auf Wahr­schein­lich­kei­ten, sodass seltene In­for­ma­tio­nen („Long-Tail Know­ledge“) häufig un­zu­ver­läs­sig aus­ge­ge­ben werden. Das stellt eine Her­aus­for­de­rung für den Grund­satz der Da­ten­rich­tig­keit dar.

• Me­mo­ri­sie­rung: Per­so­nen­be­zo­ge­ne Trai­nings­da­ten können (un­ab­sicht­lich oder durch ge­ziel­te At­ta­cken) im Output erscheinen.

Diese Punkte sind keine „aka­de­mi­sche“ Debatte, sondern wirken sich direkt in Pro­jek­te aus: auf Ri­si­ko­ana­ly­sen, in In­for­ma­ti­ons­pflich­ten, in tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men – und auf die Frage, welche LLM-Be­­rei­t­s­tel­­lungs­­­form über­haupt zum eigenen Schutz­be­darf passt.

2. DSGVO und KI-VO: Par­al­lel denken, in­te­griert umsetzen

Die BfDI ordnet ein, dass sich die KI-VO und die DS-GVO er­gän­zen. Die KI-VO setzt pro­dukt­si­cher­heits­recht­li­che An­for­de­run­gen, während die DS-GVO die Recht­mä­ßig­keit und Grenzen der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten de­fi­niert. Bei KI-be­­zo­­ge­­nen Sach­ver­hal­ten kann es an­ge­zeigt sein, die DSGVO im Lichte der KI-VO aus­zu­le­gen – ins­be­son­de­re dort, wo die KI-VO spe­zi­fi­sche­re An­for­de­run­gen normiert.

Für die Praxis be­deu­tet das: Der Daten­schutz sollte (auch hier) nicht „nach­ge­zo­gen“ werden, wenn das Tool schon live ist, sondern von Beginn an als Pro­jekt­spur mit­ge­führt werden (in­klu­si­ve Do­ku­men­ta­ti­on, Rollen, Maß­nah­men und Mo­ni­to­ring). Diese Logik zieht sich durch die gesamte Handreichung.

3. DSFA (und ggf. GRFA): Nicht als Pflicht­übung, sondern als Steuerungsinstrument

Die Hand­rei­chung betont die Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung (DSFA) als zen­tra­les In­stru­ment zur Er­ken­nung und Be­gren­zung von Risiken bei KI-Sys­­te­­men. Für viele KI-Ein­­sä­t­­ze wird eine DSFA „in der Regel er­for­der­lich“ sein, bei­spiels­wei­se auf­grund in­no­va­ti­ver Nutzung neuer tech­no­lo­gi­scher Lö­sun­gen oder des großen Umfangs der Datenverarbeitung.

Be­son­ders pra­xis­nah sind die Pra­xis­emp­feh­lun­gen:

• Rol­len­klä­rung – DSFA durch den Ver­ant­wort­li­chen; Ver­ant­wort­lich­keit vorab klären und festhalten,

• früh­zei­ti­ge In­te­gra­ti­on – „vorab“ vor Beginn der Ver­ar­bei­tung; Be­stand­teil von Beschaffung/Entwicklung,

• Le­bens­zy­klus­be­zug – Trai­ning, Test, Im­ple­men­tie­rung, Nutzung, Anpassung,

• Kon­text­ana­ly­se – Auftrag, Umfeld, Risikolage,

• Ver­knüp­fung DSFA/GRFA – Schnitt­stel­len und Zuständigkeiten,

• Do­ku­men­ta­ti­on und Be­tei­li­gung – DSB früh­zei­tig ein­be­zie­hen, ggf. Betriebsrat.

Zur Grun­d­­rech­­te-Fol­­gen­a­b­­schä­t­­zung (GRFA) nach Art. 27 KI-VO macht die BfDI deut­lich: Die GRFA ergänzt die Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung (DSFA), ersetzt diese aber nicht. Beide Ver­fah­ren sollten ko­or­di­niert, kon­sis­tent do­ku­men­tiert und ab­ge­schlos­sen werden.

4. Trans­pa­renz, In­for­ma­ti­ons­pflich­ten und Be­trof­fe­nen­rech­te: „KI nutzt sich nicht weg“

Die Hand­rei­chung ar­bei­tet heraus, dass Trans­pa­renz ein Grund­prin­zip sowohl des Da­ten­schutz­rechts als auch der KI-VO ist. In­for­ma­ti­ons­pflich­ten (Artt. 13, 14 DS-GVO) und Aus­kunft (Art. 15 DS-GVO) kon­kre­ti­sie­ren das – mit be­son­de­ren An­for­de­run­gen bei au­to­ma­ti­sier­ten Ent­schei­dun­gen i.S.d. Art. 22 DS-GVO.

Gleich­zei­tig adres­siert die BfDI den Rea­lis­mus: Bei LLMs sind Trans­pa­renz und Er­klär­bar­keit tech­nisch und or­ga­ni­sa­to­risch an­spruchs­voll (Black-Box, pro­ba­bi­lis­ti­sche Aus­ga­ben, Kontextabhängigkeit).

Aus der „Ma­ß­­nah­­men-Per­spek­­ti­­ve“ benennt die Hand­rei­chung u.a. Hilfs­mit­tel wie Model Cards (Über­blick über Bench­marks und Eignung eines kon­kre­ten LLMs), Schu­lun­gen und Leit­fä­den sowie tech­ni­sche und or­ga­ni­sa­to­ri­sche Kon­trol­len (u.a. Zu­griffs­kon­zep­te, Lösch­fris­ten, Filter/Guardrails).

5. Be­rich­ti­gung und Lö­schung: die un­ter­schätz­te Baustelle

Die BfDI macht deut­lich, dass es auf­grund der Art der Spei­che­rung von per­so­nen­be­zo­ge­nen Daten bei LLMs tech­nisch schwie­rig ist, diese zu iden­ti­fi­zie­ren, zu ändern oder zu ent­fer­nen. Dies hat un­mit­tel­ba­re Aus­wir­kun­gen auf Be­rich­ti­gung und Löschung.

Im Maß­nah­men­ka­ta­log wird u.a. auf Machine Un­lear­ning als Ansatz im Kontext von Lösch­an­fra­gen erwähnt, zu­gleich aber als sehr neues, teils res­sour­cen­in­ten­si­ves Feld mit Wir­k­­sam­keits-/Qua­­li­­täts-Trade-offs beschrieben.

In der Praxis ist vor allem fol­gen­der Grund­satz wichtig: Man sollte sich nicht darauf ver­las­sen, dass sich alles „hinten raus“ re­pa­rie­ren lässt, sondern Spei­­cher- und Pro­to­kol­lie­rungs­ent­schei­dun­gen, Zu­griffs­rech­te, Lösch­fris­ten sowie Nut­zungs­re­geln so ge­stal­ten, dass Risiken gar nicht erst eskalieren.

6. Fair­ness und Bias: „Neutral promp­ten“ reicht nicht

Die Hand­rei­chung widmet dem Thema Fair­ness ein eigenes Kapitel und weist u.a. darauf hin, dass Prompt En­gi­nee­ring zwar ver­sucht werden kann (z.B. ste­reo­ty­pear­me Aus­ga­ben), dies aber nichts an mo­dell­in­hä­ren­ten Biases ändert.

Er­gän­zend wird auf die Not­wen­dig­keit ver­wie­sen, Bias im Trai­ning zu mi­ti­gie­ren und LLMs hin­sicht­lich Bias zu prüfen – also nicht erst zu re­agie­ren, wenn Be­schwer­den auf­tre­ten, sondern systema­tisch vor­zu­beu­gen und zu evaluieren.

7. KI-Kom­­pe­­tenz & mensch­li­che Auf­sicht: Go­ver­nan­ce ist kein „Nice to have“

Die BfDI betont, dass KI-Kom­­pe­­tenz eine Pflicht gemäß Art. 4 KI-VO ist und eine or­ga­ni­sa­to­ri­sche Maß­nah­me für eine da­ten­schutz­kon­for­me Ver­ar­bei­tung dar­stellt. Un­zu­rei­chen­de KI-Kom­­pe­­tenz kann dazu führen, dass mensch­li­che Ent­schei­der fak­tisch von KI-Aus­­­ga­­ben ge­lei­tet werden. Dies hat unter anderem Aus­wir­kun­gen auf Art. 22 DSGVO und das Thema mensch­li­che Aufsicht.

Auch zur mensch­li­chen Auf­sicht nimmt die BfDI konkret Stel­lung: Um nach­weis­bar zu machen, dass mensch­li­che Ent­schei­der nicht nur „pro forma“ ein­ge­bun­den sind, sollen klare Pro­zes­se de­fi­niert werden, die den Umgang mit KI-Aus­­­ga­­ben regeln. Zudem sollen Hand­lungs­an­lei­tun­gen und Schu­lun­gen be­reit­ge­stellt werden.

8. Mo­ni­to­ring, Ver­trä­ge, An­bie­ter­steue­rung – und ein Punkt, der oft über­se­hen wird: „No-Trai­­ning“ vereinbaren

Im Kapitel zu Rechenschaftspflicht/Monitoring/Datenschutzverträgen wird deut­lich, dass Ver­ant­wort­li­che nicht bei der Ein­füh­rung stehen bleiben dürfen: Nach­wei­se und Kon­trol­len knüpfen an Risiken (z.B. Me­mo­ri­sie­rung) und den je­wei­li­gen Ein­satz­kon­text an.

Be­son­ders pra­xis­re­le­vant ist der Hinweis zu AI-as-a-Service-Kon­­s­tel­la­­tio­­nen: Einige An­bie­ter be­hal­ten sich vor, Ein­ga­ben und Aus­ga­ben zu Trai­nings­zwe­cken wei­ter­zu­ver­wen­den. Auf­grund der Me­mo­ri­sie­rungs­ri­si­ken und po­ten­zi­ell sen­si­bler Inhalte muss aus­ge­schlos­sen werden, dass Ein- und Aus­ga­ben für wei­te­res Trai­ning genutzt werden; dieser Aus­schluss ist ver­trag­lich zu vereinbaren.

Was be­deu­tet das konkret für Ver­ant­wort­li­che und Datenschutz­beauftragte in Unternehmen?

Die Hand­rei­chung liefert keine „Ko­pier­vor­la­ge“ für private Or­ga­ni­sa­tio­nen, sondern eine be­last­ba­re Struk­tur, um LLM-Vor­­ha­­ben prüf- und steu­er­bar zu machen. Diese umfasst Life­­cy­cle-Denken, DSFA-Logik, Tran­s­­pa­­renz- und Be­­trof­­fe­­nen­­rechts-Per­spek­­ti­­ve, Go­ver­nan­ce, Kom­pe­tenz, tech­ni­sche Maß­nah­men sowie Ver­­­trags- und Anbietersteuerung.

Wenn Sie aktuell KI-Use-Cases pi­lo­tie­ren oder bereits pro­duk­tiv nutzen, sind aus unserer Sicht drei Fragen entscheidend:

1. Wo liegt der Per­so­nen­be­zug? (Inputs, Outputs, ggf. Modell/Training)

2. Wie wird das Risiko ge­min­dert und nach­weis­bar gemacht? (DSFA-Setup, Maß­nah­men, Rollen, Schu­lun­gen, Monitoring)

3. Wie wird der An­bie­ter ver­trag­lich und tech­nisch ein­ge­hegt? (insb. Aus­schluss von Trai­ning mit Ein- und Aus­ga­ben, Zu­griffs­kon­zep­te, Löschfristen)

Wie wir Sie un­ter­stüt­zen können

Wir un­ter­stüt­zen Ver­ant­wort­li­che und Datenschutz­beauftragte dabei, die An­for­de­run­gen der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) und der KI-Ver­­or­d­­nung (KI-VO) pra­xis­nah in be­last­ba­re Pro­zes­se zu über­set­zen. Unser Leis­tungs­spek­trum umfasst dabei unter anderem die Ein­ord­nung von Use Cases, die Durch­füh­rung von DSFA (ein­schließ­lich Maß­nah­men­ka­ta­log und Do­ku­men­ta­ti­on), An­­bie­­ter- und Ver­trags­prü­fun­gen, Go­­ver­­nan­ce-Rollen, Schu­lun­gen und ope­ra­ti­ve Leit­fä­den für die Nutzung im Fachbereich.

Wenn Sie möchten, können wir ge­mein­sam klären,

• welche Da­ten­flüs­se und Risiken Ihr kon­kre­ter Use Case tat­säch­lich erzeugt,

• welche tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men sinn­voll sind,

• welche Do­ku­men­ta­tio­nen und Nach­wei­se Sie benötigen,

• und wie Sie das Ganze audit- und ma­nage­ment­taug­lich dokumentieren.

Sie haben Fragen zur Um­set­zung in Ihrem Un­ter­neh­men oder suchen pra­xis­na­he Un­ter­stüt­zung im Daten­schutz und Com­­pli­­an­ce-Ma­­na­ge­­ment? Wir stehen Ihnen mit Er­fah­rung und Ex­per­ti­se zur Seite – spre­chen Sie uns gerne an: consulting@AdOrgaSolutions.de.  

Quelle: BfDI – „KI in Be­hör­den: Daten­schutz von Anfang an mit­den­ken“ (De­zem­ber 2025)
https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Dokumente-allg/2025/Handreichung-KI.pdf?__blob=publicationFile&v=3