Datenschutz und KI-Compliance
DSGVO, EU AI Act und Dienstanweisungen: Was du beim KI-Einsatz im oeffentlichen Dienst beachten musst.
🔄 Kurzer Rueckblick: In Lektion 5 hast du gelernt, Daten mit KI zu analysieren und Entscheidungsvorlagen zu erstellen. Jetzt geht es um die rechtliche Seite: Was darfst du, was musst du, was ist verboten?
Du sitzt in der Dienstbesprechung und die Amtsleitung fragt: „Duerfen wir das ueberhaupt — KI einsetzen?" Gute Frage. Die Antwort: Ja, aber unter klaren Bedingungen. Diese Lektion gibt dir die Sicherheit, die du brauchst.
Die drei Rechtsrahmen
| Regelwerk | Was es regelt | Seit wann | Fuer dich relevant |
|---|---|---|---|
| DSGVO | Personenbezogene Daten | 2018 | ★★★★★ |
| EU AI Act | KI-Systeme allgemein | 2024/2026 | ★★★★☆ |
| Dienstanweisung | KI-Nutzung in deiner Behoerde | Variiert | ★★★★★ |
DSGVO und KI — die Kernregeln
Art. 22 DSGVO: Keine automatisierten Einzelentscheidungen
| Element | Bedeutung fuer die Verwaltung |
|---|---|
| Was ist verboten? | Entscheidungen mit rechtlicher Wirkung, die ausschliesslich automatisiert getroffen werden |
| Beispiel | KI bewilligt automatisch Wohngeld — ohne dass ein Mensch prueft |
| Was ist erlaubt? | KI erstellt Entwurf, Sachbearbeiter prueft und entscheidet |
| Warum wichtig? | Verwaltungsentscheidungen betreffen Grundrechte — die Verantwortung traegt immer ein Mensch |
Datenschutz-Folgenabschaetzung (DSFA)
Wenn KI personenbezogene Daten verarbeitet, ist eine DSFA Pflicht (Art. 35 DSGVO):
| Schritt | Was du tust | Wer hilft |
|---|---|---|
| 1 | Beschreibe den KI-Einsatz (Zweck, Datenarten, Umfang) | Du + Fachbereich |
| 2 | Bewerte die Risiken fuer Betroffene | Datenschutzbeauftragter |
| 3 | Definiere Schutzmassnahmen | IT + Datenschutzbeauftragter |
| 4 | Dokumentiere alles | Du + Datenschutzbeauftragter |
| 5 | Pruefe regelmaessig (mind. jaehrlich) | Datenschutzbeauftragter |
Faustregel: Wenn du keine personenbezogenen Daten in die KI eingibst (wie in den Lektionen 3-5 gelernt: Platzhalter verwenden, Daten anonymisieren), brauchst du meistens keine DSFA fuer die reine Textgenerierung.
✅ Quick Check: Wann brauchst du definitiv eine DSFA? (Tipp: Sobald personenbezogene Daten von der KI verarbeitet werden — z.B. wenn KI Buergeranfragen mit Namen und Adressen analysiert. Nicht noetig, wenn du nur anonymisierte Statistiken oder Textvorlagen mit Platzhaltern nutzt.)
EU AI Act — Was auf die Verwaltung zukommt
Die vier Risikoklassen
| Klasse | Beispiel Verwaltung | Auflagen |
|---|---|---|
| Unannehmbares Risiko | Social Scoring von Buergern | Verboten |
| Hohes Risiko | KI bei Sozialleistungen, Baugenehmigungen, Personalentscheidungen | Dokumentation, Aufsicht, Risikomanagement |
| Begrenztes Risiko | KI-Chatbot auf der Behoerden-Website | Transparenzpflicht (Hinweis: „Sie sprechen mit einer KI") |
| Minimales Risiko | KI fuer interne Textvorlagen | Keine besonderen Auflagen |
Hohes Risiko — was das konkret bedeutet
| Pflicht | Was du tun musst |
|---|---|
| Dokumentation | Zweck, Datenquellen, Funktionsweise, Risiken dokumentieren |
| Menschliche Aufsicht | Mensch muss KI-Ergebnisse pruefen und ueberstimmen koennen |
| Risikomanagement | Regelmaessig Risiken bewerten und Massnahmen ergreifen |
| Transparenz | Buerger informieren, dass KI eingesetzt wird |
| Qualitaetssicherung | Ergebnisse auf Genauigkeit und Diskriminierung pruefen |
Zeitplan: Die Pflichten fuer Hochrisiko-KI gelten ab August 2026. Das klingt weit weg — ist es aber nicht. Die Dokumentation sollte jetzt beginnen.
Deine Dienstanweisung — die wichtigste Grundlage
Was eine gute KI-Dienstanweisung regelt
| Bereich | Typische Regelung |
|---|---|
| Erlaubte Tools | Welche KI-Werkzeuge duerfen genutzt werden? |
| Verbotene Daten | Welche Daten duerfen nicht eingegeben werden? |
| Pruefpflicht | Wer prueft KI-Ergebnisse vor der Verwendung? |
| Dokumentation | Wie wird KI-Einsatz dokumentiert? |
| Verantwortlichkeit | Wer traegt die Verantwortung fuer KI-gestuetzte Entscheidungen? |
| Schulung | Welche Fortbildungen sind vorgeschrieben? |
Was tun, wenn es keine Dienstanweisung gibt?
| Schritt | Aktion |
|---|---|
| 1 | Frage den Datenschutzbeauftragten nach bestehenden Regelungen |
| 2 | Halte dich an die DSGVO-Grundregeln (keine personenbezogenen Daten, Human-in-the-Loop) |
| 3 | Dokumentiere deinen KI-Einsatz eigenstaendig |
| 4 | Rege die Erstellung einer Dienstanweisung an |
Praktische Compliance-Checkliste
Vor jedem KI-Einsatz pruefen
| # | Frage | Wenn JA | Wenn NEIN |
|---|---|---|---|
| 1 | Enthalt meine Eingabe personenbezogene Daten? | Anonymisieren oder KI nicht verwenden | Weiter |
| 2 | Hat meine Behoerde eine KI-Dienstanweisung? | Regelungen einhalten | DSGVO-Grundregeln anwenden |
| 3 | Hat die KI-Ausgabe rechtliche Wirkung? | Human-in-the-Loop zwingend | Trotzdem pruefen |
| 4 | Nutze ich ein freigegebenes Tool? | Weiter | Freigabe beantragen |
| 5 | Kann ich die KI-Ausgabe fachlich pruefen? | Pruefen und freigeben | Fachliche Unterstuetzung holen |
Was du IMMER tun musst
- KI-Ergebnisse pruefen, bevor du sie verwendest
- Keine personenbezogenen Daten eingeben (oder vorher anonymisieren)
- Verantwortung fuer deine Entscheidungen uebernehmen — nicht auf die KI verweisen
- Bei Unsicherheit den Datenschutzbeauftragten fragen
Was du NIE tun darfst
- KI-generierte Bescheide ohne Pruefung versenden
- Personenbezogene Daten in nicht-freigegebene KI-Tools eingeben
- KI-Entscheidungen als deine eigene Einschaetzung ausgeben, ohne sie geprueft zu haben
- Buerger nicht darueber informieren, wenn KI bei ihrer Anfrage eingesetzt wurde (EU AI Act)
Key Takeaways
- Drei Rechtsrahmen beachten: DSGVO (personenbezogene Daten), EU AI Act (KI-Systeme), Dienstanweisung (interne Regeln)
- Art. 22 DSGVO: Keine automatisierten Einzelentscheidungen mit rechtlicher Wirkung — Human-in-the-Loop ist Pflicht
- DSFA noetig, wenn KI personenbezogene Daten verarbeitet — nicht noetig bei anonymisierten Daten und Textvorlagen
- EU AI Act: KI bei Verwaltungsentscheidungen = hohes Risiko — Dokumentation, Aufsicht, Transparenz ab August 2026
- Im Zweifel: Datenschutzbeauftragten fragen — lieber einmal zu viel als einmal zu wenig
Up Next
In der naechsten Lektion geht es darum, wie du KI in deinem Team einfuehrst — Kolleginnen und Kollegen mitnehmen, Widerstaende abbauen und einen Fahrplan fuer die KI-Nutzung erstellen.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!