Stand: 10.06.2026

Der Einsatz von KI bietet für die Verwaltung viele Potentiale. Wenn dabei auch personenbezogene Daten verarbeitet werden, stellt sich aus datenschutzrechtlicher Sicht die Frage, auf welcher Rechtsgrundlage dies erfolgen kann. Dabei kommt es darauf an, auf welchen Zweck der Einsatz der KI abzielt und ob die KI dabei als reines Betriebsmittel anzusehen ist oder ob es eines ausdrücklichen, speziellen Gesetzes für den konkreten Einsatz bedarf.

Diese Handreichung als PDF (ca. 1,8MB)

 

Reines Betriebsmittel vs. Eigengewicht der Verarbeitung personenbezogener Daten[1]

Mit § 3a LDSG[2] hat der Gesetzgeber sich für die grundsätzliche Möglichkeit zur Nutzung von KI in der Verwaltung ausgesprochen. Die Regelung ist allerdings keine eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten. In dieser Hinsicht hat § 3a LDSG lediglich deklaratorischen Charakter und knüpft an bestehende Rechtsgrundlagen an. Vielmehr soll der Verwaltung mit § 3a LDSG ausweislich der Gesetzesbegründung KI als weiteres Betriebsmittel zur Verfügung gestellt werden.[3] Das bedeutet, dass § 3a LDSG nicht den Einsatz solcher KI-gestützter Anwendungen rechtfertigt, die gegenüber der Ausgangsverarbeitung personenbezogener Daten einen eigenen Grundrechtseingriff oder eine erhebliche Vertiefung des Eingriffs darstellen. Das Eingriffsgewicht wird insbesondere durch Art und Umfang der verarbeitbaren Daten und die Methode der Datenanalyse oder -auswertung bestimmt.[4] Als reine Betriebsmittel[5], die keiner KI-spezifischeren Rechtsgrundlage bedürfen, können insbesondere Anwendungen angesehen werden, die ähnlich einfacher Software (z. B. Textverarbeitungsprogramme) arbeiten.

Der Anwendungsbereich einer datenschutzrechtlich zulässigen KI-Nutzung als Betriebsmittel im behördlichen Kontext ist zunächst dort eröffnet, wo die KI lediglich als Assistenzsystem eingesetzt wird. Dies betrifft insbesondere die Unterstützung bei der Antragsprüfung, die Dokumentenklassifizierung, die Bürgerberatung sowie die technische Unterstützung bei Schwärzungen. In solchen Fällen bleibt die rechtliche Bewertung und Entscheidung bei der zuständigen Stelle, während die KI nur strukturiert, sortiert, priorisiert oder erläutert. Sie ersetzt dabei weder den menschlichen Entscheidungskern noch werden durch diesen Vorgang neue oder mehr Informationen erschlossen. Solche Anwendungen können deshalb grundsätzlich noch als Betriebsmittel der Aufgabenerfüllung verstanden werden und über eine Generalklausel bzw. die jeweils einschlägige Aufgaben- und Erforderlichkeitsgrundlage abgedeckt werden.

Dies gilt insbesondere dann, wenn die KI keine eigenständigen Entscheidungen trifft, sondern lediglich den Bearbeitungsprozess effizienter gestaltet. Bei der Antragsprüfung kann sie beispielsweise auf voraussichtliche Vollständigkeit oder Zuständigkeit hinweisen. Bei der Dokumentenklassifizierung kann sie Suchräume eingrenzen und somit voraussichtlich relevante Akten oder Dokumente vorschlagen. In der Bürgerberatung kann sie Informationen aus amtlichen Quellen oder FAQ-Systemen aufbereiten (vgl. RAG[6]). Bei Schwärzungen kann sie Stellen markieren, in denen voraussichtlich personenbezogene Daten enthalten sind oder Schwärzungsvorschläge machen. In all diesen Fällen bleibt die KI grundsätzlich ein Hilfsmittel ohne eigenes rechtliches Gewicht.

Bei den beispielhaft genannten Verarbeitungen ist darauf zu achten, dass die KI-gestützte Verarbeitung nicht auf die Verarbeitung besonderer Kategorien personenbezogener Daten gerichtet ist[7] oder in einem solchen Fall ein Erlaubnisgrund des Artikel 9 DS-GVO ausdrücklich für den KI-gestützten Verarbeitungsvorgang besteht. So liegt beispielsweise keine Verarbeitung biometrischer Daten vor, wenn diese nicht mit speziellen technischen Mitteln verarbeitet werden, die eine eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.[8] Auch Videoaufnahmen, die eine betroffene Person mit Brille oder im Rollstuhl zeigen, gelten nicht automatisch als Gesundheitsdaten. Werden die Videoaufnahmen jedoch verarbeitet, um besondere Datenkategorien abzuleiten, ist Artikel 9 DS-GVO anzuwenden.[9] Dies muss im Einzelfall geprüft werden. Die Anforderungen an Artikel 9 DS-GVO sind dabei eng auszulegen. Die oben genannten Beispiele (Antragsprüfung, Dokumentenklassifizierung, Schwärzungen) werden regelmäßig nicht zur Verarbeitung besonderer Kategorien personenbezogener Daten führen.

Auch ohne Daten i.S.d. Artikel 9 DS-GVO gilt jedoch, dass die Verarbeitung eines großen Umfangs personenbezogener Daten oder neue, eingriffsintensivierende Erkenntnismöglichkeiten einer KI-Anwendung zu dem Erfordernis einer eigenen Rechtsgrundlage führen kann. Das ist jedenfalls dort der Fall, wo ein Persönlichkeitsprofil erstellt wird oder Daten verwaltungsverfahrensübergreifend abgeglichen oder ausgewertet werden.[10]

Ferner können auch die Überlegungen zur Abgrenzung der KI-VO hinsichtlich Hochrisiko-KI einbezogen werden, vgl. Art. 6 Abs. 2 und Anhang 3, Art. 6 Abs. 3 KI-VO.[11]

Regelmäßig über ein Betriebsmittel hinaus geht ein System, dass nicht mehr nur unterstützend wirkt, sondern die behördliche Entscheidung mitprägt. Das ist jedenfalls dann der Fall, wenn die KI atypische Konstellationen ausblendet, den Entscheidungsweg vorgibt, rechtliche Wertungen vorwegnimmt oder den Erlass eines Verwaltungsakts weitgehend determiniert. Spätestens hier genügt § 3a LDSG regelmäßig nicht mehr. Dann wird maßgeblich, ob eine spezielle gesetzliche Grundlage den Einsatz trägt.

So zeigt z.B. § 17a EGovG BW, dass der Gesetzgeber den Übergang von unterstützendem KI-Einsatz zu automatisiertem Verwaltungshandeln als rechtlich eigenständige Schwelle versteht. Wenn also nicht mehr nur ein Assistenzsystem vorliegt, sondern beispielsweise ein System, das auf den automatisierten Erlass von Verwaltungsakten oder auf eine vergleichbar entscheidungsnahe Funktion abzielt, reicht die bloße Einordnung als Betriebsmittel nicht mehr aus. Dann treten die Anforderungen an eine besondere gesetzliche Ermächtigung, eine Verfahrenseinhegung, eine Dokumentation, eine Nachvollziehbarkeit und eine gerichtliche Überprüfbarkeit in den Vordergrund.

 

Kurz gesagt

  1. Als Betriebsmittel und ohne grundrechtlich relevantes Eigengewicht können KI-Systeme im Sinne des § 3a LDSG eingesetzt werden, wenn z.B.
    1. ausschließlich auf von natürlichen Personen definierten Regeln für das automatische Ausführen von Operationen zurückgegriffen wird,[12]h. das KI-System trifft keine eigenständigen Entscheidungen (z. B. einfache regelbasierte Software), oder
    2. die Funktionalität lediglich der mathematischen Optimierung dient (z. B. klassische Optimierungsalgorithmen)[13] oder
    3. die Leistung der Anwendung ebenso gut durch eine grundlegende statistische Lernregel erreicht werden könnte (z. B. einfache Mittelwertberechnungen oder statische Prognosen)[14] oder
    4. das KI-System für die Ausführung einer engen verfahrenstechnischen Aufgabe bestimmt ist,[15] also z. B. für:
      1. Umwandlung unstrukturierter in strukturierte Daten;
      2. Einordnung eingehender Dokumente in Kategorien;
      3. Erkennung von Duplikaten in einer großen Zahl von Anwendungen;
      4. Unterstützung bei der Antragsprüfung;
      5. Schwärzungen; oder
    5. menschliche Entscheidungen lediglich vor- oder nachbereitet werden,[16] also z. B. wenn
      1. das Ergebnis einer zuvor ausgeführten menschlichen Tätigkeit verbessert wird, z.B. durch die Verbesserung von Sprache und/oder Rechtschreibung;
      2. lediglich Inhalte zusammengefasst werden;
      3. Abweichungen von früheren Entscheidungsmustern (z.B. nachträgliches Abweichen von eingangs definiertem Bewertungsraster) erkannt werden sollen.
  2. Ein grundrechtlich relevantes Eigengewicht dagegen haben KI-gestützte Verarbeitungskonstellationen in der Regel dann, wenn sie folgendes ermöglichen:
    1. ein Profiling natürlicher Personen oder
    2. komplexere Musteranalysen mit personen-, vorgangs- oder methodenübergreifender Mustererkennung oder
    3. personenbezogene Prognosen oder
    4. die KI atypische Konstellationen ausblendet, Entscheidungswege vorgibt, rechtliche Wertungen vorwegnimmt oder den Erlass von Verwaltungsakten weitgehend determiniert oder
    5. ein großer Umfang personenbezogener Daten verarbeitet wird oder neue, eingriffsintensivierende Erkenntnismöglichkeiten bestehen, insbesondere bei der Erstellung von Persönlichkeitsprofilen oder dem verwaltungsverfahrensübergreifenden Abgleich bzw. der Auswertung von Daten oder
    6. eine Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DS-GVO).

In solchen Fällen ist regelmäßig eine spezifische datenschutzrechtliche Rechtsgrundlage erforderlich.

 

Fußnoten

[1] Das Papier versteht sich vorbehaltlich künftiger Aussagen der DSK oder des EDSA zum Thema, soweit diese auf die Situation im Landesrecht übertragbar sind.

[2] § 3a LDSG: Die Nutzung von KI-Systemen zur Verarbeitung personenbezogener Daten ist unbeschadet sonstiger Bestimmungen zulässig, wenn die Voraussetzungen für die Verarbeitung der personenbezogenen Daten als solche gegeben sind.

[3] LT-Drs. 17/9983, S. 66.

[4] Vgl. auch BVerfG, Urteil vom 16. Februar 2023, 1 BvR 1547/19 und 1 BvR 2634/20, 3. Leitsatz.

[5] Gemäß dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Betriebsmittel „die spezifischen IT-Komponenten, die für betriebliche Zwecke des IT-Betriebs eingesetzt werden“ (vgl. BSI IT-Grundschutz-Kompendium 2023 OPS.1.1.1 Abschnitt 1.1).

[6] DSK Orientierungshilfe zu datenschutzrechtlichen Besonderheiten generativer KI-Systeme mit RAG-Methode, Version 1.0, Oktober 2025.

[7] Neben Artikel 9-Daten kann dies auch Daten nach Artikel 10 DS-GVO oder Sozialdaten betreffen.

[8] Vgl. ErwG. 51 S. 3 und Art. 4 Nr. 14 DS-GVO.

[9] EDSA Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, angenommen am 29. Januar 2020, Rn. 63 f.

[10] Vgl. auch BVerfG, Urteil vom 16. Februar 2023, 1 BvR 1547/19 und 1 BvR 2634/20.

[11] Vgl. auch Europäische Kommission, Leitlinien der Kommission zur Definition eines Systems der künstlichen Intelligenz gemäß der Verordnung (EU) 2024/1689 (KI-Verordnung), C(2025) 5053 final, 29. Juli 2025.

[12] ErwG. 12 S. 2 KI-VO.

[13] Vgl. auch Europäische Kommission, Leitlinien der Kommission zur Definition eines Systems der künstlichen Intelligenz gemäß der Verordnung (EU) 2024/1689 (KI-Verordnung), C(2025) 5053 final, 29. Juli 2025, Rn. 42 ff.

[14] Vgl. auch Europäische Kommission, Leitlinien der Kommission zur Definition eines Systems der künstlichen Intelligenz gemäß der Verordnung (EU) 2024/1689 (KI-Verordnung), C(2025) 5053 final, 29. Juli 2025, Rn. 49 ff.

[15] Vgl. auch Artikel 6 Absatz 3 Buchstaben a, d KI-VO.

[16] Vgl. auch Artikel 6 Absatz 3 Buchstaben b, c KI-VO.

 

Diese Handreichung als PDF (ca. 1,8MB)