DSGVO-konforme KI in Behörden — was wirklich geht

Jede Behörde, die in den letzten Monaten über KI gesprochen hat, hat denselben Satz gehört: "Aber ChatGPT dürfen wir ja nicht." Das stimmt — und bringt Verwaltungen in ein Dilemma. Auf der einen Seite: massiver Personalmangel, OZG-Druck, Aktenberge. Auf der anderen Seite: eine Technologie, die genau hier helfen könnte, aber rechtlich einen weiten Bogen um deutsche Amtsstuben macht. Die gute Nachricht: Es geht doch. Man muss nur wissen wie.

Warum Standard-KI für Behörden tabu ist

Das Problem liegt nicht in der KI selbst, sondern in der Frage: Wo werden die Daten verarbeitet? ChatGPT, Gemini und Claude laufen auf Servern in den USA. Sobald personenbezogene Daten eingegeben werden — und in einer Behörde passiert das sekundündlich — greift DSGVO Art. 44 bis 49. Drittstaatentransfer ist nur unter strengen Voraussetzungen erlaubt. Das Schrems-II-Urteil hat die USA faktisch aus dem Spiel genommen.

Hinzu kommt: Viele der großen US-Anbieter nutzen Eingaben standardmäßig zum Training ihrer Modelle. Das ist bei unternehmerischen Daten schon heikel — bei Sozialdaten, Steuerdaten oder Melderegistereinträgen ist es ein absoluter Showstopper. Mehrere Landesdatenschutzbeauftragte haben den behoerdlichen Einsatz von ChatGPT und Microsoft 365 Copilot explizit untersagt oder mit scharfen Auflagen versehen. Wer es trotzdem macht, riskiert Bußgelder und persoenliche Haftung der Verantwortlichen.

Was DSGVO-konform wirklich bedeutet

"DSGVO-konforme KI" ist mehr als nur "deutsche Server". Es ist ein Paket aus technischen, organisatorischen und vertraglichen Maßnahmen. Erstens: Datenverarbeitung ausschließlich in der EU, mit dokumentierten Auftragsverarbeitungsverträgen nach Art. 28. Zweitens: kein Training des Modells mit den Daten der Behörde — die Eingaben bleiben Eingaben, Punkt. Drittens: lückenlose Audit-Logs, damit im Zweifel nachvollzogen werden kann, wer wann was gefragt hat. Viertens: Pseudonymisierung wo moeglich, vor allem bei bürgerbezogenen Daten.

Das alles lässt sich nicht mit einem US-SaaS abhaken. Es funktioniert nur mit einer Architektur, die von Anfang an darauf ausgelegt ist — also Open-Source-Modelle, europäische Infrastruktur und saubere Dokumentation.

Der EU AI Act — neue Regeln ab 2026

Als ob DSGVO nicht genug wäre, kommt mit dem EU AI Act eine weitere Ebene hinzu. Das Gesetz klassifiziert KI-Systeme nach Risiko — von "minimal" bis "inakzeptabel". Behörden landen schnell in der Hochrisiko-Kategorie, vor allem wenn KI in Verwaltungsverfahren entscheidungsunterstützend eingesetzt wird. Das bedeutet: Risikomanagementsystem, technische Dokumentation, menschliche Aufsicht, Transparenzpflichten gegenüber Betroffenen und Konformitätsbewertung vor dem Einsatz.

Klingt aufwendig — ist es auch. Aber wer von Anfang an richtig aufsetzt, hat diese Dokumentation quasi nebenbei. Wer improvisiert, darf später hektisch nachdokumentieren oder das System komplett ablegen.

Drei konkrete Use Cases aus der Praxis

Sachbearbeiter-Assistent

Das mit Abstand dankbarste Einsatzgebiet. Ein interner KI-Assistent durchsucht Fachgesetze, Dienstanweisungen, Rundschreiben und interne Wissensdatenbanken. Sachbearbeiter stellen Fragen in natürlicher Sprache — die KI antwortet mit direkten Quellenverweisen. Typischer Effekt: Recherchezeit pro Vorgang sinkt um 30-50 Prozent, Qualität steigt, Einarbeitung neuer Kollegen wird dramatisch schneller. Größenordnung: 20.000-50.000 Euro für ein erstes System, je nach Dokumentenumfang und Integrationsaufwand.

Dokumentenverarbeitung

Antragsformulare, Rechnungen, Verträge, Bescheide — Behörden ertrinken in Papier. Eine Kombination aus OCR und LLM kann Dokumente klassifizieren, Felder extrahieren und vorstrukturiert in Fachverfahren einspielen. Klassischer ROI-Hebel: Ein Bauamt, das 2.000 Bauanträge pro Jahr bearbeitet, spart mit automatischer Vorverarbeitung mehrere Vollzeitstellen — bei einmaligen Investitionskosten von 40.000-80.000 Euro.

Buerger-Chatbot

Ein Chatbot auf der Stadtportal-Website, der 24/7 Standardfragen beantwortet: Öffnungszeiten, Zuständigkeiten, Unterlagen für den Personalausweis, Wege durch OZG-Leistungen. Das entlastet die Telefonzentrale und das Bürgeramt spuerbar. Wichtig: der Chatbot antwortet nur auf Basis gepflegter Informationen der Kommune — keine wilden Halluzinationen. Kosten: 15.000-35.000 Euro für Einrichtung, 500-2.000 Euro pro Monat Betrieb.

Die technische Realität: So sieht DSGVO-KI aus

Statt OpenAI oder Anthropic kommen offene Modelle zum Einsatz: Llama 3 von Meta (die Gewichte sind frei), Mistral aus Frankreich, oder das deutsche Projekt Teuken-7B aus Forschungsförderung des BMBF. Diese Modelle erreichen für die meisten Behörden-Use-Cases Qualitätsniveaus, die vor zwei Jahren nur GPT-4 bot. Sie laufen komplett im eigenen Rechenzentrum oder in souveräner Cloud — also zum Beispiel bei STACKIT (Schwarz Gruppe), plusserver, Open Telekom Cloud oder Hetzner.

Das Herzstück ist meistens ein RAG-System (Retrieval Augmented Generation): Die eigenen Dokumente werden in einer Vektordatenbank wie Qdrant oder Weaviate indexiert — auch diese on-premise. Bei einer Anfrage sucht das System zuerst die relevantesten Passagen aus euren Daten, danach formuliert das LLM die Antwort. Die KI bekommt nur zu sehen, was sie zur Beantwortung tatsächlich braucht. Kein Upload in die Cloud, kein Datentransfer, keine Nachträgliche Lernfunktion.

Was das realistisch kostet

Ein Pilot-Projekt, mit dem eine Behörde seriös starten kann, liegt bei 15.000-30.000 Euro. Das bringt euch einen Use Case in produktiven Betrieb, mit vollständiger Dokumentation und messbaren Ergebnissen. Eine produktive Lösung mit mehreren Use Cases bewegt sich zwischen 50.000 und 150.000 Euro — abhängig von Integrationsaufwand, Dokumentenumfang und gewünschten Zertifizierungen. Der laufende Betrieb: 2.000-5.000 Euro pro Monat für Hosting, Updates, Monitoring und gelegentliches Modell-Retraining.

Klingt viel? Zwei Zahlen zum Vergleich: Eine einzige unbesetzte Sachbearbeiter-Stelle kostet die Verwaltung jährlich 60.000-80.000 Euro an Gehaltskosten, die nicht anfallen — aber auch nichts produzieren. Und Fördermöglichkeiten gibt es reichlich: OZG-Booster, DigitalPakt, landesspezifische Digitalisierungsprogramme. Wer das Förderlandschaft kennt, bekommt bis zu 80% der Kosten erstattet.

Die häufigsten Missverständnisse

• "KI braucht die Cloud." Falsch. Moderne Open-Source-Modelle laufen auf normaler Server-Hardware. Ein Llama 3 70B läuft auf einer Maschine für ca. 15.000 Euro Anschaffungskosten.
• "Open Source ist schlechter als GPT." Falsch. Für die meisten Behörden-Anwendungsfälle (Dokumentensuche, Zusammenfassung, Klassifizierung) sind die Qualitätsunterschiede zu aktuellen Flaggschiff-Modellen minimal — und in deutschen Kontexten oft sogar besser.
• "Das dauert Jahre." Falsch. Ein Pilot ist in 8-12 Wochen einsatzbereit. Wer länger braucht, hat sich irgendwo im Prozess verirrt.
• "Wir brauchen Millionen dafür." Falsch. Mit 30.000 Euro und einer klaren Priorisierung kann man produktiv einsteigen. Größerer Rollout kommt danach, wenn der Wert nachgewiesen ist.
• "Wir brauchen erst einen Datensee." Falsch. RAG funktioniert mit den Dokumenten, die ihr sowieso schon habt — PDFs, Word-Dateien, Wiki-Einträge. Keine Datenplattform noetig.

Wie startet man? Der pragmatische Einstieg

Statt mit einer großen KI-Strategie anzufangen und nach zwei Jahren Beratung immer noch nichts Produktives zu haben, empfehlen wir den umgekehrten Weg: Erst ein kleiner, konkreter Pilot — dann skalieren. Schritt eins: ein halbtägiger Workshop mit Fach- und IT-Seite, um Use Cases zu priorisieren. Schritt zwei: einen konkreten Use Case auswählen, der messbar ist und nicht direkt in Verwaltungsentscheidungen eingreift — typisch: der Sachbearbeiter-Assistent. Schritt drei: 8-12 Wochen Entwicklung, mit echten Nutzern im Test. Schritt vier: ehrliche Evaluation — was bringt es, was fehlt noch? Schritt fünf: Rollout oder Nachsteuerung.

Wichtig ist vor allem: Von Anfang an mit IT-Sicherheit, Datenschutz und Personalrat am Tisch sitzen. Wer das hinten anstellt, bekommt bei Rollout spät und teuer die Rechnung präsentiert. Wer es von Tag eins mitdenkt, hat nebenbei die komplette Compliance-Dokumentation in der Schublade.

KI in Behörden ist keine Frage mehr von "Ob" — es ist eine Frage von "Wie". Die Technologie ist reif, die Rechtslage klärt sich, die Werkzeuge stehen bereit. Wer 2026 noch wartet, schaut später anderen Kommunen beim Abheben zu.