KI-Compliance in der öffentlichen Verwaltung

KI-Compliance in der öffentlichen Verwaltung entscheidet darüber, ob Behörden künstliche Intelligenz rechtssicher und bürgernah einsetzen dürfen. Dieser Leitfaden richtet sich an IT-Leitung, Vergabestellen und KRITIS-Betreiber, ordnet die Pflichten rund um Hochrisiko-KI ein und zeigt, wie aus der KI-Verordnung ein belastbarer Fahrplan für den hoheitlichen Einsatz wird.

Verschwommene Personen in Alltagskleidung gehen durch ein helles Großraumbüro mit weichem Bokeh-Hintergrund — ein Sinnbild für gelebte KI-Compliance in der öffentlichen Verwaltung.

1. Was bedeutet KI-Compliance in der öffentlichen Verwaltung?
2. Hochrisiko-KI im öffentlichen Sektor
3. Transparenz und Bürgerrechte
4. KI-Compliance in Vergabe und Betrieb sichern

Was bedeutet KI-Compliance in der öffentlichen Verwaltung?

KI-Compliance in der öffentlichen Verwaltung bedeutet, künstliche Intelligenz rechtssicher, transparent und gemeinwohlorientiert einzusetzen. Für Behörden gelten strengere Maßstäbe als für viele Unternehmen, weil hoheitliche Entscheidungen unmittelbar Grundrechte berühren. Ab dem 2. August 2026 greifen die Pflichten für Hochrisiko-KI nach Anhang III des EU AI Act — darunter fallen Verwaltungsanwendungen wie der Zugang zu Sozialleistungen, die Strafverfolgung oder die Migration. Genau diese Bereiche prägen den Alltag der öffentlichen Hand.

In Deutschland überwacht die Bundesnetzagentur die Einhaltung. Die Aufsicht kann Auskünfte verlangen und Verstöße ahnden. Wo künstliche Intelligenz in Behörden überhaupt ansetzt, ordnet die Übersichtsseite zur KI-Anwendung ein. Dieser Leitfaden vertieft die Pflichtenseite für Verwaltung und KRITIS. Er übersetzt die Vorgaben in konkrete Schritte für den Amtsalltag. Die sektorübergreifenden Grundlagen bündelt der Leitfaden zur KI-Compliance. Anders als die Frage nach dem Betriebsort geht es hier um konkrete rechtliche Pflichten, nicht um Technik oder Serverstandort.

Was sind typische Compliance-Themen in Behörden?

Typische Compliance-Themen in Behörden verbinden klassische Verwaltungsgrundsätze mit den neuen KI-Pflichten. Im Mittelpunkt stehen fünf Felder:

Rechtmäßigkeit: jede KI-Nutzung braucht eine gesetzliche Grundlage
Transparenz: Bürger erfahren, wenn KI beteiligt ist
Gleichbehandlung: keine Diskriminierung durch verzerrte Daten
Datenschutz: besonders strenge Anforderungen an sensible Daten
Nachvollziehbarkeit: Entscheidungen müssen begründbar bleiben

Diese Themen sind keine Kür, sondern Amtspflicht. Gute KI-Compliance in der öffentlichen Verwaltung macht sie systematisch nachprüfbar und entlastet die Beschäftigten, statt sie zusätzlich zu belasten. Ein knappes Regelwerk, das diese fünf Felder abdeckt, genügt für den Start und lässt sich später vertiefen.

Hochrisiko-KI im öffentlichen Sektor

Im öffentlichen Sektor ist Hochrisiko-KI eher Regel als Ausnahme. Viele Kernaufgaben der Verwaltung berühren existenzielle Entscheidungen über Menschen und zählen damit zur höchsten Risikoklasse. Hochrisiko-KI verlangt die volle Pflichtentiefe: Risikomanagement, Datenqualität, technische Dokumentation, Protokollierung und menschliche Aufsicht. Für Behörden heißt das, jede solche Anwendung früh zu erkennen und ihre Pflichten von Beginn an mitzuplanen. Genau hier beginnt wirksame KI-Compliance, lange bevor das erste Modell produktiv geht.

Datenqualität und menschliche Aufsicht

Eine Hochrisiko-KI ist nur so gut wie ihre Daten. Eine geprüfte Datengrundlage ist Pflicht, nicht Komfort, denn verzerrte oder lückenhafte Daten führen zu falschen und ungerechten Ergebnissen. Ebenso wichtig ist die menschliche Aufsicht: Eine KI in der Verwaltung darf vorbereiten und vorschlagen, doch die Kontrolle bleibt bei geschulten Beschäftigten. Beide Anforderungen zusammen sichern, dass eine KI in der Verwaltung nicht nur effizient, sondern auch fair und überprüfbar arbeitet. Regelmäßige Stichproben decken Verzerrungen auf, bevor sie in vielen Verfahren zugleich Schaden anrichten.

KI in der Verwaltung richtig einstufen

Auch in der Verwaltung beginnt die Pflicht mit der Einordnung. Jede behördliche KI wird einer Risikoklasse zugeordnet:

minimal: interne Hilfsmittel ohne Außenwirkung
begrenzt: Chatbots mit klarer Kennzeichnungspflicht
hoch: KI in Sozial-, Steuer- oder Sicherheitsverfahren
inakzeptabel: verbotene Praktiken wie soziale Bewertung

Erst die richtige Einstufung bestimmt den Aufwand. Eine sorgfältig dokumentierte KI in der Verwaltung schützt vor bösen Überraschungen bei späteren Prüfungen und macht KI-Compliance planbar.

Welche KI-Systeme in Behörden sind Hochrisiko?

Hochrisiko sind vor allem Systeme, die über Leistungen, Rechte oder Freiheiten entscheiden. Dazu zählen KI in der Vergabe von Sozialleistungen, in der Strafverfolgung, an den Grenzen und in der Justiz. Auch biometrische Erkennung gehört dazu. Je tiefer der Eingriff in Grundrechte, desto strenger die Auflagen. Anwendungen ohne solche Wirkung, etwa eine reine Terminbuchung, bleiben dagegen gering reguliert und einfach zu betreiben. Diese Trennung hilft, knappe Ressourcen auf die wirklich kritischen Verfahren zu lenken. Sie schützt zugleich davor, harmlose Hilfsmittel mit unnötiger Bürokratie zu überfrachten. Im Zweifel hilft eine kurze Einschätzung gemeinsam mit der Datenschutz- und IT-Sicherheitsfunktion.

Registrierungs- und Aufsichtspflichten

Hochrisiko-Systeme bringen besondere Formpflichten mit. Betreiber müssen sie vor dem Einsatz registrieren und die Aufsicht durch die Bundesnetzagentur ermöglichen. Wichtige Pflichten sind:

Registrierung der Hochrisiko-Anwendung vor dem Start
laufende Protokollierung der Systemnutzung
Meldung schwerwiegender Vorfälle
Sicherstellung der menschlichen Aufsicht

Ohne Registrierung darf ein Hochrisiko-System nicht starten. Diese Registrierungspflicht ist ein fester Teil der KI-Compliance im hoheitlichen Bereich. Die Aufsicht erwartet, dass diese Nachweise jederzeit abrufbar und aktuell gehalten werden. Wie Unternehmen vergleichbare Pflichten angehen, zeigt der Leitfaden zur KI-Compliance im Unternehmen.

Transparenz und Bürgerrechte

Transparenz ist im Staat keine Kür, sondern Voraussetzung für Vertrauen. Bürger haben ein Recht darauf zu erfahren, wenn eine KI an einer Entscheidung mitwirkt, und Anspruch auf eine nachvollziehbare Begründung. Transparenzpflicht und Diskriminierungsfreiheit stehen im Zentrum jeder KI-Compliance der öffentlichen Hand. Wo Menschen betroffen sind, zählt nicht nur das Ergebnis, sondern auch der Weg dorthin. Eine offen kommunizierte KI-Nutzung beugt Misstrauen vor, bevor es entsteht. Schon ein klarer Hinweis am Bescheid oder im Bürgerportal erfüllt einen großen Teil dieser Pflicht.

KI in der Verwaltung nachvollziehbar machen

Nachvollziehbarkeit entsteht durch Dokumentation, nicht durch Vertrauen. Jede behördliche KI sollte festhalten, welche Daten sie nutzt und wie ein Ergebnis zustande kommt. Die rechtlich bindende Entscheidung bleibt dabei beim Menschen, gerade bei Verfahren mit Ermessensspielraum. Wie sich Vorgaben in prüfbare Abläufe gießen lassen, zeigt die IT-Compliance als organisatorischer Rahmen. So bleibt KI in der Verwaltung jederzeit erklärbar und im Streitfall gerichtsfest belegbar. Diese Dokumentation kostet wenig, wenn sie von Anfang an mitläuft, statt später rekonstruiert zu werden.

NIS-2 und KRITIS im Überblick

Neben der KI-Verordnung greift in kritischen Bereichen die NIS-2-Richtlinie. Sie verlangt von Behörden und KRITIS-Betreibern ein hohes Niveau an Cybersicherheit, das auch KI-Systeme einschließt. Sichere KI und sichere Infrastruktur gehören zusammen. Die Details der Lieferkette nach NIS-2 sind ein eigenes Thema; hier zählt zunächst, dass KI-Anwendungen sauber in den bestehenden Sicherheitsrahmen eingebettet werden. Für KRITIS gilt das in besonderem Maße, weil ein Ausfall unmittelbar die Versorgung trifft. Eine gemeinsame Sicht auf KI-Risiken und Cyberrisiken erspart doppelte Arbeit in getrennten Teams. So bleibt der Aufwand beherrschbar, auch wenn Vorgaben aus mehreren Gesetzen zusammenkommen.

KI-Compliance in Vergabe und Betrieb sichern

KI-Compliance entscheidet sich oft schon in der Beschaffung. Wer KI einkauft, kann Pflichten vertraglich auf Anbieter übertragen — aber nur, wenn die Anforderungen klar im Verfahren stehen. Compliance gehört in jede Ausschreibung, nicht erst in den Betrieb. So wird KI-Compliance in der öffentlichen Verwaltung von Anfang an steuerbar statt nachträglich teuer. Ein gut formuliertes Verfahren erspart später langwierige Nachverhandlungen. Damit verlagert sich die Prüfung von der Betriebsphase in die Beschaffung, wo sie deutlich günstiger ausfällt. Frühe Klarheit im Verfahren schützt am Ende auch die Anbieter vor unklaren Erwartungen.

Compliance in Beschaffung und Vergabe

Die Vergabe ist der wirksamste Hebel. Klare Kriterien zu Dokumentation, Datenschutz und menschlicher Aufsicht im Vergaberecht verpflichten Anbieter von Beginn an. Damit Vorgaben technisch nachvollziehbar bleiben, lohnt es sich, Prüfbarkeit früh in den Software-Lebenszyklus einzuplanen. Veraltete Fachverfahren erschweren das jedoch oft erheblich. Sie lassen sich nur mit hohem Aufwand prüfbar machen. Dann kann es sinnvoll sein, eine Fachanwendung abzulösen, statt sie aufwendig nachzurüsten. So entsteht von Beginn an eine Grundlage, die spätere Prüfungen ohne Hektik übersteht.

KI-Compliance dauerhaft sichern

KI-Compliance endet nicht mit der Inbetriebnahme. Modelle, Bedrohungen und Gesetze ändern sich, Nachweise veralten. Ein verlässlicher Wartungs- und Support-Service hält Modelle, Sicherheit und Dokumentation aktuell. Feste Verantwortliche stellen sicher, dass keine Aufgabe zwischen den Zuständigkeiten verloren geht. Drei Routinen sichern den Betrieb dauerhaft:

Risikoeinstufung und Registrierung aktuell halten
Protokolle und Zugriffsrechte regelmäßig prüfen
neue Pflichten aus EU-Recht zeitnah einarbeiten
Schulungen für Beschäftigte auffrischen

So bleibt KI-Compliance in der öffentlichen Verwaltung dauerhaft prüfbar, belastbar und für jede Aufsicht nachvollziehbar.

FAQs

Gilt der EU AI Act auch für Behörden?

Ja. Die KI-Verordnung gilt ausdrücklich auch für staatliche Stellen, wenn sie KI entwickeln oder einsetzen. Gerade Behörden betreiben häufig Hochrisiko-KI, etwa in Sozial-, Sicherheits- oder Migrationsverfahren, und tragen damit umfangreiche Pflichten zu Dokumentation, Aufsicht und Transparenz.

Welche Schritte umfasst KI-Compliance in der Verwaltung?

KI-Compliance in der Verwaltung folgt einem klaren Ablauf. Zuerst entsteht ein Inventar aller eingesetzten KI-Systeme mit Zweck und Verantwortlichen. Danach wird jedes System einer Risikoklasse zugeordnet, wobei Hochrisiko-Anwendungen besondere Aufmerksamkeit verlangen. Es folgen Risikobewertung, technische Dokumentation und die Registrierung der Hochrisiko-Systeme. Parallel werden Transparenz gegenüber Bürgern, menschliche Aufsicht und Datenschutz sichergestellt. Schließlich sorgen feste Routinen dafür, dass Nachweise, Protokolle und Schulungen aktuell bleiben. So entsteht ein nachvollziehbarer Kreislauf, der bei jeder Prüfung Bestand hat.

Wie unterstützt TenMedia Behörden bei der KI-Compliance?

TenMedia setzt die technische und organisatorische Seite um: KI-Systeme erfassen, sicher anbinden, Protokolle und Datenflüsse revisionssicher dokumentieren und über einen Wartungs- und Support-Service aktuell halten. Auf Wunsch schulen wir die Beschäftigten praxisnah und unterstützen bei der Aufbereitung für Vergabe und Aufsicht. So wird KI-Compliance in der öffentlichen Verwaltung planbar und nachweisbar.