Generative Sprachmodelle, automatisierte Bildauswertung oder Prognosealgorithmen: Künstliche Intelligenz ist längst im Arbeitsalltag der Bundesverwaltung angekommen. Gleichzeitig hat die EU mit dem neuen AI Act einen risikobasierten Rechtsrahmen geschaffen, der Chancen fördern und Grundrechte schützen soll. Zusammen mit den jüngst veröffentlichten Leitlinien des Bundesinnenministeriums entsteht ein Pflichtenkatalog, der Behörden wie Unternehmen vor große organisatorische und rechtliche Herausforderungen stellt. Der folgende Beitrag fasst die wichtigsten Eckpunkte zusammen und zeigt, worauf Praxisverantwortliche jetzt achten müssen.
Risikoklassen, Verbote und Pflichten – das Kernstück des AI Act
Der AI Act unterscheidet vier Risikostufen. Systeme ohne erkennbares Risiko bleiben weitgehend frei, während leicht riskante Anwendungen Transparenzpflichten erfüllen müssen. Für Hochrisiko-Systeme – etwa in Medizin, Verkehr oder Verwaltung – gelten strenge Vorgaben zu Datenqualität, Dokumentation, Überwachung und menschlicher Aufsicht. Anwendungen, die Grundrechte unmittelbar verletzen könnten, sind pauschal untersagt. Dazu gehören flächendeckende Emotionserkennung am Arbeitsplatz, Social-Scoring oder der ungezielte Abgleich biometrischer Daten. Verstöße können künftig Bußgelder im hohen zweistelligen Millionenbereich nach sich ziehen. Übergangsfristen von bis zu zwei Jahren geben Verwaltungen zwar Zeit, doch die Anforderungen an Technik, Organisation und Dokumentation entstehen schon heute.
Fünf Leitprinzipien des BMI – Wertekompass für die Verwaltung
Die Ministerialleitlinien übertragen das europäische Regelwerk auf die öffentliche Hand und liefern einen praxisnahen Werterahmen. Erstens steht das Gemeinwohl im Mittelpunkt: KI soll menschliche Handlungsspielräume erweitern, nicht ersetzen. Zweitens gilt ein strenges Transparenz- und Rechenschaftsgebot, damit Entscheidungen nachvollziehbar bleiben. Drittens fordern die Leitlinien technische und soziale Robustheit; Systeme müssen manipulationsresistent sein und dürfen keine Diskriminierung befördern. Viertens wird Kompetenzaufbau betont: Mitarbeitende brauchen Schulungen, um Automatismen kritisch zu prüfen. Fünftens verlangt das Papier ressourcenschonende Lösungen, um Energie- und Hardwarebedarf zu senken und digitale Abhängigkeiten zu vermeiden.
Nutzende versus Behörden – geteilte Verantwortung
Die Leitlinien unterscheiden klar zwischen Endnutzenden und Behördenleitung. Nutzende müssen Daten sparsam eingeben, sensible Informationen schützen und KI-Ausgaben fachlich verifizieren. Behörden wiederum haben Freigabe- und Auswahlpflichten: Sie entscheiden, welche Systeme dienstlich zulässig sind, legen Einsatzbereiche fest, schaffen sichere IT-Infrastrukturen und regeln Schulungen. Ohne schriftliche Entscheidung der Behördenführung ist ein produktiver Einsatz grundsätzlich tabu. Damit greift das Prinzip „menschliche Letztverantwortung“ des AI Act nahtlos in die deutsche Verwaltungspraxis.
Schnittstellen und Konfliktfelder – wo AI Act und Leitlinien sich treffen
Beide Regelwerke arbeiten risikobasiert, betonen Transparenz, menschliche Aufsicht und Diskriminierungsfreiheit. Doch in der Umsetzung lauern Stolpersteine:
– **Erklärbarkeit**: Der AI Act verlangt nachvollziehbare Modelle; die Leitlinien fordern sogar, jedes Ergebnis notfalls bis auf Eingabefaktoren zurückzuverfolgen. Bei komplexen neuronalen Netzen bleibt das technisch schwierig.
– **Datenherkunft**: Beide Texte setzen auf repräsentative, rechtmäßige Trainingsdaten. In der Praxis ist oft unklar, welche Alt-Daten tatsächlich frei von Verzerrungen oder Schutzrechten sind.
– **Biometrie**: Während der AI Act bestimmte Gesichtserkennung verbietet, nutzen Kommunen bereits Pilotprojekte zur Video-Auswertung. Hier drohen Konflikte zwischen Digitalisierungseifer und europäischem Verbot.
Praktische Hürden – von Beweisfragen bis Lock-in
Selbst wenn ein System rechtlich zulässig ist, bleibt die Umsetzung heikel. Kommt es etwa zu einer Abgabeleistung, die ausschließlich auf KI-Analysen basiert, muss die Behörde im Streitfall nachweisen, dass Eingangsdaten korrekt waren und das Modell fehlerfrei gearbeitet hat. Viele heute verfügbare Services sind Cloud-basiert; Nachvollziehbarkeit und Beweissicherung liegen damit teils beim Anbieter – ein Albtraum, wenn dieser seine Plattform ändert oder insolvent wird. Hinzu kommt die Gefahr eines Vendor-Lock-in: Ist ein Modell tief in Fachverfahren integriert, wird der spätere Wechsel teuer und technisch riskant.
Zeit für den Fachanwalt – warum juristische Begleitung unverzichtbar ist
Die Geltendmachung oder Abwehr von Ansprüchen rund um KI-Einsätze wird komplex. Kläger können sich auf das Transparenz-Gebot oder Informationsfreiheitsrechte berufen, während Behörden Geheimhaltungs- und Datenschutzinteressen wahren müssen. Oft fehlt es an Präzedenzfällen, sodass Verfahren sich über Jahre ziehen können. Ein spezialisierter Rechtsanwalt kann bereits bei der Systemauswahl prüfen, ob Vertragsklauseln zur Haftungsfreistellung, zum Datenzugriff oder zur forensischen Auswertung ausreichen. Spätestens im Konfliktfall kann er Beweisanträge formulieren, Fristen wahren und die Belastbarkeit digitaler Nachweise bewerten.
Handlungsempfehlungen für Behörden
1. **Risikoanalyse früh verankern**: Vor jeder Beschaffung prüfen, ob der geplante Anwendungsfall in eine Hochrisiko-Kategorie fällt oder gar verboten sein könnte.
2. **Governance strukturieren**: Klare Rollen, Entscheidungs- und Dokumentationspfade etablieren; Personalrat und Schwerbehindertenvertretung früh einbinden.
3. **Technik souverän betreiben**: Wo möglich auf eigene oder europäische Infrastrukturen setzen, Verschlusssachen nur in freigegebenen Umgebungen verarbeiten und offene Schnittstellen bevorzugen.
4. **Datensparsam arbeiten**: Standardmäßig nur öffentliche Informationen eingeben; personenbezogene Daten erst nach juristischer Prüfung und technischen Schutzmaßnahmen zulassen.
5. **Schulungen verankern**: Pflichtmodule zu Prompt-Design, Halluzinationskontrolle und Datenschutz in die IT-Fortbildung aufnehmen; automatisierte Ergebnisse nie unbesehen übernehmen.
6. **Verträge wasserdicht machen**: Audit-Rechte, Quell- und Trainingsdatenzugriff, Exit-Klauseln und Konventionalstrafen bei Verstößen verhandeln.
Fazit – Chancen nutzen, Risiken beherrschen
Der AI Act setzt europaweit Maßstäbe, die BMI-Leitlinien übersetzen sie in den deutschbehördlichen Alltag. Das Ergebnis ist ein ambitionierter, aber realistischer Rahmen, der Innovation erlaubt und Grundrechte schützt. Entscheidend wird sein, ob Behörden die zahlreichen Einzelfragen – vom Beweismanagement über Schulungsangebote bis hin zur Energieeffizienz – konsequent adressieren. Je früher Juristen, IT-Security, Fachabteilungen und Datenschutzbeauftragte zusammenarbeiten, desto eher lassen sich dystopische Szenarien vermeiden und vertrauenswürdige Anwendungen fördern. Die Erfahrung zeigt: Wo frühzeitig Rechtsrat eingeholt und Prozesse sauber dokumentiert werden, entfaltet KI ihr Potenzial, ohne zur Haftungsfalle zu werden.
Rechtsanwalt Nils Michael Becker aus Bad Honnef bei Bonn ist mit seiner Kanzlei auf Tierrecht, Datenschutz und Vereinsrecht spezialisiert. Er ist Partner und Dozent an der Tierechtsakademie in Bielefeld und unterrichtet regelmäßig an der Akademie des Deutschen Beamtenbundes (dbb Akademie). Einfache und schnelle Terminvereinbarung unter nilsbecker.de/telefontermin.“