KI im öffentlichen Sektor: Warum Behörden auf europäische Lösungen setzen müssen

Die öffentliche Verwaltung in Deutschland steht vor einem Paradox: Einerseits verwaltet sie die komplexeste Bürokratie Europas mit über 575 Verwaltungsleistungen, die laut Onlinezugangsgesetz (OZG) digitalisiert werden müssen. Andererseits arbeiten viele Behörden im Jahr 2026 noch mit Faxgeräten, Papierakten und IT-Systemen, deren Architektur aus den frühen 2000er-Jahren stammt. Der eGovernment MONITOR 2025 der Initiative D21 zeigt: Nur 54 % der Verwaltungsleistungen sind digital verfügbar — und von denen, die es sind, bewerten Bürger nur 38 % als „gut nutzbar".

Das OZG, 2017 mit dem ambitionierten Ziel verabschiedet, alle Verwaltungsleistungen bis Ende 2022 zu digitalisieren, hat diese Frist spektakulär verfehlt. Das OZG-Änderungsgesetz (OZGÄndG), das im Juli 2024 in Kraft trat, setzt nun auf einen stufenweisen Ansatz mit Priorisierung der meistgenutzten Leistungen. Doch die Grundproblematik bleibt: Die Verwaltung muss in wenigen Jahren nachholen, was die Privatwirtschaft in zwei Jahrzehnten aufgebaut hat — und das mit weniger Personal als je zuvor.

Der Fachkräftemangel trifft den öffentlichen Dienst besonders hart. Der Deutsche Beamtenbund (dbb) beziffert den Personalmangel in der Verwaltung auf über 360.000 Stellen. Bis 2030 gehen rund 1,3 Millionen Beschäftigte im öffentlichen Dienst in den Ruhestand — das ist mehr als ein Viertel der Gesamtbelegschaft. Gleichzeitig konkurrieren Behörden mit der Privatwirtschaft um IT-Fachkräfte und verlieren diesen Wettbewerb regelmäßig, weil sie bei Gehältern und Flexibilität nicht mithalten können.

Parallel steigen die Erwartungen der Bürger. Wer bei seiner Bank in Echtzeit Überweisungen tätigt, bei Amazon in Sekunden Bestellstatus abruft und mit seinem Versicherer per Chat kommuniziert, akzeptiert nicht mehr, dass ein Bauantrag sechs Monate liegt und für eine Meldebescheinigung ein persönlicher Behördenbesuch nötig ist. Die EU-Kommission formuliert in ihrer Digitalstrategie 2030 das Ziel, dass 100 % der wesentlichen öffentlichen Dienste online verfügbar sein sollen. Deutschland ist von diesem Ziel weiter entfernt, als die meisten Bürger ahnen.

Künstliche Intelligenz ist in diesem Kontext keine Spielerei und kein Innovationstheater. Sie ist die einzige realistische Möglichkeit, den Digitalisierungsrückstand aufzuholen, ohne den Personalbestand zu verdoppeln. Aber — und das ist der entscheidende Punkt — nicht jede KI ist für den öffentlichen Sektor geeignet. Die Anforderungen an Datenschutz, Souveränität und Rechtssicherheit sind im Behördenumfeld um Größenordnungen höher als in der Privatwirtschaft.

Wenn eine Kommune, ein Landratsamt oder ein Bundesministerium KI einsetzen möchte, gelten andere Regeln als für ein mittelständisches Unternehmen. Behörden verarbeiten hoheitliche Daten: Meldedaten, Sozialdaten, Gesundheitsinformationen, Steuerdaten, Strafregistereinträge. Diese Daten unterliegen nicht nur der DSGVO, sondern zusätzlich den Landesdatenschutzgesetzen, dem Sozialgesetzbuch (SGB X), der Abgabenordnung (§ 30 AO) und — bei sicherheitsrelevanten Bereichen — dem Sicherheitsüberprüfungsgesetz (SÜG) und der Verschlusssachenanweisung (VSA).

In diesem Rechtsrahmen ist der Einsatz von US-amerikanischen KI-Systemen nicht nur riskant — er ist in vielen Fällen rechtswidrig. Der CLOUD Act (18 U.S.C. § 2713) verpflichtet jedes US-Unternehmen, auf Anordnung von US-Behörden Daten herauszugeben — unabhängig vom Speicherort. Wenn eine deutsche Behörde personenbezogene Bürgerdaten über ein US-KI-Modell verarbeitet, kann das US-Justizministerium theoretisch Zugriff auf diese Daten verlangen. Dass dies bei Sozialdaten, Steuerdaten oder Gesundheitsinformationen inakzeptabel ist, bedarf keiner weiteren Erläuterung.

Der EuGH hat in der Rechtssache C-311/18 (Schrems II) unmissverständlich festgestellt, dass das US-Datenschutzniveau nicht dem europäischen Standard entspricht. FISA Section 702 und Executive Order 12333 ermöglichen anlasslose Massenüberwachung ohne wirksamen Rechtsschutz für EU-Bürger. Das EU-US Data Privacy Framework (DPF) von Juli 2023 basiert auf einer Exekutivanordnung des US-Präsidenten, die jederzeit widerrufen werden kann — eine Grundlage, die für hoheitliche Datenverarbeitung schlicht unzureichend ist.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert in seinen IT-Grundschutz-Bausteinen klare Anforderungen an Cloud-Dienste für Behörden. Der Baustein OPS.1.1.5 „Cloud-Nutzung" verlangt unter anderem, dass „die Datenhoheit beim Cloud-Anwender verbleibt" und dass „der Cloud-Diensteanbieter die Daten nicht ohne Wissen des Auftraggebers an Dritte weitergeben darf". Bei US-Anbietern unter CLOUD Act ist genau das nicht garantierbar. Das BSI empfiehlt explizit, für Verschlusssachen und sicherheitsrelevante Daten ausschließlich Dienste zu nutzen, die keiner außereuropäischen Rechtsordnung unterliegen.

Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat wiederholt darauf hingewiesen, dass der Einsatz von US-Cloud-Diensten durch öffentliche Stellen besonderer Rechtfertigung bedarf. In der Praxis bedeutet das: Ein Datenschutzbeauftragter, der den Einsatz von OpenAI, Google Gemini oder Amazon Bedrock in einer Behörde genehmigt, trägt ein erhebliches Haftungsrisiko — persönlich. Die einzige rechtssichere Alternative ist eine KI-Plattform, die vollständig europäischem Recht unterliegt: europäischer Anbieter, europäisches KI-Modell, europäisches Hosting.

Die technischen Anforderungen an eine KI-Plattform im Behördenumfeld gehen weit über das hinaus, was im privatwirtschaftlichen Kontext üblich ist. Die IT-Grundschutz-Standards des BSI, das Anforderungsprofil des IT-Planungsrats und die technischen Richtlinien der Bundesbeauftragten für den Datenschutz (BfDI) definieren einen Rahmen, der keine Kompromisse erlaubt. Jede KI-Plattform, die in der öffentlichen Verwaltung eingesetzt werden soll, muss diese Anforderungen nicht nur kennen, sondern nachweisbar erfüllen.

1. Hosting auf deutschen oder EU-Servern — ohne Ausnahme

Die Datenverarbeitung muss vollständig auf Servern stattfinden, die in der EU stehen und von einem EU-Unternehmen betrieben werden. Ein „EU-Rechenzentrum" eines US-Konzerns reicht nicht aus — der CLOUD Act greift trotzdem. Für Behörden mit erhöhtem Schutzbedarf (z.B. Polizei, Justiz, Geheimdienste) kommen nur Server in Deutschland in Betracht, betrieben von deutschen Unternehmen, die keiner außereuropäischen Konzernstruktur angehören. Das BSI zertifiziert solche Rechenzentren nach ISO 27001 auf Basis von IT-Grundschutz.

2. Strikte Mandantentrennung

Wenn mehrere Behörden eine gemeinsame Plattform nutzen, muss eine technische Mandantentrennung sicherstellen, dass die Daten einer Kommune nicht für eine andere sichtbar oder zugänglich sind — auch nicht versehentlich. Ein einfacher Datenbankfilter genügt hier nicht. Die Trennung muss auf Infrastrukturebene erfolgen: separate Datenbank-Schemas, separate Vektorräume für die KI-Suche, JWT-basierte Isolation, bei der die Tenant-Zuordnung nicht manipulierbar ist. Für Verschlusssachen der Stufe VS-NfD und höher schreibt die VSA eine physische Trennung vor.

3. Lückenlose Audit-Logs und Aktenführung

Die öffentliche Verwaltung unterliegt der Registraturpflicht und den Grundsätzen ordnungsmäßiger Aktenführung. Jede Interaktion mit einem KI-System — ob eine Suchanfrage, eine generierte Antwort, ein analysiertes Dokument oder eine automatisierte Entscheidungsunterstützung — muss lückenlos dokumentiert sein. Der Audit-Trail muss manipulationssicher sein und mindestens Zeitstempel, Nutzer-ID, durchgeführte Aktion, Eingabe und Ausgabe enthalten. Für die Archivierung gelten die Fristen der jeweiligen Aktenordnung — bei manchen Verwaltungsakten zehn Jahre und mehr. Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) und Art. 26 Abs. 5 EU AI Act (Protokollpflicht für Deployer) greifen hier ineinander.

4. Granulare Rollenkonzepte

Behörden arbeiten mit klar definierten Zuständigkeiten. Ein Sachbearbeiter darf andere Daten sehen als ein Amtsleiter, ein Datenschutzbeauftragter braucht Einsicht in die Audit-Logs, aber nicht in die Fachdaten. Eine behördentaugliche KI-Plattform muss ein rollenbasiertes Zugriffsmodell (RBAC) unterstützen, das sich an der Organisationsstruktur der Behörde orientiert. Mindestens vier Rollen sind nötig: Administrator, Fachanwender, Leseberechtigter und Auditor. Besser: ein konfigurierbares Rollensystem, das sich an die Besonderheiten jeder Behörde anpassen lässt. Das BSI verlangt im Baustein ORP.4 „Identitäts- und Berechtigungsmanagement" die konsequente Umsetzung des Prinzips der minimalen Berechtigung.

5. Europäisches KI-Modell

Das zugrundeliegende Sprachmodell muss von einem europäischen Anbieter stammen, der europäischem Recht unterliegt. Mistral AI aus Frankreich ist derzeit das führende europäische Sprachmodell mit Enterprise-Qualität. Mistral unterliegt der französischen CNIL und der DSGVO — nicht dem CLOUD Act, nicht FISA Section 702, nicht Executive Order 12333. Für Behörden ist das kein „Nice-to-have", sondern eine notwendige Bedingung für den rechtmäßigen Einsatz. Ein KI-Modell, das einer außereuropäischen Rechtsordnung unterliegt, kann die datenschutzrechtlichen Anforderungen an die hoheitliche Datenverarbeitung strukturell nicht erfüllen.

KI in der öffentlichen Verwaltung ist kein Zukunftsszenario — es gibt bereits heute klare, umsetzbare Anwendungsfälle, die den Alltag in Behörden fundamental verbessern können. Die folgenden Szenarien sind keine Gedankenexperimente, sondern praxiserprobte Einsatzfelder, die sich mit einer DSGVO-konformen KI-Plattform sofort umsetzen lassen.

Wissensmanagement: Gesetze, Verordnungen und Verwaltungsvorschriften durchsuchbar machen

Ein Sachbearbeiter im Sozialamt arbeitet täglich mit dem SGB II, SGB XII, den zugehörigen Durchführungsverordnungen, den Weisungen der Bundesagentur für Arbeit und den kommunalen Richtlinien. Das sind tausende Seiten Rechtstext, die sich ständig ändern. Wenn ein Bürger eine Frage zu seiner Leistungsberechtigung stellt, muss der Sachbearbeiter die richtige Norm finden, den aktuellen Stand prüfen und die Auslegungshinweise berücksichtigen. Laut einer Studie des Normenkontrollrats verbringen Verwaltungsmitarbeiter bis zu 30 % ihrer Arbeitszeit mit dem Suchen und Zusammenstellen von Informationen.

Eine KI-gestützte Wissensbasis ändert das fundamental. Alle relevanten Rechtstexte, Verwaltungsvorschriften, Auslegungshinweise und internen Leitfäden werden in die Wissensbasis geladen. Die KI versteht den Inhalt semantisch — nicht als Volltextsuche, sondern mit echtem Kontextverständnis. Der Sachbearbeiter fragt in natürlicher Sprache: „Welche Einkommensgrenzen gelten für den Wohngeldanspruch bei einer dreiköpfigen Familie in Bonn?" Die KI findet die relevanten Paragraphen im WoGG, die aktuelle Mietstufe für Bonn und die geltenden Einkommensgrenzen — in Sekunden statt in Minuten.

Bürgeranfragen automatisieren

Jedes Bürgeramt, jede Kommune, jede Kreisverwaltung beantwortet täglich hunderte gleichartiger Anfragen: Öffnungszeiten, Zuständigkeiten, benötigte Unterlagen, Verfahrensdauer, Gebühren. Diese Anfragen binden qualifiziertes Personal, das für komplexere Aufgaben fehlt. Ein KI-gestützter Chatbot auf der Website der Kommune oder ein VoiceBot an der Telefonzentrale kann 70–80 % dieser Standardanfragen automatisch beantworten — rund um die Uhr, ohne Wartezeiten, in klarer Sprache. Der Chatbot greift auf die Wissensbasis der Behörde zu und beantwortet Fragen wie: „Welche Unterlagen brauche ich für die Ummeldung?", „Wie lange dauert die Bearbeitung eines Reisepasses?" oder „An wen wende ich mich bei einem Widerspruch gegen den Grundsteuerbescheid?"

Entscheidend ist dabei die Transparenzpflicht nach Art. 50 EU AI Act: Der Chatbot muss sich zu Beginn als KI-System identifizieren. Und ebenso entscheidend: Für komplexe Anliegen muss ein nahtloser Übergang an einen menschlichen Sachbearbeiter möglich sein. KI ersetzt nicht den Beamten — sie entlastet ihn, damit er sich auf die Fälle konzentrieren kann, die menschliches Urteilsvermögen erfordern.

Dokumentenanalyse und Vorgangsbearbeitung

Behörden verarbeiten Berge von Dokumenten: Anträge, Bescheide, Stellungnahmen, Gutachten, Eingaben. Viele dieser Dokumente enthalten strukturierte Informationen, die manuell in Fachverfahren übertragen werden müssen — Name, Aktenzeichen, Antragsdaten, Beträge, Fristen. Eine KI-gestützte Dokumentenanalyse kann diese Daten automatisch extrahieren, gegen das Fachverfahren abgleichen und dem Sachbearbeiter als vorausgefüllten Datensatz zur Prüfung und Freigabe vorlegen. Die Fehlerquote bei manueller Datenübertragung liegt erfahrungsgemäß bei 2–5 %. KI-gestützte Extraktion erreicht Genauigkeitsraten von über 95 % — und die verbleibenden 5 % werden durch die menschliche Prüfung aufgefangen.

Prozessautomatisierung

Verwaltungsprozesse folgen definierten Abläufen: Antragstellung, Vollständigkeitsprüfung, Sachbearbeitung, Anhörung, Bescheiderstellung, Zustellung, Rechtsmittelbelehrung. Viele dieser Schritte sind regelbasiert und lassen sich automatisieren. Ein Antrag auf Wohngeld etwa durchläuft definierte Prüfschritte — Einkommensnachweis vorhanden, Mietbescheinigung vorhanden, Haushaltsgröße plausibel — die eine KI-Plattform automatisch abarbeiten kann. Der Sachbearbeiter erhält einen vorgeprüften Vorgang mit einer Empfehlung, statt bei null zu beginnen. Das beschleunigt die Bearbeitung, reduziert Fehler und schafft Kapazität für die Fälle, die echte Ermessensausübung erfordern.

Der EU AI Act (Verordnung (EU) 2024/1689) betrifft die öffentliche Verwaltung in besonderem Maße. Der Gesetzgeber hat erkannt, dass KI-Systeme in den Händen des Staates eine andere Wirkmacht haben als in der Privatwirtschaft — weil staatliches Handeln nicht optional ist. Wer einen Bescheid von einer Behörde erhält, kann dem nicht einfach ausweichen wie einem Produkt, das ihm nicht gefällt. Deshalb gelten für den öffentlichen Sektor verschärfte Regeln.

Art. 6 und Anhang III: Hochrisiko-KI in Behörden

Anhang III des AI Act listet die Einsatzgebiete auf, in denen KI-Systeme automatisch als Hochrisiko eingestuft werden. Mehrere dieser Bereiche betreffen unmittelbar die öffentliche Verwaltung:

• Zugang zu wesentlichen öffentlichen Dienstleistungen und Leistungen (Nr. 5 lit. a) — KI-Systeme, die über den Zugang zu oder die Gewährung von Sozialleistungen, öffentlichen Dienstleistungen oder Gesundheitsversorgung entscheiden oder diese maßgeblich beeinflussen
• Strafverfolgung (Nr. 6) — KI-Systeme zur Risikobewertung, zur Erkennung von Straftaten, zur Profilerstellung oder zur Beweiswürdigung
• Migration, Asyl und Grenzkontrolle (Nr. 7) — KI-Systeme, die bei der Prüfung von Asylanträgen, bei Risikobewertungen oder bei der Verifizierung von Dokumenten eingesetzt werden
• Rechtspflege und demokratische Prozesse (Nr. 8) — KI-Systeme, die Gerichte bei der Anwendung von Rechtsvorschriften oder der Beurteilung von Sachverhalten unterstützen

Wenn eine Behörde KI in einem dieser Bereiche einsetzt, gelten die strengsten Anforderungen des AI Act (Art. 8–15): Risikomanagementsystem, Datenqualitätsanforderungen, technische Dokumentation, Aufzeichnungspflichten, Transparenz, menschliche Aufsicht und Genauigkeitsnachweise. Das sind keine optionalen Best Practices — es sind gesetzliche Pflichten mit Bußgeldern von bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes.

Transparenz- und Dokumentationspflichten

Art. 26 AI Act regelt die Pflichten der Deployer — also der Behörden, die KI-Systeme einsetzen. Die Pflichten sind umfangreich: Deployer von Hochrisiko-KI müssen sicherstellen, dass eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt wird (Art. 26 Abs. 9 AI Act). Sie müssen die automatisch erzeugten Protokolle des KI-Systems mindestens sechs Monate aufbewahren (Art. 26 Abs. 6). Und sie müssen natürliche Personen, die von automatisierten Entscheidungen betroffen sind, über den KI-Einsatz informieren (Art. 26 Abs. 11) — eine Pflicht, die über die allgemeine Transparenzpflicht des Art. 50 hinausgeht.

Für die öffentliche Verwaltung kommt eine weitere Dimension hinzu: das Verwaltungsverfahrensgesetz (VwVfG). § 35a VwVfG regelt den vollständig automatisierten Erlass von Verwaltungsakten und verlangt, dass die Behörde die Entscheidungsfindung nachvollziehbar dokumentiert. Wenn KI bei der Entscheidungsvorbereitung zum Einsatz kommt, muss die Behörde belegen können, welche Daten die KI herangezogen hat, welche Empfehlung sie gegeben hat und wie die finale Entscheidung zustande kam. Eine KI-Plattform ohne lückenlose Audit-Logs ist in diesem Kontext schlicht nicht einsetzbar.

Die Fristen sind klar: Die Hochrisiko-Anforderungen für Behörden greifen ab dem 2. August 2026. Die Transparenzpflichten für Chatbots und VoiceBots gelten bereits seit dem 2. August 2025. Behörden, die jetzt erst mit der Evaluation beginnen, haben ein knappes Zeitfenster — denn ein Beschaffungsprozess nach EVB-IT und Vergaberecht dauert erfahrungsgemäß sechs bis zwölf Monate.

Die öffentliche Verwaltung steht vor einer Richtungsentscheidung. Der Digitalisierungsrückstand ist real, der Fachkräftemangel wird sich verschärfen, die Erwartungen der Bürger steigen. Künstliche Intelligenz ist das wirksamste Werkzeug, um diesen Herausforderungen zu begegnen — aber nur, wenn sie auf einem rechtlich tragfähigen Fundament steht.

Die Fakten sind eindeutig: US-amerikanische KI-Systeme unterliegen dem CLOUD Act und können den datenschutzrechtlichen Anforderungen an hoheitliche Datenverarbeitung strukturell nicht genügen. Der EuGH hat in Schrems II die Unzulänglichkeit des US-Datenschutzniveaus festgestellt. Das BSI empfiehlt für sicherheitsrelevante Anwendungen ausschließlich Dienste unter europäischer Rechtsordnung. Und der EU AI Act stellt an den öffentlichen Sektor besonders hohe Anforderungen an Transparenz, Dokumentation und menschliche Aufsicht.

Die Konsequenz ist nicht, auf KI zu verzichten — das können sich Behörden angesichts des Digitalisierungsdrucks nicht leisten. Die Konsequenz ist, auf europäische KI zu setzen. Europäisches Hosting auf deutschen Servern, europäische Sprachmodelle wie Mistral, vollständige Mandantentrennung, lückenlose Audit-Logs und granulare Rollenkonzepte — das sind keine Premium-Features, sondern die Grundvoraussetzungen für den behördlichen KI-Einsatz.

Es geht nicht nur um Compliance. Es geht um digitale Souveränität. Ein Staat, der seine Verwaltungsprozesse über US-Infrastruktur und US-KI-Modelle abwickelt, macht sich abhängig — technologisch, rechtlich und politisch. Die europäische KI-Landschaft ist 2026 reif genug, um diese Abhängigkeit zu vermeiden. Wer jetzt handelt, baut Verwaltungsinfrastruktur, die nicht beim nächsten Schrems-Urteil oder der nächsten US-Präsidialverordnung ins Wanken gerät.

Nexoria bietet genau diese Architektur: eine KI-Plattform, die von Grund auf für die Anforderungen des öffentlichen Sektors gebaut ist — deutsche Server bei Hetzner, europäisches KI-Modell von Mistral, Mandantentrennung auf Datenbankebene, unveränderliche Audit-Logs und ein Rollenkonzept, das sich an Behördenstrukturen orientiert. Keine nachgerüstete Compliance, sondern Datenschutz als Architekturprinzip.

Erfahren Sie mehr über den Einsatz von Nexoria im öffentlichen Sektor oder vereinbaren Sie ein Beratungsgespräch mit unserem Team. Wir zeigen Ihnen, wie eine behördentaugliche KI-Plattform in Ihrer Verwaltung aussehen kann — DSGVO-konform, EU-AI-Act-ready und unabhängig von US-Infrastruktur.

Quellen: Verordnung (EU) 2024/1689 (EU AI Act), OZG und OZGÄndG, DSGVO Art. 25/28/32/35, BSI IT-Grundschutz-Kompendium (OPS.1.1.5, ORP.4), VwVfG § 35a, EuGH Rs. C-311/18 „Schrems II", CLOUD Act 18 U.S.C. § 2713, Initiative D21 eGovernment MONITOR 2025, Nationaler Normenkontrollrat — Jahresbericht 2025, dbb Personalreport 2025