Künstliche Intelligenz im öffentlichen Sektor: KI-Compliance aufgrund öffentlich-rechtlicher Sonderbindungen

Die verstärkte Nutzung von künstlicher Intelligenz (KI) ist eine Entwicklung, die auch im öffentlichen Sektor nicht Halt macht. Als Schlüsseltechnologie soll der Einsatz von KI der entscheidende Hebel zur Effizienz- und Leistungssteigerung sein und als neues Tool strukturelle Herausforderungen wie Fachkräftemangel und Rentenwellen überwinden.

Die Anwendungsmöglichkeiten sind dabei vielfältig. Es geht nicht nur um die automatische Erstellung oder Vorbereitung von Verwaltungsakten, sondern auch um „interne“ KI-Anwendungen, denen auch aber direkt oder indirekt Außenwirkung zukommen kann. Ein Beispiel hierfür ist das österreichische „Arbeitsmarktchancen-Assistenzsystem“, welches Arbeitsmarktchancen von Arbeitssuchenden mithilfe von KI ermittelte und beurteilte. Nach einem langjährigen Rechtsstreit urteilte zuletzt das österreichische Bundesverwaltungsgericht, dass nur aufgrund einer verbleibenden inhaltlichen Letztentscheidung bei den Beratern des Arbeitsmarktservice, ein Dienstleistungsunternehmen des öffentlichen Rechts, liege kein Verstoß gegen Art. 22 DSGVO vorliege (Erkenntnis vom 01.09.2025, W256 2235360-1).

Wer KI im öffentlichen Sektor einsetzen will, muss über die Vorgaben für private Akteure hinaus besondere verfassungs-, datenschutz- und verwaltungsrechtliche Schranken beachten und diese in ein belastbares Compliance-System übersetzen. Dies gilt nicht nur für die Verwaltung selbst, sondern – einzelfallabhängig – auch für öffentliche Unternehmen und Beliehene.

Dieser Beitrag stellt einige öffentlich-rechtliche Sonderbindungen dar, die bei einem Einsatz von KI in öffentlichen Unternehmen auf die Compliance-Anforderungen einwirken. Damit verbundene Risiken werden – wenngleich nicht abschließend – identifiziert und ein Ausblick auf mögliche Compliance-Maßnahmen gegeben, auf die für eine rechtssichere Verwendung von KI zur Ausgestaltung unternehmensinterner Compliance-Prozesse zurückgegriffen werden kann.

Risiken bei KI-Anwendungen für öffentliche Unternehmen und KI-Verantwortliche

Das Kernstück der KI-Regulierung ist die am 01. August 2024 in Kraft getretene europäische KI-Verordnung (Verordnung (EU) 2024/‌1689; KI-VO). In ihren Anwendungsbereich bezieht die KI-VO die öffentliche Verwaltung auch in Form von öffentlichen Unternehmen mit ein. Sie stellt damit im Ausgangspunkt für den Umgang mit KI gleiche Maßstäbe für private und öffentliche Akteure auf.

Der Einsatz von KI durch die „öffentliche Hand“ unterliegt darüber hinaus aber auch öffentlich-rechtlichen Sonderbindungen, denen private Akteure nicht ausgesetzt sind. Das eröffnet eine öffentlich-rechtliche Perspektive auf Compliance-Maßnahmen, die bei dem KI-Einsatz in öffentlichen Unternehmen erforderlich werden. Nur Compliance-Maßnahmen, die auf die konkrete KI-Nutzung zugeschnitten sind, ermöglichen eine rechtssichere Verwendung von künstlicher Intelligenz im öffentlichen Sektor.

Als Einfallstor für eine unzureichende öffentlich-rechtlich geprägte KI-Compliance fungiert insbesondere Art. 99 Abs. 7 lit. e und lit. g KI-VO. Bei der Entscheidung über die Festsetzung und Höhe einer Geldbuße bei Verstößen gegen die KI-VO sind „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ sowie der „Grad an Verantwortung des Akteurs“ zu berücksichtigen. Auch wenn diese Vorgaben durch die Rechtsprechung noch nicht näher ausgeleuchtet wurden, ist zu erwarten, dass öffentlichen Unternehmen ein hoher Grad an Verantwortung zugesprochen werden. Im öffentlichen Sektor werden diese Vorgaben daher, nicht zuletzt aufgrund des besonderen Vertrauens der Öffentlichkeit und der Gemeinwohlbindung öffentlicher Unternehmen, voraussichtlich zu erhöhten – durch das öffentliche Recht modifizierten – Sorgfaltspflichten führen.

Dass sich aus öffentlich-rechtlichen Sonderbindungen gesteigerte Compliance-Anforderungen für öffentliche Unternehmen bzw. dort Angestellte ergeben können, ist auch in der Rechtsprechung des Bundesgerichtshofs anerkannt. So bejahte er beispielsweise in der Vergangenheit eine Garantenstellung für den Leiter der Innenrevision eines öffentlichen Unternehmens zur Unterbindung von aus dem Unternehmen heraus begangenen Straftaten. Er begründete dies explizit damit, dass das Unternehmen die Rechtsform der Anstalt des öffentlichen Rechts hatte und die nicht unterbundene Tätigkeit sich auf den hoheitlichen Bereich des Unternehmens (Gebührenerhebung) bezog. Anders als ein privates Unternehmen, das lediglich innerhalb eines rechtlichen Rahmens, den es zu beachten hat, maßgeblich zur Gewinnerzielung tätig wird, sei bei einer Anstalt des öffentlichen Rechts der Gesetzesvollzug das eigentliche Kernstück ihrer Tätigkeit (BGH, Urteil vom 17. Juli 2009 – 5 StR 394/08 –, BGHSt 54, 44-52, juris, Rn. 27 ff.). Diese Überlegungen lassen sich wohl auf ein Eintreten als Garant für die „Integrität“ einer verwendeten KI übertragen. Hieraus ergeben sich gesteigerte Anforderungen an Verantwortliche und Leitungspersonen in öffentlichen Unternehmen, die letztlich bei der Beurteilung von Haftungsfragen relevant werden. Diese Bedeutung wird für öffentliche Übernehmen außerdem über § 130 OWiG und die Grundsätze des Public Corporate Governance Kodex (PCGK) des Bundes flankiert. Eine unzureichende öffentlich-rechtliche KI-Compliance in öffentlichen Unternehmen kann sich auch in Widerspruch zu den Grundsätzen guter Unternehmens- und aktiver Beteiligungsführung stellen. Nicht konforme Nutzung von KI kann insbesondere von verankerten Grundsätzen zu Transparenz, Risikomanagement und internen Kontrollsystemen, wie sie sich bereits aus der Präambel ergeben, abweichen. Solche Abweichungen müssen ordnungsgemäß und nachvollziehbar erklärt werden (comply or explain, siehe vor allem PCGK 7).

Öffentlich-rechtliche Sonderbindungen beim KI-Einsatz durch die öffentliche Hand

Die Verwendung von KI im Rahmen der öffentlichen Verwaltung und der Justiz wird vielfach diskutiert. Die besondere Position von Unternehmen, die sich im Eigentum der öffentlichen Hand befinden, bleibt jedoch weitgehend unberücksichtigt. Dabei macht ihre Zwischenstellung die Erörterung der Fragen besonders relevant: Sie unterliegen denselben Vorgaben wie privatwirtschaftliche Unternehmen und sind aufgrund ihres Bezugs zur öffentlichen Aufgabenerfüllung zugleich öffentlich-rechtlich gebunden.

Folgende öffentlich-rechtliche Sonderbindungen sind besonders hervorzuheben:

• Grundrechte: Öffentliche Unternehmen sind, auch wenn sie in privatrechtlicher Form organisiert sind, unmittelbar an die Grundrechte gebunden, wenn sie sich vollständig oder zumindest mehrheitlich im Eigentum der öffentlichen Hand befinden (vgl. BVerfG, Urteil vom 22. Februar 2011 – 1 BvR 699/06 –, BVerfGE 128, 226-278 – Fraport). Der KI-Einsatz muss in diesen Fällen stets grundrechtlichen Anforderungen genügen. Das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG ist dabei genauso im Blick zu behalten wie der Gleichbehandlungsgrundsatz aus Art. 3 GG. Die Anfälligkeit von KI, systemische Vorurteile und Diskriminierungsstrukturen zu reproduzieren (machine biases und proxy discrimination) erfordert eine engmaschige Beobachtung und daraus abgeleitete Schutzvorkehrungen, um dem Diskriminierungspotenzial angemessen zu entgegnen. Zugleich sind Kontrollmechanismen zu etablieren, die bei Verdacht einer (mittelbaren) Diskriminierung effizient und zügig Abhilfe schaffen.
• Rechtsstaatlichkeit: Das Prinzip der Rechtsstaatlichkeit (Art. 20 Abs. 3 GG) erfordert eine grundsätzliche Nachvollziehbarkeit der Entscheidungsfindung vor staatlichem Handeln. Daraus abgeleitete Anforderungen an Transparenz und Erklärbarkeit ermöglichen erst eine effektive gerichtliche Kontrolle. Dieses Erfordernis erfasst auch technische Abläufe sowie auf Algorithmen gestützte Entscheidungsfolgen. Die Gefahr von sog. black box Entscheidungen steht mit dem Rechtsstaatsprinzip somit tendenziell in einem Spannungsverhältnis. Die Vereinbarkeit KI-basierter Entscheidungsabläufe ist aus diesem Blickwinkel genau zu prüfen, gleichzeitig dürfen die Anforderungen nicht überspannt werden. Insbesondere ist zu berücksichtigen, dass „nur“ das Ergebnis – also die Entscheidung selbst – und nicht der Weg dorthin zu begründen ist.
• Auskunftspflichten: Unternehmen der öffentlichen Hand unterliegen gegenüber der Presse sowie den Bürgern grundsätzlich gesteigerten Auskunftspflichten. Öffentliche Unternehmen können als staatliche Stellen Adressat eines auf das Informationsfreiheitsgesetz gestützten Anspruchs sein (§ 1 Abs. 1 Satz 3 IFG). Teilweise bestehen für Träger der öffentlichen Verwaltung im Rahmen ihrer öffentlich-rechtlichen Verwaltungstätigkeit auch KI-spezifische Auskunftspflichten, wie sie auf Länderebene § 12 ITEG in Schleswig-Holstein statuiert (sog. KI-Rüge). Diese Pflichten dienen der Transparenz, ihren Anforderungen kann jedoch möglicherweise in Bezug auf die KI-Nutzung nicht ohne Weiteres entsprochen werden. Werden Entscheidungen auf KI-Systeme gestützt, indem beispielsweise vorbereitende Auswahlentscheidungen automatisiert getroffen werden, muss geprüft werden, wie darüber entsprechende und hinreichende Auskunft erteilt werden kann. Die ordnungsgemäße Auskunft über die konkrete KI-Nutzung muss der Stelle möglich sein. Spiegelbildlich sollte im Unternehmen auch der Umgang mit KI-gestützter Antragstellung präventiv geregelt werden, damit Adressaten nicht durch eine Anfragenflut gewissermaßen „lahmgelegt“ werden (zu dieser Gefahr BVerwG, Urteil vom 20. März 2024 – 6 C 8/22 –, BVerwGE 182, 11-38, juris, Rn. 57 f.).
• Datenverarbeitung und Datenschutz: Die Datenschutz-Grundverordnung sieht vor, dass Personen grundsätzlich nicht einer auf ausschließlich automatisierter Verarbeitung beruhenden Entscheidung unterworfen werden dürfen (vgl. Art. 22 DSGVO). Dieses Verbot automatisierter Einzelfallentscheidungen kann für öffentliche Unternehmen relevant werden, wenn durch KI-basierte oder algorithmische Auswertung Entscheidungen oder auch Entscheidungsgrundlagen geschaffen werden. Die Verwendung in öffentlichen Unternehmen und staatlichen Stellen erfordert regelmäßig eine hinreichende gesetzliche Grundlage sowie zur ausreichenden Sicherstellung der Mitwirkung der betroffenen natürlichen Personen entsprechende organisatorische und technische Sicherungen. Zudem ist eine echte, substanziell ausgestalte menschliche Kontrolle nachzuweisen, um dem Verbot nicht zu unterfallen. Die maßgebliche Rolle muss beim Menschen verbleiben. Auch zu den Grundsätzen der Datenminimierung, der Transparenz und Zweckbindung (Art. 5 Abs. 1 lit. a, b und c DSGVO) kann sich die datenbasierte KI-Nutzung, beispielsweise die auf KI gestützte Analyse großer Mengen personenspezifischer Daten, in Widerspruch stellen.

Denkbare Compliance-Maßnahmen und ihre Bedeutung

Um den öffentlich-rechtlichen Sonderbindungen angemessen Rechnung zu tragen, kommen unterschiedliche Compliance-Maßnahmen in Betracht. Die konkret zu ergreifenden Maßnahmen hängen stets vom jeweiligen use case ab. In zahlreichen Fällen von KI-Anwendungen werden überhaupt keine besonderen Compliance-Anforderungen zu berücksichtigen sein, weil der Bezug zur hoheitlichen Tätigkeit nicht gegeben ist. Je ausgeprägter der Bezug der KI-Anwendung zur hoheitlichen Tätigkeit des öffentlichen Unternehmens ist, desto eher sind besondere KI-Compliance-Maßnahmen zu ergreifen.

Best Practices und Standards, die öffentlich-rechtliche Sonderbindungen für bestimmte use cases adressieren, bilden sich für öffentliche Unternehmen gerade erst heraus. Ausgangspunkt sollten stets diejenigen öffentlich-rechtlichen Vorschriften sein, die durch den KI-Einsatz berührt sein können. Hinsichtlich der zu ergreifenden Compliance-Maßnahmen kann grundsätzlich unterschieden werden zwischen Maßnahmen, die an der verwendeten KI selbst ansetzen, und Maßnahmen, die bei der Anwendung der KI durch einen Menschen ansetzen. System- oder anwendungsbezogene Compliance-Maßnahmen können insbesondere per Verwaltungsvorschrift, Arbeitsanweisung und Leitlinie angeordnet werden.

Hinsichtlich der KI-bezogenen Maßnahmen kann etwa darauf zu achten sein, mit welchen Daten die verwendete KI trainiert wird, um ungewollte Wertungen oder Wertungsvorschläge durch die KI zu vermeiden. Hinsichtlich der anwendungsbezogenen KI-Compliance ist insbesondere an bestimmte Verfahrensvorkehrungen zu denken, etwa an die Pflicht, dass eine natürliche Person stets die Letztentscheidung trifft (vgl. Art. 22 DSVGO). Drohen Grundrechtsverletzungen in Form von (mittelbaren) Diskriminierungen und Ungleichbehandlungen können sog. bias checks Abhilfe schaffen. Weitere potenzielle Bausteine sind die Dokumentation von Datenverwendung, Quellen sowie der konkreten KI-Nutzung. Zudem sind klare Regelungen von Verantwortlichkeiten oftmals ein wichtiger Bestandteil in der konkreten Ausgestaltung der anwendungsbezogenen öffentlich-rechtlichen KI-Compliance.

In der Rechtsprechung des Bundesgerichtshofs zu § 30 OWiG ist geklärt, dass sich die Implementierung von Compliance-Maßnahmen positiv auf die Höhe etwaiger Bußgelder auswirken kann (BGH, Urteil vom 9. Mai 2017 – 1 StR 265/16 –, juris, Rn. 118). Nichts anderes dürfte im Kontext von Art. 99 KI-VO gelten, zumal nach dessen Abs. 7 lit. g) der „Grad an Verantwortung des Akteurs unter Berücksichtigung der von ihm ergriffenen technischen und organisatorischen Maßnahmen“ bei der Entscheidung, ob eine Geldbuße verhängt wird, und bei der Festsetzung der Höhe der Geldbuße, explizit zu berücksichtigen ist.

Ausblick

KI-Anwendungen werden im immer stärkeren Umfang auch in Verwaltung und in öffentlichen Unternehmen implementiert. Best Practices und Standards, die öffentlich-rechtliche Sonderbindungen für bestimmte use cases adressieren, bilden sich für öffentliche Unternehmen gerade erst heraus. Zur Vermeidung unnötiger Haftungsrisiken, letztlich aber auch, um das Vertrauen von Bürgern in KI-Anwendungen durch die öffentliche Hand zu stärken, sollte stets berücksichtigt werden, ob sich aus den öffentlich-rechtlichen Sonderbindungen die Notwendigkeit besonderer Compliance-Maßnahmen ergibt. Eine unnötige Over-Compliance gilt es dabei zu vermeiden: Je entfernter der Bezug der KI-Anwendung zur hoheitlichen Tätigkeit des öffentlichen Unternehmens (oder der Behörde) ist, desto unwahrscheinlicher ist es, dass es besonderer KI-Compliance-Maßnahmen bedarf.

Aufgrund der Möglichkeit, schon bestehende öffentlich-rechtliche Sonderbindungen bei der Implementierung von Compliance-Maßnahmen angemessen zu berücksichtigen, sollte auch auf eine weitere Regulierung der Anwendung von KI durch öffentliche Unternehmen und Behörden verzichtet werden. Die KI-Verordnung und schon bestehende, öffentlich-rechtliche Sonderbindungen bieten einen ausreichenden Schutz. Weitere Regulierung würde die Anwendung von KI, letztlich zulasten der Allgemeinheit, unnötig erschweren.