Hochrisiko

EU AI Act für öffentliche Verwaltung: KI in Behörden, Sozialleistungen & Migration

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Behörden tragen verschärfte AI-Act-Pflichten: EU-Datenbank-Registrierung (Art. 49), zwingende FRIA (Art. 27), Transparenz-Pflicht in nationaler Sprache. Annex III Nr. 5 lit. a (Sozialleistungen), 6 (Strafverfolgung), 7 (Migration), 8 (Justiz) sind die kritischen Bereiche.

Öffentliche Stellen unterliegen dem AI Act mit verschärften Pflichten — sie sind nicht nur Deployer wie Privatunternehmen, sondern dürfen Hochrisiko-KI nur unter strengeren Bedingungen einsetzen. Art. 27 (FRIA) ist für Behörden zwingend; Art. 49 verlangt EU-Datenbank-Registrierung; Art. 26 Abs. 11 Transparenz an Bürger. Dieser Leitfaden ist für Bundes-, Landes- und Kommunalverwaltungen in DACH.

Welche Behörden-KI ist Hochrisiko?

Annex III adressiert vier öffentliche Bereiche explizit: - Nr. 5 lit. a: Eligibility-Prüfung für öffentliche Sozialleistungen (Bürgergeld, AHV, Kindergeld, Sozialhilfe) - Nr. 6: Strafverfolgung (Risk-Assessment, Lügendetektion, Beweismittel-Bewertung) — sehr eingeschränkt erlaubt - Nr. 7: Migration und Grenze (Asyl-Risk-Assessment, Visa-Antragsprüfung) — sehr eingeschränkt erlaubt - Nr. 8: Justiz und demokratische Prozesse (Recherche-Tools für Richter, Wahl-Beeinflussung)

Daneben Art. 5 Verbote besonders relevant für Behörden: Social-Scoring (lit. c), Predictive Policing rein profiling-basiert (lit. d), RBI in öffentlichem Raum (lit. h).

EU-Datenbank-Registrierung (Art. 49)

Behörden, die Hochrisiko-KI als Deployer einsetzen, müssen das System in der EU-AI-Datenbank registrieren — unabhängig vom Provider. Die Datenbank ist öffentlich, Bürger können nachschlagen, welche KI ihre Behörde nutzt.

Registrierung erfasst: - Behörden-Identität - KI-System-Beschreibung - Zweck und Einsatzbereich - Risikoklasse - FRIA-Zusammenfassung (öffentlich)

Wichtig: Diese Pflicht gilt nicht für privatwirtschaftliche Deployer — sie ist eine Public-Sector-spezifische Verschärfung.

FRIA für Behörden zwingend

Art. 27 verlangt für alle öffentlichen Stellen, die Hochrisiko-KI einsetzen, eine vollständige Grundrechte-Folgenabschätzung — vor Inbetriebnahme. Während Privatunternehmen FRIA nur bei bestimmten Annex-III-Anwendungen brauchen, ist sie für Behörden bei jedem Hochrisiko-System Pflicht.

Die FRIA muss: - Auswirkungen auf Grundrechte beleuchten - Diskriminierungsrisiken testen - Verhältnismässigkeit prüfen - Öffentlichkeit konsultieren (in DE: Beteiligungsverfahren möglich) - Vor Inbetriebnahme finalisiert sein

Nationale Datenschutzaufsicht (BfDI, DSB, EDÖB) hat Sonderzuständigkeiten.

Verbotene Behörden-KI (Art. 5)

Folgende Praktiken sind für Behörden absolut verboten — auch bei "öffentlichem Interesse": - Social-Scoring (Art. 5(1)(c)): Multidimensionale Bewertung des sozialen Verhaltens, die zu nachteiliger Behandlung führt - Predictive Policing rein profiling-basiert (Art. 5(1)(d)): Wahrscheinlichkeit künftiger Straftaten allein aus Persönlichkeitsmerkmalen - Untargeted Facial-Scraping (Art. 5(1)(e)): Datenbanken aus Internet-/CCTV-Aufnahmen aufbauen - Real-Time RBI in öffentlich zugänglichem Raum (Art. 5(1)(h)): Sehr enge Ausnahmen für Strafverfolgung mit Richter-Genehmigung

Verstösse hier können zu 35 Mio. EUR oder 7% Bussgeld führen.

Transparenz an Bürger

Bürger haben besondere Auskunftsrechte gegenüber Behörden: - Art. 26 Abs. 11 AI Act: Information über KI-Einsatz vor Entscheidung - DSGVO Art. 13/14: Datenschutz-Information - DSGVO Art. 22: Recht auf menschliche Überprüfung automatisierter Entscheidungen - Nationales Verwaltungsverfahrensrecht: Begründungspflicht (§ 39 VwVfG / § 60 AVG / Art. 35 VwVG) - IFG / IGG: Akteneinsicht

In der Praxis: Behörden müssen Bürger pro KI-Entscheidung verständlich erklären, dass und wie KI mitgewirkt hat — in der jeweiligen Landessprache, nicht nur in englischen AGB.

Häufige Fragen

Was bedeutet "öffentliche Stelle" im AI Act?

Art. 3 Nr. 56 definiert "Behörde" weit: Bundes-, Länder-, kommunale Behörden, öffentlich-rechtliche Körperschaften, beliehene Privatpersonen. Sozialversicherungsträger, öffentliche Krankenhäuser, Hochschulen sind erfasst. In CH gilt es analog für Bund/Kantone/Gemeinden bei EU-Bezug.

Dürfen Behörden ChatGPT nutzen?

Ja, mit strengen Auflagen. Nur Enterprise-Versionen mit AVV/BAA und EU-Hosting. Keine Verarbeitung personenbezogener Bürgerdaten in Prompts. Kein Einsatz für rechtsverbindliche Entscheidungen (DSGVO Art. 22). Schulungspflicht nach Art. 4. Mehrere DACH-Datenschutzbehörden haben 2024 Leitlinien dazu veröffentlicht.

Was ist Predictive Policing erlaubt?

Geo-basiertes Predictive Policing (Heatmaps von Kriminalitätsorten) ist erlaubt, wenn es nicht auf Persönlichkeitsmerkmalen Einzelner basiert. Individual-Predictive-Policing (Risk-Score für konkrete Personen) ist nach Art. 5(1)(d) verboten, wenn rein profiling-basiert.

Wie passt der AI Act zum E-Government-Gesetz?

Komplementär. EGovG/E-GovG/eGov-Gesetze regeln den digitalen Verwaltungsprozess; der AI Act regelt das KI-System darin. Beide Regelwerke gelten parallel. Die FRIA kann mit der DSFA (Datenschutz-Folgenabschätzung) integriert werden.

Welche Behörde überwacht andere Behörden?

Cross-Aufsicht: AI-Act-Marktaufsicht (Bundesnetzagentur DE / RTR AT) plus nationale Datenschutzaufsicht (BfDI, DSB, EDÖB). Bei verfassungsrechtlichen Fragen Bundesverfassungsgericht (DE) / VfGH (AT) / BGer (CH). EuGH bei AI-Act-Auslegung.

Relevante Rechtsgrundlagen

Annex III Nr. 5-8Art. 5 EU AI ActArt. 27 EU AI ActArt. 49 EU AI Act

Klassifiziert Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jede öffentliche Verwaltung-KI.

Kostenloser EU AI Act Quick-Check →

Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle Branchen Quick-Check