KI-Tool LLMoin: Erfolgreiche Datenschutzprüfung durch HmbBfDI

LLMoin in der Hamburger Verwaltung: Prüfungsergebnisse zur datenschutzkonformen KI-Nutzung

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat im Oktober 2025 die datenschutzrechtliche Prüfung des KI-Systems LLMoin für den Einsatz in der öffentlichen Verwaltung abgeschlossen. Die Aufsichtsbehörde bewertet das System als datenschutzfreundlich konzipiert und sieht keine durchgreifenden Bedenken gegen den produktiven Einsatz, sofern die etablierten technischen und organisatorischen Schutzmaßnahmen gewahrt bleiben. Diese Bewertung erfolgt im Geiste des EfA-Prinzips („Einer prüft für alle“), wodurch die Ergebnisse auch anderen Bundesländern als Orientierungshilfe zur Verfügung stehen.

Was ist LLMoin?

LLMoin ist ein speziell für die öffentliche Verwaltung der Freien und Hansestadt Hamburg konzipiertes KI-System, das auf großen Sprachmodellen (Large Language Models) basiert. Als unterstützendes Sprachtool dient es den Beschäftigten primär dazu, Fachtexte zu verfassen oder zusammenzufassen, Übersetzungen anzufertigen und Recherchen in bereitgestellten Dokumenten effizienter zu gestalten. Dabei ist das System technisch so konfiguriert, dass es ausschließlich als Assistenzwerkzeug fungiert und keine eigenständigen automatisierten Entscheidungen gemäß Art. 22 DSGVO trifft. Seit Oktober 2025 ist LLMoin offiziell für die Verarbeitung von personenbezogenen Daten mit normalem Schutzbedarf im produktiven Einsatz freigegeben.

Sicherheitsarchitektur und Risikominimierung

Im Zentrum der positiven Bewertung stehen spezifische Schutzmechanismen, die einen unbefugten Abfluss oder eine missbräuchliche Verarbeitung personenbezogener Daten verhindern sollen. Hierzu zählen insbesondere die Implementierung von Filtern zur Stärkung der Betroffenenrechte, datenschutzfreundliche Systemprompts sowie ein sogenanntes Intent-Routing zur technischen Umsetzung von Widersprüchen nach der DSGVO. Aktuell bleibt die Nutzung auf Daten mit normalem Schutzbedarf beschränkt, während die Verarbeitung sensibler Informationen gemäß Art. 9 und 10 DSGVO durch verbindliche Anweisungen und Schulungen ausgeschlossen ist. Wesentlich ist zudem, dass das System ausschließlich als unterstützendes Sprachtool dient und keine automatisierten Einzelfallentscheidungen im Sinne des Art. 22 DSGVO trifft.

Andere Bundesländer anderes KI-System: F13 in Baden-Württemberg

Die Hamburger Ergebnisse ergänzen die Erkenntnisse aus Baden-Württemberg, wo der dortige Landesbeauftragte im Jahr 2024 das KI-System F13 einer Prüfung unterzog. Während Hamburg stark auf Filter und System-Vorgaben setzt, nutzt F13 eine Retrieval-Augmented-Generation-Architektur (RAG), bei der das Sprachmodell auf eine interne Wissensdatenbank zugreift, ohne mit Verwaltungsdaten trainiert zu werden. Beide Ansätze verfolgen das Ziel, die digitale Souveränität zu wahren und die Kontrolle über die Datenströme vollständig in der staatlichen Infrastruktur zu belassen, was die Umsetzung von Löschungs- und Auskunftsrechten erheblich vereinfacht.

Handlungsbedarf für Unternehmen

Für die betriebliche Praxis unterstreichen diese behördlichen Prüfungen, dass ein rechtskonformer KI-Einsatz eine sorgfältige Planung und eine Risikoanalyse im Vorfeld erfordert. Unternehmen sollten den Einsatz von KI-Tools stets durch eine Datenschutz-Folgenabschätzung begleiten, um spezifische Risiken frühzeitig zu identifizieren. Um die Entstehung einer sogenannten Schatten-KI zu verhindern, empfiehlt es sich, den Beschäftigten offiziell freigegebene und datenschutzkonform konfigurierte Systeme bereitzustellen, die durch klare interne Richtlinien und Schulungen flankiert werden. Zudem müssen Verantwortliche sicherstellen, dass genutzte KI-Modelle nicht unkontrolliert mit Inhaltsdaten trainieren, was idealerweise durch vertragliche Vereinbarungen mit den Anbietern und technische Deaktivierungen sichergestellt wird.

Fazit

Die Veröffentlichungen aus Hamburg und Baden-Württemberg zeigen deutlich, dass der Datenschutz kein Innovationshindernis darstellt, sondern als operative Grundlage für vertrauenswürdige KI-Systeme fungiert. Für Unternehmen bieten diese behördlich geprüften Konzepte wertvolle Vorlagen, um eigene KI-Projekte rechtssicher und im Einklang mit der DSGVO sowie der kommenden KI-Verordnung zu gestalten. Kinast unterstützt ihr Unternehmen von der Entwicklung der KI-Strategie bis zur finalen Umsetzung.

KI-Compliance aus einer Hand

Künstliche Intelligenz rechtssicher nutzen & entwickeln
  • KINAST KI-Beratung 
  • KINAST externer KI-Beauftragter
  • KINAST KI-Kompetenz-Schulungen
Jetzt unverbindliches Angebot anfordern

Das könnte Sie auch interessieren..

Meist gelesen

LLMoin in der Hamburger Verwaltung: Prüfungsergebnisse zur datenschutzkonformen KI-Nutzung
KI-Tool LLMoin: Erfolgreiche Datenschutzprüfung durch HmbBfDI
Datenschutzkonforme KI-Modelle: Kernaussagen des BfDI-Konsultationsberichts 2026
Datenschutzkonforme KI-Modelle: Kernaussagen des BfDI-Konsultationsberichts 2026
Gerichte urteilen, die Einbindung von Meta Business Tools ohne wirksame Einwilligung ist ein DSGVO-Verstoß und rechtfertigt bis zu 1.500 EUR Schadensersatz.
DSGVO-Verstoß durch Meta Business Tools
KI-Training: Urheberrechtsklage gegen Perplexity AI und was Unternehmen jetzt wissen müssen
KI-Training: Urheberrechtsklage gegen Perplexity AI