activate-hr.de durchsuchen
Shawn Conley Sweeney
Shawn Conley Sweeney
6. Mai 2025

KI und Datenschutz: So gehen Sie mit personenbezogenen Daten um

Am 01. August 2024 ist die Künstliche Intelligenz-Verordnung (KI-VO) in Kraft getreten, die das europäische Parlament zuvor verabschiedet hatte. Da der Schutz von personenbezogenen Daten EU-weit einen besonders hohen Stellenwert haben soll, gilt es für Unternehmen schon seit der Einführung der DSGVO einige Dinge zu beachten. Nach Ablauf der Übergangsfristen für die KI-Verordnung müssen Unternehmen beim Einsatz von KI einiges beachten. Dabei gilt es schnell zu handeln, denn die ersten Regeln gelten schon seit dem 2. Februar 2025. In diesem Beitrag erfahren Sie, welche Datenschutzvorschriften für das Personalwesen besonders relevant sind und wie Sie diese rechtskonform umsetzten können.

Warum Datenschutz für KI-Anwendungen?

In der Personalabteilung werden zahlreiche sensible Daten verarbeitet, die besonders geschützt werden müssen. Dazu zählen Gesundheitsdaten wie Krankmeldungen und Behindertennachweise sowie Informationen zu Religion, Gewerkschaftszugehörigkeit oder ethnischer Herkunft. Auch Finanz- und Sozialversicherungsdaten, strafrechtliche Angaben oder Informationen zur eingetragenen Lebenspartnerschaften können relevant sein. Deshalb ist beim Einsatz von KI in Personalabteilungen ein strikter Datenschutz essenziell, um die DSGVO einzuhalten, rechtliche Risiken zu minimieren und das Vertrauen der Mitarbeitenden zu sichern.

E-Book: Wie Ihr Unternehmen von Künstlicher Intelligenz (KI) profitieren kann

E-Book: Wie Ihr Unternehmen von Künstlicher Intelligenz (KI) profitieren kann

In unserem E-Book erfahren Sie die wichtigsten Inhalte rund um das Thema künstliche Intelligenz & wie Sie davon profitieren können!

Jetzt anfordern

Das müssen Sie beachten

Generell sind bei der Verarbeitung personenbezogener Daten die Datenschutzgesetze einzuhalten. Zu diesen Gesetzen zählen die DSGVO (Datenschutz-Grundverordnung), das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) und neuerdings die KI-VO (Künstliche Intelligenz-Verordnung). Neben den Datenschutzgesetzen müssen auch das Urheberrecht und das Allgemeine s Gleichbehandlungsgesetz beachtet werden. Voraussetzung für den Einsatz von KI ist, dass sie immer dem Menschen dient und letztlich das menschliche Wohlergehen verbessert.

KI unter Aufsicht: Die neue KI-VO im Überblick

Die KI-Verordnung (EU) 2024/1689 legt erstmals einheitliche Vorschriften für den Einsatz Künstlicher Intelligenz in der EU fest. Sie verfolgt einen risikobasierten und menschenzentrierten Ansatz, indem sie KI-Systeme je nach Risiko in verschiedene Kategorien einteilt. Je höher das Risiko, desto strenger die Anforderungen. Was Sie über die neue Verordnung wissen müssen, erkläre ich Ihnen im Folgenden.

Webinar: Data-driven HR – Mit den richtigen SAP-Tools datenbasierte Entscheidungen treffen

In unserem Webinar geben wir Ihnen Einblicke in aktuelle Möglichkeiten für die Analyse von HR-Daten im SAP-Umfeld.
Jetzt anmelden

Künstliche Intelligenz trifft auf DSGVO

Bereits jetzt gelten die Datenschutzgesetze für alle KI-Anwendungen, die personenbezogene Daten verarbeiten. Dazu zählen die Erfassung, Auswertung oder sonstige Verarbeitung dieser Daten. Unternehmen, die KI einsetzen, unterliegen demnach besonderen Pflichten im Sinne der Datenschutz-Grundverordnung (DSGVO). Je nach Rolle werden sie entweder als Verantwortliche oder als Auftragsverarbeiter eingestuft, was spezifische Anforderungen mit sich bringt.

Grundsätze der DSGVO beim Einsatz von KI

Folgende Grundsätze sind zwingend einzuhalten:

  • Rechtmäßigkeit: Die Verarbeitung muss auf einer rechtlichen Grundlage beruhen.
  • Zweckbindung: Daten dürfen nur für vorher festgelegte, rechtmäßige Zwecke genutzt werden.
  • Transparenz: Betroffene müssen darüber informiert werden, wie und zu welchem Zweck ihre Daten verarbeitet werden. Dies umfasst insbesondere die Offenlegung der zugrundeliegenden Logik von KI-Systemen gemäß Artikel 13 und 14 DSGVO. Darüber hinaus müssen Unternehmen offenlegen, wie KI-Systeme funktionieren und welche Logiken hinter den Entscheidungen stehen – insbesondere, wenn diese Auswirkungen auf Mitarbeitende haben.
  • Datenminimierung: Es dürfen nur die absolut notwendigen Daten verarbeitet werden.
  • Richtigkeit: Verarbeitete Daten müssen korrekt und aktuell sein.
  • Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Entfällt der Zweck, müssen sie gelöscht werden – entweder gemäß eines festgelegten Löschkonzepts oder auf Verlangen der Betroffenen.
  • Integrität und Vertraulichkeit: Alle erhobenen Daten sind angemessen zu schützen.
  • Dokumentationspflicht: Die Nutzung von KI-Systemen muss ordnungsgemäß dokumentiert werden. Zentrale Voraussetzung ist die Erfassung im Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO.
  • Vertragliche Absicherung bei externer Datenverarbeitung: Werden personenbezogene Daten durch externe KI-Anbieter verarbeitet, ist ein Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO verpflichtend. Dieser regelt die Verantwortung, den Umgang mit sensiblen Daten und stellt sicher, dass auch externe Dienstleister die Datenschutzstandards der EU einhalten.
  • Löschpflicht und Datenminimierung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den festgelegten Zweck notwendig sind. Entfällt dieser Zweck, müssen die Daten entweder gemäß eines verbindlichen Löschkonzepts oder auf Antrag der betroffenen Personen gelöscht werden. Diese Praxis stellt sicher, dass keine überflüssigen oder veralteten Daten unbegründet weiterverarbeitet werden.

Durch die Einhaltung dieser Vorgaben können Unternehmen beim Einsatz von Künstlicher Intelligenz Transparenz, Sicherheit und die Einhaltung datenschutzrechtlicher Anforderungen gewährleisten.

Webinar: KI im HR – Hype oder Transformationstreiber

Was ist dran am Hype-Thema KI? Welche Chancen und Herausforderungen ergeben sich daraus für HR? Wie kann KI im HR schon heute sinnvoll eingesetzt werden und wie können Sie sich darauf vorbereiten? In unserem Webinar erhalten Sie Antworten & Best Practices von unserem Experten, damit Sie zukünftig mit Hilfe von KI neue Kapazitäten schaffen und effizienter arbeiten können.
Jetzt anmelden

Diese Deadlines müssen Unternehmen kennen!

  • Ab 2. Februar 2025: Verbot von KI-Systemen mit inakzeptablem Risiko + neue Regeln zur KI-Kompetenz (AI-Literacy).
  • Ab 2. August 2025: Strengere Vorgaben für Hochrisiko-KI und General Purpose AI (GPAI).
  • Ab 2. August 2026: Alle Bestimmungen für Hochrisiko-KI (z. B. biometrische Identifikation) greifen.
  • Ab 2. August 2027: Zusätzliche Pflichten für KI in Medizinprodukten, Maschinen & Spielzeug.
  • Bis 2030: Übergangsfristen für bestehende Systeme, besonders im behördlichen Bereich.

Für bereits bestehende KI-Systeme gelten gesonderte Übergangsfristen. Hochrisiko-KI-Systeme müssen spätestens bei einer wesentlichen Änderung an die KI-VO angepasst werden. Behördlich genutzte Systeme haben bis zum 2. August 2030 Zeit, die neuen Anforderungen zu erfüllen. KI-Systeme, die Teil von IT-Großsystemen im Bereich Freiheit, Sicherheit und Recht sind, müssen bis zum 31. Dezember 2030 konform sein.

Praxistipps zur Auswahl von KI im HR-Bereich

Vor dem Einsatz einer KI im HR-Bereich, sollte die Transparenz der Technologie sorgfältig geprüft werden. Eine umfassende Dokumentation des Anbieters muss klar darlegen, dass die Einhaltung der DSGVO gewährleistet ist. Ebenso wichtig sind technische und organisatorische Maßnahmen, um einen unbefugten Datenabfluss zu verhindern. Dies kann durch eine gesicherte IT-Umgebung, gezielte Mitarbeiterschulungen und interne Regelungen sichergestellt werden. Wird eine Online-Schnittstelle genutzt, müssen geeignete Schutzmaßnahmen gegen Missbrauch getroffen werden. Fehlen diese, sollten keine personenbezogenen oder vertraulichen Daten in das System eingegeben werden. Zudem ist zu prüfen, ob der Anbieter auch datenschutzrechtlich verantwortlich ist. Ein Sitz in der EU oder die Benennung eines Vertreters gemäß Art. 27 DSGVO erleichtert die Durchsetzung der Betroffenenrechten.

Digitale Personalakte und Datenschutz

Digitale Personalakte und Datenschutz

So wird der Verwaltungsaufwand mit digitalen Personalakten im HR-Bereich reduziert.

Jetzt anfordern

Mitarbeiterschulungen als Voraussetzung

Ab dem 2. Februar 2025 sind Unternehmen verpflichtet, sicherzustellen, dass ihre Mitarbeitenden über eine ausreichende KI-Kompetenz verfügen. Hierbei sind technische Kenntnisse, praktische Erfahrungen, Ausbildungsstand sowie der konkrete Einsatzkontext der KI zu berücksichtigen. Schulungen sind daher essenziell, um einen sicheren und verantwortungsvollen Umgang mit KI-Technologien zu gewährleisten.

Datenverarbeitung

Die Verarbeitung von Daten durch Künstliche Intelligenz ist oft zu intransparent. Häufig bleibt unklar, wie eingegebene Daten verarbeitet oder gespeichert werden. Datenschutzrechtlich sind dabei jedoch drei zentrale Aspekte relevant.

  1. Qualität beginnt beim Training
    Die Trainingsdaten entscheiden die Qualität und Neutralität der KI. Verzerrte Datensätze können diskriminierende Ergebnisse erzeugen, während personenbezogene Daten oft nicht mehr gelöscht oder korrigiert werden können – ein potenzieller Verstoß gegen die DSGVO.
  2. Dateneingabe mit Augenmaß
    Auch die Dateneingabe erfordert eine sorgfältige Prüfung. Während selbst gehostete Modelle mehr Kontrolle bieten, bergen extern gehostete Modelle erhebliche Datenschutzrisiken. Unternehmen sollten vertragliche Absicherungen wie NDAs oder Auftragsverarbeitungsverträge berücksichtigen.
  3. Output ist nicht gleich Wahrheit
    Letzteres ist die Datenausgabe kritisch zu bewerten. KI kann Fehler oder voreingenommene Ergebnisse produzieren. Daher muss der Output stets auf Richtigkeit, Neutralität sowie Datenschutzkonformität überprüft und kritisch hinterfragt werden.

Wer trifft die finalen Entscheidungen?

Eine weiterer kritischer Punkt ist die Verantwortlichkeit für HR-Entscheidungen. Automatisierte Einzelfallentscheidungen, die rechtliche Wirkungen entfalten, sind laut DSGVO unzulässig. Insbesondere im Recruiting ist es nicht zulässig, dass eine KI bestimmte Bewerbungen automatisch ablehnt. Auch wenn eine KI die Bewerbungen vorsortieren kann, muss es immer eine menschliche Entscheidungsinstanz geben, die das Ergebnis überprüft und gegebenenfalls korrigiert.

Schutz geht über die Personalabteilung hinaus

Neben personenbezogenen Daten sind auch Geschäftsgeheimnisse schützenswert. Werden vertrauliche Informationen in KI-Modelle eingegeben, besteht die Gefahr, dass diese an Dritte gelangen oder sogar zum Training des Modells verwendet werden. Um dies zu verhindern, sollten klare Unternehmensrichtlinien zur Nutzung von KI festgelegt und vertragliche Schutzmechanismen implementiert werden.

Webinar: Data-driven HR – Mit den richtigen SAP-Tools datenbasierte Entscheidungen treffen

In unserem Webinar geben wir Ihnen Einblicke in aktuelle Möglichkeiten für die Analyse von HR-Daten im SAP-Umfeld.
Jetzt anmelden

Fazit: Datenschutz als Grundlage für den verantwortungsvollen KI-Einsatz

Der Einsatz von Künstlicher Intelligenz im Personalwesen bietet enorme Vorteile von effizienteren Prozessen bis hin zu fundierteren Entscheidungen. Doch gerade in diesem sensiblen Bereich ist der Datenschutz von zentraler Bedeutung. Die Kombination aus DSGVO und der neuen KI-Verordnung stellt Unternehmen vor neue Herausforderungen, erfordert aber auch ein bewusstes und strategisches Vorgehen.

Wer KI im Personalbereich einsetzt, muss für Transparenz sorgen, Mitarbeitende schulen sowie technische und organisatorische Schutzmaßnahmen ergreifen. Nur so lassen sich rechtliche Risiken minimieren, das Vertrauen der Mitarbeitenden sichern und die Vorteile von KI voll ausschöpfen.

Unternehmen, die sich frühzeitig mit den neuen Vorgaben auseinandersetzen, verschaffen sich einen entscheidenden Vorteil – sowohl bei der Compliance als auch bei der Effizienz ihrer HR-Prozesse.

Shawn Conley Sweeney

Shawn Conley Sweeney

Als Management- & Technologieberater unterstütze ich HR-Abteilungen von der strategischen HR-IT-Planung über die Tool-Auswahl bis hin zur Implementierung dabei, HR-Prozesse effizienter zu gestalten und mit der passenden Software zu vereinfachen.

Sie haben Fragen? Kontaktieren Sie mich!

Das könnte Sie auch interessieren

DSAG ESS MSS

Digitale Personalakte & Dokumentenmanagement: Was unterscheidet die Systeme?

Riesige Papierberge stapeln sich und wenn Sie bspw. eine bestimmte Personalakte suchen, finden Sie diese nicht wieder – kommt Ihnen bekannt vor? Nicht nur Ihnen. Immer mehr Unternehmen beschäftigen sich […]

weiterlesen
Digitale Personalakte

Digitale Personalakte: Einsparpotentiale nutzen und Nachhaltigkeit erreichen

Die digitale Personalakte ist heutzutage noch kein Standard in der deutschen Unternehmenswelt und es hat den Anschein, dass Papierakten ewig bestehen. Dass diese unpraktisch sind, hat eine Studie der Anwaltskanzlei […]

weiterlesen

Mitarbeitende im Mittelpunkt: So gestalten Sie eine bedürfnisorientierte Schichtplanung

Der Fachkräftemangel macht vor keiner Branche halt: In Bereichen mit Schichtarbeit ist er besonders spürbar, da immer weniger Talente bereit sind, Schichtarbeit zu leisten. Die Folge ist eine zunehmende Belastung […]

weiterlesen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Newsletter

Kontaktieren Sie uns!
Nadja Messer
Nadja Messer Kundenservice
0211 946 285 72-45 nadja.messer@activate-hr.de Ihre Anfrage