KI und Datenschutz: So gehen Sie mit personenbezogenen Daten um
Halten Sie die neuesten Vorschriften zum Einsatz künstlicher Intelligenz ein? Bereits 2024 ist die Künstliche-Intelligenz-Verordnung (KI-VO) in Kraft getreten, die neben der Datenschutzgrundverordnung festlegt, wie Unternehmen in der EU personenbezogene Daten verarbeiten dürfen. Erste Regelungen sind seit 2. Februar 2025 verbindlich in Kraft. Erfahren Sie in diesem Beitrag, welche Neuerungen für das Personalwesen besonders relevant sind und wie Sie die Vorgaben rechtskonform umsetzen.
Warum Datenschutz für KI-Anwendungen?
In der Personalabteilung werden zahlreiche sensible personenbezogene Daten verarbeitet. Dazu zählen Gesundheitsdaten wie Krankmeldungen und Behinderungsnachweise sowie Informationen zu Religion, Gewerkschaftszugehörigkeit oder ethnischer Herkunft. Auch Finanz- und Sozialversicherungsdaten, strafrechtliche Angaben oder Informationen zur eingetragenen Lebenspartnerschaften können relevant sein.
Beim Einsatz von künstlicher Intelligenz (KI) in Personalabteilungen ist daher ein strikter Datenschutz essenziell – nicht nur, um rechtliche Risiken zu minimieren, sondern auch um das Vertrauen der Mitarbeitenden zu sichern.
Das müssen Sie beachten
Generell gilt, dass bei der Verarbeitung von personenbezogenen Daten die Datenschutzgesetze einzuhalten sind. Zu diesen Gesetzen zählen die Datenschutz-Grundverordnung (DSGVO), das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) und neuerdings die Künstliche Intelligenz-Verordnung. Zusätzlich zu den Datenschutzgesetzen müssen Unternehmen auch das Urheberrecht und das Allgemeine Gleichbehandlungsgesetz einhalten.
Die neue KI-Verordnung
Die KI-Verordnung (EU) 2024/1689 legt erstmals einheitliche Vorschriften für den Einsatz künstlicher Intelligenz in der EU fest. Sie verfolgt einen risikobasierten und menschenzentrierten Ansatz, indem sie KI-Systeme je nach Risiko in verschiedene Kategorien einteilt. Je höher das Risiko, desto strenger die Vorgaben. Vorrausetzung für jeden Einsatz von KI ist laut Verordnung, dass KI dem Menschen als Instrument dient und letztendlich das menschliche Wohlergehen verbessert.
Künstliche Intelligenz trifft auf DSGVO
Bereits jetzt gelten die Datenschutzgesetze für alle KI-Anwendungen, die personenbezogene Daten verarbeiten. Unternehmen, die künstliche Intelligenz einsetzen, unterliegen besonderen Pflichten im Sinne der Datenschutz-Grundverordnung (DSGVO). Die wichtigsten Änderungen finden Sie im Folgenden:
- Zweckbindung: Daten dürfen nur für vorher festgelegte, legitime Zwecke genutzt werden.
- Rechtmäßigkeit: Die Verarbeitung der personenbezogenen Daten muss auf einer rechtlichen Grundlage beruhen.
- Transparenz: Betroffene müssen darüber informiert werden, wie und zu welchem Zweck ihre Daten verarbeitet werden. Dies umfasst insbesondere die Offenlegung der zugrundeliegenden Logik von KI-Systemen gemäß Artikel 13 und 14 DSGVO.
- Datenminimierung: Es dürfen nur die unbedingt notwendigen Daten verarbeitet werden.
- Richtigkeit: Verarbeitete Daten müssen korrekt und aktuell sein.
- Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Entfällt der Zweck, müssen sie gelöscht werden – entweder gemäß eines festgelegten Löschkonzepts oder auf Antrag der Betroffenen.
- Integrität und Vertraulichkeit: Alle erhobenen Daten sind angemessen zu schützen.
- Dokumentationspflicht: Setzen Unternehmen künstliche Intelligenz ein, müssen sie sicherstellen, dass deren Nutzung ordnungsgemäß dokumentiert wird. Dazu gehört eine Erfassung im Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO.
- Informationspflicht: Unternehmen müssen Betroffene klar und verständlich darüber aufklären, wie ihre KI-Systeme funktionieren und welche Logik diesen zugrunde liegt.
- Auftragsverarbeitung: Falls personenbezogene Daten durch einen externen KI-Anbieter verarbeitet werden, muss das Unternehmen mit dem Anbieter einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO abschließen.
Besondere Pflichten beim Einsatz von KI in Unternehmen
Mit der im Jahr 2024 verabschiedeten und seit dem 2. Februar 2025 teilweise verbindlichen EU-KI-Verordnung (KI-VO) schafft die Europäische Union erstmals einen einheitlichen Rechtsrahmen für den Einsatz künstlicher Intelligenz. Ziel ist es, Risiken zu minimieren, Grundrechte zu schützen und gleichzeitig Innovationen zu ermöglichen. Im Gegensatz zur DSGVO, die technologieneutral den Datenschutz regelt, adressiert die KI-VO direkt die Funktion, den Einsatz und die Auswirkungen von KI-Systemen.
Besonders relevant: Die Verordnung stuft KI-Anwendungen nach ihrem Risiko ein. Hochrisiko-Systeme – etwa im Personalwesen bei der Bewerberauswahl oder Leistungsbewertung – unterliegen strengen Anforderungen wie technischer Dokumentation, Risikobewertung, Nachvollziehbarkeit und Transparenz gegenüber Betroffenen. Auch eine Meldepflicht und die Registrierung in einer EU-Datenbank sind vorgesehen. Bei Verstößen drohen hohe Bußgelder.
Bereits ab dem 2. Februar 2025 gilt das Verbot für KI-Systeme mit inakzeptablem Risiko und neue Anforderungen an die KI-Kompetenz (AI Literacy) in Unternehmen. Ab dem 2. August 2026 treten sämtliche Regelungen der Verordnung in Kraft, insbesondere für Hochrisiko-KI. Für solche Systeme, die bereits vor dem 2. Februar 2025 im Einsatz waren, endet die Übergangsfrist am 2. August 2027.
Unternehmen, die KI einsetzen, sollten frühzeitig prüfen, ob ihre Systeme konform sind – nicht nur aus rechtlicher Pflicht, sondern auch, um Vertrauen bei Mitarbeitenden und Geschäftspartnern zu schaffen. Unsere Praxistipps für den konformen Einsatz von KI im HR finden Sie hier.
Diese Deadlines müssen Unternehmen kennen!
Die KI-Verordnung enthält eine Reihe von Pflichten, deren Einhaltung in den nächsten Jahren sukzessive für Unternehmen verpflichtend wird. Bei Missachtung drohen nicht nur Verwarnungen, sondern Geldstrafen von bis zu 35 Millionen Euro.
- Ab 2. Februar 2025: Das Verbot von KI-Systemen mit inakzeptablem Risiko und neue Regeln zur KI-Kompetenz (AI Literacy) tritt in Kraft.
- Ab 2. August 2025: Es gelten die Vorgaben für KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI).
- Ab 2. August 2026: Alle Bestimmungen aus der KI-Verordnung treten in Kraft, die nicht explizit ein anderer Zeitpunkt genannt wird. Auch die Vorgaben für Hochrisiko-KI-Systeme werden wirksam.
- Ab 2. August 2027: Für bestimmte Hochrisiko-KI-Systeme, die bereits vor dem 2. Februar 2025 in Betrieb waren, endet die Übergangsfrist.
- Bis 2030: Übergangsfristen für bestehende KI-Systeme im behördlichen Bereich (2. August 2030) und in komplexen IT-Infrastrukturen (31.12.2030) enden.
Grundsätzlich gilt: Unternehmen müssen bereits bestehende Hochrisiko-KI-Systeme bei jeder wesentlichen Änderung nach dem 2. August 2026 umgehend an die KI-VO anpassen.
Fazit: Datenschutz als Grundlage für den sicheren KI-Einsatz
Der Einsatz von künstlicher Intelligenz im Personalwesen bringt enorme Vorteile mit sich – von effizienteren Prozessen bis hin zu fundierteren Entscheidungen. Doch gerade in diesem sensiblen Bereich ist der Datenschutz von zentraler Bedeutung. Die Kombination aus DSGVO und der neuen KI-Verordnung stellt Unternehmen vor neue Herausforderungen und erfordert ein bewusstes und strategisches Vorgehen.
Wer KI in der HR-Abteilung einsetzt, muss Transparenz gewährleisten, Mitarbeitende schulen und technische sowie organisatorische Schutzmaßnahmen ergreifen. Nur so lassen sich rechtliche Risiken minimieren, das Vertrauen der Mitarbeitenden aufrechterhalten und die Vorteile der KI voll ausschöpfen.
Unternehmen, die sich frühzeitig mit den neuen Vorgaben auseinandersetzen, verschaffen sich einen entscheidenden Vorteil – sowohl in der Compliance als auch in der Effizienz und Leistungsfähigkeit ihrer Personalarbeit.
Jetzt den nächsten Schritt gehen: Ihre KI-Strategie beginnt hier
Nutzen Sie die Gelegenheit, Ihre HR-Abteilung zukunftssicher und datenschutzkonform aufzustellen.
Lernen Sie unsere ganzheitliche KI-Strategie kennen – gemeinsam entwickeln wir mit Ihnen eine KI-Roadmap, die zu Ihrem Unternehmen passt.
