Guide 7 Min.

KI und Datenschutz in HR: Was du wissen musst

DatenschutzDSGVOCompliance

Warum Datenschutz bei KI in HR besonders relevant ist

Die Personalarbeit gehört zu den datenintensivsten Bereichen eines Unternehmens. Namen, Gehälter, Gesundheitsdaten, Leistungsbeurteilungen — all diese Informationen sind hochsensibel und unterliegen strengen datenschutzrechtlichen Vorgaben. Wenn KI-Tools in HR-Prozesse eingebunden werden, entstehen neue Herausforderungen, die einen bewussten Umgang erfordern.

Grundlagen der DSGVO im KI-Kontext

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im HR-Kontext umfasst das unter anderem:

  • Namen, Adressen, Kontaktdaten
  • Gehaltsinformationen und Bankverbindungen
  • Leistungsbeurteilungen und Feedback
  • Gesundheitsdaten und Fehlzeiten
  • Bewerbungsunterlagen und Lebensläufe

Besondere Kategorien personenbezogener Daten

Art. 9 DSGVO definiert besonders schützenswerte Datenkategorien, die im HR-Bereich häufig vorkommen: Gesundheitsdaten, Gewerkschaftszugehörigkeit, ethnische Herkunft und religiöse Überzeugungen. Die Verarbeitung dieser Daten ist grundsätzlich untersagt und nur unter strengen Voraussetzungen erlaubt.

Was darf in ein KI-Tool eingegeben werden?

Als Grundregel gilt: Geben Sie keine echten personenbezogenen Daten in externe KI-Tools ein, es sei denn, es liegt eine rechtliche Grundlage vor und ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter besteht.

Empfehlungen für die Praxis

  • Anonymisieren und Pseudonymisieren: Ersetzen Sie echte Namen durch Pseudonyme, bevor Sie Texte in ein KI-Tool eingeben. Entfernen Sie alle identifizierenden Merkmale.
  • Fiktive Szenarien verwenden: Nutzen Sie erfundene Beispielsituationen, um Prompts zu testen, bevor Sie mit echten Daten arbeiten.
  • Interne vs. externe Tools: Prüfen Sie, ob Ihr Unternehmen eine interne KI-Lösung anbietet, bei der Daten innerhalb der Unternehmensinfrastruktur verbleiben.
  • Keine besonderen Kategorien eingeben: Gesundheitsdaten, ethnische Herkunft oder Gewerkschaftszugehörigkeit haben in KI-Prompts nichts verloren.

Art. 22 DSGVO: Automatisierte Einzelentscheidungen

Ein zentraler Artikel für KI in HR ist Art. 22 DSGVO. Dieser regelt, dass Personen das Recht haben, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Für die Praxis bedeutet das:

  • KI-gestützte Vorauswahl im Recruiting darf nicht allein über Einladung oder Absage entscheiden. Eine menschliche Überprüfung ist erforderlich.
  • Automatische Leistungsbewertungen durch KI dürfen nicht ohne menschliche Beteiligung zu arbeitsrechtlichen Konsequenzen führen.
  • Betroffene müssen über den Einsatz automatisierter Entscheidungssysteme informiert werden und können die Überprüfung durch eine Person verlangen.

Praktische Checkliste

Bevor Sie ein KI-Tool in HR-Prozessen einsetzen, prüfen Sie folgende Punkte:

  1. Liegt ein Auftragsverarbeitungsvertrag mit dem Anbieter vor?
  2. Ist die Rechtsgrundlage für die Datenverarbeitung geklärt (z.B. Art. 6 Abs. 1 DSGVO)?
  3. Werden personenbezogene Daten vor der Eingabe anonymisiert?
  4. Ist die Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten erfasst?
  5. Wurde eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt, falls erforderlich?
  6. Ist der Betriebsrat eingebunden (falls vorhanden)?
  7. Sind die betroffenen Mitarbeitenden über den KI-Einsatz informiert?

Ein verantwortungsvoller Umgang mit Daten und KI schließt sich nicht aus — erfordert aber eine sorgfältige Planung und klare Prozesse.

Zurück zum Hub