Compliance

KI im Personalwesen rechtssicher einsetzen: DSGVO und AI Act für HR-Verantwortliche

KI im Personalwesen rechtssicher anwenden: Hochrisiko-Einstufung nach EU AI Act Anhang III, Art. 22 DSGVO, Betriebsrat nach BetrVG und die digitale Personalakte richtig aufsetzen.

~ 6 Min. Lesezeit

Die regulatorische Herausforderung

Ein Personaldienstleister setzt eine KI zur Vorauswahl von Bewerbungen ein, weil das Tool Lebensläufe nach Eignung sortiert und Zeit spart. Was die HR-Leiterin nicht weiß: KI-gestütztes Bewerbermanagement ist im EU AI Act ausdrücklich als Hochrisiko-Anwendung eingestuft. Damit gelten weitreichende Pflichten wie eine Risikoanalyse, Transparenz gegenüber Bewerbern, menschliche Kontrollinstanzen und eine technische Dokumentation. Nichts davon ist im Unternehmen umgesetzt, und das rechtliche Risiko ist deutlich, weil Verstöße nach Art. 99 EU AI Act mit bis zu 15 Mio. € oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden können.

Warum HR fast immer in den Hochrisiko-Bereich fällt

Anhang III des EU AI Act führt den Bereich Beschäftigung und Personalmanagement ausdrücklich als Hochrisiko-Feld. Darunter fallen die Auswahl und das Screening von Bewerbungen, die Bewertung von Kandidaten sowie Systeme zur Leistungsbewertung, zur Aufgabenverteilung und zum Monitoring von Beschäftigten. Die Pflichten für solche Hochrisiko-Systeme greifen gestaffelt, und für die in Anhang III genannten Anwendungen werden sie ab dem 02.08.2026 wirksam. Wer HR-KI anwendet, sollte deshalb jetzt prüfen, in welche Kategorie die geplanten Werkzeuge fallen, weil die Vorbereitungszeit für Dokumentation und Prozesse knapp wird.

Unser Beratungsansatz für rechtssichere HR-KI

Wir entschärfen das Compliance-Risiko in vier Schritten. Zuerst identifizieren wir systematisch alle HR-KI-Anwendungen im Unternehmen, vom Bewerbungsscreening über die Leistungsbewertung bis zum Arbeitszeitmonitoring. Anschließend konzipieren wir ein Risikomanagementsystem, stellen die Transparenz gegenüber Bewerbern sicher und verankern die menschliche Aufsicht nach Art. 14 AI Act. Im dritten Schritt führen wir die Datenschutz-Folgenabschätzung durch, die bei der umfangreichen Verarbeitung von Beschäftigtendaten regelmäßig Pflicht ist. Schließlich erstellen wir die nötige Dokumentation und richten eine laufende Überwachung ein. Parallel binden wir den Betriebsrat früh ein, weil Systeme zur Leistungs- und Verhaltenskontrolle nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig sind.

Die digitale Personalakte als praktischer Anwendungsfall

Ein häufiger Einstieg ist die digitale Personalakte, weil sie sofort Vorteile bringt und sich eindeutig von riskanten Entscheidungssystemen abgrenzen lässt. Eine KI-gestützte Texterkennung klassifiziert Dokumente wie Verträge, Zeugnisse oder Arbeitsunfähigkeitsbescheinigungen automatisch, extrahiert die Metadaten und legt sie in einer strukturierten, berechtigungsgesteuerten Akte ab. Dieser Schritt ist unkritisch, solange er nur erfasst und ablegt, statt Menschen zu bewerten. Wichtig ist die saubere Trennung, denn das reine Auslesen von Unterlagen ist erlaubt, während ein automatisches Aussortieren von Kandidaten unter Art. 22 DSGVO fällt und menschliche Kontrolle verlangt.

Datenschutz und Grundrechte

KI im Personalwesen berührt die elementaren Grundrechte von Bewerbern und Mitarbeitern, weshalb Diskriminierungsrisiken durch Tests und menschliche Aufsicht minimiert werden müssen. Personalakten unterliegen außerdem strengen Löschfristen und einem granularen Berechtigungskonzept. Die Kombination aus EU AI Act und DSGVO verlangt damit eine doppelte Absicherung, die wir fachlich begleiten.

Fazit

KI im HR ist kein risikoarmer Spielplatz, sondern der am stärksten regulierte Bereich des EU AI Act. Wer Bewerbungen ohne Risikoanalyse und ohne lückenlose Transparenz automatisiert filtert, riskiert nicht nur empfindliche Bußgelder, sondern auch kostspielige Diskriminierungsklagen. Mit einer eindeutigen Einstufung und sauberen Prozessen lässt sich KI im Personalwesen dagegen rechtssicher und produktiv anwenden.

Kennzahl
bis 15 Mio. €
Bußgeldrisiko bei HR-Hochrisiko-KI
Quelle: Art. 99 EU AI Act
Einsparpotential
15.000 – 50.000 €/Jahr

Unser Ansatz für KI Einsatz Personalwesen Rechtssicher DSGVO

1. Hochrisiko-Klassifizierung
Wir gleichen Ihre geplanten HR-Tools wie CV-Parser oder Interview-Analyse mit Anhang III des EU AI Act ab, um die Einstufung als Hochrisiko-System zu klären und rechtlich abzusichern.
2. Datensparsamkeit und AVV-Audit
Wir prüfen, ob Bewerberdaten anonymisiert werden müssen, bevor sie über eine Anbindung an ein Sprachmodell übergeben werden, und ob ein Auftragsverarbeitungsvertrag vorliegt.
3. Betriebsrat einbinden
Wir konzipieren eine transparente Kommunikation für die Mitarbeitervertretung, um die Mitbestimmung nach § 87 BetrVG von Beginn an zu klären.

Häufige Fragen

Nein, art. 22 DSGVO verbietet Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und rechtliche Wirkung entfalten. Ein Mensch muss die finale Entscheidung treffen, die KI darf nur vorbereiten.

Das reine maschinelle Auslesen, also das CV-Parsing in Formularfelder, ist unproblematisch. Ein maschinelles Scoring, das Kandidaten aussortiert, fällt dagegen unter Art. 22 DSGVO und ist ohne menschliche Kontrolle unzulässig.

Ja, EU-basierte Texterkennungssysteme erkennen den Dokumenttyp, extrahieren den Datumsbereich und legen das Dokument revisionssicher in der digitalen Personalakte ab, ohne dass jemand manuell eingreifen muss.

Die reine Texterstellung ohne Bezug zu konkreten Bewerbern ist risikoarm. Kritisch wird es erst, wenn Lebensläufe zusammengefasst, bewertet oder Personaldaten verarbeitet werden, weil dann der Hochrisiko-Bereich beginnt.

Kostenlose Potenzialanalyse anfragen

Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Datenschutzerklärung