Worum geht's?
Künstliche Intelligenz (KI) ist in aller Munde und verändert die Arbeitswelt in rasantem Tempo. Auch im HR-Bereich gibt es zahlreiche Möglichkeiten, Prozesse effektiver zu gestalten. So kann KI bei der Auswahl passender Bewerber helfen, Mitarbeiterdaten verwalten oder bei der Personalentwicklung unterstützen.
Doch im Spannungsfeld von Arbeitsrecht, Datenschutz und der KI-Verordnung (bzw. AI Act) stellen sich viele rechtliche Fragen: Dürfen Arbeitgeber solche Systeme überhaupt nutzen? Wie wirkt sich die neue KI-Verordnung darauf aus? Wer haftet, wenn ein KI-System die falsche Entscheidung trifft? Dieser Artikel zeigt Ihnen, worauf Sie beim Einsatz von KI im HR achten sollten.
1. KI im HR-Bereich
Künstliche Intelligenz (KI) beschränkt sich schon längst nicht mehr auf Tools wie ChatGPT und Co. –der Begriff “KI” umfasst letztendlich jedes System, das eigenständig Aufgaben erledigen und dazulernen kann. Und die Möglichkeiten, KI in bestehende HR-Arbeitsabläufe zu integrieren, sind vielfältig:
- Recruiting & Bewerber-Screening: Automatisches Auswerten von Lebensläufen, Vorauswahl von Kandidaten oder automatisierte KI-Chatbot-Interviews.
- Onboarding neuer Mitarbeiter: KI-gestützte Assistenten, die neue Mitarbeitende begleiten und Fragen beantworten.
- Leistungsanalysen & Personalentwicklung: Tools, die Produktivitätskennzahlen auswerten oder Skills-Lücken erkennen und Weiterbildungsvorschläge machen.
- Einsatzplanung & Organisation: Schichtmodelle, Urlaubsplanung oder Projektzuordnung.
- Vergütung & Zielsteuerung: KI zur Systematisierung von Zielvereinbarungen oder zur Analyse von Gehaltsstrukturen.
- Datenbank: Verwaltung von Personaldaten, Urlaubsanträgen, Krankmeldungen oder Leistungsdaten.
Auf den ersten Blick scheinen diese Anwendungen für Arbeitgeber enorme Vorteile zu bringen. Doch es liegt auf der Hand, dass solche Anwendungen keinesfalls bedenkenlos eingesetzt werden können.
2. KI & Personal: Was gibt es rechtlich zu beachten?
Ob Arbeitsrecht, Datenschutz, Haftung, Compliance oder KI-Verordnung – Was Sie rechtlich beachten müssen, um KI im Personalbereich einsetzen zu können, erfahren Sie jetzt.
1. KI-Verordnung einhalten
Die 2024 in Kraft getretene KI-Verordnung (KI-VO) sieht vielerlei Pflichten insbesondere für den Einsatz von KI im Personalbereich vor. Nach der KI-VO werden KI-Anwendungen in vier Risikostufen eingeteilt – von „minimal“ bis “verboten“. Besonders relevant für das Arbeitsrecht sind sogenannte KI-Systeme mit hohem Risiko. Hintergrund ist, dass mit solchen Systemen ein erhöhtes Schadenspotenzial für Gesundheit, Sicherheit oder die Grundrechte von Personen einhergeht.
HOCHRISIKO-KI-SYSTEME
Die KI-Verordnung ordnet unter anderem folgende KI-Systeme als Hochrisiko-KI-Systeme ein (Art. 6 Abs. 2 i.V.m. Anhang III KI-VO):
- KI‑Systeme, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu sichten oder zu filtern und Bewerber zu bewerten;
- KI‑Systeme, die bestimmungsgemäß für Entscheidungen, die die Bedingungen von Arbeitsverhältnissen, Beförderungen und Kündigungen von Arbeitsvertragsverhältnissen beeinflussen, für die Zuweisung von Aufgaben aufgrund des individuellen Verhaltens oder persönlicher Merkmale oder Eigenschaften oder für die Beobachtung und Bewertung der Leistung und des Verhaltens von Personen in solchen Beschäftigungsverhältnissen verwendet werden soll.
Wenn Sie also KI zur Bewerberauswahl, Einstellung, Beförderung oder Kündigung verwenden, können Sie von einem KI-System mit hohem Risiko ausgehen und müssen umfassenden Pflichten nachkommen:
Pflichten für Betreiber von Hochrisiko-KI nach Art. 26, 27 KI-VO:
- Technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass Systeme entsprechend der Betriebsanleitungen verwendet werden
- Menschliche Aufsicht durch Personen, die die erforderliche Kompetenz haben
- Allgemeine Pflichten nach Unionsrecht und nationalem Recht (z.B. DSGVO)
- Überwachung des Betriebs des KI-Systems
- Aufbewahrungspflicht der von dem KI-System erzeugten Protokolle
- Informationspflicht vor Nutzung gegenüber den betroffenen Arbeitnehmern
- Durchführung einer Datenschutz-Folgenabschätzung
- Durchführung einer Grundrechte-Folgenabschätzung
ACHTUNG
Diese Pflichten gelten ab dem 2. August 2026. Wenn Sie ein KI-System im Personalbereich einsetzen, sollten Sie sich also bereits jetzt entsprechend vorbereiten, um Bußgelder von bis zu 15 Mio. € bzw. 3% des weltweiten Jahresumsatzes zu vermeiden.
2. Schulung des HR-Teams & interne KI-Richtlinie
Eine weitere Pflicht für Betreiber von KI-Systemen ist es, die KI-Kompetenz im Unternehmen sicherzustellen (Art 4 KI-VO). Diese Pflicht gilt bereits seit Februar 2025. Das bedeutet: Sobald Unternehmen KI-Systeme einsetzen und dabei ist es egal in welchem Bereich, müssen Sie sicherstellen, dass Ihre Mitarbeiter über KI-Kenntnisse verfügen, indem Sie eine KI-Schulung durchführen.
Dazu gehört ein Verständnis für die Funktionsweise von KI-Systemen, aber auch ein rechtliches Verständnis für KI. Sie setzen KI ein, haben aber weder sich noch Ihre Mitarbeiter geschult?
Neben der KI-Schulung sollten Sie Ihren Mitarbeitenden eine interne KI-Richtlinie bereitstellen. So erhalten ihre Mitarbeitende einen Überblick darüber, wie sie mit KI im Unternehmen umgehen sollen und bekommen Mitarbeiter Antworten auf Fragen wie: “Welche Daten darf ich in KI-Systeme eingeben?” oder “Welche KI-Tools darf ich nutzen?" und Arbeitgeber können sich rechtlich absichern. Bei eRecht24 Premium können Sie sich mit einem Generator eine KI-Richtlinie erstellen.
3. Datenschutz: Umgang mit personenbezogenen & sensiblen Daten
Nur weil es jetzt die KI-Verordnung gibt, sollte die DSGVO beim Thema KI nicht in den Hintergrund rücken. Während sich die KI-Verordnung in erster Linie mit dem Risiko ausgehend von KI-Systemen beschäftigt, hat die DSGVO den Schutz personenbezogener Daten im Fokus.
Ob Bewerbungsunterlagen, Leistungsdaten oder Krankheitszeiten – Wer KI im Personalwesen nutzt, hat zwangsläufig mit personenbezogenen Daten und sogar sensiblen Daten zu tun. Unternehmen müssen daher sicherstellen, dass sie mit Bewerber- und Mitarbeiterdaten DSGVO-konform umgehen.
1. Rechtsgrundlage
Dafür benötigen Sie in jedem Fall eine Rechtsgrundlage, wie die freiwillige Einwilligung der betroffenen Personen, in die Verarbeitung der Daten mit dem KI-System. Da die Einwilligung freiwillig und jederzeit widerrufbar sein muss, könnte es im Arbeitsverhältnis herausfordernd sein, sich darauf zu stützen.
Die Rechtsgrundlage kann zumindest bei Mitarbeitern auch in der Erfüllung eines Vertrages – nämlich des Arbeitsvertrages –liegen. Auch kann ein sog. berechtigtes Interesse des Arbeitgebers vorliegen, wobei dann abzuwägen ist, ob das Interesse des Arbeitgebers tatsächlich die Interessen der betroffenen Person überwiegt.
Nach Art. 9 DSGVO ist die Verarbeitung von bestimmten Daten, darunter Gesundheitsdaten, verboten. Wenn die Person jedoch eingewilligt hat oder die Verarbeitung erforderlich ist, können sogar Gesundheitsdaten in KI-Systemen verarbeitet werden.
2. Auftragsverarbeitungsvertrag
Da Unternehmen KI-Tools in der Regel nicht selbst entwickeln, sondern auf Software von Drittanbietern zurückgreifen, benötigen sie im nächsten Schritt einen Auftragsverarbeitungsvertrag mit dem KI-Tool-Anbieter. Einen solchen Vertrag benötigen Sie immer dann, wenn Sie jemanden mit der Verarbeitung von personenbezogenen Daten beauftragen.
3. Datentransfer in die USA
Häufig kommen KI-Tools aus den USA. Dabei sind viele rechtliche Stolpersteine zu beachten, damit die Tools rechtssicher eingesetzt werden können. Wenn der Tool-Anbieter, mit dem Sie zusammenarbeiten wollen, auf der DPF (kurz für “Data Privacy Framework”) Liste steht, gilt er nach aktuellem Stand als ein sicherer Datenempfänger.
4. Sonderfall: Automatisierte Entscheidungen (Art. 22 DSGVO): Mit KI dürfen keine vollautomatisierten Entscheidungen, die eine Person erheblich beeinträchtigen, getroffen werden. Es darf also ein KI-System nicht allein über die Ablehnung eines Bewerbers oder die Kündigung eines Mitarbeiters entscheiden. Auch wenn es Ausnahmen davon gibt, sollten Entscheidungen über Menschen nicht allein einer KI überlassen werden, sondern diese nur als Hilfe gesehen werden. Diese sog. menschliche Aufsicht ist für KI mit hohem Risiko ohnehin nach der KI-Verordnung vorgesehen.
Um den Überblick über Ihre Datenverarbeitungen im Unternehmen zu behalten, DSGVO-konform zu handeln und alles an einem Ort zu dokumentieren, empfehlen wir Ihnen, ein Datenschutzmanagementsystem einzusetzen.
4. Keine Diskriminierung
Nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) dürfen Bewerber oder Mitarbeiter unter anderem nicht aufgrund von Geschlecht, Alter, Herkunft oder einer Behinderung benachteiligt werden. KI-Systeme, die mit verzerrten Daten trainiert wurden, können aber genau solche Diskriminierungen verursachen. Dadurch kann es beispielsweise im Bewerbungsprozess passieren, dass ein KI-System Männer für eine Position bevorzugt, weil das System mit Daten trainiert wurde, nach denen überwiegend Männer für diese Positionen eingestellt wurden.
Die Folge können Entschädigungs- und Schadensersatzansprüche von Bewerbern oder Mitarbeitenden sein. Nach dem AGG reicht es, dass die betroffene Person glaubhaft machen kann, dass eine Diskriminierung stattgefunden hat. Der Arbeitgeber muss dann beweisen, dass kein Verstoß gegen das AGG vorliegt.
Das Problem bei Entscheidungen von KI-Systemen ist allerdings, dass nicht immer nachvollziehbar ist, wie eine Entscheidung zustande kam („sog. Black Box“). So ist es sehr schwierig bis unmöglich eine diskriminierungsfreie Entscheidung nachzuweisen.
TIPP
Nach der KI-VO ist der Anbieter des KI-Systems dazu verpflichtet, sicherzustellen, dass die Trainingsdaten Menschen nicht diskriminieren. Wählen Sie den KI-System-Anbieter mit Bedacht und in Hinblick darauf, dass die Daten, auf denen das System basiert, frei von Diskriminierungen sind. Um das sicherzustellen, sollten Sie sich z.B. die technische Dokumentation vorlegen lassen. Regeln Sie außerdem die Eigenschaften des KI-Systems und die damit einhergehende Haftung mit dem KI-Tool-Anbieter vertraglich.
5. Haftung bei fehlerhaften KI-Entscheidungen
Kommt es durch KI-Anwendungen zu falschen Entscheidungen – etwa bei einer Ablehnung im Bewerbungsprozess oder einer fehlerhaften Leistungsbewertung – stellt sich die Frage: Wer haftet jetzt?
Diese Frage ist sehr komplex, doch grundsätzlich können Sie sich merken, dass derjenige für KI-Fehler haftet, der das KI-System entwickelt oder verwendet. Wenn Sie KI-Systeme für Ihr Unternehmen kaufen, sollten Sie vertragliche Regelungen zur Haftung treffen. Entwickler einer KI haften beispielsweise, wenn das System fehlerhaft ist oder Sicherheitsmängel aufweist.
MEHR LESEN
Mehr zur Haftung für KI-Schäden können Sie in unserem Beitrag “KI-Haftungsrichtlinie zurückgezogen: Wer haftet denn nun für KI-Schäden?” lesen.
3. Fazit
Der Einsatz von Künstlicher Intelligenz im Personalwesen wird durch die KI-Verordnung (KI-VO) und die DSGVO streng geregelt. Besonders Hochrisiko-KI-Systeme – etwa zur Bewerberauswahl, Beförderung oder Kündigung – unterliegen ab August 2026 umfangreichen Pflichten wie menschlicher Aufsicht, Dokumentation & Datenschutzfolgenabschätzung.
Auch die DSGVO sollten Sie beim Einsatz von KI im Personalbereich keinesfalls aus den Augen verlieren. Sie brauchen eine Rechtsgrundlage, um personenbezogene Daten in KI-Systeme einzugeben. Vergessen Sie außerdem nicht, den AV-Vertrag mit dem KI-Tool-Anbieter abzuschließen.
Wählen Sie KI-Tools für den HR-Bereich sorgfältig aus und achten Sie dabei darauf, dass KI-Systeme frei von Diskriminierung sind und Sie die Haftung mit dem KI-Anbieter eindeutig regeln.
Unabhängig davon, ob Sie KI-Systeme im Personalbereich einsetzen oder in anderen Unternehmensbereichen, sind Sie seit Februar 2025 verpflichtet, Ihre Mitarbeiter im Umgang mit KI zu schulen. Wenn Sie noch keine KI-Schulung durchgeführt haben, können Sie auf das Schulungsangebot unserer Partnerkanzlei Siebert Lexow zurückgreifen.
4. FAQ: KI und Arbeitsrecht
