KI in der Personalabteilung

Eine Bewerbung geht ein, die KI sortiert sie innerhalb von Sekunden aus und eine automatische Absage wird versendet, ohne dass ein Mensch die Unterlagen jemals gesehen oder auch nur geöffnet hat. Was technisch längst möglich ist und in vielen Unternehmen bereits zur Realität geworden ist, wirft aus rechtlicher Perspektive erhebliche Fragen auf. KI-Systeme übernehmen in Personalabteilungen immer mehr Aufgaben, denn sie formulieren Stellenanzeigen, filtern eingehende Bewerbungen anhand vordefinierter Kriterien und transkribieren ganze Bewerbungsgespräche. Dabei gelten zwei Regelwerke parallel, die Unternehmen gleichermaßen im Blick haben müssen. Die Datenschutzgrundverordnung (DSGVO) regelt seit Jahren den Umgang mit personenbezogenen Daten, während die KI-Verordnung (KI-VO) als neues Regelwerk hinzugekommen ist. Dieser Beitrag zeigt, welche Anforderungen beide Regelwerke an den Einsatz von KI-Systemen im Personalbereich stellen und wo in der praktischen Umsetzung die Fallstricke liegen.

Zusammenspiel von DSGVO und KI-VO

Wer KI im Personalbereich einsetzen will, muss sich mit zwei Gesetzen gleichzeitig auseinandersetzen, die zwar unterschiedliche Schwerpunkte setzen, aber in der praktischen Anwendung eng miteinander verzahnt sind. Die DSGVO ist seit Jahren das zentrale Regelwerk für den Umgang mit personenbezogenen Daten und bildet damit die Grundlage für nahezu jede Form der Datenverarbeitung im Unternehmen. Die KI-VO ist als neues Gesetz hinzugekommen und regelt den Einsatz von KI-Systemen, wobei sie in Art. 2 Nr. 7 ausdrücklich auf die DSGVO verweist und klarstellt, dass diese unverändert und in vollem Umfang weiterhin gilt. Was auf den ersten Blick wie eine einfache Klarstellung wirkt, führt in der Praxis jedoch zu erheblichen Reibungspunkten, denn die KI-VO enthält selbst keine eigenen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Unternehmen müssen sich deshalb bei jeder Frage, ob und wie sie personenbezogene Daten mit KI verarbeiten dürfen, vollständig auf die Grundsätze der DSGVO stützen, was unter anderem die Einhaltung der Zweckbindung und der Datenminimierung bedeutet.

Auch die Kontrollstrukturen unterscheiden sich voneinander. Die DSGVO wird von den 17 Datenschutzaufsichtsbehörden der Länder überwacht, die Kontrolle der KI-VO liegt dagegen zentral bei der Bundesnetzagentur als Marktüberwachungsbehörde. Die möglichen Bußgelder sind in beiden Regelwerken erheblich und können Unternehmen finanziell empfindlich treffen. Nach der DSGVO können Bußgelder von bis zu 20 Mio. EUR oder 4 % des weltweiten Konzernumsatzes verhängt werden, während die KI-VO bei verbotenen Praktiken sogar noch weiter geht und Bußgelder von bis zu 35 Mio. EUR oder 7 % des weltweiten Konzernumsatzes vorsieht. Zusätzlich ermöglicht die DSGVO über Art. 82 DSGVO auch individuelle Schadensersatzansprüche Betroffener Personen, etwa für immaterielle Schäden durch unrechtmäßige Datenverarbeitung, während die KI-VO einen solchen eigenen Schadensersatzanspruch hingegen nicht kennt und Betroffene Personen insoweit auf das allgemeine Zivilrecht verwiesen sind.

Was die DSGVO von Unternehmen verlangt, die KI im Personalbereich einsetzen

Rechtsgrundlage finden

Wer ein KI-System in der Personalabteilung einführt, muss sich zunächst mit einer ganz grundlegenden Frage auseinandersetzen, nämlich ob und auf welcher Rechtsgrundlage die damit verbundene Verarbeitung personenbezogener Daten überhaupt zulässig ist. Die DSGVO geht davon aus, dass jede Verarbeitung personenbezogener Daten zunächst einmal unzulässig ist und nur dann erlaubt wird, wenn eine der gesetzlich vorgesehenen Rechtsgrundlagen einschlägig ist. Im Personalbereich kommen dabei vor allem der Arbeitsvertrag, gesetzliche Verpflichtungen wie Aufbewahrungspflichten oder Meldepflichten gegenüber dem Finanzamt, das berechtigte Interesse des Arbeitgebers sowie in bestimmten Fällen auch die Einwilligung der Beschäftigten in Betracht. Gerade die Einwilligung erweist sich im Beschäftigungsverhältnis allerdings als problematisch, weil aufgrund des bestehenden Abhängigkeitsverhältnisses zwischen arbeitgebender Stelle und beschäftigter Person die geforderte Freiwilligkeit häufig nur schwer nachzuweisen ist.

Datenschutz-Folgenabschätzung

Besondere Aufmerksamkeit verdient darüber hinaus die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, die immer dann durchzuführen ist, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen Personen mit sich bringt. Im Personalbereich ist das beispielsweise dann der Fall, wenn Bewerbende mithilfe eines KI-Systems „gerankt“ oder „gescored“ werden, wenn eine systematische Überwachung von Mitarbeitenden stattfindet oder wenn Beschäftigte aufgrund ihres Abhängigkeitsverhältnisses keine reale Möglichkeit haben, sich der Verarbeitung zu entziehen. Ob eine solche DSFA erforderlich ist, wird in der Praxis zunächst anhand einer sogenannten Schwellenwertanalyse ermittelt, bei der verschiedene Risikofaktoren geprüft und gegeneinander abgewogen werden.

Die Behörden haben in einer Orientierungshilfe „KI und Datenschutz“ festgestellt, dass beim Einsatz von KI-Anwendungen „vielfach“ eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO erforderlich sein wird. Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eine KI-Checkliste zum Thema DSFA veröffentlicht und empfiehlt, den Datenschutzbeauftragten bei der Durchführung einzubinden.

Automatisierte Entscheidungen nach Art. 22 DSGVO

Besonders relevant wird es, wenn ein KI-System Entscheidungen mit rechtlicher Wirkung gegenüber Betroffenen Personen trifft, ohne dass ein Mensch die Entscheidung vorher geprüft hat. Ein typisches Beispiel ist ein Bewerbungsverfahren, bei dem das KI-System Bewerbungen automatisch aussortiert und Absagen verschickt, ohne dass ein Mitarbeitender der Personalabteilung die Bewerbung je gesehen hat. Solche ausschließlich automatisierten Entscheidungen sind nach Art. 22 Abs. 1 DSGVO grundsätzlich unzulässig.  Die Artikel 29 Datenschutzgruppe hat hierzu in der Vergangenheit eine Leitlinie zu automatisierten Entscheidungen veröffentlicht, in der sie Art. 22 näher auslegt und insbesondere den Begriff der ausschließlich automatisierten Verarbeitung und die Anforderungen an menschliches Eingreifen sowie die zu gewährleistenden Betroffenenrechte beschreibt.

Es gibt zwar Ausnahmen, etwa wenn die Entscheidung für einen Vertrag erforderlich ist, eine spezifische gesetzliche Vorschrift sie erlaubt oder eine Einwilligung vorliegt. Im Personalbereich greifen diese Ausnahmen jedoch selten. Der Arbeitsvertrag lässt sich kaum als Grundlage für eine automatisierte Bewerbungsabsage heranziehen, spezifische Vorschriften fehlen weitgehend, und die Einwilligung scheitert regelmäßig am Problem der fehlenden Freiwilligkeit.

Auftragsverarbeitung mit Dienstleistern

Wer KI-Tools von externen Anbietern wie OpenAI, Google oder Microsoft einsetzt, muss mit diesen in der Regel einen Auftragsverarbeitungsvertrag (AVV) abschließen. In diesem Vertrag wird unter anderem festgelegt, welche Pflichten der Verantwortliche und welche der Auftragsverarbeiter hat und dass der Anbieter die übermittelten Daten nicht für eigene Zwecke nutzen oder zum Training seiner Modelle verwenden darf. Wenn ein solcher Vertrag nicht vorhanden ist, etwa weil ein Unternehmen die Consumer-Version eines KI-Tools nutzt, entsteht in der Regel bereits ein grundlegendes datenschutzrechtliches Problem. Werden dennoch personenbezogene Daten an die Tools übermittelt, besteht hierzu im Regelfall keine geeignete Rechtsgrundlage, was schlimmstenfalls zu Sanktionen durch Aufsichtsbehörden führen kann.

Was die KI-VO für den Personalbereich bedeutet

Neben der DSGVO müssen Unternehmen, die KI-Systeme in der Personalabteilung einsetzen, auch die Anforderungen der KI-VO im Blick behalten, die mit ihrem abgestuften Risikosystem einen ganz anderen regulatorischen Ansatz verfolgt als das Datenschutzrecht. Während die DSGVO grundsätzlich danach fragt, ob eine Rechtsgrundlage für die jeweilige Datenverarbeitung vorliegt, arbeitet die KI-VO mit einem pyramidenförmigen Aufbau, der KI-Systeme je nach Risikopotenzial in verschiedene Kategorien einteilt und daran unterschiedlich strenge Pflichten knüpft.

1. Verbotene Praktiken

An der Spitze dieser Pyramide stehen die verbotenen Praktiken nach Art. 5 KI-VO, zu denen im Beschäftigungskontext insbesondere die Emotionserkennung von Mitarbeitenden gehört. Wenn also ein KI-System im Bewerbungsgespräch die Tonalität und den Ausdruck einer Person bewertet und daraus eine Art emotionalen Score ableitet, kann dies bereits unter die verbotenen Praktiken im Sinne von Art. 5 Abs. 1 lit. f KI-VO fallen, weil es sich um einen tiefen Eingriff in die Persönlichkeitsrechte handelt.

2. Hochrisiko-KI

Auf der nächsten Stufe folgen die Hochrisiko-KI-Systeme nach Art. 6 KI-VO, die für den HR-Bereich besonders relevant sind, weil KI-Systeme, die zur Sichtung, Filterung und Bewertung von Bewerbungen eingesetzt werden, gemäß Anhang III Nr. 4a ausdrücklich unter diese Kategorie fallen. Die Einstufung als Hochrisiko-KI bringt erhebliche Dokumentations- und Nachweispflichten sowohl für Anbieter als auch für Betreiber mit sich und macht den Einsatz solcher Systeme zwar nicht unmöglich, aber deutlich aufwendiger.

Allerdings sieht Art. 6 Abs. 3 KI-VO vier Ausnahmen vor, durch die ein an sich als Hochrisiko eingestuftes System wieder in die Kategorie der sonstigen KI herabgestuft werden kann, wobei der wichtigste Anknüpfungspunkt in der Praxis die sogenannte menschliche Kontrolle ist, also das Prinzip des „Human in the Loop“. Weitere Ausnahmen greifen dann, wenn das KI-System lediglich eine eng gefasste Verfahrensaufgabe erfüllt, die menschliche Tätigkeit verbessern soll oder nur Muster erkennt, ohne dabei menschliche Entscheidungen zu ersetzen.

3. Sonstige KI-Systeme

Für die sonstigen KI-Systeme mit begrenztem oder minimalem Risiko, wie etwa Übersetzungsprogramme, intelligente Suchfunktionen oder Textgenerierungstools, gelten deutlich geringere Anforderungen. Bei minimalem Risiko beschränken sich die Pflichten im Wesentlichen auf die Gewährleistung der KI-Kompetenz nach Art. 4 KI-VO, was bedeutet, dass diejenigen, die mit dem jeweiligen Tool arbeiten, über dessen Risiken wie etwa Fehleranfälligkeit oder Halluzinationen entsprechend geschult und instruiert werden müssen. Bei begrenztem Risiko kommen zusätzlich Kennzeichnungs- und Dokumentationspflichten hinzu, die etwa dann relevant werden, wenn ein KI-Chatbot mit Bewerbenden oder Mitarbeitenden interagiert, weil in solchen Fällen nach Art. 50 KI-VO transparent gemacht werden muss, dass die Betroffene Person nicht mit einem Menschen, sondern mit einem KI-System kommuniziert.

Zu dem Thema KI-VO haben wir ein eigenes Whitepaper mit dem Titel „Künstliche Intelligenz im Unternehmen – 50 Antworten zu den wichtigsten Anforderungen der KI-Verordnung“ erstellt.

Download Whitepaper KI-VO

Durch die Angabe Ihrer E-Mail-Adresse erhalten Sie unser Whitepaper und abonnieren gleichzeitig unseren Newsletter. Die Anmeldung ist jederzeit widerruflich.

Wie sich das Zusammenspiel von DSGVO und KI-VO in der Praxis zeigt

Was all diese Regelungen konkret für Unternehmen bedeuten, lässt sich am besten anhand typischer Anwendungsfälle aus dem Personalbereich veranschaulichen, die in der Praxis bereits weit verbreitet sind und die zugleich zeigen, wie unterschiedlich die rechtliche Bewertung je nach Ausgestaltung des KI-Einsatzes ausfallen kann. Die Beispiele stammen aus einem Webinar, welches wir kürzlich zu dem Thema veranstaltet haben. Nachfolgend haben wir die Erkenntnisse für die Praxis zusammengefasst.

Stellenanzeigen mit KI erstellen

Ein vergleichsweise unkritischer Anwendungsfall liegt vor, wenn ein KI-System auf Basis eines Prompts einen vollständigen Entwurf für eine Stellenanzeige generiert, dieser Entwurf anschließend auf potenzielle Verstöße etwa gegen das AGG oder die DSGVO geprüft wird und die Personalabteilung den Text erst nach individueller Überarbeitung und Finalisierung zur Veröffentlichung freigibt. In diesem Szenario handelt es sich nach der KI-VO lediglich um eine KI mit minimalem Risiko, weil keine personenbezogenen Daten von Bewerbenden verarbeitet werden und die menschliche Kontrolle durchgehend gewährleistet ist, sodass über die Sicherstellung der KI-Kompetenz hinaus keine weiteren Pflichten aus der KI-VO zu erfüllen sind. Auch die DSGVO ist auf die bloße Erstellung einer Stellenanzeige nicht anwendbar, solange dabei keine personenbezogenen Daten verarbeitet werden, wobei sich das ändern kann, wenn beispielsweise ein konkreter Mitarbeitender als Ansprechperson namentlich in der Anzeige genannt wird. Die Kennzeichnungspflicht nach Art. 50 KI-VO greift in diesem Fall ebenfalls nicht, weil die menschliche Einwirkung auf den Text gegeben ist und die KI lediglich einen Entwurf liefert, der vor der Veröffentlichung noch überarbeitet wird.

Automatisiertes Screening von Bewerbungen

Deutlich heikler wird es, wenn eingehende Bewerbungen direkt in eine KI-gestützte Personalsoftware eingespeist werden, das System die Bewerbungsunterlagen automatisiert analysiert, Qualifikationen und Berufserfahrung mit dem hinterlegten Anforderungsprofil abgleicht und Bewerbungen in Kategorien wie „passend“, „bedingt passend“ oder „nicht passend“ einordnet. Besonders problematisch wird es dann, wenn das System eigenständig Absagen an Bewerbende versendet, ohne dass ein Mensch die einzelne Entscheidung noch einmal geprüft hat. In dieser Konstellation fallen gleich mehrere rechtliche Anforderungen zusammen.

Nach der KI-VO handelt es sich bei einem solchen System um Hochrisiko-KI im Sinne von Anhang III Nr. 4a, weil es zur Sichtung, Filterung und Bewertung von Bewerbungen eingesetzt wird und es an einer menschlichen Kontrolle fehlt, was erhebliche Dokumentations- und Nachweispflichten nach sich zieht. Gleichzeitig stellt die automatische Absage ohne menschliche Beteiligung aus Sicht der DSGVO eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 Abs. 1 DSGVO dar, die grundsätzlich unzulässig ist. Dabei reicht es auch nicht aus, dass ein Recruiter die Auswahlkriterien zwar vorab festlegt, das System dann aber autonom auf Grundlage dieser Kriterien aussortiert und Absagen versendet. Vielmehr bedarf es pro Bewerbung einer individuellen menschlichen Prüfung, sodass ein pauschales Bestätigen von hundert Absagen auf einen Knopfdruck keine ausreichende menschliche Kontrolle darstellen dürfte.

KI-Chatbot für Bewerbungsinterviews

Ein weiterer in der Praxis zunehmend verbreiteter Anwendungsfall ist der Einsatz eines KI-Chatbots, der über digitale Kanäle wie WhatsApp die Kontaktaufnahme mit Bewerbenden ermöglicht, KI-gestützte Jobvorschläge unterbreitet und vordefinierte Interviewfragen im Chat durchläuft, wobei die finale Auswahl der Kandidat:innen am Ende durch einen Menschen erfolgt.

Da in diesem Szenario die menschliche Kontrolle als „Human in the Loop“ gegeben ist und der Chatbot lediglich das Führen des Interviews übernimmt, liegt nach der KI-VO keine Hochrisiko-KI vor. Allerdings müssen die Bewerbenden nach Art. 50 KI-VO darüber informiert werden, dass sie mit einem KI-System und nicht mit einem Menschen kommunizieren.  Auf Seiten der DSGVO sind die Informationspflichten nach Art. 13 DSGVO zu erfüllen, es muss eine passende Rechtsgrundlage für die Erhebung der personenbezogenen Daten geprüft werden und auch die Datenflüsse zu externen Anbietern, etwa für die im Bot integrierte automatische Übersetzung, sind im Hinblick auf eine mögliche Auftragsverarbeitung zu bewerten.

KI-gestützte Transkription und Analyse von Bewerbungsgesprächen

Der vielleicht sensibelste Anwendungsfall betrifft die automatische Transkription von Bewerbungsgesprächen, bei der eine KI-Software das Gespräch in Echtzeit aufzeichnet und transkribiert, anschließend eine strukturierte Zusammenfassung der wesentlichen Gesprächsinhalte erstellt und ergänzend die Aussagen der Bewerbenden hinsichtlich Schlüsselkompetenzen sowie Tonalität und Ausdrucksweise bewertet.

Bei diesem Beispiel zeigt sich besonders gut, wie stark die rechtliche Bewertung von der konkreten Ausgestaltung abhängt, denn die reine Aufzeichnung und Transkription als technische Hilfsfunktion stellt in der Regel noch keine Hochrisiko-KI dar. Eine strukturelle Zusammenfassung mit Gewichtung fällt bereits in den Grenzbereich zur Hochrisiko-KI, eine Bewertung von Tonalität und Ausdruck ist mindestens als Hochrisiko-KI einzustufen und kann im Zweifel sogar eine verbotene Praktik im Sinne von Art. 5 Abs. 1 lit. f KI-VO darstellen. Auf DSGVO-Seite kommt hinzu, dass für die Aufzeichnung und Analyse eines Bewerbungsgesprächs eine Einwilligung als Rechtsgrundlage erforderlich ist, wobei wegen des Freiwilligkeitserfordernisses eine alternative Möglichkeit ohne KI-Einsatz angeboten werden muss. Die Bewertung von Tonalität und Ausdrucksweise ist zudem als Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO zu klassifizieren, was weitere Anforderungen an die Rechtsgrundlage mit sich bringt.

Sie brauchen rechtliche Unterstützung beim Einsatz von KI-Systemen in Ihrem Unternehmen? Melden Sie sich gerne hier.

Fazit

​Der Einsatz von KI in der Personalabteilung bietet großes Potenzial, doch die rechtlichen Anforderungen aus DSGVO und KI-VO sind vielschichtig und dürfen nicht unterschätzt werden. Ein zentraler Grundsatz zieht sich dabei wie ein roter Faden durch beide Regelwerke. Entscheidungen mit rechtlicher Wirkung gegenüber Betroffenen Personen dürfen nicht vollständig automatisiert getroffen werden, sondern erfordern stets eine echte menschliche Einzelfallprüfung. Wer Bewerbungen automatisiert aussortiert und Absagen ohne menschliche Kontrolle versendet, bewegt sich in einem rechtlich sehr riskanten Bereich. Zudem fallen KI-Systeme zur Auswahl von Bewerbenden ausdrücklich unter die Hochrisiko-Kategorie der KI-VO, bei der Analyse von Tonalität oder Ausdrucksweise kann sogar die Grenze zur verbotenen Praktik der Emotionserkennung überschritten sein.

Für die Praxis bedeutet das, dass Unternehmen vor dem Einsatz eines KI-Systems im HR-Bereich sorgfältig die einschlägigen Rechtsgrundlagen prüfen, sämtliche Informationspflichten gegenüber Beschäftigten und Bewerbenden erfüllen, bei Bedarf eine Datenschutzfolgenabschätzung durchführen sowie Auftragsverarbeitungsverträge mit den jeweiligen Anbietern abschließen sollten. Weiterhin ist auch das Training der Modelle mit eigenen Daten wirksam auszuschließen. Wer sich frühzeitig und strukturiert mit diesen Anforderungen auseinandersetzt, schafft damit nicht nur eine belastbare rechtliche Grundlage für den Einsatz von KI im Personalbereich, sondern verschafft sich auch einen spürbaren Wettbewerbsvorteil gegenüber denjenigen, die das Thema erst dann angehen, wenn die Aufsichtsbehörden bereits aktiv werden.