Künstliche Intelligenz hält Einzug in die HR-Abteilung – vom Bewerber-Screening bis zur Mitarbeiterbefragung. Doch zwischen DSGVO, EU AI Act, AGG und Mitbestimmung des Betriebsrats ist der rechtliche Rahmen anspruchsvoll. Dieser Beitrag zeigt, was im Mittelstand beim KI-Einsatz im Personalbereich erlaubt ist, was zwingend mit Beschäftigten und Betriebsrat abzustimmen ist und warum eine digitale Personalakte das unverzichtbare Fundament rechtssicherer KI-Projekte bildet.
Künstliche Intelligenz hat den HR-Bereich längst erreicht. Vom Vorfiltern von Bewerbungen über automatisch generierte Vertragsentwürfe bis zur Auswertung von Mitarbeiterbefragungen – KI verspricht Geschwindigkeit, Konsistenz und Entlastung der oft schlanken Personalabteilungen im Mittelstand. Gleichzeitig ist HR der wahrscheinlich sensibelste Datenbereich eines Unternehmens. Wer KI hier einsetzt, bewegt sich zwischen DSGVO, EU AI Act, Allgemeinem Gleichbehandlungsgesetz (AGG) und der Mitbestimmung des Betriebsrats. Dieser Beitrag zeigt, was Geschäftsführerinnen und Geschäftsführer im Mittelstand wissen müssen, bevor sie KI in HR-Prozessen produktiv einsetzen – und welche Rolle die digitale Personalakte als Fundament spielt.
Die typischen Anwendungsfälle lassen sich in drei Gruppen einteilen. Erstens unterstützende Aufgaben: Stellenanzeigen formulieren, Bewerbungs-Eingangsbestätigungen schreiben, Onboarding-Pakete zusammenstellen, FAQ-Antworten für die Belegschaft generieren. Zweitens analytische Aufgaben: Auswertung von Fluktuations- und Krankheitsstatistiken, Skill-Gap-Analysen, Forecasts für den Personalbedarf. Drittens entscheidungsnahe Aufgaben: Bewerber-Scoring, Vorauswahl, Empfehlungen für Beförderungen oder Gehaltsanpassungen. Genau diese dritte Gruppe ist rechtlich am heikelsten – und genau hier setzt der EU AI Act mit verschärften Anforderungen an.
Vier Regelwerke bestimmen, was beim KI-Einsatz im HR erlaubt ist.
Die DSGVO setzt den Datenschutzrahmen: Personenbezogene Daten dürfen nur auf Basis einer klaren Rechtsgrundlage verarbeitet werden, häufig § 26 BDSG. Besonders wichtig ist Artikel 22 DSGVO: Vollständig automatisierte Einzelentscheidungen mit erheblicher Wirkung – also etwa eine KI-gestützte Ablehnung einer Bewerbung ohne menschliche Prüfung – sind grundsätzlich unzulässig. Es muss immer ein Mensch entscheiden.
Der EU AI Act, seit 2024 in Kraft und schrittweise anwendbar, stuft den Einsatz von KI in Recruiting, Personalauswahl, Beförderung, Kündigung und Leistungsbewertung als „Hochrisiko“ ein. Daraus folgen Pflichten: ein Risikomanagementsystem, Anforderungen an Datenqualität, technische Dokumentation, menschliche Aufsicht, Transparenz gegenüber den Beschäftigten und in vielen Fällen ein Konformitätsbewertungsverfahren. Verbotene Praktiken sind das Ableiten von Emotionen am Arbeitsplatz mittels KI sowie biometrisches Profiling im laufenden Beschäftigungsverhältnis.
Das AGG bleibt unverändert relevant. Eine KI, die mit historischen Bewerbungsdaten trainiert wurde, kann bestehende Verzerrungen reproduzieren und so mittelbar diskriminieren. Der Arbeitgeber haftet, auch wenn der Algorithmus „die Schuld trägt“. Bias-Tests und Audit-Logs sind daher Pflicht, nicht Kür.
Schließlich das Betriebsverfassungsgesetz (BetrVG): § 87 Abs. 1 Nr. 6 BetrVG verankert das Mitbestimmungsrecht des Betriebsrats bei der Einführung technischer Einrichtungen, die das Verhalten oder die Leistung von Arbeitnehmern überwachen können. KI-Tools im HR fallen praktisch immer darunter. Seit 2021 kann der Betriebsrat zudem nach § 80 Abs. 3 BetrVG einen KI-Sachverständigen heranziehen – auf Kosten des Arbeitgebers.
Aus diesem Rechtsrahmen ergeben sich vier konkrete Pflichten.
Erstens Transparenz: Beschäftigte und Bewerber müssen informiert werden, dass und wie KI eingesetzt wird, welche Daten verarbeitet werden, mit welchem Zweck und mit welchen möglichen Folgen. Eine schriftliche Information, idealerweise als „KI-Zusatz“ zum Datenschutzhinweis, ist Standard.
Zweitens Mitbestimmung: Vor dem produktiven Einsatz braucht es eine Betriebsvereinbarung mit dem Betriebsrat. Sie regelt, welche Tools genutzt werden, welche Daten einfließen, wer Zugriff hat, wie lange gespeichert wird, wie das Vier-Augen-Prinzip umgesetzt wird und welche Rechte Beschäftigte haben (Auskunft, Widerspruch, Löschung). Auch dort, wo kein Betriebsrat besteht, empfiehlt sich eine vergleichbare Regelung als interne Richtlinie.
Drittens Datenschutz-Folgenabschätzung (DSFA): Für Hochrisiko-KI im Personalbereich ist sie nach Art. 35 DSGVO nahezu immer Pflicht. Sie dokumentiert Risiken, Schutzmaßnahmen und Verhältnismäßigkeit – und ist im Streitfall der wichtigste Beleg gegenüber Aufsichtsbehörden.
Viertens menschliche Letztentscheidung: Jede Entscheidung mit Auswirkung auf das Arbeitsverhältnis muss von einer qualifizierten Person verantwortet, geprüft und dokumentiert werden. „Die KI hat das so empfohlen“ ist arbeitsrechtlich kein zulässiger Begründungsersatz.
KI ist nur so gut wie die Daten, auf die sie zugreift. Genau hier entscheidet sich, ob ein KI-Projekt im HR rechtssicher und produktiv läuft – oder im Wildwuchs aus Excel-Listen, geteilten Ordnern und E-Mail-Anhängen scheitert. Die digitale Personalakte schafft das nötige Fundament.
Sie zentralisiert sämtliche personenbezogene Unterlagen in einer strukturierten, zugriffsgeschützten Umgebung. Damit erfüllt sie zunächst die Grundpflichten der DSGVO: definierte Aufbewahrungsfristen, dokumentierte Löschkonzepte, granular steuerbare Zugriffsrechte und ein lückenloses Protokoll, wer wann auf welche Information zugegriffen hat. Für den EU AI Act liefert sie genau jene technische Dokumentation und Audit-Trail-Fähigkeit, die für Hochrisiko-Anwendungen verlangt wird.
Darüber hinaus sorgt eine digitale Personalakte für eine saubere, vollständige und konsistente Datenbasis – die Voraussetzung dafür, dass KI-gestützte Auswertungen überhaupt belastbar sind. Sie macht die Trennung zwischen Daten, die in KI-Prozesse einfließen dürfen, und besonders sensiblen Inhalten (Krankenakten, Schwerbehindertenausweise, Abmahnungen) technisch durchsetzbar. Und sie ermöglicht es, Beschäftigten in Echtzeit Auskunft über die zu ihrer Person gespeicherten Daten zu geben – ein Recht aus Art. 15 DSGVO, das bei klassischer Aktenführung kaum innerhalb der gesetzlichen Frist von 30 Tagen umsetzbar ist.
Vor dem ersten KI-Tool sollten drei Hausaufgaben erledigt sein:
Erst danach lohnt sich der Sprung in produktive Use Cases. Wer in dieser Reihenfolge vorgeht, gewinnt nicht nur Effizienz, sondern auch das Vertrauen der eigenen Belegschaft – und das ist im aktuellen Arbeitsmarkt mindestens so wertvoll wie jede Automatisierung.
KI im HR ist kein „Verbotsthema“, sondern ein Steuerungsthema. Wer Transparenz, Mitbestimmung und Datenschutz von Anfang an mitdenkt – und mit einer digitalen Personalakte die saubere Datenbasis dafür schafft – kann die Effizienzgewinne von KI heben, ohne sich rechtlichen Risiken oder einem Vertrauensverlust in der Belegschaft auszusetzen. Taxmaro unterstützt Mittelständler dabei, genau diese Grundlagen aufzubauen: digitale Personalakte, sauberes Berechtigungskonzept und HR-Prozesse, die für die KI-Ära bereit sind.
