Zurück zur Übersicht
22.04.2026 Fachbeitrag

Einsatz künstlicher Intelligenz im Arbeitsverhältnis: Rechtliche Grenzen, Risiken und Pflichten

Update Datenschutz Nr. 247

Der Einsatz von Künstlicher Intelligenz (KI) gewinnt auch im Personalwesen zunehmend an Bedeutung und erfasst mittlerweile zentrale Prozesse entlang des gesamten Mitarbeiterlebenszyklus – von der Bewerberauswahl, über die Erstellung von Schichtplänen bis zur Leistungsbewertung. Unternehmen versprechen sich hiervon insbesondere Effizienzgewinne sowie eine stärker datenbasierte Entscheidungsfindung. Mit dem Inkrafttreten der europäischen KI-Verordnung (KI-VO) im August 2024 rückt jedoch die rechtliche Einordnung solcher Systeme verstärkt in den Fokus. Gerade im HR-Bereich sind viele KI-Anwendungen aufgrund ihres Bezugs zu Beschäftigungsentscheidungen als Hochrisiko-KI einzustufen und unterliegen damit umfassenden regulatorischen Anforderungen. Nachfolgend fassen wir die maßgeblichen rechtlichen Rahmenbedingungen für den KI-Einsatz im Personalbereich und praxisrelevante Umsetzungsschritte für Sie zusammen.

I. Einsatzfelder von KI

Künstliche Intelligenz wird im Personalwesen zunehmend entlang des gesamten Mitarbeiterlebenszyklus eingesetzt und erfasst dabei sowohl strategische als auch operative HR-Prozesse. Die Bandbreite reicht von unterstützenden Tools bis hin zu Systemen, die Entscheidungen vorbereiten oder maßgeblich beeinflussen.

Einen Schwerpunkt bildet der Bereich Recruiting. Hier kommen KI-Systeme insbesondere zur automatisierten Vorauswahl von Bewerbungen, zum Matching von Kandidatenprofilen mit Stellenanforderungen sowie zur Kommunikation mit Bewerbern, etwa über Chatbots, zum Einsatz. Auch die Analyse von Lebensläufen und die strukturierte Auswertung von Interviews werden zunehmend KI-gestützt durchgeführt.

Darüber hinaus findet KI Anwendung im Onboarding und in der Personalentwicklung, etwa durch die Erstellung individualisierter Einarbeitungspläne oder personalisierter Lern- und Weiterbildungsangebote. Im Bereich Performance Management und Mitarbeiterbindung werden KI-Systeme eingesetzt, um Leistungsdaten auszuwerten, Entwicklungspotenziale zu identifizieren oder Fluktuationsrisiken vorherzusagen. Auch das Direktionsrecht des Arbeitgebers dürfte in Zukunft immer häufiger von KI unterstützt werden – sei es bei der Zuteilung von Arbeit oder der Einteilung in Schicht- oder Abteilungspläne.

Schließlich spielt KI auch in der HR-Administration eine wachsende Rolle, etwa bei der automatisierten Bearbeitung von Mitarbeiteranfragen, der Erstellung von Dokumenten oder der Auswertung von HR-Daten.

II. Anforderungen der KI-VO

1. Hochrisiko-KI

Die KI-Verordnung folgt einem risikobasierten Regulierungsansatz. Maßgeblich für den Umfang der rechtlichen Anforderungen ist die Einordnung eines KI-Systems in eine der vorgesehenen Risikokategorien. Während Systeme mit geringem oder minimalem Risiko lediglich begrenzten Transparenzpflichten unterliegen, sieht die Verordnung für Hochrisiko-KI umfassende Anforderungen insbesondere im Hinblick auf Risikomanagement, Datenqualität, Dokumentation und menschliche Aufsicht vor. Systeme mit unannehmbarem Risiko sind demgegenüber grundsätzlich unzulässig.

Für den HR-Bereich ist von zentraler Bedeutung, dass zahlreiche typische Anwendungsfälle als Hochrisiko-KI einzustufen sind. Nach Art. 6 Abs. 2 i. V. m. Anhang III der KI-Verordnung erfasst dies insbesondere KI-Systeme, die im Zusammenhang mit Beschäftigung, Personalmanagement und Zugang zur Erwerbstätigkeit eingesetzt werden. Hierunter fallen vor allem Anwendungen im Recruiting, etwa zur automatisierten Vorauswahl und Bewertung von Bewerbern, sowie Systeme, die Entscheidungen über Einstellung, Beförderung oder Beendigung von Arbeitsverhältnissen vorbereiten oder beeinflussen. Gleiches gilt für KI-gestützte Systeme zur Leistungsbewertung oder zur Zuweisung von Aufgaben auf Grundlage individueller Verhaltens- oder Leistungsdaten. In diesen Bereichen besteht ein besonderes Gefährdungspotential für die Rechte und Freiheiten betroffener Personen, weshalb der Verordnungsgeber eine Einordnung als Hochrisiko-KI vorsieht.

Demgegenüber sind nicht sämtliche im HR eingesetzten KI-Anwendungen zwingend als Hochrisiko-KI zu qualifizieren. Insbesondere unterstützende Systeme in der HR-Administration oder bei standardisierten, rein technischen Verarbeitungsschritten können unterhalb der Hochrisikoschwelle liegen, sofern sie keine eigenständige Bewertung oder Entscheidung über Personen vornehmen oder maßgeblich beeinflussen. Dies betrifft etwa einfache Automatisierungen bei der Dokumentenerstellung oder KI-gestützte Tools zur internen Prozessoptimierung ohne Personenbezug.

Von besonderer praktischer Relevanz ist zudem die in Art. 6 Abs. 3 KI-VO vorgesehene Ausnahmeregelung. Danach gelten KI-Systeme, die zwar grundsätzlich unter die in Anhang III genannten Anwendungsbereiche fallen, ausnahmsweise nicht als Hochrisiko-KI, wenn sie kein erhebliches Risiko für die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen begründen und insbesondere die Entscheidungsfindung nicht wesentlich beeinflussen. Dies kann etwa bei KI-Systemen der Fall sein, die lediglich eine eng begrenzte, unterstützende Funktion erfüllen, wie beispielsweise die rein formale Strukturierung oder Sortierung von Bewerbungsunterlagen ohne inhaltliche Bewertung – jedoch nicht, wenn der KI-Einsatz dazu führt, dass Bewerber von vornherein nicht berücksichtigt werden. Auch Systeme, die lediglich vorbereitende Informationen liefern, ohne eine eigenständige Bewertung vorzunehmen oder die Entscheidung maßgeblich zu prägen, können unter diese Ausnahme fallen.

Die Abgrenzung im Einzelfall ist jedoch anspruchsvoll und erfordert eine sorgfältige Analyse der konkreten Funktion des jeweiligen KI-Systems im HR-Prozess. Maßgeblich ist dabei insbesondere, ob das System die Entscheidung über eine Person lediglich unterstützt oder ob es diese faktisch vorgibt oder maßgeblich vorstrukturiert. Gerade im Recruiting sowie bei leistungs- und verhaltensbezogenen Bewertungen wird die Schwelle zur Hochrisiko-KI daher regelmäßig überschritten.

2. Pflichten für Betreiber von Hochrisiko-KI

Unternehmen, die KI-Systeme im HR-Bereich einsetzen, sind regelmäßig als Betreiber im Sinne der KI-Verordnung zu qualifizieren. An diese Betreiberstellung knüpft Art. 26 KI-VO ein eigenständiges, umfassendes Pflichtensystem.

Zentral ist zunächst die Verpflichtung, geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzustellen, dass das Hochrisiko-KI-System entsprechend seiner Zweckbestimmung und den Vorgaben der Betriebsanleitung eingesetzt wird. Ergänzend hierzu muss die Nutzung des Systems einer wirksamen menschlichen Aufsicht unterliegen. Diese Aufsicht ist durch ausreichend qualifizierte und geschulte Personen wahrzunehmen, die in der Lage sind, Funktionsweise und Ergebnisse des Systems zu verstehen und im Bedarfsfall korrigierend einzugreifen.

Ein weiterer Schwerpunkt liegt auf der Sicherstellung der Datenqualität. Soweit die Eingabedaten der Kontrolle des Betreibers unterliegen, ist zu gewährleisten, dass diese für den jeweiligen Einsatzzweck geeignet, relevant und hinreichend repräsentativ sind. Gerade im HR-Kontext, etwa bei der Bewerberauswahl oder Leistungsbewertung, kommt diesem Aspekt besondere Bedeutung zu, da fehlerhafte oder verzerrte Daten unmittelbar zu diskriminierenden oder sachlich unzutreffenden Ergebnissen führen können.

Hinzu treten fortlaufende Überwachungs- und Reaktionspflichten während des Betriebs des KI-Systems. Betreiber müssen die Funktionsweise des Systems beobachten und sind verpflichtet, etwaige Risiken, Fehlfunktionen oder schwerwiegende Vorfälle unverzüglich an den Anbieter sowie die zuständigen Behörden zu melden und gegebenenfalls die Nutzung des Systems auszusetzen. Flankiert wird dies durch Dokumentationspflichten, insbesondere die Verpflichtung zur Aufbewahrung automatisch erzeugter Protokolle über einen angemessenen Zeitraum, regelmäßig mindestens sechs Monate.

Besondere Relevanz für den HR-Bereich kommt schließlich den Transparenzpflichten gegenüber Beschäftigten zu. Arbeitgeber sind verpflichtet, Arbeitnehmervertretungen sowie die betroffenen Beschäftigten vor der Einführung oder Nutzung eines Hochrisiko-KI-Systems am Arbeitsplatz über dessen Einsatz zu informieren. Darüber hinaus sind betroffene Personen darüber aufzuklären, wenn ein KI-System Entscheidungen über sie trifft oder solche Entscheidungen maßgeblich unterstützt.

III. Datenschutzrechtliche Aspekte

Der Einsatz von KI-Systemen im HR-Bereich geht regelmäßig mit der Verarbeitung personenbezogener Daten einher und unterliegt daher nahezu uneingeschränkt den Vorgaben der DSGVO. Die KI-Verordnung schafft insoweit keinen eigenständigen Rechtsrahmen für Datenverarbeitungen, sondern tritt neben die bestehenden datenschutzrechtlichen Anforderungen. Unternehmen müssen daher sicherstellen, dass für jede Form des KI-Einsatzes im HR eine tragfähige Rechtsgrundlage besteht und die Grundsätze der Zweckbindung sowie Datenminimierung gewahrt werden.

Besondere Herausforderungen ergeben sich bereits in der Trainings- und Implementierungsphase von KI-Systemen. Häufig werden bestehende Personaldaten für Trainingszwecke genutzt, ohne dass diese ursprünglich zu diesem Zweck erhoben wurden, was Fragen der Zweckänderung und der Zulässigkeit nach Art. 6 DSGVO aufwirft. Auch die Erfüllung der Transparenzpflichten gegenüber Bewerbern und Beschäftigten gestaltet sich in der Praxis mitunter schwierig, insbesondere bei komplexen oder intransparenten („Black Box“-)Systemen.

Von zentraler Bedeutung ist zudem Art. 22 DSGVO, der betroffenen Personen ein Recht einräumt, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Gerade im Recruiting, bei leistungsbezogenen Bewertungen oder im Zusammenhang mit dem Direktionsrecht des Arbeitgebers ist daher sicherzustellen, dass KI-Systeme Entscheidungen allenfalls vorbereiten, die finale Entscheidung jedoch durch eine natürliche Person getroffen wird. Dabei ist zu berücksichtigen, dass auch faktisch prägende KI-Empfehlungen datenschutzrechtlich problematisch sein können.

Flankierend sind weitere datenschutzrechtliche Anforderungen zu beachten, insbesondere die Durchführung einer Datenschutz-Folgenabschätzung bei risikobehafteten Anwendungen, die Gewährleistung von Betroffenenrechten sowie – bei Nutzung cloudbasierter KI-Dienste – die Einhaltung der Vorgaben für Drittlandübermittlungen.

IV. Handlungsempfehlungen für Unternehmen

Unternehmen sollten zunächst ein strukturiertes KI-Inventar im HR-Bereich erstellen und sämtliche eingesetzten sowie geplanten KI-Anwendungen systematisch erfassen. Auf dieser Grundlage ist für jedes System eine rechtliche Einordnung nach der KI-VO vorzunehmen, insbesondere im Hinblick auf eine mögliche Einstufung als Hochrisiko-KI. Diese Bestandsaufnahme bildet die Grundlage für alle weiteren Compliance-Maßnahmen und sollte regelmäßig aktualisiert werden.

Darauf aufbauend empfiehlt es sich, klare Human-in-the-Loop-Strukturen im HR zu implementieren. Konkret bedeutet dies, dass KI-Systeme insbesondere im Recruiting oder bei Leistungsbewertungen nicht autonom entscheiden dürfen, sondern stets durch qualifizierte HR-Mitarbeiter überprüft und übersteuert werden können. Dies erfordert nicht nur organisatorische Vorgaben, sondern auch eine entsprechende Schulung der zuständigen Mitarbeiter, um die Ergebnisse der KI kritisch einordnen zu können.

Ein weiterer zentraler Schritt ist die frühzeitige Einbindung des Betriebsrats sowie die Schaffung transparenter Regelwerke. Die Einführung von KI-Systemen im Personalwesen prüfen, dürfte fast immer der Mitbestimmung des Betriebsrates unterliegen. Idealerweise wird deshalb eine Rahmenbetriebsvereinbarung zum Einsatz von KI abgeschlossen. Parallel dazu sollte eine interne KI-Richtlinie etabliert werden, die den zulässigen Einsatz von KI im HR konkret regelt, etwa im Hinblick auf den Umgang mit Bewerberdaten oder die Nutzung externer KI-Tools.

Schließlich sollten Unternehmen gezielt in Datenqualität und Testing investieren. Vor dem produktiven Einsatz ist zu prüfen, ob die verwendeten Daten repräsentativ und frei von systematischen Verzerrungen sind. Zudem sollten KI-Systeme regelmäßig anhand konkreter HR-Anwendungsfälle getestet werden, etwa durch Stichprobenkontrollen im Recruiting-Prozess, um diskriminierende oder sachlich fehlerhafte Ergebnisse frühzeitig zu erkennen und zu korrigieren.

V. Fazit und Ausblick

Der Einsatz von KI im HR-Bereich bietet erhebliche Effizienz- und Optimierungspotenziale, ist jedoch mit komplexen rechtlichen Anforderungen verbunden. Insbesondere die Einordnung vieler HR-Anwendungen als Hochrisiko-KI führt zu umfassenden Pflichten nach der KI-VO, die in der Praxis eng mit den Vorgaben der DSGVO verzahnt sind. Unternehmen sind daher gehalten, den KI-Einsatz im Personalwesen frühzeitig strukturiert zu erfassen und rechtlich zu flankieren.

Mit Blick auf die Umsetzung der KI-VO gewinnt zudem die aktuelle regulatorische Entwicklung weiter an Dynamik. Im Rahmen des sogenannten „KI-Omnibus“ wird auf europäischer Ebene insbesondere über Anpassungen und Klarstellungen der Umsetzungsfristen diskutiert, was auch für Hochrisiko-KI-Systeme im HR von Bedeutung ist. Unabhängig von möglichen Erleichterungen oder zeitlichen Verschiebungen ist jedoch bereits jetzt absehbar, dass Unternehmen die notwendigen organisatorischen und technischen Voraussetzungen schaffen müssen, um den zukünftigen Anforderungen gerecht zu werden. Der rechtssichere Einsatz von KI wird damit – nicht nur im Personalbereich – zunehmend zu einer Daueraufgabe der Compliance.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Datenschutz & Datenrecht
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

22.04.2026
Die Werbung mit Umwelt- bzw. Klimafreundlichkeit durch Maßnahmen zur Treibhausgaskompensation unter der EmpCo-Richtlinie
20.04.2026
EuGH zur Tragweite des Pastiches – Sampling zwischen Schutz und Freiheit
17.04.2026
Digitale Souveränität in der Praxis: Neue Bewertungsmaßstäbe für Unternehmen
16.04.2026
BGH begrenzt den Einsatz von Art. 15 DSGVO im Forderungskauf: Kein Übergang als Nebenrecht, keine Prozessstandschaft im eigenen Namen
16.04.2026
Aussagen über künftige Umweltleistungen unter der EmpCo-Richtlinie
13.04.2026
Bundestag beschließt Data Act-Durchführungsgesetz
09.04.2026
Die Verwendung von sog. Nachhaltigkeitssiegeln unter der EmpCo-Richtlinie
09.04.2026
Cyber Resilience Act: Wer ist betroffen und was Unternehmen jetzt wissen müssen
08.04.2026
„Datenverarbeitungsdienste“ im Sinne des Data Act – Pars pro toto oder totum pro parte?
02.04.2026
Allgemeine und konkrete Umweltaussagen unter der EmpCo-Richtlinie
27.03.2026
Neue Entwicklungen im Digital Omnibus
24.03.2026
BGH bestätigt weite Auslegung des Erfordernisses einer Lernkontrolle für die Anwendbarkeit des Fernunterrichtsschutzgesetzes (FernUSG)

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.