Seit 1aug2024 gilt der europäische AI-Act. Er schafft einen einheitlichen Rechtsrahmen für AI-Systeme in der EU und verpflichtet Unternehmen zu technischer, organisatorischer und ethischer Absicherung. Übergangsfristen variieren je nach Anwendung.
Lebensläufe, Leistungskennzahlen, Lernpfade – moderne HR-Abteilungen verfügen heute über Datenmengen, die sich naturgemäß für den Einsatz künstlicher Intelligenz eignen. Doch während die technologischen Möglichkeiten rasant zunehmen, bleibt der rechtliche Rahmen zu beachten. Das sind insbesondere die Datenschutzgrundverordnung (DSGVO) und der AI-Act.
Beschäftigtendaten als „Hochrisikozone“
Der AI-Act stuft AI-Systeme im Personalbereich, die Einfluss auf Einstellungen, Beförderungen, Leistungsbewertungen oder Kündigungen haben, als Hochrisiko-Anwendungen ein. Dazu können beispielsweise Tools, die Bewerbungen automatisiert sichten und bewerten, AI-gestützte Leistungsüberwachung am Arbeitsplatz oder Algorithmen zur Aufgabenverteilung auf Basis individueller Merkmale zählen.
Warum? Personalentscheidungen betreffen Einkommen, Karrierewege und oft auch die Würde von Menschen. Entsprechend streng sind die Anforderungen: Systeme müssen nachvollziehbar, diskriminierungsfrei, menschenkontrollierbar und sicher gestaltet sein. Zudem sind bestimmte Praktiken – wie das automatische Erkennen von Emotionen oder Social Scoring, am Arbeitsplatz seit Februar 2025 EU-weit verboten.
DSGVO: Der rechtliche Rahmen ist längst da
Während der AI-Act vorgibt, wie AI-Systeme gebaut sein müssen, beantwortet die DSGVO die zentrale Frage: Dürfen die zugrunde liegenden Daten überhaupt verarbeitet werden? In Österreich gibt es kein spezielles Beschäftigtendatenschutzgesetz. Maßgeblich sind daher die DSGVO und das Datenschutzgesetz (DSG).
Nach Art 5 DSGVO gilt: Daten dürfen nur für festgelegte, legitime Zwecke erhoben werden und müssen auf das notwendige Maß beschränkt werden. Art 6 DSGVO legt fest, unter welchen Voraussetzungen die Verarbeitung überhaupt rechtmäßig ist, etwa zur Vertragserfüllung (lit b), zur Erfüllung gesetzlicher Pflichten (lit c) oder bei berechtigten Interessen (lit f), sofern die Rechte der betroffenen Person nicht überwiegen.
Ein besonders sensibler Bereich im Zusammenhang mit AI ist die automatisierte Entscheidungsfindung. Art 22 DSGVO verbietet grundsätzlich vollautomatisierte Entscheidungen mit erheblicher Auswirkung auf betroffene Personen, etwa automatisierte Bewerbungsabsagen ohne menschliche Überprüfung. Bereits ein maßgeblicher Einfluss eines algorithmischen Scores kann eine menschliche Kontrollpflicht auslösen.
Datenschutz mit System: Privacy by Design und Datenschutz-Folgenabschätzung
Gerade beim Einsatz von AI im HR-Bereich sollten Unternehmen darauf achten, ihre Prozesse frühzeitig datenschutzkonform aufzusetzen. Art 25 DSGVO verpflichtet in dieser Hinsicht zur Umsetzung von Privacy by Design, also zum systemischen Datenschutz „ab Werk“. Dazu gehören datenschutzfreundliche Voreinstellungen, Datenminimierung und klare Zugriffsregelungen.
Weiters besteht die Pflicht zu einer Datenschutz-Folgenabschätzung nach Art 35 DSGVO, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, was bei zahlreichen HR-AI-Systemen regelmäßig der Fall ist. Die Datenschutz-Folgenabschätzung muss eine systematische Beschreibung der geplanten Verarbeitung, ihre Erforderlichkeit und Verhältnismäßigkeit sowie die geplanten Maßnahmen zur Risikominimierung enthalten.
Empfehlungen für HR und Compliance
Wer daher AI im Personalmanagement implementiert bzw zu implementieren beabsichtigt, sollte jedenfalls folgende Punkte beachten und auch entsprechend dokumentieren:
- Frühzeitige Risikoanalyse und gegebenenfalls Durchführung einer Datenschutz-Folgenabschätzung
- Nachweis der Einhaltung von Privacy by Design bei Systemauswahl und -nutzung
- Laufende Überprüfung von Diskriminierungsrisiken und fehlerhafte Ergebnisse
- Transparenz gegenüber Betroffenen, samt Information über eingesetzte Logiken
- Menschliche Kontrollmechanismen bei automatisierten Entscheidungen
- Entwicklung und Umsetzung einer AI-Policy, um Ethik, Fairness und Compliance unternehmensweit zu verankern
Fazit: Jetzt handeln, nicht erst 2026
Arbeitgebende müssen den Schutz von Beschäftigtendaten ernst nehmen. Nicht nur die DSGVO, sondern auch der AI-Act enthalten zahlreiche zu beachtende Vorgaben und Pflichten. Verstöße sind nicht nur rechtlich riskant und mit hohen Strafen bedroht, sondern untergraben auch das Vertrauen von Mitarbeitenden in moderne Technologien. Wer jetzt handelt, profitiert doppelt: durch Rechtssicherheit und nachhaltige Digitalisierung.
AI first, Privacy always | Arbeitnehmerdaten zwischen AI und Datenschutz
