Guides

KI im Personalwesen: Welche Workflows sicher sind und was der EU AI Act verlangt

KI im Personalwesen einführen: Welche HR-Workflows du sofort starten kannst, was Hochrisiko-Klassifizierung bedeutet und wie Betriebsrat und Datenschutz einzubinden sind.

Anton Brinckmann Anton Brinckmann · · 8 Min. Lesezeit
KI im Personalwesen: HR-Workflows, EU AI Act Hochrisiko und betriebliche Mitbestimmung

Laut Bitkom-KI-Studie 2026 nutzen nur 12 Prozent der deutschen Unternehmen KI im Personalmanagement, obwohl 60 Prozent angeben, sich den Einsatz für Weiterbildung und Kompetenzentwicklung vorstellen zu können. Der Gap zwischen Interesse und Realität hat einen Namen: rechtliche Unsicherheit. 77 Prozent der Unternehmen nennen Datenschutz als ihr größtes Hemmnis beim KI-Einsatz, noch vor Fachkräftemangel und technischen Sicherheitsanforderungen (Quelle: Bitkom Studienbericht KI 2026).

Die gute Nachricht ist: Ein Großteil der täglich anfallenden HR-Arbeit lässt sich schon heute rechtssicher mit KI unterstützen. Der Schlüssel liegt darin, zu verstehen, welche Workflows du ohne besondere Compliance-Strukturen starten kannst, und welche durch den EU AI Act in die Hochrisiko-Kategorie fallen.

Kurzfassung

KI im Personalwesen teilt sich in zwei Kategorien: Unterstützungsaufgaben wie Arbeitszeugnisse, Onboarding-Texte und HR-Chatbots lassen sich ohne besondere Compliance-Hürden starten. KI-Systeme, die Personalentscheidungen unterstützen, gelten als Hochrisiko und erfordern ab dem 2. August 2026 ein dokumentiertes Risikomanagementsystem, Logging, menschliche Kontrolle und Transparenz gegenüber Betroffenen. Der Betriebsrat ist in der Regel vor dem Einsatz einzubeziehen.

Welche HR-Workflows du sofort mit KI starten kannst

Nicht jede KI-Anwendung im Personalwesen ist regulierungsbedürftig. Eine Reihe von Aufgaben, die heute viel manuelle Arbeit erzeugen, lässt sich mit KI-Unterstützung direkt beschleunigen, ohne dass besondere Compliance-Strukturen nötig sind.

Arbeitszeugnisse und Stellenanzeigen. Laut Bitkom nutzen bereits 14 Prozent der deutschen Unternehmen KI für die Erstellung von Arbeitszeugnissen; weitere 45 Prozent zeigen konkretes Interesse. Die Textunterstützung durch KI beschleunigt einen Prozess erheblich, der in vielen HR-Abteilungen aufgrund von Formulierungskonventionen und Sorgfaltspflichten überproportional viel Zeit bindet. Das Gleiche gilt für Stellenanzeigen: KI generiert Erstfassungen, HR prüft, ergänzt den Unternehmenskontext und gibt frei.

Onboarding und interne Kommunikation. Willkommens-E-Mails, FAQ-Dokumente für neue Mitarbeitende, Einarbeitungspläne: Diese Inhalte sind stark standardisierbar. KI erstellt Erstfassungen auf Basis vorhandener Vorlagen, die anschließend unternehmensspezifisch angepasst werden. 11 Prozent der Unternehmen setzen das bereits ein (Bitkom 2026).

HR-Chatbots für Standardanfragen. Urlaubsregelungen, Benefits-Fragen, Abwesenheitsmeldungen: Ein KI-gestützter HR-Chatbot beantwortet solche Anfragen rund um die Uhr und entlastet die Personalabteilung dauerhaft. Voraussetzung ist ein Auftragsverarbeitungsvertrag mit dem Chatbot-Anbieter und eine dokumentierte Regelung, welche Daten der Chatbot verarbeiten darf.

Weiterbildungsplanung und Lernempfehlungen. KI kann auf Basis von Rollenprofilen und Skill-Daten individuelle Lernempfehlungen generieren. Entscheidend: Diese Empfehlungen müssen als Orientierungsangebot kommuniziert werden, nicht als automatisierte Zuweisung. Wer die KI-Empfehlung zur Pflicht macht, ohne dass eine Person das einschätzt und entscheidet, bewegt sich in Richtung Hochrisiko.

Was diese Workflows gemein haben: Die finale Entscheidung liegt beim Menschen. Kein Auswahl- oder Bewertungscharakter gegenüber einzelnen Personen. Keine personenbezogene Klassifikation, die direkte Konsequenzen für Beschäftigung oder Karriere hat. Genau daran unterscheidet der EU AI Act.

Was der EU AI Act für Personalentscheidungen bedeutet

Die EU-KI-Verordnung stuft KI-Systeme, die Personalentscheidungen direkt unterstützen, als Hochrisiko ein. Das betrifft KI-Anwendungen in diesen Bereichen:

  • Recruiting: Systeme, die Bewerbungen auswählen, ranken oder automatisch vorsortieren
  • Leistungsbewertung: KI-Systeme zur Beurteilung von Mitarbeitenden oder zur Überwachung der Arbeitsleistung
  • Aufgabenzuweisung: KI, die auf Basis von Persönlichkeitsmerkmalen oder Verhaltensdaten Aufgaben zuteilt
  • Beförderung und Kündigung: jede KI-Unterstützung bei Entscheidungen, die das Arbeitsverhältnis betreffen

Diese Systeme dürfen eingesetzt werden, aber erst mit dem richtigen Setup. Ab dem 2. August 2026 gelten dafür verbindliche Anforderungen.

Risikomanagementsystem. Unternehmen, die Hochrisiko-KI im HR-Bereich einsetzen, müssen ein dokumentiertes Risikomanagementsystem über den gesamten Systemlebenszyklus führen. Das schließt eine Risikobewertung vor Inbetriebnahme, laufendes Monitoring und Prozesse bei Systemfehlern ein.

Technische Dokumentation und Logging. Alle relevanten Systeminteraktionen müssen protokolliert werden: wer das System genutzt hat, welche Ausgaben es gemacht hat und wie die finale Entscheidung gefallen ist. Das ist kein bürokratischer Zusatz, sondern Voraussetzung für Nachweisbarkeit bei behördlichen Prüfungen.

Registrierung in der EU-Datenbank. Hochrisiko-KI-Systeme müssen in einer zentralen EU-Datenbank registriert werden. Diese Pflicht trifft Betreiber, die solche Systeme im Betrieb einsetzen.

Transparenz gegenüber Betroffenen. Bewerber und Mitarbeitende müssen informiert werden, wenn KI bei Personalentscheidungen eingesetzt wird. Die Kommunikation muss klar sein: welches System, welche Funktion, welche Daten verarbeitet werden.

Menschliche Kontrolle ist Pflicht. KI darf Personalentscheidungen nicht autonom treffen. Das bedeutet: kein vollautomatisiertes Ablehnen von Bewerbungen, keine KI-generierte Kündigungsempfehlung ohne menschliche Prüfung. Die Person, die die finale Entscheidung trifft, muss die KI-Ausgaben aktiv bewerten können, nicht nur formal bestätigen.

Hochrisiko-Pflichten gelten ab dem 2. August 2026

Für KI-Systeme, die Recruiting, Leistungsbewertung, Aufgabenzuweisung oder Beförderungsentscheidungen unterstützen, gelten ab dem 2. August 2026 die vollen Hochrisiko-Anforderungen. Wer diese Systeme bereits einsetzt, muss die Compliance-Struktur jetzt aufsetzen. Bei Verstößen drohen Bußgelder bis zu 7 Prozent des weltweiten Jahresumsatzes oder bis zu 35 Millionen Euro.

Vollständig verboten sind außerdem bestimmte KI-Praktiken: Systeme, die Emotionen am Arbeitsplatz erkennen und auswerten, sind nach der EU-KI-Verordnung nicht erlaubt. Gleiches gilt für KI, die Mitarbeitende manipulativ beeinflusst, oder für Social Scoring auf Basis persönlicher Merkmale.

Betriebsrat und betriebliche Mitbestimmung beim KI-Einsatz

Wer in einem Unternehmen mit Betriebsrat KI in der Personalabteilung einführt, muss die betriebliche Mitbestimmung einplanen, bevor das System läuft, nicht danach.

Der Betriebsrat hat ein Informationsrecht, wenn der Arbeitgeber technische Einrichtungen plant, die dazu geeignet sind, das Verhalten oder die Leistung von Mitarbeitenden zu überwachen. KI-Systeme im HR-Bereich fallen regelmäßig darunter. Das gilt für produktive Systeme, die vom Unternehmen eingeführt und vorgeschrieben werden. Wer Mitarbeitenden freistellt, ob sie ein KI-Tool eigenständig für ihre Arbeit nutzen, bewegt sich außerhalb der Mitbestimmungspflicht.

In der Praxis heißt das: Vor dem ersten produktiven Einsatz eines KI-Systems, das Mitarbeitenden- oder Bewerberdaten verarbeitet, ist der Betriebsrat einzubeziehen. Das schließt Informations- und Beratungsgespräche ein und je nach Systemfunktion auch ein formales Mitbestimmungsverfahren.

Dieser Schritt kostet Zeit, schafft aber auch Klarheit. Betriebsräte, die früh eingebunden wurden und verstehen, wie ein KI-System arbeitet, sind selten Blocker. Betriebsräte, die von einem laufenden System erfahren, werden es regelmäßig. Wie du ein übergreifendes KI-Governance-Framework aufbaust, das solche Fragen von Anfang an strukturiert klärt, erklärt der Beitrag KI-Governance im Unternehmen aufbauen.

DSGVO und Beschäftigtendatenschutz in KI-Systemen

HR-Daten gehören zu den sensibelsten personenbezogenen Daten, die ein Unternehmen verarbeitet: Bewerbungsunterlagen mit Werdegang, Qualifikationen und manchmal Gesundheitshinweisen; Leistungsbeurteilungen; Vergütungs- und Bonusdaten; Anwesenheitsdaten. Jeder KI-Einsatz, der diese Daten verarbeitet, hat datenschutzrechtlichen Klärungsbedarf.

Rechtsgrundlage für jede Verarbeitung. Jeder KI-Einsatz mit Beschäftigtendaten braucht eine dokumentierte Rechtsgrundlage. Im Arbeitsverhältnis kommt primär das Beschäftigtendatenschutzrecht in Betracht, das Verarbeitungen für Zwecke des Beschäftigungsverhältnisses unter bestimmten Bedingungen erlaubt. Einwilligung funktioniert im Arbeitsverhältnis aufgrund des strukturellen Machtgefälles selten als belastbare Grundlage.

Kein vollautomatisiertes Entscheiden. Die DSGVO verbietet Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtlich erhebliche Konsequenzen haben. Eine Bewerbungsablehnung durch ein vollautomatisches Screening-System ohne menschliche Prüfung fällt darunter. Auch hier gilt: Der Mensch muss im Entscheidungsloop bleiben.

Auftragsverarbeitung und Datenresidenz. Jedes externe KI-System, das HR-Daten verarbeitet, ist datenschutzrechtlich ein Auftragsverarbeiter. Ein Auftragsverarbeitungsvertrag ist Pflicht. Darüber hinaus ist zu prüfen, ob Daten in der EU verarbeitet und gespeichert werden und ob der Anbieter Daten für das Training seiner Modelle nutzt. Standard-Business-Tiers schließen das häufig nicht aus; Enterprise-Verträge regeln das in der Regel per Vertragsklausel.

Wie du einen strukturierten Datenschutzrahmen für KI-Systeme im Unternehmen aufbaust, erklärt der Beitrag Datenschutzkonforme KI für Unternehmen.

Wann eine eigene KI-Infrastruktur für HR sinnvoll ist

Für die meisten HR-Workflows reicht ein sorgfältig ausgewähltes SaaS-Produkt: DSGVO-konformer Auftragsverarbeitungsvertrag, EU-Datenspeicherung und ausgeschlossenes Modelltraining mit Unternehmensdaten. Das deckt Textunterstützung, Chatbots, Weiterbildungsplanung und Onboarding ab.

Drei Szenarien, in denen eine eigene KI-Infrastruktur die belastbarere Wahl ist:

Besonders sensible Personaldaten. Wenn kein externer Anbieter auch nur theoretischen Zugriff auf Bewerberdaten, Beurteilungsakten oder Vergütungsstrukturen haben darf, ist eine interne Infrastruktur die einzige sichere Variante. Das gilt insbesondere für Unternehmen in regulierten Sektoren, für Family Offices und für Unternehmen mit nicht-öffentlichen Gehaltsdaten auf Executive-Ebene.

Hochrisiko-Compliance mit Nachweis. Wenn KI für Recruiting-Scoring oder Leistungsbewertung eingesetzt wird und der Nachweis, dass keine Daten das Unternehmen verlassen haben, regulatorisch oder vertraglich gefordert wird, setzt eine eigene Infrastruktur diese Anforderung technisch durch, nicht nur vertraglich.

Integration in bestehende HR-Systeme. Wenn das Unternehmen ein eigenes Personalinformationssystem betreibt und KI als interne Komponente integrieren will, statt einen weiteren externen Datensilo zu öffnen.

Was eine eigene KI-Infrastruktur im Detail bedeutet und welche Deployment-Varianten es gibt, erklärt die Leistungsseite. Für Unternehmen, die KI dauerhaft betreiben und dabei regulatorisch abgesichert bleiben wollen, erklärt KI-Betriebsbegleitung, was laufende Unterstützung dabei leistet.

In fünf Schritten zu einer rechtskonformen KI-Einführung im Personalwesen

Schritt 1: HR-Workflows inventarisieren. Welche Prozesse bestehen? Welche davon sollen mit KI unterstützt werden? Für jeden Workflow die Frage beantworten: Handelt es sich um eine Textunterstützungsaufgabe, oder unterstützt der Workflow eine Personalentscheidung mit Konsequenzen für einzelne Personen? Das bestimmt den weiteren Compliance-Pfad.

Schritt 2: Hochrisiko-Klassifizierung klären. Für Workflows mit Entscheidungscharakter: Welche Hochrisiko-Anforderungen greifen? Risikomanagementsystem, Protokollierung, Registrierung, Transparenzpflichten. Diese Strukturen vor dem Produktivstart aufsetzen, nicht danach.

Schritt 3: Betriebsrat früh informieren. Systemauswahl und Funktionsbeschreibung früh mit dem Betriebsrat teilen. Mitbestimmungsprozesse einplanen. Das reduziert Reibung und schafft Vertrauen auf beiden Seiten.

Schritt 4: Datenschutzprüfung pro Tool. Für jedes Tool drei Fragen klären: Auftragsverarbeitungsvertrag vorhanden? EU-Datenspeicherung gesichert? Modelltraining mit Unternehmensdaten ausgeschlossen? Diese Prüfung vor dem Produktivstart, nicht nach dem ersten Incident.

Schritt 5: Schulungen und Kompetenzaufbau. Mitarbeitende, die KI-Tools im Personalwesen nutzen, brauchen dokumentierte Grundkenntnisse über Funktion, Grenzen und Verantwortlichkeiten. Das ist gleichzeitig Anforderung des EU AI Acts und Voraussetzung für echte Adoption im Alltag. Was die Schulungspflicht im Detail bedeutet, erklärt der Beitrag EU AI Act Schulungspflicht für Unternehmen.

Was jetzt zu tun ist

KI im Personalwesen ist rechtlich einordbar und operativ sinnvoll, wenn der richtige Rahmen steht. Der häufigste Fehler ist nicht, zu früh zu starten, sondern das falsche Tool in den falschen Workflow zu bringen, ohne zu wissen, welche Anforderungen daran hängen.

Wer wissen will, welche HR-Workflows im eigenen Unternehmen das größte Potenzial haben, welche davon unter die Hochrisiko-Klassifizierung fallen und welche Infrastrukturentscheidung dazu passt, bekommt beim KI-Prozess-Audit eine strukturierte Ersteinordnung: 30 Minuten, erste konkrete Einschätzung zu Priorisierung, Datenschutzlage und Compliance-Pfad.

Hast du Fragen?

30 Minuten. Wir schauen gemeinsam, ob und wie KI bei dir intern laufen kann.

Weitere Artikel

KI im Einkauf: Spend-Analyse, Lieferantenqualifizierung und Datenschutz für den Mittelstand
Guides 26. Mai 2026

KI im Einkauf: Welche Workflows sich lohnen und was du zuerst klären musst

KI im Einkauf richtig einführen: Welche vier Workflows sofort taugen, was Datenschutz und LkSG bedeuten, und wann SaaS-Tools nicht reichen.

KI im Vertrieb: Lead-Scoring, CRM-Automatisierung und Datenschutz für den Mittelstand
Guides 25. Mai 2026

KI im Vertrieb: Welche Workflows heute funktionieren und was du zuerst klären musst

KI im Vertrieb richtig einführen: Welche Workflows sofort Sinn ergeben, was DSGVO und EU AI Act für CRM-Tools bedeuten, und wann SaaS nicht reicht.

KI im Controlling: Workflows, Datenschutz und Infrastruktur für den Mittelstand
Guides 23. Mai 2026

KI im Controlling: Welche Workflows sich lohnen und was du zuerst klären musst

KI im Controlling richtig einführen: Welche Workflows sich eignen, welche Datenschutzfragen zuerst zu klären sind, und wann SaaS-Tools nicht reichen.

Bereit, die Routinearbeit loszuwerden?

30 Minuten. Keine Verpflichtung. Wir schauen gemeinsam, ob und wie KI bei dir intern laufen kann.

Wir verarbeiten deine Angaben ausschließlich für die Terminabstimmung. Auf Anfrage löschen wir sie jederzeit.

Antwort innerhalb 24 h, direkt von Anton oder Andre.

Vielen Dank!

  1. Innerhalb 24 h: zwei konkrete Terminvorschläge per Mail.
  2. 30-Min-Gespräch mit Anton oder Andre.
  3. Innerhalb 5 Werktagen: schriftliche Auswertung per Mail.

Falls in den nächsten Stunden nichts ankommt, prüfe kurz dein Spam-Postfach. Oder schreib direkt an info@abigroup.io.
E-Mail schreiben info@abigroup.io
Anton Brinckmann
Anton Brinckmann
Andre Loreth
Andre Loreth

Im Audit ist immer einer von uns selbst dabei. Seit 2021 KI- und Automatisierungsprojekte im deutschen Mittelstand.