KI und Datenschutz: Was deutsche Unternehmen jetzt über EU AI Act und DSGVO-Compliance wissen müssen

Der perfekte Sturm: Warum 2025 zum KI-Compliance-Jahr wurde

Die Konvergenz mehrerer regulatorischer Entwicklungen macht 2025 zu einem entscheidenden Jahr für die KI-Governance in deutschen Unternehmen. Während die DSGVO bereits seit 2018 den Rahmen für automatisierte Entscheidungen vorgibt, bringt der EU AI Act nun zusätzliche, spezifische Anforderungen für KI-Systeme mit sich.

Die Aufsichtsbehörden haben ihre Strategie geändert: Statt reaktiv auf Beschwerden zu reagieren, führen sie nun proaktive Prüfungen durch. Dabei stehen besonders HR-Anwendungen im Fokus – von Recruiting-Algorithmen bis zu Performance-Management-Tools.

Was genau wird kontrolliert?

Die Behörden konzentrieren sich auf drei Kernbereiche:

1. Transparenz und Informationspflichten: Wissen Mitarbeiter und Bewerber, dass und wie KI-Systeme ihre Daten verarbeiten?
2. Rechtmäßigkeit automatisierter Entscheidungen: Erfüllen KI-basierte HR-Prozesse die strengen Anforderungen des Art. 22 DSGVO?
3. Technische und organisatorische Maßnahmen: Sind angemessene Schutzmaßnahmen für KI-Verarbeitungen implementiert?

EU AI Act: Die neue Dimension der KI-Regulierung

Der EU AI Act ergänzt die DSGVO um eine risikobasierte Regulierung von KI-Systemen. Für HR-Verantwortliche bedeutet dies eine fundamentale Veränderung der Compliance-Landschaft.

Risikoklassifizierung: Der Schlüssel zur Compliance

Der AI Act unterscheidet vier Risikokategorien:

Unzulässige KI-Praktiken (Verbot ab Februar 2024):

• Manipulation durch unterschwellige Techniken
• Ausnutzung von Vulnerabilitäten bestimmter Gruppen
• Social Scoring durch öffentliche Behörden
• Biometrische Echtzeit-Identifikation (mit Ausnahmen)

Hochrisiko-KI-Systeme (Regulierung ab August 2026):

• Recruiting- und Auswahlverfahren
• Performance- und Verhaltensbeurteilung
• Beförderungs- und Kündigungsentscheidungen
• Arbeitsaufgaben-Zuteilung

KI-Systeme mit begrenztem Risiko (Transparenzpflichten):

• Chatbots und Conversational AI
• Emotionserkennung
• Biometrische Kategorisierung

Minimales Risiko: Keine spezifischen Verpflichtungen unter dem AI Act.

Hochrisiko-Systeme: Was HR-Abteilungen erwartet

Für Hochrisiko-KI-Systeme gelten ab August 2026 strenge Anforderungen:

• Risikomanagementsystem: Kontinuierliche Identifikation und Minderung von Risiken
• Datengovernance: Spezielle Anforderungen an Trainings-, Validierungs- und Testdatensätze
• Dokumentationspflichten: Umfassende technische Dokumentation
• Aufzeichnungspflicht: Automatische Protokollierung zur Nachvollziehbarkeit
• Menschliche Aufsicht: Qualifizierte Personen müssen KI-Entscheidungen überwachen können
• Genauigkeit und Robustheit: Nachweisbare Leistungsstandards

DSGVO-Compliance: Verschärfte Anforderungen für automatisierte Entscheidungen

Parallel zum AI Act verschärfen die Aufsichtsbehörden die Durchsetzung bestehender DSGVO-Anforderungen für automatisierte Entscheidungsfindung.

Die Fallstricke des Art. 22 DSGVO

Automatisierte Entscheidungen sind grundsätzlich verboten, es sei denn:

1. Sie sind für einen Vertragsabschluss erforderlich
2. Sie sind gesetzlich erlaubt
3. Die betroffene Person hat ausdrücklich eingewilligt

Praxisproblem: Viele Unternehmen übersehen, dass bereits die Vorauswahl von Bewerbungen durch Algorithmen unter Art. 22 fallen kann.

Neue Interpretationen der Aufsichtsbehörden

Die deutschen Datenschutzbehörden haben ihre Auslegung in mehreren Punkten verschärft:

Informationspflichten: Unternehmen müssen nicht nur über den Einsatz von KI informieren, sondern auch über:

• Die involvierte Logik der automatisierten Verarbeitung
• Die Tragweite und angestrebten Auswirkungen
• Maßnahmen zur Wahrung der Rechte der betroffenen Person

Widerspruchsrecht: Betroffene haben das Recht auf menschliche Einwirkung, Darlegung des eigenen Standpunkts und Anfechtung der Entscheidung.

Praktische Compliance-Roadmap für Unternehmen

Phase 1: Bestandsaufnahme (sofort)

KI-Inventar erstellen:

• Identifizierung aller KI-Anwendungen im Unternehmen
• Dokumentation der Datenflüsse und Entscheidungsprozesse
• Bewertung der aktuellen Rechtsgrundlagen

Gap-Analyse durchführen:

• Abgleich mit DSGVO-Anforderungen
• Risikoklassifizierung nach EU AI Act
• Identifikation von Compliance-Lücken

Phase 2: Governance-Struktur (Q1 2024)

KI-Governance-Komitee etablieren:

• Vertreter aus IT, HR, Legal und Compliance
• Klare Rollen und Verantwortlichkeiten definieren
• Entscheidungsprozesse für KI-Einsatz festlegen

Richtlinien entwickeln:

• KI-Einsatz-Policy
• Datenschutz-Standards für KI-Anwendungen
• Vendor-Management-Prozesse

Phase 3: Operationelle Umsetzung (Q2-Q3 2024)

Technische Maßnahmen:

• Privacy by Design in KI-Systemen implementieren
• Logging und Monitoring einrichten
• Algorithmic Impact Assessments durchführen

Organisatorische Maßnahmen:

• Schulungen für betroffene Teams
• Prozesse für Betroffenenrechte anpassen
• Incident Response Pläne entwickeln

Spezielle Herausforderungen für HR-KI-Anwendungen

Recruiting-KI: Besonders im Fokus

Recruiting-Systeme gelten unter dem AI Act als Hochrisiko-Anwendungen. Besondere Aufmerksamkeit erfordern:

Bias und Diskriminierung:

• Regelmäßige Tests auf diskriminierende Auswirkungen
• Diverse Trainingsdaten sicherstellen
• Fairness-Metriken implementieren

Transparenz gegenüber Bewerbern:

• Klare Information über KI-Einsatz in Stellenausschreibungen
• Erklärbarkeit der Entscheidungskriterien
• Möglichkeit zur menschlichen Überprüfung

Performance Management: Datenschutz und Mitbestimmung

Betriebsratsbeteiligung: KI-basierte Performance-Systeme unterliegen der Mitbestimmung nach §87 BetrVG. Frühe Einbindung des Betriebsrats ist essentiell.

Zweckbindung beachten: Daten, die für ein KI-System erhoben wurden, dürfen nicht ohne weiteres für andere Zwecke verwendet werden.

Internationale Vendor-Beziehungen: Zusätzliche Komplexität

Viele Unternehmen nutzen KI-Services von US-amerikanischen oder anderen internationalen Anbietern. Hier entstehen zusätzliche Herausforderungen:

Datenübermittlung: Angemessenheitsbeschlüsse, Standardvertragsklauseln oder andere Übermittlungsgrundlagen müssen auch für KI-Verarbeitungen geprüft werden.

Vendor Assessment: Lieferanten müssen nachweisen können, dass ihre KI-Systeme den europäischen Anforderungen entsprechen.

Checkliste: Sofortige Handlungsschritte

Bis Ende Q1 2026:

• Vollständiges KI-Inventar erstellt
• Risikoklassifizierung nach EU AI Act durchgeführt
• DSFA für alle Hochrisiko-KI-Systeme eingeleitet
• Datenschutzerklärung um KI-Spezifika ergänzt
• Betriebsrat über KI-Einsatz informiert
• Vendor-Verträge auf AI Act-Compliance geprüft

Bis Ende Q2 2026:

• KI-Governance-Struktur etabliert
• Mitarbeiterschulungen durchgeführt
• Prozesse für Betroffenenrechte angepasst
• Incident Response Pläne entwickelt
• Monitoring und Logging implementiert

Bis Ende Q3 2026:

• Algorithmic Audits durchgeführt
• Bias-Testing implementiert
• Dokumentation für Hochrisiko-Systeme vervollständigt
• Externe Compliance-Prüfung durchgeführt

Fazit: Proaktive Compliance als Wettbewerbsvorteil

Die Verschärfung der KI-Regulierung mag zunächst als Belastung erscheinen, bietet aber auch Chancen. Unternehmen, die früh in solide KI-Governance investieren, schaffen nicht nur Rechtssicherheit, sondern auch Vertrauen bei Mitarbeitern, Bewerbern und Kunden.

Der Schlüssel liegt in der systematischen Herangehensweise: Bestandsaufnahme, Risikoklassifizierung, Governance-Aufbau und kontinuierliche Überwachung. Unternehmen, die diese Schritte konsequent umsetzen, sind nicht nur compliant, sondern auch besser positioniert, um die Potenziale von KI verantwortungsvoll zu nutzen.

Die Zeit des "Learning by Doing" in der KI-Compliance ist vorbei. 2026 wird zum Jahr der professionellen KI-Governance – und Unternehmen, die jetzt handeln, werden langfristig im Vorteil sein.