So phänomenal all das ist, was Künstliche Intelligenz für uns übernehmen kann, das Gefühl, durch KI-Nutzung quasi mit einem Bein im Gefängnis zu stehen, ist für viele Geschäftsführungen ein ständiger Begleiter. Auch HR-Verantwortliche, die es ja immerhin in Sachen KI mit Hochrisikosystemen zu tun haben (z. B. Software für Lebenslauf-Screening, Video-Interview-Analysetools, interne Talent-Scoring-Systeme) kennen dieses Unbehagen.
Und das nicht ohne Grund. Tatsächlich nimmt die Regulierung rund um KI deutlich zu. Und mit ihr auch die Gefahr von KI-Compliance-Verstößen. Allein die EU-KI-Verordnung (mehr zu den Auswirkungen des EU AI Act auf HR-Bereiche finden Sie hier) verursacht erheblich mehr Aufwand in Form von Compliance-Checks, Risikoanalysen und Reporting für die HR-Abteilung. Mit Bußgeldern bis zu 35 Millionen Euro oder 7 Prozent des gesamten weltweiten Jahresumsatzes können diese sogar noch teurer ausfallen als bei der DSGVO.
Was vielen nicht bewusst ist: Nicht nur Anbieter von KI-Systemen, auch Betreiber von KI müssen umfangreiche Pflichten erfüllen. Für KI-Lösungen ist demnach neben einer richtlinienkonformen Technik auch auf Anwendungsseite sicherzustellen, dass ethische Richtlinien, Transparenz und Datenschutzgrundsätze eingehalten werden.
Fest steht, die zunehmende Regulierung steigert den Aufwand zur Vermeidung von Verstößen. Gleichzeitig bietet sie Unternehmen aber auch die echte Chance, als First Mover mit konformen und fairen KI-Einsätzen Vertrauen bei Mitarbeitenden und Kandidatinnen zu schaffen und als Vorreiter für ethische KI wahrgenommen zu werden.
HR-Verantwortliche sind somit gefordert mit der Regulierungsdynamik Schritt zu halten, ohne dabei in der sinnvollen Anwendung von KI-Lösungen, die auch im Personalbereich immer mehr Effizienzsteigerung und Optimierung von Prozessen ermöglicht, ins Hintertreffen zu geraten. Welche Routinen und Absicherungen sollten HR-Teams installieren und leben, um auf sicherer Seite agieren zu können? Genau darauf gehe ich im Folgenden ein.
KI-Compliance – 10 Tipps für HR-Verantwortliche
Die rechtlichen Rahmenbedingungen rund um die Nutzung von KI befinden sich in einer sehr dynamischen Entwicklung. Entsprechend flexibel sollten sich die Maßnahmen zur Herstellung und Bewahrung von KI-Compliance mitbewegen.
Wer glaubt, Compliance für KI lässt sich in einer Einmalaktion herstellen und für immer bewahren, hat die Dynamik und Tragweite der rasanten Entwicklung von KI, und wie sie sich rechtlich, organisatorisch und ethisch auf das Handeln in Unternehmen auswirkt, noch nicht erkannt.
Erst wenn Compliance laufend mitgedacht und dort wo nötig nachjustiert wird, kann eine dauerhafte Absicherung vor schmerzhaften Verstößen etabliert werden.
Für den HR-Bereich können Sie sich diese kontinuierliche Prüfung und damit die Sicherstellung von KI-Compliance mit den folgenden 10 Tipps sehr erleichtern.
1. Transparenz und Nachvollziehbarkeit sicherstellen
KI-Systeme sollten so aufgesetzt und genutzt werden, dass für alle Beteiligten stets transparent und nachvollziehbar ist, wie Entscheidungen zustande gekommen sind.
Wird eine KI-Lösung beispielsweise für das Vorsortieren von Bewerbungen eingesetzt, sollte klar dokumentiert sein, nach welchen Kriterien sie diese Sortierung vornimmt (solche Kriterien können z. B. bestimmte Schlüsselwörter im Lebenslauf oder auch Berufserfahrung, Ausbildung sein). Gute KI-Transparenz bedeutet auch, Kandidaten und Kandidatinnen bereits im Bewerbungsformular bzw. auf dem Bewerbungsportal darüber zu informieren, dass eine KI bei der Vorauswahl unterstützend eingesetzt wird.
Erklärbare KI-Modelle („Explainable AI“) zu nutzen und Entscheidungsparameter systematisch zu dokumentieren ist dabei eine große Hilfe. Zusätzlich ist es zwingend erforderlich, HR-Teams gut für einen differenzierten Umgang mit den Ergebnissen, die die KI ausgibt, zu trainieren, damit sie diese kritisch und konform hinterfragen können.
Gerade bei KI-Entscheidungen im HR-Kontext bewährt sich ein Vier-Augen-Prinzip zwischen Mensch und KI. Auch da wirkt die Transparenz über den nachvollziehbaren Einsatz von KI sich positiv auf das Vertrauen gegenüber Ihrem Unternehmen aus, wovon wiederum Ihr Employer Branding profitiert.
2. Datenschutz und Datensicherheit gewährleisten
Wir wissen es mittlerweile alle – personenbezogene Daten dürfen nur unter Einhaltung der DSGVO verarbeitet werden (mehr dazu, wie genau der Datenschutz bei KI-Nutzung greift, erfahren Sie hier).
Dabei gelten Grundsätze wie Zweckbindung, Datenminimierung, Speicherbegrenzung und Integrität. Ohne ausdrückliche Einwilligung dürfen KI-Lösungen keine sensiblen Daten (z. B. ethnische Herkunft, politische Meinungen, Gesundheitsdaten) verarbeiten.
Soll beispielsweise ein KI-Tool Videointerviews im Recruiting analysieren, muss dafür nicht nur eine rechtskonforme Einwilligung eingeholt werden, sondern auch sichergestellt sein, dass eine Pseudonymisierung und sichere Speicherung erfolgt.
Für die Implementierung von KI-Systemen (siehe auch Tipp 6) empfiehlt sich die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Arbeiten Sie dabei eng mit Ihrem Datenschutzbeauftragten zusammen und achten Sie auf Zertifizierungen wie ISO 27001.
3. Fairness und Diskriminierungsfreiheit prüfen und sicherstellen
Viele kennen das bekannte Beispiel: Amazon musste einst ein KI-Recruiting Tool stoppen, weil es Bewerbungen von Frauen systematisch abwertete. Zustande kommt solche und andere ungewollte Diskriminierung, wenn KI-Systeme vorhandene Vorurteile und Präferenzen in Trainingsdaten übernehmen und auf Basis der so entstandenen Voreingenommenheit (Bias) diskriminierende Entscheidungen treffen. So kann eine KI Kandidaten mit männlichen Vornamen bevorzugen, weil die historischen Daten (auf deren Basis die KI läuft) diese besser bewerten.
Der Schutz vor Diskriminierung ist ein zentrales Arbeitnehmerrecht (Allgemeines Gleichbehandlungsgesetz, AGG), wodurch auch bei der Nutzung von KI Ungleichbehandlung, z. B. aufgrund von Geschlecht, Alter, Herkunft oder Behinderung unzulässig ist. Arbeitgeber haften für solche Diskriminierungen. Und nicht nur das – Arbeitnehmer haben faktisch ein Recht auf nachweisbar diskriminierungsfreie KI.
Dadurch wird nicht nur ein gründliches Bias-Testing (zwingend bereits vor Einsatz einer KI), sondern eine ebenso gründliche Dokumentation dieser Tests sehr bedeutend. Zum einen, um vor Inbetriebnahme Diskriminierungen in Lerndaten zu beheben. Zum anderen, um für mögliche Beschwerden von Mitarbeitern, die sich durch KI ungerecht behandelt fühlen (z. B. in der Leistungsbeurteilung), gut vorbereitet zu sein. Denn dann greift die Nachweispflicht des Arbeitgebers, dass ein objektives und rechtskonformes KI-System eingesetzt wird. Eine transparente, nachvollziehbare Dokumentation, die dem jeweiligen Arbeitnehmenden oder ggf. dem Gericht vorgelegt werden kann, ist da nicht nur hilfreich (siehe auch Tipp 9), sondern enorm risikomindernd.
Etablieren Sie interne Prüfmechanismen (siehe auch Tipp 10) zur regelmäßigen Überwachung auf Diskriminierung. Mit Verfahren zur algorithmischen Fairness, Bias-Analysen (die nicht nur vor, sondern auch während des laufenden KI-Betriebes stattfinden) und dem Einsatz von diversen Datensätzen können Sie sich zusätzlich absichern.
4. Mitarbeitende und Betriebsrat frühzeitig einbeziehen
Um Verunsicherungen und Missverständnissen vorzubeugen, sollten Mitarbeitende möglichst früh darüber aufgeklärt werden, welche KI-Lösungen zu welchem Zweck zum Einsatz kommen und welche Rechte bzw. ggf. auch Pflichten dabei für sie gelten.
Für die Einbeziehung des Betriebsrats ist durch die Betriebsverfassung klar geregelt, dass mit diesem über geplante technische Einrichtungen zur Überwachung von Arbeitnehmern zu konsultieren ist. Sobald also KI-Anwendungen Mitarbeiterdaten verarbeiten (was bei HR-Anwendungen, die Leistungsdaten sammeln oder Kommunikationsverhalten analysieren regelmäßig der Fall ist) greift diese Beratungsspflicht des Arbeitgebers gegenüber dem Betriebsrat.
Und nicht nur das, ohne die Zustimmung des Betriebsrats bzw. ohne eine entsprechende Betriebsvereinbarung darf der Arbeitgeber solche KI-Lösungen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, nicht einführen.
Wichtig zu unterscheiden ist hierbei zwischen der vom Arbeitgeber bereitgestellten oder angeordneten KI-Nutzung gegenüber der freiwilligen Nutzung von KI durch Mitarbeitende. Die bloße Erlaubnis an Arbeitnehmende, ein KI-Tool wie ChatGPT auf freiwilliger Basis zu nutzen, ist nicht mitbestimmungspflichtig, wie der Beschluss des Arbeitsgerichts Hamburg 2024 klargestellt hat. Erst wenn der Arbeitgeber eine KI-Anwendung bereitstellt bzw. die Nutzung eines KI-Systems anordnet, welches die Fähigkeit der Überwachung mitbringt, liegt das Mitbestimmungsrecht des Betriebsrats eindeutig vor.
In der Praxis verursachen die Mitbestimmungsrechte des Betriebsrats häufig erhebliche Verzögerungen bei der Einführung bzw. Veränderung von KI-Lösungen. Durch ihre Bindung an eine rückständige Betriebsverfassung können Betriebsräte nicht so zeitnah und flexibel agieren, wie es die Dynamik rund um KI-Entwicklungen verlangt.
Statt effizienter Nutzung von KI, und damit Schritt halten mit dem Wettbewerb, breiten sich Frustration und Unverständnis zwischen den Verantwortlichen aus. Nicht selten stellen Betriebsräte, die den heftigen Schwund an Wettbewerbsfähigkeit wahrnehmen, für mehr Handlungsfähigkeit auf kreatives Krisenmanagement um. Beispielsweise, indem sie (solange keine groben Verstöße gegen Datenschutz oder Kontrollmechanismen vorliegen) über neue KI-Systeme nicht vorab, sondern im laufenden Betrieb konsultieren.
Besser wäre natürlich, der Gesetzgeber würde mit mehr gesundem Menschenverstand, Vertrauen und Augenmaß einen rechtlichen Rahmen schaffen, der die hochdynamischen Realitäten des 21. Jahrhunderts anerkennt und solche Improvisationen jenseits einer rückständigen Betriebsverfassung unnötig macht.
5. Klare Verantwortlichkeiten definieren
HR, Recht, IT, Datenschutz, Produktentwicklung – für eine erfolgreiche Einführung und den compliancekonformen Betrieb von KI-Lösungen sollten sich Verantwortliche aus den beteiligten Bereichen initial und laufend eng miteinander abstimmen.
Unternehmen müssen intern genau klären, wer für die Auswahl, Überwachung, Wartung und ethische Bewertung der KI verantwortlich ist. Dabei hilft es, Rollenprofile (z. B. KI-Verantwortlicher, Datenschutzkoordinatorin im HR) festzulegen, Eskalationsprozesse klar zu definieren und das Thema KI in das Compliance-Management-System (CMS) zu integrieren.
Dadurch werden viele kritische Entscheidungen und darunter eine ganz wesentliche, nämlich, dass Entscheidungen mit gravierender Auswirkung auf Kandidaten oder Mitarbeitende (z. B. Ablehnung, Versetzung, Kündigung) stets final von Menschen getroffen werden, über verschiedene Mechanismen abgesichert.
6. Geeignete KI-Tools und Anbieter sorgfältig auswählen
So vielfältig die Anwendungsmöglichkeiten von KI sind, so groß ist auch die Auswahl von KI-Lösungen. Nicht jedes KI-System auf dem Markt ist für die Anforderungen des HR-Bereichs geeignet. Inmitten des großen KI-Hypes versprechen nicht wenige Anbieter für ihre Lösungen mehr, als sie halten oder sie nutzen z. B. intransparente Algorithmen.
Hören Sie sich in Ihrem HR-Netzwerk nach Erfahrungswerten mit KI-Anwendungen, die sich im HR-Einsatz bereits gut bewähren, um. Vielleicht gibt es in Ihren HR-Kreisen Use Cases, die sich auf den Personalbereich in Ihrem Unternehmen adaptieren lassen. Alternativ können Sie für die Auswahl der für Sie passenden KI-Lösung ein KI-Beratungsunternehmen, welches den Markt für KI-Systeme im HR-Bereich gut kennt, konsultieren.
Sprechen Sie Anbieter frühzeitig auf technische Dokumentationen, die Einhaltung von ethischen Richtlinien, DSGVO-Konformität, Bias-Tests und Sicherheitsstandards an. Je transparenter ein Anbieter hier ist, desto besser. Und umgekehrt – je intransparenter, desto misstrauischer sollten Sie sein. Möglicherweise gibt es für die Aufgaben in Ihrer Personalabteilung geeignete KI-Tools, die bereits Compliance „by design“ erfüllen. Besonders vertrauenserweckend sind Anbieter, die unabhängige Prüfungen oder Zertifikate vorweisen können (z. B. EU AI Act-Konformität, ISO 27701).
Auch für die Prüfung von Anbietern und Tools ist eine detaillierte Dokumentation über den Prüfungsprozess und die Ergebnisse wichtig. Bei der Entscheidung für eine bestimmte KI-Lösung sollte insbesondere Ihre Datenschutz-Folgenabschätzung genau dokumentieren, warum der KI-Einsatz notwendig und verhältnismäßig ist.
7. Qualifikation und Schulung der HR-Mitarbeitenden sicherstellen
Die Qualität der Ergebnisse, die eine KI liefert, hängt sehr stark von der KI-Kompetenz eines Anwenders ab, der die KI nutzt. Das gilt gerade auch für die durchaus anspruchsvollen KI-Anwendungen im Personalbereich.
HR-Teams müssen in der Lage sein, KI-Systeme in ihrem Funktionsumfang zu verstehen, sie mit Blick auf ihre technischen und rechtlichen Grenzen kritisch zu bewerten sowie ihre Ergebnisse richtig zu interpretieren. Und sie sollten die KI-Lösung insgesamt verantwortungsvoll einsetzen können.
Für einen effizienten und ebenso sicheren Einsatz von KI ist die gezielte Schulung von HR-Mitarbeitern rund um KI, Datenschutz, Fairness und Ethik deshalb unumgänglich. Dieser Kompetenzaufbau kann z. B. über interne Lernplattformen oder externe Trainingsanbieter stattfinden.
In diesen Trainings sollte die Bedeutung hinter grundlegenden Begriffen wie Trainingsdaten, Bias, Overfitting oder Blackbox-Modell für HR Teams verständlich werden. Die gelernte Kompetenz hilft ganz konkrete Datenschutzverletzungen zu vermeiden. Beispielsweise, indem allen Anwendern bewusst ist, dass z. B. vertrauliche Personaldaten nicht ungeprüft in externe KI-Tools (Cloud-Dienste) eingeben werden dürfen. Fehlentscheidungen, die gerade beim Einsatz von KI im HR-Bereich weitreichende Folgen haben können, werden so gezielt eingedämmt.
Besonders wichtig: Der Aufbau von KI-Kompetenz muss nicht als einmalige Aktion, sondern als laufende Aufgabe angesehen werden. Sonst könnten Mitarbeitende schnell den Anschluss verlieren – nicht nur an die sich so rasant wandelnde KI-Funktionalität, sondern auch an die zunehmenden Regeln, die wir für eine verantwortungsvolle Nutzung von KI einhalten müssen.
8. Regelmäßige Evaluation und Monitoring implementieren
Wer glaubt KI-Systeme können nach dem „Set-it-and-forget-it“-Prinzip betrieben werden, begibt sich gleich in mehrfacher Hinsicht in Gefahr. Allein die auf absehbare Zeit weiter zunehmende Regulierungsdichte rund um KI-Lösungen macht eine regelmäßige Prüfung der im Unternehmen und auch im Personalbereich eingesetzten KI auf Gesetzes- und Richtlinienkonformität erforderlich.
Wer also regelmäßig juristische Expertise für eine individuelle Risikoanalyse einbezieht, kann folgenschwere Fehler und damit hohe Bußgelder, wie sie beispielsweise bei Verstößen gegen die KI-Verordnung vorgesehen sind, von vornherein vermeiden.
Neben der Richtlinienkonformität sollten KI-Systeme auch regelmäßig auf ihre Funktionsweise und Ergebnisqualität überprüft werden, denn die Ergebnisse, die KI-Anwendungen produzieren, können mit der Zeit an Genauigkeit und Fairness verlieren, insbesondere wenn sich Datenbasis oder Prozesse ändern.
Hilfreich ist es, KPIs zur Bewertung von KI-gestützten HR-Prozessen einzusetzen. Diese können sich z. B. auf Auswahlquoten, Fehlklassifizierungen oder auch die Zufriedenheit von Kandidaten beziehen.
Idealerweise etablieren Sie ein Monitoring-System mit festen Prüfintervallen. Beispielsweise könnte das Talentmanagement-Team quartalsweise die Übereinstimmung zwischen KI-Empfehlungen für Beförderungen und finalen Entscheidungen analysieren. Bei Abweichungen wird dann eine Ursachenanalyse durchgeführt.
Weitere Orientierung für den klugen Aufbau von regelmäßiger Evaluation und Monitoring liefern z. B. auch Anleitungen von Verbänden (z.B. Bitkom-Leitfäden).
9. Dokumentationspflichten erfüllen
An mancher Stelle gab es in diesem Artikel bereits den Hinweis darauf, und das nicht ohne Grund: Eine gute, schlüssige Dokumentation ist ein zentrales Element von Compliance. Sie erleichtert die interne Nachverfolgbarkeit und ist im Fall von externen Prüfungen durch Aufsichtsbehörden oder bei Klagen von Mitarbeitenden eine wichtige Informationsgrundlage.
Optimal ist ein zentrales KI-Register, in dem alle eingesetzten KI-Lösungen sowie deren Zwecke, Datenquellen, Prüfergebnisse, Verantwortlichkeiten und Schulungen gespeichert werden. Vorlagen und digitale Tools liefern bei der Dokumentation zeitsparende Unterstützung.
Sollte es zu einer externen DSGVO-Prüfung kommen, können Sie dann z. B. lückenlos darlegen, wie eine KI-gestützte Entscheidung im Recruiting entstand, wer sie überprüft hat und wie Bias ausgeschlossen werden konnte.
10. KI-Richtlinien, Ethik-Kodex und KI-Governance etablieren
Immer noch viel zu oft entstehen Unsicherheiten und Ängste bei Mitarbeiterinnen und Kandidaten gegenüber ihren KI-einsetzenden (potenziellen) Arbeitgebern. Und häufig ist mangelnde Transparenz darüber, wie genau und nach welchen Regeln KI-Systeme im Unternehmen und speziell im HR-Bereich eingesetzt werden, der Hauptgrund dafür.
Unternehmensinterne KI-Richtlinien helfen, dieses Misstrauen in Vertrauen umzuwandeln. Indem sie genau definieren, welche KI-Anwendungen erlaubt sind und welche nicht. Zudem sollte aus diesen Richtlinien klar hervorgehen, wie mit Datensicherheit, Verantwortlichkeiten, Zugriffsrechten und -beschränkungen umgegangen wird.
Vertrauensfördernd ist beispielsweise, wenn ein Unternehmen in seinen Richtlinien festhält und im Auswahlprozess gegenüber Kandidaten und Kandidatinnen transparent macht, dass bei wichtigen Personalentscheidungen (Einstellung, Beförderung, Trennung) keine ausschließlich KI-basierten Entscheidungen getroffen werden. Dabei auch den Teil des Entscheidungsprozesses offenzulegen, an dem die KI beteiligt ist, verstärkt die vertrauensbildende Wirkung.
Im besten Fall nutzt das HR-Team die Richtlinien wie ein "KI-Playbook", welches die KI-Spielregeln verständlich macht und damit z. B. unbedachte Verstöße gegen Datenschutz- und Urheberrechte verhindert.
Neben der Rechtskonformität sollten auch ethische Leitlinien zum KI-Einsatz im Unternehmen und speziell im HR-Bereich definiert werden, am besten unter Einbindung von interdisziplinären Teams. Dies könnte beispielsweise ein Ethik-Kodex sein, der auf Prinzipien wie Autonomie, Gerechtigkeit, Verantwortung, Transparenz und Nichtschädigung genauer eingeht.
Es ist ratsam, alle festgehaltenen Vorgaben regelmäßig auf die Erfüllung der aktuell gültigen Anforderungen zu überprüfen und falls notwendig Änderungen bzw. Ergänzungen am Regelwerk durchzuführen. Diese stets aktuellen KI-Richtlinien kann dann wiederum ein Governance-Team (mit Vertretern aus den Bereichen HR, Recht, Datenschutz, IT-Sicherheit) zur regelmäßigen Überprüfung der KI-Tools, die im Unternehmen verwendet werden, heranziehen.
Wie steht’s um Ihre KI-Compliance?
Solange sich die KI-Entwicklung mit der hohen Dynamik der letzten Jahre fortsetzt (wovon Kenner eindeutig ausgehen) bleibt sie ein äußerst „überwachungsintensiver Freigeist“, der immer wieder aufs Neue auf die Einhaltung von technischen, rechtlichen und ethischen Anforderungen geprüft und ggf. angepasst werden muss.
HR-Verantwortliche, die für ihre eingesetzten KI-Tools frühzeitig die notwendigen Routinen und Sicherheitsmechanismen installieren, werden deutlich wendiger und flexibler Compliance-Konformität herstellen und bewahren können als andere. Und nicht nur das – sie bleiben mit ihrem Team trotz der hohen KI-Dynamik handlungsfähig und sind damit in der Lage, das volle Potenzial der aktuellen und kommenden KI-Entwicklung für ihren HR-Bereich zu nutzen.
Wenn Sie mehr darüber erfahren möchten, wie HR-Teams KI-Compliance klug und sicher meistern können, schauen Sie sich gern die Aufzeichnung unseres Webinars zu dem Thema an. Darin finden Sie viele weitere praxisnahe Tipps von Experten, deren Know-how genau dort liegt, wo HR, Compliance, Datenschutz und Datensicherheit zusammenkommen. Oder kontaktieren Sie direkt diese Experten – Kirstin Koubé und Hummam Wasfi – aus unserem Webinar.
Die in diesem Blog Artikel bereitgestellten Informationen werden ausschließlich zu allgemeinen Informationszwecken und nicht zum Zwecke einer Rechtsberatung zur Verfügung gestellt und spiegeln nicht unbedingt die aktuelle Gesetzeslage oder aktuelle Richtlinien wider. Die Informationen sind nicht als eine Rechtsberatung zu etwaigen Angelegenheiten auszulegen. Die Informationen bilden gegebenenfalls nicht die aktuellen rechtlichen Entwicklungen ab. In Bezug auf die Korrektheit oder Vollständigkeit der Informationen wird keine ausdrückliche oder implizite Gewährleistung oder Garantie gegeben und auf diese sollte somit nicht vertraut werden. Die HR Recruitment & Interim AG übernimmt im gesetzlich zulässigen Rahmen keinerlei Haftung im Hinblick auf Handlungen und Unterlassungen auf Basis von Inhalten dieses Blog Artikels. Die Informationen erheben keinen Anspruch auf Vollständigkeit und beabsichtigen nicht die Darstellung einer Beratung, auf die Sie sich verlassen können. Für konkrete rechtliche Angelegenheiten sollten Sie stets eine qualifizierte Rechtsberatung zurate ziehen.
