HR-Prozesse automatisieren: Administration statt Personalentscheidung
Administrativ sind HR-Prozesse, in denen KI Informationen verarbeitet, aber keine Menschen bewertet: Onboarding-Checklisten, Terminkoordination, Dokumentenerstellung, Statuskommunikation, Zusammenfassungen und Strukturierung von Unterlagen. Sobald ein System Bewerbungen filtert, Kandidat:innen rankt oder Leistung bewertet, verlässt es die administrative Ebene und wird zur Personalentscheidung – mit eigenen rechtlichen Pflichten. Die Grenze verläuft nicht am Tool, sondern am Verwendungszweck.
Onboarding-Unterlagen zusammenstellen, Termine mit Bewerber:innen koordinieren, Rückfragen zu Urlaubsanträgen beantworten, Zeugnisentwürfe vorbereiten – ein großer Teil der HR-Arbeit in kleinen und mittleren Unternehmen ist Administration, nicht Personalentscheidung. Genau hier liegt der unterschätzte Hebel für KI im Personalbereich: Prozesse automatisieren, ohne dass ein System jemals einen Menschen bewertet.
Das ist keine Ausweichbewegung vor den strengeren Regeln für Bewerbungs-Screening und Bewertungssysteme, sondern oft der wirtschaftlich sinnvollere Startpunkt. Dieser Artikel ist Teil unseres Themen-Clusters KI in HR und Recruiting und richtet sich an Geschäftsführung, Operations, IT und Fachbereich in KMU, die HR-Abläufe entlasten wollen, ohne sich in aufwändige Bewertungssysteme zu begeben. Stand dieses Artikels ist Juli 2026; er ersetzt keine Rechtsberatung.
Das Problem: Zeit geht in der Administration verloren, nicht in der Auswahl
Wenn ich mit HR-Teams in KMU spreche, dreht sich das öffentliche Gespräch fast immer um KI-gestützte Bewerberauswahl – Lebenslauf-Scoring, automatisiertes Ranking, KI-Interviews. Der tatsächliche Zeitfresser liegt in der Praxis meist woanders: in der Koordination. Wer schickt wem welche Unterlagen, wer erinnert an welchen Termin, wer trägt welche Information ins richtige System ein, wer beantwortet zum wiederholten Mal dieselbe Frage zum Bewerbungsstatus.
Diese Prozesse binden Zeit, ohne dass irgendwo eine Personalentscheidung fällt. Sie sind damit aus zwei Gründen ein guter Startpunkt für KI im Personalbereich: Erstens ist der praktische Nutzen oft größer als beim Screening, weil hier tatsächlich viele Stunden pro Woche verloren gehen. Zweitens ist die rechtliche Ausgangslage deutlich einfacher – die europäische KI-Verordnung stuft Systeme, die Beschäftigte oder Bewerber:innen bewerten, filtern oder über sie entscheiden, als Hochrisiko-Anwendungen ein; reine Assistenz- und Koordinationsaufgaben fallen in aller Regel nicht darunter.
Das Problem ist selten, dass Unternehmen das nicht wüssten. Das Problem ist, dass die Grenze zwischen „administrativ” und „bewertend” in der Praxis verschwimmt – ein Tool, das heute nur sortiert, bekommt morgen ein Scoring-Feature per Update dazu, und niemand hat das bemerkt. Wer HR-Prozesse automatisieren will, braucht deshalb zuerst eine klare Landkarte: Was ist wirklich Administration, was sind sensible Daten, wo genau verläuft die Grenze zur Entscheidung, welche Freigaben sind nötig – und wie hält man das fest.
Begriffe und Abgrenzung: Assistenz, Automatisierung, Entscheidung
Drei Begriffe werden in der Praxis oft synonym benutzt, sind aber nicht dasselbe:
- Assistenz bedeutet: Ein System liefert einen Vorschlag, Entwurf oder eine Zusammenfassung. Ein Mensch prüft das Ergebnis, bevor es irgendetwas bewirkt. Ein Textentwurf für eine Absage ist Assistenz – solange jemand ihn liest, bevor er verschickt wird.
- Automatisierung bedeutet: Ein Ablauf läuft ohne wiederholtes menschliches Eingreifen, ist aber deterministisch oder folgt festen Regeln – etwa eine Terminbestätigung, die automatisch verschickt wird, sobald ein Termin im Kalender bestätigt ist. Automatisierung kann KI-gestützt sein (zum Beispiel wenn ein Sprachmodell die Formulierung übernimmt), muss es aber nicht.
- Entscheidung bedeutet: Ein System filtert, bewertet oder rankt Personen, oder sein Ergebnis prägt eine Personalentscheidung maßgeblich vor – Einladung oder Absage, Beförderung, Aufgabenzuweisung, Leistungsbeurteilung. Hier beginnt nach der europäischen KI-Verordnung der Hochrisiko-Bereich für den Beschäftigungskontext.
Die entscheidende Abgrenzung verläuft nicht am eingesetzten Tool, sondern am Verwendungszweck. Dasselbe Sprachmodell kann in einem Anwendungsfall reine Assistenz sein (Stellenanzeige formulieren) und im nächsten eine Personalentscheidung vorbereiten (Bewerbungen nach Eignung sortieren). Diese Unterscheidung ist der rote Faden dieses Artikels – und sie entscheidet darüber, welche Pflichten überhaupt greifen.
Welche Prozesse sind administrativ?
Administrative HR-Prozesse haben ein gemeinsames Merkmal: KI verarbeitet Informationen, aber bewertet keine Menschen. Die folgende Matrix ist mein Arbeitsmodell aus Projekten – sie hilft, das eigene Prozessportfolio in kurzer Zeit grob zu sortieren, ersetzt aber keine Einzelfallprüfung:
| HR-Prozess | Charakter | Typische KI-Unterstützung | Wo die Grenze liegt |
|---|---|---|---|
| Onboarding-Checkliste & Dokumente | Administrativ | Checkliste generieren, Dokumente zusammenstellen, Erinnerungen versenden | Solange kein Ranking von Leistung oder Eignung stattfindet |
| Terminkoordination (Bewerbung, Interviews) | Administrativ | Terminvorschläge abgleichen, Bestätigungen formulieren | Solange keine Vorauswahl auf Basis von Profilen erfolgt |
| Statuskommunikation an Bewerber:innen | Administrativ | Standardtexte personalisieren, Rückfragen beantworten | Solange keine automatische Ablehnung ohne menschliche Prüfung erfolgt |
| Dokumenterstellung (Arbeitsverträge, Zeugnisse) | Administrativ, mit Prüfschritt | Textentwürfe auf Basis von Vorlagen und Eckdaten | Fachliche und rechtliche Prüfung durch Menschen bleibt Pflicht |
| Zusammenfassung interner Unterlagen | Administrativ | Lange Dokumente, Richtlinien, Protokolle zusammenfassen | Keine Bewertung von Personen, nur von Inhalten |
| CV-Screening / Bewerber-Ranking | Personalentscheidung | Automatische Vorsortierung nach Eignungskriterien | Beginnt, sobald Bewerbungen gefiltert oder gerankt werden |
| Leistungs- und Verhaltensüberwachung | Personalentscheidung | Auswertung von Arbeitsverhalten oder Kommunikation | Betrifft laufende Beschäftigungsverhältnisse direkt |
| Beförderungs- oder Kündigungsvorschläge | Personalentscheidung | Score- oder Empfehlungssysteme | Wirkt unmittelbar auf die Karriere einzelner Personen |
Eigene Einordnung Philogic Labs. „Charakter” beschreibt den Regelfall – die konkrete Ausgestaltung eines Tools kann die Einstufung verändern.
In meiner Arbeit sehe ich, dass sich in den oberen fünf Zeilen der Tabelle der größte Teil des tatsächlichen Zeitgewinns realisieren lässt, bevor überhaupt eine Diskussion über Hochrisiko-Einstufung nötig wird. Ein Beispiel aus der Praxis: Ein Onboarding-Workflow, der aus den Eckdaten einer neuen Stelle automatisch eine Checkliste generiert (IT-Zugänge, Verträge, Einweisungen, Terminplan) und die zuständigen Personen erinnert, spart pro neuer Einstellung spürbar Koordinationsaufwand – ohne dass irgendwo eine Bewertung der neuen Person stattfindet. Das System organisiert einen Ablauf, es urteilt über niemanden.
Welche Daten sind sensibel?
HR-Daten sind fast durchgängig personenbezogene Daten im Sinne der Datenschutz-Grundverordnung – und Personenbezug entsteht schneller, als viele erwarten. Wie die Datenschutzkonferenz in ihrer Orientierungshilfe zu KI und Datenschutz betont, kann sich ein Personenbezug über viele Merkmale ergeben, nicht nur über Namen oder Adressdaten; die Prüfung, ob personenbezogene Daten verarbeitet werden, muss gründlich und über den gesamten Lebenszyklus der Daten erfolgen – also nicht nur beim Einsammeln, sondern auch dort, wo Daten in Prompts landen, zwischengespeichert oder für Trainings- beziehungsweise Testzwecke weiterverwendet werden.
Für HR-Prozesse heißt das konkret: Schon eine Terminliste mit Namen und Uhrzeiten ist personenbezogen. Kritischer wird es bei Daten, die Rückschlüsse auf besondere Kategorien nach Artikel 9 DSGVO erlauben – Gesundheitsdaten (etwa aus Elternzeit- oder Krankheitsvermerken), Angaben zu Herkunft oder Religion (etwa aus Feiertagswünschen), oder Informationen, die sich aus Kombination mehrerer harmloser Einzeldaten ergeben. Ein KI-System, das Urlaubsanträge, Krankmeldungen und Leistungsdaten in einem Prompt zusammenführt, verarbeitet in Summe deutlich sensiblere Informationen als jedes Einzeldatum für sich.
Zwei praktische Konsequenzen:
- Datenminimierung ernst nehmen. Ein Tool, das Onboarding-Dokumente zusammenstellt, braucht selten Zugriff auf die komplette Personalakte. Je enger der Datenzugriff auf den tatsächlichen Zweck begrenzt ist, desto geringer das Risiko – und desto einfacher die spätere Prüfung.
- Richtigkeit und Berichtigung mitdenken. Die Orientierungshilfe der Datenschutzkonferenz weist ausdrücklich darauf hin, dass die Berichtigung unrichtiger personenbezogener Daten auch in einer KI-Anwendung umsetzbar sein muss. Praktisch heißt das: Wenn ein System Beschäftigtendaten verarbeitet oder speichert, muss es möglich sein, falsche Angaben zu korrigieren – nicht nur in der Quelldatenbank, sondern auch dort, wo das System sie zwischenspeichert oder daraus gelernt hat.
Bei umfangreicherem oder besonders sensiblem KI-Einsatz ist außerdem eine Datenschutz-Folgenabschätzung (DSFA) einzuplanen – die Datenschutzaufsichtsbehörden betonen in ihrer Orientierungshilfe, dass diese beim Einsatz von KI-Anwendungen häufig erforderlich ist. Ob das im Einzelfall zutrifft, hängt von Umfang, Sensibilität und Risiko des jeweiligen Prozesses ab und gehört in die Hände der Datenschutzbeauftragten.
Wie trennt man Assistenz und Entscheidung?
Die praktisch wichtigste Fähigkeit bei der HR-Automatisierung ist, diese Grenze pro Prozess sauber zu ziehen – und zwar bevor ein Tool eingeführt wird, nicht danach. Drei Fragen helfen dabei:
1. Bewirkt das Ergebnis etwas, ohne dass ein Mensch es zuvor sieht? Wenn eine automatisch generierte Absage verschickt wird, ohne dass jemand die konkrete Bewerbung angeschaut hat, ist das keine Assistenz mehr – selbst wenn „nur” ein Textbaustein dahintersteckt. Der Auslöser der Wirkung ist entscheidend, nicht die technische Komplexität.
2. Filtert, sortiert oder bewertet das System Personen? Ein Tool, das Bewerbungsunterlagen nach Vollständigkeit prüft und dem Menschen sauber aufbereitet vorlegt, strukturiert. Ein Tool, das Bewerbungen nach Eignung rankt und die Top-Kandidat:innen vorschlägt, bewertet. Der Unterschied liegt darin, ob am Ende eine Reihenfolge oder Auswahl von Personen steht.
3. Wie stark prägt das System die tatsächliche Entscheidung vor? Auch wenn formal ein Mensch die letzte Unterschrift setzt, kann ein System die Entscheidung faktisch schon getroffen haben – etwa wenn ausschließlich die von der KI vorgeschlagenen Top-Kandidat:innen überhaupt zu einem Gespräch eingeladen werden. Eine „menschliche Freigabe”, die im Alltag nur noch abgenickt wird, erfüllt den Anspruch an echte menschliche Aufsicht nicht.
Für die administrative Seite gilt als Faustregel: Assistenzsysteme sollten immer einen Prüfschritt vor der Wirkung haben, und dieser Prüfschritt sollte inhaltlich möglich sein – also genug Zeit und genug Information bieten, damit die prüfende Person tatsächlich widersprechen könnte. Ein Freigabeklick, der in zwei Sekunden erledigt ist, weil niemand die Zeit hat, den Entwurf wirklich zu lesen, ist eine Formalität, keine Kontrolle.
Welche Freigaben braucht man?
Bevor ein HR-Prozess mit KI-Unterstützung produktiv geht, gehören mindestens drei Freigaben geklärt – unabhängig davon, ob der Prozess administrativ ist oder in Richtung Personalentscheidung geht:
Datenschutzrechtliche Prüfung. Wer prüft den Anbieter, den Auftragsverarbeitungsvertrag, die Datenflüsse? Läuft Text durch ein externes Sprachmodell, muss geklärt sein, welche Daten dort ankommen, wie lange sie gespeichert werden und ob sie für das Training des Anbieters verwendet werden dürfen. Diese Prüfung gehört vor den produktiven Einsatz, nicht danach.
Fachliche Freigabe. HR-Leitung oder Geschäftsführung sollten jeden neuen KI-gestützten Prozess bewusst freigeben – nicht als Bürokratie, sondern weil damit klar ist, wer für den Prozess verantwortlich zeichnet, wenn etwas schiefgeht. In der Praxis reicht dafür ein kurzes Freigabegespräch mit dokumentiertem Ergebnis, kein Ausschusstermin.
Information beziehungsweise Mitbestimmung der Arbeitnehmervertretung. Sobald ein System Beschäftigte betrifft – erst recht, wenn es in Richtung Bewertung oder Überwachung geht – gehört die Information der Beschäftigten beziehungsweise, wo vorhanden, des Betriebsrats dazu. Für Hochrisiko-Systeme nach der KI-Verordnung ist die Information der Betroffenen und ihrer Vertretung vor dem Einsatz sogar eine ausdrückliche Betreiberpflicht.
Bei Systemen, die in den Hochrisiko-Bereich nach Anhang III der KI-Verordnung fallen – etwa Bewerbungs-Screening oder Leistungsüberwachung –, kommen weitere Pflichten hinzu: Der Anbieter muss unter anderem Risikomanagement, Datenqualität, Dokumentation und Konformitätsbewertung sicherstellen; als Betreiber musst du das System gemäß Anleitung einsetzen, menschliche Aufsicht organisieren und den Betrieb überwachen. Diese Pflichten gelten laut dem aktuellen Zeitplan der Europäischen Kommission für eigenständige Anhang-III-Systeme ab dem 2. Dezember 2027 – bereits heute gelten jedoch die verbotenen Praktiken (etwa Emotionserkennung am Arbeitsplatz) und die KI-Kompetenzpflicht für alle, die KI beruflich einsetzen. Wer ausschließlich administrative Prozesse automatisiert, bleibt von diesem Pflichtenkatalog in aller Regel unberührt – ein weiterer Grund, warum sich die Trennung von Assistenz und Entscheidung lohnt.
Wie dokumentiert man?
Dokumentation ist der Teil, der in der Praxis am häufigsten übersprungen wird – meist, weil er nach Bürokratie klingt, obwohl er es nicht sein muss. Pro Prozess reicht ein knapper, aber vollständiger Eintrag:
- Welches Tool oder System wird eingesetzt, mit welcher Version oder welchem Anbieter?
- Welcher Zweck wird verfolgt – in einem Satz, nicht in einer Zielvereinbarung?
- Welche Daten fließen hinein, insbesondere ob personenbezogene oder besonders sensible Daten betroffen sind?
- Wer entscheidet am Ende, und wie sieht die menschliche Prüfung konkret aus?
- Wer hat freigegeben – Datenschutz, Fachbereich, gegebenenfalls Arbeitnehmervertretung – und wann?
Diese fünf Punkte pro Prozess sind keine Selbstzweck-Bürokratie. Sie sind die Grundlage für drei sehr reale Situationen: eine Anfrage einer betroffenen Person nach Artikel 15 DSGVO, ein Gespräch mit dem Betriebsrat vor Einführung eines neuen Systems, und – falls ein Prozess später doch als Hochrisiko-System eingestuft werden muss – der Nachweis, dass von Anfang an sauber gearbeitet wurde. In meiner Erfahrung ist der Aufwand für diese Dokumentation, wenn man sie von Anfang an mitführt, überschaubar; wird sie nachträglich rekonstruiert, wird es aufwändig und lückenhaft.
Eine einfache Tabelle oder ein Prozessregister reicht für die meisten KMU völlig aus – ein aufwändiges Governance-Tool ist für den Einstieg nicht nötig. Wichtig ist, dass die Liste existiert, aktuell gehalten wird und jemand explizit dafür zuständig ist, sie zu pflegen.
Umsetzung: So gehst du vor
1. Prozesse sammeln und sortieren. Liste alle HR-Abläufe, die spürbar Zeit binden – von Onboarding über Terminkoordination bis Dokumentenerstellung. Sortiere sie mit der Matrix oben grob in administrativ, administrativ mit Prüfschritt, und Personalentscheidung.
2. Mit den unstrittigen Fällen anfangen. Beginne mit Prozessen, die eindeutig administrativ sind und wo der Nutzen am größten ist – typischerweise Terminkoordination, Checklisten und Statuskommunikation. Hier ist die rechtliche Prüfung am schlankesten, und der Erfolg schafft Vertrauen für schwierigere Fälle.
3. Datenschutz und Freigaben vor dem Start klären. Nicht danach. Wer zuerst das Tool einführt und dann die Anbieterprüfung nachschiebt, riskiert einen Rückbau mitten im laufenden Betrieb – das kostet mehr Zeit als die vorherige Prüfung.
4. Prüfschritte bewusst gestalten. Wo ein Mensch ein KI-Ergebnis prüfen soll, muss diese Prüfung inhaltlich möglich sein: genug Zeit, genug Kontext, eine echte Möglichkeit zu widersprechen. Ein Freigabeprozess, der nur pro forma existiert, schützt weder rechtlich noch inhaltlich.
5. Dokumentation von Anfang an mitführen. Lege das Prozessregister parallel zur Einführung an, nicht danach. Ein Eintrag pro Prozess, gepflegt bei jeder Änderung, ist der günstigste Versicherungsschutz, den du in diesem Bereich bekommen kannst.
6. KI-Kompetenz im Team aufbauen. Die Menschen, die mit den Tools arbeiten – HR, aber auch Führungskräfte, die Ergebnisse prüfen – sollten die Grenzen der Systeme einschätzen können. Strukturierte Schulungen sind dafür oft der schnellste und am besten dokumentierbare Weg.
Zum Aufwand nur eine grobe Einordnung mit klaren Annahmen: Für ein KMU mit einer Handvoll administrativer HR-Prozesse und bestehenden Standard-Tools ist die Sortierung nach der Matrix oben plus eine erste Dokumentation erfahrungsgemäß eher eine Sache von Tagen als von Wochen. Aufwändiger wird es, wenn Prozesse in Richtung Personalentscheidung reichen und dort erst die rechtliche Einstufung geklärt werden muss – dafür gibt es keine seriöse pauschale Zeit- oder Kostenangabe, sie hängt zu stark von Tool, Prozessreife und Datenlage ab.
Risiken & Grenzen
Die Grenze verschiebt sich unbemerkt. Anbieter erweitern Tools per Update um neue Funktionen – aus einem reinen Terminkoordinator wird über Nacht ein System mit „intelligentem Ranking”-Feature. Wer seine Prozessliste nicht regelmäßig gegen den tatsächlichen Funktionsumfang der eingesetzten Tools prüft, verliert die Übersicht genau dort, wo es rechtlich am meisten zählt.
Formale Freigabe ist keine echte Kontrolle. Ein Prüfschritt, der nur pro forma existiert – weil niemand Zeit hat, den KI-Entwurf wirklich zu lesen –, schützt weder vor Fehlern noch rechtlich vor dem Vorwurf, eine automatisierte Entscheidung getroffen zu haben. Diese Lücke zwischen Anspruch und gelebter Praxis ist in meiner Erfahrung der häufigste Schwachpunkt.
Administrative Prozesse sind nicht automatisch risikofrei. Auch Terminkoordination oder Dokumentenerstellung verarbeitet personenbezogene, teils sensible Daten. Datenschutz gilt unabhängig von der KI-Act-Einstufung – ein Tool, das rechtlich unproblematisch in Sachen KI-Verordnung ist, kann trotzdem ein Datenschutzproblem sein, wenn Datenminimierung und Auftragsverarbeitung nicht sauber geklärt sind.
Der Rechtsrahmen ist in Bewegung. Der Zeitplan der KI-Verordnung wurde 2026 bereits einmal verschoben; verlass dich nicht auf ältere Sekundärquellen, sondern auf die aktuellen Kommissionsseiten. Dieser Artikel bildet den Stand Juli 2026 ab und ersetzt weder anwaltliche Beratung noch die Abstimmung mit deiner Datenschutzbeauftragten.
Dieser Artikel kennt deine konkreten Prozesse nicht. Die Matrix und die Vorgehensschritte oben sind ein Ausgangspunkt, keine Einzelfallprüfung. Ob ein bestimmtes Tool in deinem Unternehmen administrativ bleibt oder faktisch schon Personalentscheidungen vorprägt, entscheidet sich am konkreten Ablauf – dafür braucht es einen Blick auf den tatsächlichen Prozess, nicht nur auf die Toolbeschreibung.
Checkliste: HR-Prozesse automatisieren
- Alle HR-Abläufe mit spürbarem Zeitaufwand gesammelt und mit der Matrix grob sortiert (administrativ / administrativ mit Prüfschritt / Personalentscheidung).
- Für jeden Prozess geklärt: Bewertet das System Personen, oder verarbeitet es nur Informationen?
- Datenschutzrechtliche Prüfung (Anbieter, Auftragsverarbeitung, Datenminimierung) vor dem produktiven Start abgeschlossen.
- Geprüft, ob eine Datenschutz-Folgenabschätzung notwendig ist.
- Fachliche Freigabe durch HR-Leitung oder Geschäftsführung dokumentiert.
- Beschäftigte beziehungsweise Arbeitnehmervertretung informiert, wo der Prozess sie betrifft.
- Prüfschritte inhaltlich echt gestaltet – nicht nur als Formalität mit Freigabeklick.
- Prozessregister angelegt: Tool, Zweck, Daten, Entscheider, Freigabedatum pro Prozess.
- Zuständigkeit benannt, die Tool-Updates und neue Funktionen regelmäßig gegen die Einstufung prüft.
- KI-Kompetenz der beteiligten Mitarbeitenden aufgebaut und dokumentiert.
Wenn du deine HR-Prozesse einmal nüchtern durchgehen willst – was ist wirklich Administration, was lässt du besser beim Menschen –, dann klären wir das in einer KI-Beratung am konkreten Ablauf. Für ein erstes, unverbindliches Gespräch erreichst du uns über die Kontaktseite.
Häufige Fragen
Welche Prozesse sind administrativ?
Administrativ sind Abläufe, in denen KI Informationen sammelt, strukturiert oder kommuniziert, ohne eine Person zu bewerten – etwa Terminkoordination, Onboarding-Dokumente oder Statusmails. Sobald ein System filtert, rankt oder über jemanden entscheidet, ist es keine Administration mehr, sondern eine Personalentscheidung mit eigenen rechtlichen Pflichten.
Welche Daten sind sensibel?
Sensibel sind alle Beschäftigten- und Bewerberdaten mit Personenbezug, besonders wenn sie Rückschlüsse auf Gesundheit, Herkunft, Religion oder Leistung zulassen. Schon Namen in Kombination mit Terminen oder Dokumenten reichen für Personenbezug – die Prüfung muss über den gesamten Lebenszyklus der Daten erfolgen, nicht nur beim Erstkontakt.
Wie trennt man Assistenz und Entscheidung?
Assistenz liefert Vorschläge, Entwürfe oder Zusammenfassungen, die ein Mensch prüft, bevor irgendetwas wirkt. Entscheidung liegt vor, sobald ein System Kandidat:innen oder Mitarbeitende filtert, rankt oder bewertet und das Ergebnis die tatsächliche Personalentscheidung maßgeblich vorprägt – auch wenn formal noch jemand unterschreibt.
Welche Freigaben braucht man?
Vor dem produktiven Einsatz gehören mindestens drei Freigaben geklärt: die datenschutzrechtliche Prüfung inklusive Auftragsverarbeitung, die fachliche Freigabe durch HR-Leitung oder Geschäftsführung und, wo vorhanden, die Information beziehungsweise Mitbestimmung der Arbeitnehmervertretung. Bei Hochrisiko-Einstufung kommen die Pflichten aus der KI-Verordnung hinzu.
Wie dokumentiert man?
Pro Prozess reicht ein knapper Eintrag: welches Tool, welcher Zweck, welche Daten, wer entscheidet, wer geprüft hat. Das ist keine Bürokratie, sondern die Grundlage für Auskunftsersuchen, Betriebsratsgespräche und die eigene Nachvollziehbarkeit, falls ein Prozess später infrage gestellt wird.
Quellen
- Europäische Kommission (2026): AI Act — Risikostufen, Hochrisiko-Kriterien für Beschäftigung und aktualisierter Zeitplan
- Europäische Kommission (2026): Navigating the AI Act (FAQ) — Anbieter- und Betreiberpflichten für Hochrisiko-Systeme
- Datenschutzkonferenz (2024): Orientierungshilfe KI und Datenschutz — Personenbezug, Richtigkeit, Datenschutz-Folgenabschätzung beim KI-Einsatz