Tipps & Tricks

Dürfen Unternehmen interne KI-Tools mit personenbezogenen Mitarbeiterdaten nutzen?

6. Februar 2026
Dürfen Unternehmen interne KI-Tools mit personenbezogenen Mitarbeiterdaten nutzen?

Datenschutz- und KI-rechtliche Anforderungen nach DSGVO, BDSG und AI Act

Unternehmen setzen zunehmend interne KI-Tools ein, um Arbeitsabläufe zu automatisieren, Wissen bereitzustellen oder Entscheidungen vorzubereiten. Dabei stellt sich regelmäßig die Frage, ob und unter welchen Voraussetzungen solche Systeme mit personenbezogenen Daten von Mitarbeitenden betrieben werden dürfen. Die Antwort ist rechtlich komplex, da neben der DSGVO auch der nationale Beschäftigtendatenschutz und seit 2024 der EU-AI-Act zu berücksichtigen sind. Der Beitrag erläutert die rechtlichen Leitplanken und zeigt, wie der Einsatz interner KI-Tools im Unternehmen rechtskonform gestaltet werden kann.

Ausgangslage und Begriffsklärung

Die Nutzung interner KI-Tools mit Mitarbeiterdaten ist keine reine Technikfrage, sondern eine datenschutzrechtliche Verarbeitung im Sinne der DSGVO. Bereits das Einspeisen, Durchsuchen, Zusammenfassen oder Klassifizieren von Informationen durch ein KI-System stellt regelmäßig eine Verarbeitung nach Art. 4 Nr. 2 DSGVO dar.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu zählen nicht nur Stammdaten, sondern auch Leistungsbewertungen, Kommunikationsinhalte, Nutzungsdaten oder Krankheitsangaben. Entscheidend ist: Auch pseudonymisierte Daten bleiben personenbezogen, solange eine Re-Identifizierung möglich ist.

Für die rechtliche Bewertung ist zudem die Systemarchitektur relevant:

  • Geschlossene KI-Systeme: technisch abgeschirmt, unternehmensintern kontrolliert, kein Training oder Weiterverwendung der Daten zu fremden Zwecken.

  • Offene KI-Systeme: cloud-basierte oder internetgestützte Dienste, bei denen Eingaben (Prompts) den Verantwortungsbereich verlassen können, etwa zur Weiterverarbeitung, Modellverbesserung oder Übermittlung in Drittstaaten.

Diese Unterscheidung wird von Datenschutzaufsichtsbehörden ausdrücklich betont und ist zentral für die Risikoabwägung.

Rechtsrahmen: DSGVO, Beschäftigtendatenschutz und AI Act

DSGVO als Kernrahmen

Zentrale Grundlage bleibt die DSGVO. Unternehmen müssen insbesondere die Grundsätze nach Art. 5 DSGVO einhalten, darunter Zweckbindung, Datenminimierung, Transparenz und Integrität/Vertraulichkeit. Jede Verarbeitung benötigt eine Rechtsgrundlage nach Art. 6 DSGVO.

Sobald besondere Kategorien personenbezogener Daten betroffen sind, etwa Gesundheitsdaten, gilt das Verarbeitungsverbot des Art. 9 DSGVO mit engen Ausnahmen.

Art. 22 DSGVO: Grenzen automatisierter Entscheidungen

Besondere Bedeutung hat Art. 22 DSGVO. Danach dürfen Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung grundsätzlich nicht ausschließlich automatisiert getroffen werden. KI-gestützte Bewertungen im HR-Bereich müssen daher so gestaltet sein, dass eine echte menschliche Kontrolle besteht.

EU-AI-Act (Verordnung (EU) 2024/1689)

Der AI-Act ergänzt den Datenschutzrahmen um spezifische KI-Pflichten. Für Unternehmen sind insbesondere relevant:

  • Verbotene Praktiken: u. a. Emotion-Inference am Arbeitsplatz (z. B. Ableitung von Stress oder Stimmung), mit engen Ausnahmen.

  • High-Risk-Systeme: KI in Recruiting, Leistungs- oder Verhaltensüberwachung ist ausdrücklich als Hochrisiko-Anwendung eingestuft.

  • Organisationspflichten: Human Oversight, Dokumentation, Informationspflichten gegenüber Beschäftigten und Förderung von KI-Kompetenz (AI Literacy).

Wann ist der Einsatz interner KI-Tools zulässig?

Die Nutzung interner KI-Tools mit personenbezogenen Mitarbeiterdaten ist in der Regel zulässig, wenn mehrere Voraussetzungen kumulativ erfüllt sind.

Erstens muss ein klarer, arbeitsbezogener Zweck vorliegen. Typische zulässige Szenarien sind Assistenz- und Unterstützungssysteme, etwa zur internen Wissenssuche oder zur Zusammenfassung von Dokumenten.

Zweitens dürfen nur die erforderlichen Daten verarbeitet werden. Eine pauschale Einspeisung vollständiger Personalakten widerspricht regelmäßig dem Grundsatz der Datenminimierung.

Drittens dürfen keine unzulässigen automatisierten Letztentscheidungen getroffen werden. KI-Ergebnisse müssen überprüfbar sein und dürfen nicht lediglich formal bestätigt werden.

Viertens sind angemessene technische und organisatorische Maßnahmen erforderlich, insbesondere Zugriffsbeschränkungen, Protokollierung und Schutz vor ungewolltem Abfluss oder Training.

Geschlossene Systeme sind aus Sicht der Aufsicht regelmäßig vorzugswürdig. Bei offenen Systemen steigt das Risiko von Zweckänderungen, Drittzugriffen und Drittstaatentransfers erheblich.

Typische Stolpersteine und rechtliche No-Gos

Ein klassischer Fehler ist die Berufung auf Einwilligungen der Mitarbeitenden. Sowohl der EDSA als auch die deutsche Aufsicht sehen diese wegen des Machtungleichgewichts meist als ungeeignet an.

Unzulässig sind zudem Emotion-Inference-Funktionen am Arbeitsplatz. Der AI-Act verbietet Systeme, die emotionale Zustände von Beschäftigten ableiten, etwa aus Kommunikations- oder Verhaltensdaten.

Problematisch sind außerdem vollautomatisierte HR-Entscheidungen. Die Datenschutzkonferenz nennt als Beispiel eine KI, die Bewerbungen selbstständig bewertet und Einladungen versendet, als Verstoß gegen Art. 22 DSGVO.

Ein weiteres Risiko liegt im Training oder Fine-Tuning von Modellen mit Mitarbeiterdaten. Nach der EDSA Opinion 28/2024 gelten KI-Modelle, die mit personenbezogenen Daten trainiert wurden, nicht automatisch als anonym. Es bestehen Risiken der Datenextraktion oder Rekonstruktion.

Schließlich ist bei cloudbasierten Lösungen häufig eine Auftragsverarbeitung nach Art. 28 DSGVO zu prüfen sowie die Einhaltung der Vorgaben zu Drittstaatentransfers nach Art. 44 ff. DSGVO.

Praktische Compliance-Architektur für Unternehmen

Rechtskonformer KI-Einsatz erfordert eine strukturierte Governance.

Zentral ist zunächst eine klare Zweck- und Use-Case-Definition, dokumentiert in internen Richtlinien oder Betriebsvereinbarungen. Die Datenschutzkonferenz empfiehlt ausdrücklich solche Vorgaben und weist auf mögliche Mitbestimmungsrechte nach § 87 BetrVG hin.

In vielen Fällen ist vor dem Einsatz eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich, insbesondere bei neuen Technologien und HR-Anwendungen.

Technisch sollten Unternehmen auf geschlossene Architekturen, restriktive Zugriffsrechte, Verschlüsselung und überprüfbare Schutzmechanismen setzen. Für generative Modelle sind zusätzliche Maßnahmen gegen Memorisation und Datenlecks sinnvoll.

Vertraglich müssen Rollen und Verantwortlichkeiten geklärt sein, insbesondere durch Auftragsverarbeitungsverträge und eine saubere Dokumentation im Verzeichnis der Verarbeitungstätigkeiten.

Schließlich ist der AI-Act als zweite Compliance-Ebene zu integrieren: Schulungen zur KI-Kompetenz, klare Human-Oversight-Konzepte und der Ausschluss verbotener Praktiken sind frühzeitig umzusetzen.

Fazit

Unternehmen dürfen interne KI-Tools mit personenbezogenen Mitarbeiterdaten nutzen, wenn die Verarbeitung klar begründet, erforderlich und technisch abgesichert ist. Maßgeblich sind die DSGVO, § 26 BDSG und die Grenzen automatisierter Entscheidungen nach Art. 22 DSGVO.

Neu hinzu kommt der AI-Act, der insbesondere im HR-Kontext zusätzliche Pflichten und Verbote etabliert. Wer interne KI rechtskonform einsetzen will, muss Datenschutz-Compliance und KI-Governance zusammendenken und die besonderen Risiken generativer Systeme ernst nehmen. Nur so lassen sich rechtliche Risiken und Akzeptanzprobleme im Unternehmen vermeiden.