Startseite » Fachbeiträge » Es geht um mehr als nur um Tools

Es geht um mehr als nur um Tools : KI trifft HR

Eine HR, die KI-fähig ist, entsteht durch saubere Schnittstellen, nicht durch Einzeltools. Künstliche Intelligenz in der HR ist kein „Tool-Roll-out“, sondern ein Zusammenspiel aus Kompetenz, Governance, Datendisziplin und überprüfbarer Umsetzung. Ein Blick auf den Weg dahin.

·

Redaktion HR Performance (lb)

5 Min. Lesezeit
Ein Gehirn stemmt Gewichte. Das Bild soll Lernen demonstrieren.
Foto: ©AdobeStock/Graphic

Die Künstliche Intelligenz stellt Personalverantwortliche vor die Aufgabe, ihre Teams auf die neuen Herausforderungen vorzubereiten. So gelingt der Weg.

Künstliche Intelligenz ist in der HR längst operativ angekommen: Matching im Recruiting, Textassistenz für Stellenanzeigen, Analysen aus Pulsbefragungen oder Copilots für Führungskräfte. Und das sind nur einige Beispiele. Der Nutzen ist real – die Risiken sind es auch. Denn: KI ist mehr als nur ein „Tool“. Sie verändert Entscheidungswege, Datenflüsse und Verantwortlichkeiten. Damit Teams KI sicher einsetzen, braucht es drei Dinge gleichzeitig:

  1. Kompetenzen und Skills im Alltag (nicht nur bei Spezialisten).
  2. Klare Governance mit prüffähiger Dokumentation.
  3. Eine technische Umsetzung, die Datenschutz und Zugriffskontrollen ernst nimmt.

Unternehmen scheitern dabei selten am „Ob“, sondern am „Wie“: insbesondere an der Schnittstelle zwischen HR, IT und Recht. Wer hier strukturiert vorgeht, gewinnt Akzeptanz und Geschwindigkeit und reduziert gleichzeitig Haftungsrisiken.

KI-Kompetenz ist Pflicht – und mehr als „Prompten können“

Mit dem EU AI Act wird KI-Kompetenz (Art. 4) zur konkreten Verpflichtung für alle, die KI-Systeme nutzen oder KI-Ergebnisse für Entscheidungen heranziehen. HR ist dabei doppelt betroffen: einerseits als Anwender und andererseits als Treiber von Qualifizierung. In der Praxis hapert es häufig an einem Kernpunkt: Viele Teams behandeln KI wie klassische IT, nämlich als deterministische Maschine. Moderne LLM-Plattformen arbeiten jedoch stochastisch, also wahrscheinlichkeitsbasiert. Das bedeutet: Antworten können plausibel wirken und trotzdem falsch sein. Jeder, der regelmäßig bei ChatGPT & Co. promptet, hat das schon erlebt: Ergebnisse variieren und die weithin gefürchteten „Halluzinationen“ (z. B. frei erfundene Behauptungen) sind systemimmanent. KI-Kompetenz umfasst deshalb auch die nötige Sensibilität für Bias, Datenschutz, Urheberrecht oder das Hinterfragen von Ergebnissen. Und nicht zuletzt das Wissen, welche Anwendungen im Personalbereich tabu sind (z. B. vollautomatisierte Leistungs- oder Eignungsbewertungen ohne menschliche Kontrolle und belastbare Validierung).

Ein Blick in die Praxis: Wo es typischerweise hakt

Wo liegen die Stolperfallen? Drei Muster begegnen uns besonders oft:

  • Eine Kluft zwischen IT und Recht. In Audits hören Behörden nicht selten Aussagen wie „wir speichern alles für immer“. Das mag zwar technisch gut gemeint sein, ist rechtlich aber hochriskant (Zweckbindung, Löschkonzept, Datenminimierung seien hier als Stichworte genannt).
  • Unzureichende Data Governance. Gerade bei der Eingabe neuer Daten und Inhalte (z. B. bei so genannten RAG-Setups, bei der die KI auf Unternehmensdaten zugreift) oder bei KI-Suchfunktionen wird übersehen, dass Berechtigungen aus den jeweiligen Quellsystemen sauber durchgereicht werden müssen: andernfalls droht eine Bruchstelle im Hinblick auf Zugriffsrechte.
  • Schatten-KI. Mitarbeitende nutzen öffentliche Tools schnell und produktiv, aber ohne Lizenzierung/Konfiguration. Bei kostenfreien Versionen von ChatGPT & Co. werden aber genau diese Prompts zum weiteren Training der KI genutzt: ein Einfallstor für Geschäftsgeheimnisse und personenbezogene Daten.

Das AI Board als Scharnier zwischen HR, IT und Recht

Wie können Personalentscheider mit diesen Herausforderungen umgehen? Die Einrichtung eines interdisziplinären „AI Boards“ kann eine passende Lösung sein. Dieser Lenkungskreis kann mit vernetzter Kompetenz aus HR, IT/Security, Datenschutz, Compliance und – je nach Einsatz – Betriebsrat besetzt werden. Ziel ist nicht Bürokratie, sondern schnelle, reproduzierbare Entscheidungen: Welche Tools sind erlaubt? Welche Datenklassen dürfen genutzt werden? Wer ist System-Owner? Welche Logs sind nötig und wie lange? Welche Use Cases sind „high risk“ und brauchen Bias-Tests oder zusätzliche Kontrollen?

Ein solches Board kann Leitplanken festlegen, die im Alltag funktionieren. Dieses sind vor allem Freigabeprozesse, Mustertexte und Checklisten statt theoretischer Policies. Das AI Board sorgt so für eine gemeinsame Wahrheit zwischen ganz unterschiedlichen Unternehmensbereichen – und verhindert, dass unterschiedliche Anwendungsfelder auseinanderdriften.

Bei der Tool-Auswahl entscheidet sich, ob KI skalierbar und auditierbar wird. Öffentlich zugängliche Chatbots sind für Experimente hilfreich, aber im Personalbereich schnell kritisch, sobald personenbezogene oder vertrauliche Inhalte im Prompt landen. Enterprise-Varianten – zum Beispiel mit Features wie deaktiviertem Training, Mandantentrennung, Admin-Kontrollen und Logging sind hier der passende Weg, müssen aber sauber konfiguriert werden.

Sensibilität für Datenverarbeitung entwickeln

Der Einsatz von KI bietet zahlreiche offene Flanken bei der Verarbeitung von Daten.

Beispiele gefällig?

  • Welche Unterauftragsverarbeiter gibt es bei einem Projekt?
  • Können Prompts geloggt und zugleich datenschutzkonform gelöscht werden?
  • Gibt es Funktionen für Prompt-Filter, Rollen und Berechtigungen?
  • Müssen sensible Daten bei einem Use Case wirklich eingesetzt werden, um das gewünschte Ergebnis zu erzielen?

Entscheidend ist es, bei Teams die nötige Sensibilität zu entwickeln. Risiken sollten nicht wegverhandelt, sondern technisch und organisatorisch beherrscht werden. Das bezieht sich vor allem auf eine klug durchdachte Daten- und Zugriffsgovernance. Unternehmen müssen dabei klug vorgehen, um eine zuverlässige Struktur aufzubauen, die auch behördlichen Prüfungen standhält. Ansonsten können empfindliche Strafen drohen.

Für HR-Entscheider ergeben sich daraus mehrere empfehlenswerte Maßnahmen:

  1. Die Vernetzung von Daten über RAG-Prozesse ist einem reinen KI-Training zumeist vorzuziehen: Daten werden dabei referenziert, nicht im Modell „eingebacken“. Ergänzend braucht es eine KI-Inventarliste (Tools, Zwecke, Datenklassen, Rechtsgrundlagen, TOMs, Auftragsverarbeiter), Schulungsnachweise und nachvollziehbare Entscheidungsprotokolle – gerade wenn KI Recruiting-Vorauswahlen oder HR-Reports beeinflusst.
  2. Qualifizierung: Die Weiterbildung in KI-Fragen muss rollenspezifisch erfolgen. HR-Generalisten brauchen Dos & Don’ts, Recruiter zusätzlich valide Prozessgrenzen, Führungskräfte Kompetenz zur Interpretation KI-gestützter Auswertungen. Wirksam sind kurze, wiederholte Formate mit Praxisfällen aus dem Unternehmen und eine hohe Aufmerksamkeit gegenüber Schatten-KI und AGB-Risiken.
  3. „Mock Audits“: Empfehlenswert ist ein internes Probe-Audit unter Zeitdruck, mit typischen Behördenfragen (z. B. zu Datenflüssen, Logs, Löschfristen, Berechtigungen, DSFA, Incident Response). Das schließt die Lücke zwischen IT und Recht, macht Widersprüche sichtbar und erhöht die Reaktionsfähigkeit bei Vorfällen. Das Ergebnis: weniger Unsicherheit im Team, mehr Routine – und eine KI-Kultur, die einen hohen Nutzen ermöglicht, ohne die Compliance über Bord zu werfen.

Eine HR, die KI-fähig ist, entsteht durch saubere Schnittstellen, nicht durch Einzeltools. Künstliche Intelligenz in der HR ist kein „Tool-Roll-out“, sondern ein Zusammenspiel aus Kompetenz, Governance, Datendisziplin und überprüfbarer Umsetzung. Hebel mit einer großen Wirkung sind ein AI Board mit klaren Zuständigkeiten, eine Berechtigungs- und Datenbereinigung, eine Tool-Landschaft, die zu den Anforderungen im Betrieb passt statt Schatten-KI, RAGs und Mock Audits als wiederkehrende Routine. Damit erfüllen Unternehmen nicht nur die regulatorischen Erwartungen, die aus dem AI ACT und der DSGVO hervorgehen, sondern sie schaffen auch die Grundlage für Akzeptanz und Tempo. Wer jetzt sauber aufsetzt, muss später nicht hektisch reparieren – und macht sein Team nachhaltig fit für die KI-Ära.

Justyna Rulewicz
Foto: ©Agor AG

Justyna Rulewicz ist Rechtsanwältin und geschäftsführende Gesellschafterin der Kanzlei AGOR legal in Frankfurt am Main. Die Kanzlei ist auf Datenschutz, IT-Recht und Informationssicherheit spezialisiert.

Piotr Maluszczak
Foto: ©AGOR AG

Piotr Maluszczak ist Rechtsanwalt der Kanzlei AGOR legal in Frankfurt am Main. Die Kanzlei ist auf Datenschutz, IT-Recht und Informationssicherheit spezialisiert.

Andere interessante Fachbeiträge

Männer und Frauen unterhalten sich und schütteln sich die Hand

Post Merger Integration – Arbeitsrechtliche und HR-seitige Herausforderungen

Die Integration des erworbenen Targets in die (Konzern-)Strukturen des Erwerbers ist eine der Herausforderungen erfolgreicher Zukunftsstrategien. Ein arbeitsrechtlicher Überblick.

Arbeitsrecht
Augenpaar vor buntem Himmel

Die schöne neue Welt des Human Capital Managements?

Wie KI, Generationenkonflikte und geopolitische Trends das Personalwesen neu definieren – und weshalb Human Capital Management mehr ist als nur ein Buzzword – erläutert unser Autor...

Modern Work
Dos and Don’ts auf Post-its

Unternehmenskultur: Vier Dos and Don’ts für HR-Professionals

Die aktuelle wirtschaftliche Krise setzt Unternehmen unter enormen Druck: Laut einer Studie der Mystery Minds GmbH resultieren daraus häufig Unsicherheiten, die das Verhalten von F...

HR-Management