1. Home
  2. themen
  3. Artikel
  4. Neue KI-Verordnung: Was müssen Personaldienstleister beachten?
14.04.2025

Neue KI-Verordnung: Was müssen Personaldienstleister beachten?

  • Die neue KI-Verordnung der EU hat weitreichende Auswirkungen auf Unternehmen, die Künstliche Intelligenz (KI) in ihren Prozessen einsetzen.
  • Besonders für Personaldienstleister, die KI in der Personalgewinnung, -bewertung oder -verwaltung nutzen, sind die Anforderungen hoch. Der Grund: Diese KI-Anwendung gilt meist als hochriskant, da sie direkten Einfluss auf die berufliche Situation von Menschen haben kann.
  • Doch was bedeutet das konkret für Unternehmen in der Personaldienstleistung? Welche Vorschriften kommen auf Sie zu, und wie können Sie sich rechtzeitig vorbereiten? In diesem Blogbeitrag gibt Ihnen Datenschutzexperte Stephan Frank einen Überblick über die wichtigsten Pflichten und Risiken sowie praktische Handlungsempfehlungen.

Ziel der KI-Verordnung ist es, den sicheren und ethischen Einsatz von KI-Technologien zu gewährleisten. Während für einige KI-Anwendungen (z. B. einfache Chatbots oder generative KI) nur geringe Anforderungen erfüllt werden müssen, gelten für KI-Anwendungen in der Personaldienstleistung und für das Personalmanagement teilweise strengere Auflagen. Die Einführung der KI-Verordnung erfolgt stufenweise: Seit dem 2. Februar 2025 gelten erste Regeln, etwa zu verbotenen Praktiken und zur Pflicht, KI-Kompetenz aufzubauen. Bis August 2027 folgen dann weitere Vorgaben, unter anderem für Hochrisiko-KI-Systeme.

Hochrisiko-KI im Personaldienstleistungsbereich

Da Personaldienstleister faktisch ständig Daten von internen und insbesondere externen Mitarbeitenden verarbeiten, fallen ihre KI-gestützten Prozesse häufig in die Hochrisiko-Kategorie. Dazu zählen insbesondere:

  • Automatisierte / teilautomatisierte Bewerberauswahl: KI-Systeme, die zur Vorselektion oder Bewertung von Kandidat*innen verwendet werden
  • Mitarbeiterbewertung und -management: KI-gestützte Analysen zur Leistungsmessung oder Kompetenzbewertung
  • Arbeitnehmerüberlassung und Personalvermittlung: Automatisierte Zuweisung von Zeitarbeitskräften für Einsätze bei Entleihunternehmen

Auch KI-Systeme mit eigentlich geringem Risiko – wie viele der derzeit bekannten prompt-basierten Modelle – können als Hochrisiko-Systeme eingestuft werden, wenn sie in sensiblen Anwendungsbereichen eingesetzt werden. n solchen Fällen kann der Betreiber selbst als Anbieter gelten. Das ist zum Beispiel der Fall, wenn ChatGPT als sogenanntes General Purpose AI System – das von OpenAI nicht speziell für HR-Zwecke entwickelt wurde – von einem Personaldienstleister dennoch zur Bearbeitung von Bewerbungen oder anderen Personalthemen genutzt wird. Dann wird der Personaldienstleister zum Anbieter, weil er das System in einem risikoreicheren Kontext einsetzt, als ursprünglich vorgesehen.

Entscheidungen dürfen nicht vollständig automatisiert getroffen werden. Der Mensch steht in der Pflicht zu überprüfen, ob die KI legitime Ergebnisse liefert.

– Stephan Frank

 

Die wichtigsten Anforderungen der KI-Verordnung

Um Hochrisiko-KI-Systeme regelkonform einzusetzen, müssen Personaldienstleister verschiedene Auflagen erfüllen:

Transparenz und Erklärbarkeit

  • Nutzer*innen und Betroffene müssen darüber informiert werden, dass eine KI ihre Daten verarbeitet und in Entscheidungsprozesse eingebunden ist.
  • Die Entscheidungslogik des Systems muss nachvollziehbar sein („Erklärbarkeit der KI“).
  • Unternehmen müssen sicherstellen, dass KI-basierte Entscheidungen nachvollzogen und auf Wunsch von Menschen überprüft werden können. 

Datenqualität und Fairness

  • Trainingsdaten dürfen keine Diskriminierungen oder Verzerrungen enthalten.
  • KI-Systeme müssen regelmäßig auf Fairness und Nichtdiskriminierung geprüft werden.
  • Besondere Aufmerksamkeit gilt dem Schutz sensibler personenbezogener Daten wie Geschlecht, Alter oder Herkunft. 

Risikomanagement und Dokumentation

  • Unternehmen müssen ein Risikomanagement für ihre KI-Anwendungen implementieren.
  • Eine ausführliche Dokumentation der Funktionsweise und der Prüfung der KI ist erforderlich.
  • KI-Systeme müssen kontinuierlich auf Fehler und Verzerrungen überprüft werden. 

Menschliche Aufsicht und Eingriffsmöglichkeiten

  • Entscheidungen dürfen nicht vollständig automatisiert getroffen werden. Der Mensch steht in der Pflicht zu überprüfen, ob die KI legitime Ergebnisse liefert.
  • Betroffene müssen die Möglichkeit haben, eine Überprüfung von KI-gestützten Entscheidungen zu verlangen.
  • Unternehmen müssen klare Regeln dafür definieren, wann und wie menschliche Eingriffe erforderlich sind.

Jetzt aktiv werden: Wichtige Maßnahmen für Personaldienstleister

Um die Anforderungen der KI-Verordnung als Betreiber oder Nutzer eines KI-Systems zu erfüllen, sollten Personaldienstleister folgende Maßnahmen ergreifen:

  • Bestandsaufnahme durchführen: Identifizieren Sie alle Prozesse, in denen KI eingesetzt wird, und überprüfen Sie, ob diese als Hochrisiko-KI gelten.
  • Dokumentation verbessern: Führen Sie detaillierte Aufzeichnungen über die Funktionsweise und Prüfmechanismen Ihrer KI-Systeme.
  • Transparenz erhöhen: Entwickeln Sie Erklärungsmechanismen, um die KI-Entscheidungen nachvollziehbar zu machen.
  • Risikomanagement etablieren: Implementieren Sie Prozesse zur Identifikation und Minimierung von KI-Risiken.
  • Menschliche Kontrolle gewährleisten: Stellen Sie sicher, dass kritische Entscheidungen nicht vollautomatisiert erfolgen.
  • Regelmäßige Schulungen durchführen: Sensibilisieren Sie Ihre Mitarbeitenden für die Herausforderungen und Anforderungen im Umgang mit KI-Systemen. Schulungen sind seit Februar 2025 Pflicht – die Inhalte müssen an der Anwendung ausgerichtet werden.
  • Externe Prüfungen durchführen: Holen Sie gegebenenfalls unabhängige Expertise hinzu, um die Fairness und Sicherheit der KI zu bewerten.
  • Verantwortlichkeiten klären: Bestimmen Sie interne oder externe Ansprechpartner*innen für KI-Compliance und Risikomanagement.

Handeln Sie jetzt und stellen Sie die Compliance sicher!

Die KI-Verordnung bringt erhebliche Verpflichtungen für Personaldienstleister mit sich. Unternehmen, die KI in sensiblen Prozessen – wie dem Personalmanagement - einsetzen, müssen sich jetzt vorbereiten, um Compliance sicherzustellen. Eine frühzeitige Auseinandersetzung mit den Anforderungen kann nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen von Kund*innen und Arbeitnehmenden stärken.

Unternehmen, die bereits jetzt geeignete Maßnahmen ergreifen, haben einen Wettbewerbsvorteil. Durch transparente, faire und sichere KI-Anwendungen können sie das Vertrauen der Bewerbenden und Mitarbeiter*innen gewinnen und langfristig sichern.

Stephan Frank

Stephan Frank ist ein nachgewiesener Experte im Bereich Datenschutz und Informationssicherheit für die Personaldienstleistung. Mit Qualifikationen DSB-TÜV, DSA-TÜV, ISB-TÜV und ISA-TÜV sowie umfassender Erfahrung hat er sich als führende Autorität in unserer Branche etabliert. Als Inhaber der SFC | Stephan Frank Consulting Unternehmensberatung unterstützt er Unternehmen praxisnah bei der Erfüllung der Datenschutzanforderungen. Zudem übernimmt er verantwortungsvolle Positionen wie Datenschutzbeauftragter, Informationssicherheitsbeauftragter und künftig auch die Rolle des Beauftragten für den Hinweisgeberschutz.

Stephan Frank arbeitet erfolgreich mit Personaldienstleistern in den Bereichen Datenschutz, Cyber- und Informationssicherheit zusammen. Dabei profitieren seine Kunden von seiner praxisorientierten Herangehensweise und seinem Fachwissen. Als Leiter der Fachgruppe HR & Personal der DSB-Group e.V. engagiert er sich auch für den Austausch von Best Practices.

Tags

Kontakt

0911974780 info@kontext.com