DSGVO-konformer KI-Einsatz im HR: Worauf Unternehmen 2026 achten müssen
Bis zu 35 Millionen Euro Bußgeld nach EU AI Act. Plus AGG-Klage. Plus Reputations-Schaden. So teuer wird es, wenn KI im HR ohne DSGVO- und EU-AI-Act-Konformität eingesetzt wird. Und genau das passiert 2026 in vielen Mittelständischen Unternehmen jeden Tag, oft ohne dass die Verantwortlichen es überhaupt merken.
Die häufigsten Fallen: ein automatisches CV-Screening ohne dokumentierte menschliche Letztentscheidung, ein Telefonbot ohne korrekten KI-Hinweis, ein KI-Chatbot, der auf Personaldaten zugreift ohne abgestufte Zugriffs-Kontrolle. Jede dieser drei Konstellationen reicht für ein Bußgeld. Dieser Leitfaden zeigt, was DSGVO und EU AI Act im HR konkret bedeuten, welche Pflichten je nach Einsatz gelten, was mit Sprachdaten passiert, und wie sich Bewerbungsprozess und Personaldatenbank rechtssicher umsetzen lassen.
1. DSGVO und KI: Der Überblick
KI-Systeme verarbeiten Daten, oft auch personenbezogene. Damit greift die DSGVO. Die Grundprinzipien bleiben die gleichen wie bei jeder Datenverarbeitung:
Rechtmäßigkeit
Es braucht eine Rechtsgrundlage für die Verarbeitung: Einwilligung, berechtigtes Interesse oder Vertragserfüllung.
Transparenz
Betroffene müssen wissen, dass KI eingesetzt wird, welche Daten verarbeitet werden und zu welchem Zweck.
Datenminimierung
Nur die Daten erheben und verarbeiten, die für den Zweck tatsächlich erforderlich sind.
Zweckbindung
Daten dürfen nur für den definierten Zweck verwendet werden, nicht heimlich für KI-Training.
2. EU AI Act: Was seit Februar 2025 gilt
Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Für Unternehmen, die KI einsetzen, sind vor allem diese Punkte relevant:
Transparenzpflicht
KI-Systeme mit direktem Personenkontakt müssen als KI erkennbar sein. Konkret: Ein KI-Telefonbot muss sich zu Beginn des Gesprächs als KI vorstellen. Ein Chatbot muss als KI-gestützt gekennzeichnet sein.
Risikokategorien
Der EU AI Act teilt KI-Systeme in Risikokategorien ein:
Minimales Risiko
KI-Chatbots für Kundenservice, Textgenerierung, Spamfilter. Nur Transparenzpflicht.
Hohes Risiko
KI in HR/Recruiting (Bewerberauswahl), Kreditvergabe, Strafverfolgung. Strengere Anforderungen an Dokumentation, Überwachung und menschliche Aufsicht.
Unakzeptables Risiko
Social Scoring, Massenüberwachung, manipulative KI. Verboten.
Was heißt das für den Umgang mit personenbezogenen Daten?
Sobald KI personenbezogene Daten verarbeitet, gelten DSGVO und EU AI Act parallel. Drei Faustregeln, die für jeden Use-Case greifen:
- Mensch entscheidet immer: bei Hochrisiko-Anwendungen (Recruiting, Kreditvergabe, Mitarbeiterbeurteilung) liefert die KI eine Empfehlung, der Mensch trifft die Entscheidung. Bei PIOLA in Call Carla, FAQ Felix und der Doku-Automatisierung fest verankert.
- Datenminimierung: nur das erfassen, was für den konkreten Zweck nötig ist. Ein Telefonbot braucht andere Daten als ein HR-Portal, dazu mehr in Abschnitt 3.
- Löschung ohne Zustimmung: verweigert ein Anrufer die Datenverarbeitung, müssen die im Gespräch bereits erfassten Daten automatisch verworfen werden. Beim PIOLA Telefonbot läuft das im Hintergrund, ohne manuelles Eingreifen.
3. KI-Telefonbot: welche Daten je Use-Case?
Ein KI-Telefonbot verarbeitet Sprache, und damit potenziell personenbezogene Daten. Wichtig: je nach Use-Case sind das ganz unterschiedliche Datenarten. Wer DSGVO-konform aufstellen will, muss zuerst klären, in welchem Modus der Bot läuft.
Datenarten nach Use-Case
| Use-Case | Erfasste Daten | Risiko-Stufe |
|---|---|---|
| Telefonzentrale (Inbound) Anrufe annehmen, Standardfragen, Termine | Anrufer-Telefonnummer, Name (wenn genannt), Anliegen, ggf. Kunden-/Mandantennummer, Termin-Wunsch | Minimales Risiko |
| Outbound-Termin-Vereinbarung Bot ruft aktiv Rückruf-Anfragen oder Bestandskunden zurück | Bestehende Kontaktdaten aus CRM, Termin-Bestätigung, ggf. Vorab-Anfragedaten | Minimales Risiko |
| Bewerber-Erstinterview Strukturiertes Vorgespräch im Recruiting | Verfügbarkeit, Qualifikation, Gehaltsvorstellung, Berufserfahrung, Sprachen, ggf. Lebenslauf-Bezug | Hohes Risiko (EU AI Act) |
| Interne Auftragsannahme MA gibt Auftrag oder Anliegen telefonisch durch | MA-Identifikation, Auftrags-Beschreibung, Standortdaten, ggf. Material- oder Service-Infos | Minimales Risiko |
Je nach Spalte oben gelten andere Anforderungen. Bewerber-Erstinterviews fallen unter Hochrisiko-KI nach EU AI Act, weil sie den Zugang zu Beschäftigung beeinflussen, das heißt verpflichtende menschliche Aufsicht und Dokumentations-Pflichten. Telefonzentrale und Outbound-Terminvereinbarung sind mit minimalen Risiko-Anforderungen abgedeckt.
Was passiert mit den Sprachdaten?
„Sprachdaten“ klingt nach einer Einheit, sind aber drei verschiedene Dinge mit drei unterschiedlichen Wegen:
- Audio (Stimme): wird im Moment des Gesprächs durchgereicht zur Spracherkennung. Bei PIOLA nicht aufgezeichnet, nicht persistent gespeichert, nicht für KI-Training verwendet.
- Transkript (Text): entsteht durch Spracherkennung auf europäischen Servern in Frankfurt und bleibt dort. Das Transkript ist die Grundlage für die KI-Auswertung und spätere Recruiter- oder Service-Sicht.
- Orchestrierung (Routing): die technische Steuerung des Anrufs (welche KI bekommt welche Audio-Pakete in welcher Reihenfolge) läuft über einen DPF-zertifizierten Dienstleister mit Standardvertragsklauseln. Das ist nicht das Gleiche wie Datentransfer in die USA, sondern eine reine Steuerungs-Funktion ohne persistente Inhaltsspeicherung.
Datenschutz-Checkliste für jeden Use-Case
- ✓KI-Hinweis zu Gesprächsbeginn: „Sie sprechen mit einem KI-gestützten Assistenten.“ (EU AI Act Pflicht)
- ✓Datenschutzerklärung: Information über Art, Zweck und Dauer der Datenverarbeitung, plus klare Aussage was mit Audio, Transkript und Orchestrierung passiert
- ✓Europäische Verarbeitung: Audio darf nicht auf US-Servern aufgezeichnet werden, Transkript und Auswertung entstehen und bleiben in der EU. Orchestrierung über DPF-zertifizierten Dienstleister mit SCC ist DSGVO-konform.
- ✓Löschung ohne Zustimmung: verweigert ein Anrufer die Datenverarbeitung, werden alle bis dahin erfassten Daten automatisch verworfen, ohne dass jemand manuell eingreifen muss
- ✓AVV: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dem Anbieter
- ✓Löschfristen für persistente Daten: Transkript und Anrufdaten nach definiertem Zeitraum automatisch löschen
- ✓Kein KI-Training mit den Gesprächsdaten: Anbieter darf die Gespräche nicht zum Trainieren eigener Modelle nutzen
- ✓Bei Bewerber-Erstinterviews zusätzlich: menschliche Letztentscheidung, Dokumentation des KI-Bewertungsprozesses, Recht auf Widerspruch für den Bewerber
4. HR-Portal und KI-Chatbot: andere Daten, andere Anforderungen
Anders als beim Telefonbot fließen im HR-Portal und in einem KI-Chatbot wie FAQ Felix keine Sprachdaten in Echtzeit. Dafür liegen deutlich sensiblere Stammdaten dauerhaft im System. Das verschiebt den Schwerpunkt der DSGVO-Pflichten.
| Modul | Erfasste Daten | Risiko-Stufe |
|---|---|---|
| Personaldatenbank | Stammdaten (Name, Adresse, Geburtsdatum, Vertrag, Gehalt), Probezeiten, Befristungen, Steuer- und SV-Daten | Sensibel |
| Bewerbermanagement | Lebenslauf, Anschreiben, Eignungs-Score, Interview-Notizen, Status im Recruiting-Prozess | Hohes Risiko (EU AI Act) |
| Abwesenheit + Zeit | Krankmeldungen, Urlaube, BEM-Status, Schicht- und Arbeitszeitdaten | Besonders schutzbedürftig (Gesundheitsdaten) |
| Doku-Automatisierung | Verträge, Zeugnisse, Abmahnungen, Bescheinigungen, alle aus Personalakte gefüllt | Sensibel |
| FAQ Felix Chatbot | Mitarbeiter-Anfragen, kontextbezogene Antworten aus Personalakte und Tarifvertrag | Minimales Risiko (nur für berechtigte Personen sichtbar) |
Welche Maßnahmen wir konkret umsetzen
Damit das HR-Portal mit diesen sensiblen Datenarten DSGVO- und EU-AI-Act-konform läuft, sind im PIOLA-System folgende Maßnahmen Standard, nicht Option:
- 4-Stufen-Zugriffsmodell: Admin, HR, Manager, Mitarbeiter sehen jeweils nur die Daten, die sie für ihre Rolle brauchen. Kein Manager bekommt Krankmeldungs-Diagnosen, kein Mitarbeiter sieht Gehälter anderer.
- Audit-Trail: jede Datenverarbeitung, jede Änderung und jeder Zugriff wird protokolliert. Bei einer DSGVO-Anfrage oder Prüfung lässt sich nachweisen, wer wann was gesehen hat.
- Verschlüsselte Speicherung und Versionierung: alle Dokumente und Stammdaten sind verschlüsselt abgelegt, jede Änderung historisch nachvollziehbar mit Rollback-Option.
- Konfigurierbare Löschfristen: nach internen Richtlinien und gesetzlichen Aufbewahrungsfristen, automatisch.
- KI-Kennzeichnung im Chatbot: FAQ Felix ist als KI erkennbar, Antworten haben Quellenangaben aus Personalakte oder Tarifvertrag.
- Kein KI-Training mit den Personaldaten: weder für Doku, Bewerber-Bewertung noch FAQ-Antworten, Personaldaten fließen nie in Modell-Training.
- EU-Hosting: OVHcloud Frankfurt, keine Drittland-Übertragung.
- AVV nach Art. 28 DSGVO: Standard-Vertrag bei jeder Implementation.
Beispiel: CV-Screening mit KI rechtssicher umsetzen
CV-Screening ist nach EU AI Act Hochrisiko-KI, weil sie den Zugang zu Beschäftigung beeinflusst. Damit es trotzdem zulässig ist, müssen fünf Pflichten parallel erfüllt sein:
- Menschliche Letztentscheidung: die KI gibt einen Score und Empfehlung (Erstinterview, Manuell prüfen, Standard-Absage), die Absage selbst trifft immer der Recruiter, niemals das System
- Transparenzpflicht gegenüber Bewerbern: in der Stellenanzeige oder Datenschutzerklärung steht, dass KI im Vorscreening eingesetzt wird
- Recht auf manuelle Prüfung: Bewerber können verlangen, dass ein Mensch ihre Bewerbung sichtet, unabhängig vom KI-Score
- Diskriminierungsfreie Modelle: Geschlecht, Herkunft, Alter, Religion gehen nicht in die Bewertung ein. Das Modell wird auf Bias regelmäßig geprüft
- Dokumentation des Bewertungsprozesses: nachweisbar, welche Kriterien für das Scoring genutzt wurden, archiviert mit dem Bewerbungsvorgang. Konkret bei PIOLA: Stelleninhalte und Anforderungsprofil werden im System hinterlegt, der KI-Match-Algorithmus gleicht jeden CV gegen genau dieses Profil ab, das Score wird mit Erklärung gespeichert (welche Skills wurden gematcht, welche fehlen), Recruiter-Aktion plus Zeitpunkt landen im Audit-Trail. So lässt sich rückwirkend für jeden einzelnen Bewerbungsvorgang nachweisen, auf welcher Basis welche Entscheidung getroffen wurde
Im PIOLA HR-Portal sind alle fünf Pflichten technisch fest verdrahtet, die KI kann gar keine Absagen ohne Recruiter-Klick auslösen, der Audit-Trail hält jeden Bewertungsschritt fest.
5. Hosting: Warum der Serverstandort entscheidend ist
Die DSGVO beschränkt den Transfer personenbezogener Daten in Drittländer (außerhalb EU/EWR). Das betrifft direkt die Wahl des KI-Anbieters:
| Anbieter | Serverstandort | DSGVO-Status |
|---|---|---|
| ChatGPT (Standard, OpenAI) | USA | Problematisch ohne Zusatzmaßnahmen |
| Google Gemini (Standard) | USA / Global | Problematisch ohne Zusatzmaßnahmen |
| Google Vertex AI mit EU-Region | EU (z.B. europe-west3 Frankfurt) | DSGVO-konform mit AVV und EU-Region-Konfig |
| Microsoft Copilot | USA / EU optional | EU-Option verfügbar, aber komplex |
| Mistral Le Chat (FR) | EU | DSGVO-konform |
| PIOLA HR-Portal & FAQ Felix | EU (OVHcloud Frankfurt) | DSGVO-konform |
| PIOLA Call Carla | EU für Audio/Transkript, Orchestrierung über DPF-zertifizierten Dienstleister mit SCC | DSGVO-konform |
Wichtig zu unterscheiden: der Anbieter ist nicht automatisch das Hosting-Modell. Google Gemini direkt über die Standard-API ist datenschutzrechtlich problematisch, dasselbe Modell über Vertex AI in einer EU-Region (z.B. europe-west3 Frankfurt) plus AVV ist DSGVO-konform. Wer Gemini im Unternehmen nutzen will, sollte die Vertex-AI-Variante nehmen, nicht die kostenlose Direkt-API. PIOLA setzt Vertex AI in EU-Regionen für ausgewählte KI-Funktionen genau aus diesem Grund ein.
Bei PIOLA laufen HR-Portal und FAQ Felix komplett auf europäischen Servern (OVHcloud Frankfurt). Beim KI-Telefonbot Call Carla laufen Sprachverarbeitung und KI-Analyse in der EU, für die Orchestrierung wird ein DPF-zertifizierter Dienstleister mit Standardvertragsklauseln genutzt. Vollständige Details.
6. Auftragsverarbeitung (AVV): Was Unternehmen brauchen
Wenn ein externer Anbieter KI-Systeme betreibt, die personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. Darin wird geregelt:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Kategorien betroffener Personen und Daten
- Technische und organisatorische Maßnahmen (TOMs)
- Pflichten des Auftragsverarbeiters (Weisungsbindung, Vertraulichkeit)
- Unterauftragsverarbeiter und deren Genehmigung
- Löschung und Rückgabe nach Vertragsende
PIOLA stellt AVVs bereit
PIOLA stellt als Anbieter von KI-Lösungen standardmäßig einen AVV bereit. Eigenrecherche ist nicht nötig, alles für die DSGVO-konforme Nutzung wird mitgeliefert.
7. ChatGPT, Gemini & Co.: Die Risiken
Viele Unternehmen nutzen ChatGPT oder Google Gemini „mal eben“ im Arbeitsalltag. Das ist verständlich, aber datenschutzrechtlich riskant:
Daten verlassen die EU
Eingaben bei ChatGPT werden auf US-Servern verarbeitet. Wenn Mitarbeiter Kundendaten, Personalinfos oder Geschäftsgeheimnisse eingeben, verlassen diese die EU.
Daten können zum Training verwendet werden
Je nach Einstellung und Tarif können eingegebene Daten zum Trainieren des KI-Modells verwendet werden. Geschäftsgeheimnisse könnten so in Antworten an andere Nutzer auftauchen.
Kein AVV ohne Enterprise-Tarif
Die kostenlosen und günstigen Tarife bieten oft keinen AVV. Ohne AVV ist die Nutzung für personenbezogene Daten nicht DSGVO-konform.
Die Alternative: KI auf europäischer Infrastruktur
Statt der kostenlosen Standard-Varianten gibt es saubere Wege, dieselben Modelle DSGVO-konform zu nutzen:
- Google Vertex AI in EU-Region: Gemini-Modelle über Vertex AI mit Region z.B. europe-west3 (Frankfurt), plus AVV. So bleibt die Verarbeitung in der EU.
- Mistral Le Chat: europäische Alternative aus Frankreich, GDPR-freundlicher Standard.
- RAG-basierte Lösungen auf EU-Servern: wie FAQ Felix. Daten werden nie an Dritte weitergegeben und nie zum KI-Training verwendet.
- Lokale KI: z.B. MacWhisper für Transkription, läuft offline, keine Daten in der Cloud.
8. Die komplette DSGVO-KI-Checkliste
Vor dem KI-Einsatz im Unternehmen sollten diese Punkte geprüft werden:
9. Häufige Fragen
Muss ich Kunden darauf hinweisen, dass sie mit einer KI sprechen?
Ja. Der EU AI Act schreibt vor, dass KI-Systeme mit direktem Personenkontakt als solche erkennbar sein müssen. Bei PIOLA ist dieser Hinweis automatisch in alle Gesprächsabläufe integriert.
Darf ChatGPT im Unternehmen mit Kundendaten genutzt werden?
Problematisch. Daten werden auf US-Servern verarbeitet, was gegen die DSGVO verstoßen kann. Besser: RAG-basierte Lösungen auf europäischen Servern, die Unternehmensdaten nie an Dritte weitergeben.
Was ist ein AVV und wann braucht ein Unternehmen einen?
Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist Pflicht, wenn ein externer Anbieter personenbezogene Daten verarbeitet. PIOLA stellt standardmäßig einen AVV bereit.
Wo werden PIOLA-Daten gehostet?
Alle Daten auf OVHcloud-Servern in Frankfurt am Main. Kein Transfer in die USA oder andere Drittländer. Die Daten verlassen nie den europäischen Rechtsraum.
KI einsetzen, DSGVO-konform
Alle PIOLA-Lösungen sind DSGVO- und EU-AI-Act-konform. Im persönlichen Gespräch zeigen wir, wie sich KI rechtssicher im Unternehmen einsetzen lässt.
Persönliches Gespräch buchen