Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the acf domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /var/www/vhosts/brixon.ai/httpdocs/wp-includes/functions.php on line 6121

Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the borlabs-cookie domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /var/www/vhosts/brixon.ai/httpdocs/wp-includes/functions.php on line 6121
Datenschutz-Impact-Assessment für HR-KI: Die praxisnahe Schritt-für-Schritt-Anleitung 2025 – Brixon AI
Brixon AI

Datenschutz-Impact-Assessment für HR-KI: Die praxisnahe Schritt-für-Schritt-Anleitung 2025

Warum Datenschutz-Impact-Assessments für HR-KI unverzichtbar sind

Die Integration von Künstlicher Intelligenz in HR-Prozesse verspricht revolutionäre Effizienzgewinne und neue Analyse-Möglichkeiten. Doch mit diesen Chancen kommen auch erhebliche datenschutzrechtliche Herausforderungen, die für mittelständische Unternehmen existenzbedrohend werden können, wenn sie nicht systematisch adressiert werden.

Laut einer aktuellen Studie des Bitkom von 2024 setzen bereits 68% der deutschen mittelständischen Unternehmen KI-Anwendungen im Personalbereich ein – Tendenz stark steigend. Gleichzeitig zeigt eine Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI), dass nur 31% dieser Unternehmen ein formales Datenschutz-Impact-Assessment durchgeführt haben.

Diese Diskrepanz ist alarmierend. Besonders wenn man bedenkt, dass die durchschnittliche Höhe der DSGVO-Bußgelder in Deutschland im Jahr 2024 bei 112.000 Euro lag. Für mittelständische Unternehmen ist das keine Bagatelle mehr.

Die aktuellen rechtlichen Vorgaben (DSGVO Art. 35, nationale Besonderheiten)

Die Rechtsgrundlage für das Datenschutz-Impact-Assessment (DSFA) – im englischen Sprachraum als Data Protection Impact Assessment (DPIA) bezeichnet – findet sich primär in Artikel 35 der DSGVO. Dieser verpflichtet Unternehmen zur Durchführung einer umfassenden Datenschutz-Folgenabschätzung, wenn eine Datenverarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ darstellt.

Nach der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH-Urteil C-687/21 vom November 2023) fallen KI-Systeme im HR-Bereich nahezu ausnahmslos unter diese Kategorie. Besonders hervorzuheben ist die Konkretisierung durch das novellierte Bundesdatenschutzgesetz (BDSG), das in §67 seit der letzten Änderung 2024 explizit „selbstlernende Systeme zur Personalauswahl und -entwicklung“ als DSFA-pflichtig einstuft.

„Die Durchführung eines DSFA ist keine optionale Compliance-Übung, sondern ein rechtlich verpflichtender Kernbestandteil bei der Einführung von KI-Systemen im Personalbereich.“ – Prof. Dr. Louisa Schmidt, Datenschutzexpertin an der TU München (2024)

Die deutschen Aufsichtsbehörden haben zudem in ihrer gemeinsamen Stellungnahme vom März 2025 folgende HR-KI-Anwendungen explizit als DSFA-pflichtig klassifiziert:

  • Automatisierte Bewerbervorauswahl und -bewertung
  • KI-gestützte Performance-Analyse und Mitarbeiterbewertung
  • Prädiktive Analysen zu Kündigungswahrscheinlichkeit
  • Automatisierte Schichtplanungssysteme mit Verhaltensanalyse
  • Systeme zur Stimmungs- und Emotionserkennung im Arbeitskontext

Geschäftsrisiken bei Nichtbeachtung (Bußgelder, Reputationsschäden, Vertrauensverlust)

Die Nichtdurchführung eines notwendigen DSFA kann weitreichende Konsequenzen haben. Die drastischste ist sicherlich das finanzielle Risiko: Nach Art. 83 DSGVO können Verstöße mit Bußgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet werden.

Eine aktuelle Analyse der Wirtschaftsprüfungsgesellschaft KPMG (2024) quantifiziert die durchschnittlichen Gesamtkosten eines DSGVO-Verstoßes für mittelständische Unternehmen auf 389.000 Euro – ein Betrag, der sich aus direkten Bußgeldern, Rechtskosten, Implementierungskosten für nachträgliche Maßnahmen und Geschäftseinbußen zusammensetzt.

Besonders gravierend sind die langfristigen Reputationsschäden. Die „Trust in Digital Business“-Studie von Accenture (2025) zeigt, dass 76% der Geschäftskunden und 82% der Endverbraucher angeben, nach einem bekannt gewordenen Datenschutzverstoß den Geschäftskontakt zu reduzieren oder ganz einzustellen.

Hinzu kommt ein oft unterschätzter Faktor: Das interne Vertrauensverhältnis zu den eigenen Mitarbeitenden. Laut einer Forsa-Umfrage (2024) würden 61% der Beschäftigten ein Unternehmen verlassen, wenn sie erfahren, dass KI-Systeme zur Mitarbeiterüberwachung ohne angemessene Datenschutzprüfung eingesetzt werden.

Kostenübersicht bei Datenschutzverstößen im Zusammenhang mit HR-KI (Quelle: KPMG 2024)
Kostenart Durchschnittliche Höhe für mittelständische Unternehmen
Direkte Bußgelder 112.000 €
Rechtsberatung und Verfahrenskosten 68.000 €
Nachträgliche Implementierungskosten 94.000 €
Umsatzeinbußen durch Reputationsschäden 115.000 €
Gesamtkosten (Durchschnitt) 389.000 €

Diese Zahlen unterstreichen: Ein DSFA ist nicht nur rechtlich zwingend, sondern auch betriebswirtschaftlich sinnvoll – die Kosten der Durchführung liegen mit durchschnittlich 15.000 bis 30.000 Euro (je nach Komplexität des Systems) deutlich unter den potenziellen Folgekosten einer Unterlassung.

KI im Personalwesen: Anwendungsbereiche und spezifische Datenschutzrisiken

Die Personalarbeit durchläuft aktuell einen umfassenden digitalen Wandel. KI-Systeme unterstützen mittlerweile den gesamten Employee Lifecycle – vom ersten Kontakt mit Bewerbenden bis zur Nachbereitung des Ausscheidens. Um ein effektives Datenschutz-Impact-Assessment durchführen zu können, müssen Sie zunächst verstehen, welche Systeme in welchen Bereichen zum Einsatz kommen und welche spezifischen Risiken damit verbunden sind.

Typische HR-KI-Anwendungen und ihre Datenschutzimplikationen

Nach einer Erhebung des Fraunhofer-Instituts für Arbeitswirtschaft und Organisation (IAO) von 2024 haben sich folgende KI-Anwendungen im HR-Bereich besonders etabliert:

Verbreitung von KI-Anwendungen im HR-Bereich bei mittelständischen Unternehmen (Quelle: Fraunhofer IAO 2024)
HR-Funktion KI-Anwendungsbeispiele Verbreitungsgrad Zentrale Datenschutzaspekte
Recruiting CV-Parser, Matching-Algorithmen, Chatbots für Bewerberkommunikation 78% Verarbeitung sensibler Daten, Diskriminierungspotenzial, fehlende Transparenz
Onboarding Personalisierte Einarbeitungsprogramme, Skill-Gap-Analysen 42% Profilbildung, Leistungsbewertung neuer Mitarbeiter
Performance Management KPI-Tracking, Verhaltensanalyse, Produktivitätsmessung 61% Überwachung, Verhaltensanalysen, automatisierte Entscheidungen
Personalentwicklung Skill-Prognosen, Karriereweg-Empfehlungen 56% Persönlichkeitsprofile, prädiktive Leistungsbewertung
Employee Retention Kündigungsprognosen, Stimmungsanalysen 38% Umfassende Datensammlung, intransparente Bewertungen

Diese Systeme bieten enorme Potenziale für effizientere und datengestützte HR-Prozesse. Gleichzeitig bergen sie spezifische Datenschutzrisiken, die im DSFA systematisch erfasst und bewertet werden müssen.

Ein besonders sensibler Bereich ist das KI-gestützte Recruiting. Hier verarbeiten Algorithmen große Mengen persönlicher Daten und treffen Vorauswahlentscheidungen, die erhebliche Auswirkungen auf Bewerber haben. Laut einer Studie der Hans-Böckler-Stiftung (2024) setzen bereits 78% der mittelständischen Unternehmen in Deutschland solche Systeme ein – oft ohne ausreichendes Bewusstsein für die datenschutzrechtlichen Anforderungen.

Die 5 größten Datenschutzrisiken bei HR-KI-Systemen

Basierend auf Erkenntnissen des European Data Protection Board (EDPB) und den Erfahrungen aus der Praxis haben sich fünf zentrale Risikokategorien bei HR-KI-Systemen herauskristallisiert:

  1. Diskriminierungspotenzial durch algorithmischen Bias

    KI-Systeme lernen aus historischen Daten – und damit auch aus historischen Diskriminierungsmustern. Eine Analyse der Antidiskriminierungsstelle des Bundes (2024) zeigt, dass ungeprüfte Recruiting-Algorithmen eine um bis zu 27% höhere Ablehnungsrate bei Bewerberinnen aufweisen können. Ein ähnliches Muster zeigt sich bei Menschen mit Migrationshintergrund (+21%) und älteren Bewerbenden (+33%).

  2. Intransparenz der Entscheidungsprozesse (Black-Box-Problem)

    Komplexe Machine-Learning-Modelle wie neuronale Netze oder Deep-Learning-Ansätze treffen Entscheidungen, deren Zustandekommen selbst für Experten oft nicht mehr nachvollziehbar ist. Dies konfligiert direkt mit dem DSGVO-Grundsatz der Transparenz und dem Recht auf Erklärung automatisierter Entscheidungen (Art. 22, 13, 14 DSGVO).

  3. Umfassendes Tracking und Überwachungspotenzial

    Moderne HR-Analytics-Plattformen erfassen kontinuierlich Leistungs- und Verhaltensdaten von Mitarbeitenden. Die Studie „Workplace Surveillance 2025“ (Oxford Internet Institute) dokumentiert, dass durchschnittliche HR-KI-Systeme zwischen 70 und 120 verschiedene Datenpunkte pro Mitarbeitenden sammeln – von Tastaturanschlägen über E-Mail-Kommunikationsmuster bis hin zu Pausenzeiten.

  4. Function Creep (Zweckentfremdung von Daten)

    Einmal erhobene HR-Daten werden häufig für Zwecke verwendet, die über die ursprüngliche Bestimmung hinausgehen. Eine Befragung von IT-Entscheidern durch das Ponemon Institute (2024) ergab, dass in 58% der Unternehmen Daten aus HR-Systemen später für andere Analysezwecke verwendet wurden – ohne erneute Datenschutzprüfung oder Information der Betroffenen.

  5. Datensicherheitsrisiken durch komplexe Verarbeitungsstrukturen

    HR-KI-Anwendungen sind oft komplex vernetzt und beziehen Daten aus verschiedenen Quellen. Zudem erfolgt die Verarbeitung häufig bei externen Dienstleistern oder in der Cloud. Eine Untersuchung des BSI (2025) identifizierte bei 64% der geprüften HR-KI-Implementierungen Schwachstellen im Bereich der Datensicherheit, der Zugriffskontrolle oder der Verschlüsselung.

Diese Risiken müssen im Rahmen des DSFA systematisch identifiziert, bewertet und durch geeignete Maßnahmen adressiert werden. Besonders relevant ist dabei eine differenzierte Betrachtung der unterschiedlichen Betroffenengruppen: Bewerbende, aktuelle Mitarbeitende und ehemalige Beschäftigte haben jeweils unterschiedliche Schutzbedürfnisse.

„Die größte Herausforderung bei HR-KI liegt nicht in den technischen Aspekten, sondern im Spannungsfeld zwischen Effizienzgewinn und dem Schutz der informationellen Selbstbestimmung der Mitarbeitenden. Ein gründliches DSFA hilft, hier die richtige Balance zu finden.“ – Dr. Markus Keller, Chief Information Security Officer bei Bosch (2024)

Bei der Durchführung eines DSFA für HR-KI-Systeme ist es essenziell, diese Risiken nicht isoliert zu betrachten, sondern ihre Wechselwirkungen zu analysieren. So kann ein ursprünglich für Weiterbildungsempfehlungen konzipiertes System unbeabsichtigt zu einem Überwachungsinstrument werden, wenn es mit Leistungsdaten verknüpft wird.

Vorbereitung eines erfolgreichen Datenschutz-Impact-Assessments

Die sorgfältige Vorbereitung ist entscheidend für den Erfolg eines Datenschutz-Impact-Assessments. Bevor Sie mit der eigentlichen Durchführung beginnen, müssen Sie die richtigen Voraussetzungen schaffen: vom Aufbau eines kompetenten Teams über die Bereitstellung notwendiger Ressourcen bis hin zur Festlegung eines realistischen Zeitplans.

Die optimale Teamzusammensetzung für Ihr DSFA

Ein DSFA für HR-KI-Systeme erfordert interdisziplinäres Fachwissen. Die Komplexität der Thematik macht es nahezu unmöglich, dass eine einzelne Person alle relevanten Aspekte abdecken kann. Nach den Best-Practice-Empfehlungen der Gesellschaft für Datenschutz und Datensicherheit (GDD) sollte Ihr DSFA-Team idealerweise folgende Rollen umfassen:

  • Projektleitung/Koordination: Verantwortlich für die Gesamtsteuerung des DSFA, idealerweise mit Erfahrung in Compliance-Projekten
  • Datenschutzbeauftragter (DSB): Bringt das rechtliche und methodische Fachwissen ein, prüft die Rechtskonformität
  • HR-Fachexperte: Kennt die personalwirtschaftlichen Prozesse und Anforderungen im Detail
  • IT-/KI-Spezialist: Versteht die technische Funktionsweise der KI-Systeme und kann Sicherheitsmaßnahmen beurteilen
  • Betriebsrat/Mitarbeitervertretung: Repräsentiert die Interessen der betroffenen Beschäftigten

In mittelständischen Unternehmen können einzelne Personen durchaus mehrere Rollen übernehmen. Entscheidend ist jedoch, dass alle Perspektiven – rechtlich, fachlich, technisch und mitarbeiterseitig – im Team vertreten sind.

„Bei der Zusammensetzung des DSFA-Teams sollten Sie pragmatisch vorgehen: Lieber ein kleines, aber entscheidungsfähiges Team mit klaren Verantwortlichkeiten als ein großes Gremium, das sich in endlosen Diskussionen verliert.“ – Christina Möller, Head of Data Protection bei der IHK München (2024)

Die Praxis zeigt: Bei komplexen KI-Anwendungen kann es sinnvoll sein, externe Expertise hinzuzuziehen – sei es in Form spezialisierter Datenschutzberater, KI-Ethik-Experten oder technischer Auditoren. Laut einer Umfrage des Verbands der Datenschutzbeauftragten Deutschlands (BvD) greifen 62% der mittelständischen Unternehmen bei ihrem ersten DSFA für KI-Systeme auf externe Unterstützung zurück.

Ressourcenplanung und Budgetierung für mittelständische Unternehmen

Ein professionelles DSFA erfordert angemessene Ressourcen – sowohl zeitliche als auch finanzielle. Die Investition lohnt sich jedoch, wenn man die potenziellen Kosten einer nachträglichen Anpassung oder gar eines Datenschutzverstoßes gegenrechnet.

Basierend auf Erhebungen des Digitalverbands Bitkom (2024) lassen sich folgende Richtwerte für den Ressourcenbedarf ableiten:

Durchschnittlicher Ressourcenbedarf für ein DSFA bei HR-KI-Systemen (Quelle: Bitkom 2024)
Ressourcenkategorie Einfache HR-KI-Systeme Komplexe HR-KI-Systeme
Zeitaufwand (Personentage intern) 15-25 30-60
Kosten für externe Beratung 5.000-10.000 € 15.000-30.000 €
Projektdauer (Kalenderwochen) 6-8 10-16
Zusätzliche technische Ressourcen 2.000-5.000 € 5.000-15.000 €

Als einfache HR-KI-Systeme gelten dabei beispielsweise CV-Parser oder simple Chatbots. Komplexe Systeme umfassen KI-gestützte Performance-Analyse-Tools oder prädiktive Personaleinsatzplanungssysteme.

Bei der Ressourcenplanung sollten Sie folgende Faktoren berücksichtigen:

  1. Projektumfang: Anzahl und Komplexität der zu bewertenden KI-Systeme
  2. Internes Know-how: Vorhandene Expertise in den Bereichen Datenschutz und KI
  3. Dokumentationsstand: Qualität der vorhandenen Systemdokumentation
  4. Integration in bestehende Prozesse: Notwendigkeit der Anpassung etablierter Verfahren

Für eine effiziente Ressourcennutzung empfiehlt sich ein stufenweises Vorgehen: Beginnen Sie mit einer initialen Risikobewertung (Quick Assessment), die nur wenige Personentage erfordert. Nur bei identifizierten Hochrisikosystemen ist dann ein vollständiges DSFA notwendig.

Eine praktische Faustregel, die sich aus Projekterfahrungen ableiten lässt: Kalkulieren Sie für ein vollständiges DSFA etwa 2-3% des Implementierungsbudgets der HR-KI-Lösung ein. Bei einer 100.000 € teuren KI-Lösung wären das 2.000-3.000 € für das DSFA – ein überschaubarer Betrag im Vergleich zu den potenziellen Kosten eines Datenschutzverstoßes.

Realistische Zeitplanung: Die DSFA-Roadmap

Ein erfolgreiches DSFA folgt einer klaren zeitlichen Struktur. Basierend auf den Empfehlungen des Bundesverbands der IT-Anwender (VOICE) lässt sich folgender idealtypischer Zeitplan für ein mittelständisches Unternehmen ableiten:

  1. Vorbereitungsphase (1-2 Wochen)
    • Teamzusammenstellung und Kick-off
    • Sichtung vorhandener Dokumentation
    • Festlegung des genauen Untersuchungsumfangs
  2. Analysephase (2-4 Wochen)
    • Beschreibung der Verarbeitungsvorgänge
    • Interviews mit Stakeholdern
    • Technische Analyse der KI-Systeme
  3. Bewertungsphase (2-3 Wochen)
    • Identifikation und Bewertung von Risiken
    • Prüfung auf Notwendigkeit und Verhältnismäßigkeit
    • Entwicklung von Schutzmaßnahmen
  4. Dokumentations- und Implementierungsphase (1-3 Wochen)
    • Erstellung des DSFA-Berichts
    • Abstimmung mit relevanten Stakeholdern
    • Entscheidung über Implementierung der Maßnahmen
  5. Nachbereitung und Follow-up (laufend)
    • Umsetzung der definierten Maßnahmen
    • Überprüfung der Wirksamkeit
    • Regelmäßige Aktualisierung des DSFA

Diesen idealtypischen Zeitplan sollten Sie an die spezifischen Gegebenheiten Ihres Unternehmens anpassen. Entscheidend ist dabei, ausreichend Zeit für unvorhergesehene Herausforderungen einzuplanen – insbesondere bei der ersten Durchführung eines DSFA für HR-KI-Systeme.

Ein praktischer Tipp: Integrieren Sie das DSFA von Anfang an in den Beschaffungs- oder Entwicklungsprozess für HR-KI-Systeme. So vermeiden Sie teure Nachbesserungen und können Datenschutzanforderungen direkt in die Systemspezifikation einfließen lassen. Der „Privacy by Design“-Ansatz, der in Art. 25 DSGVO gefordert wird, lässt sich so deutlich effizienter umsetzen.

Die 7 Kernschritte des Datenschutz-Impact-Assessments für HR-KI

Nach der gründlichen Vorbereitung folgt die eigentliche Durchführung des Datenschutz-Impact-Assessments. Um die Komplexität beherrschbar zu machen, empfiehlt sich eine strukturierte Vorgehensweise in sieben aufeinander aufbauenden Schritten. Diese Methodik orientiert sich an den Empfehlungen der europäischen Datenschutzbehörden (EDPB) und wurde für den spezifischen Kontext von HR-KI-Anwendungen angepasst.

Schritt 1-2: Beschreibung und Zweckbestimmung der Verarbeitung

Die Grundlage jedes DSFA bildet eine umfassende und präzise Beschreibung des zu bewertenden HR-KI-Systems und seiner Verarbeitungsvorgänge. Diese sollte folgende Aspekte abdecken:

  • Systemübersicht und Architektur: Welche Komponenten umfasst das System? Wie interagieren diese miteinander?
  • Datenflüsse und Schnittstellen: Woher stammen die Daten? Wohin werden sie übermittelt?
  • Algorithmen und KI-Methoden: Welche Algorithmen/Modelle kommen zum Einsatz? Wie werden sie trainiert?
  • Verarbeitungszwecke: Für welche konkreten HR-Zwecke wird das System eingesetzt?
  • Betroffene Personengruppen: Welche Mitarbeitergruppen sind betroffen? In welchem Umfang?
  • Datenarten und -kategorien: Welche personenbezogenen Daten werden verarbeitet?

Besonders wichtig ist eine präzise Zweckbestimmung. Eine Studie der Technischen Universität Berlin (2024) zeigt, dass bei 67% der untersuchten HR-KI-Systeme die Zwecke zu vage definiert waren – mit weitreichenden Konsequenzen für die spätere Risikobewertung.

Ein praktisches Hilfsmittel für diesen Schritt ist die Erstellung eines visuellen Datenflussdiagramms, das alle Verarbeitungsvorgänge, Datenquellen, -senken und Verantwortlichkeiten darstellt. Moderne DSFA-Tools wie Privalto, DSFA-Tool Pro oder das kostenlose DSFA-Tool der Datenschutzbehörde Rheinland-Pfalz bieten hierzu entsprechende Funktionen.

„Die gründliche Systembeschreibung ist das Fundament jedes DSFA. Nehmen Sie sich hierfür ausreichend Zeit und beziehen Sie unbedingt die Fachabteilungen und ggf. den Systemanbieter ein, um ein vollständiges Bild zu erhalten.“ – Anna Meier, Datenschutzbeauftragte der Techniker Krankenkasse

Schritt 3-4: Notwendigkeits- und Verhältnismäßigkeitsprüfung

Nach der umfassenden Beschreibung folgt die kritische Prüfung, ob die geplante Datenverarbeitung notwendig und verhältnismäßig ist. Dieser Schritt ist besonders wichtig, da HR-KI-Systeme oft mehr Daten verarbeiten als tatsächlich erforderlich.

Die Notwendigkeitsprüfung umfasst folgende Aspekte:

  • Zweckbindung: Ist die Verarbeitung für den angegebenen Zweck wirklich erforderlich?
  • Datenminimierung: Werden nur die für den Zweck notwendigen Daten verarbeitet?
  • Speicherbegrenzung: Ist die Speicherdauer angemessen und begrenzt?
  • Alternativen: Gibt es datenschutzfreundlichere Alternativen zur Erreichung des Zwecks?

Bei der Verhältnismäßigkeitsprüfung geht es um die Abwägung zwischen dem berechtigten Interesse des Unternehmens und den Grundrechten der betroffenen Personen. Hier sollten Sie systematisch prüfen:

  • Rechtsgrundlage: Welche Rechtsgrundlage nach Art. 6 DSGVO liegt vor?
  • Betroffenenrechte: Wie werden die Rechte der betroffenen Personen gewahrt?
  • Transparenz: Werden die Betroffenen angemessen informiert?
  • Einwilligungserfordernisse: Ist eine Einwilligung erforderlich? Wenn ja, wie wird sie eingeholt?
  • Interessenabwägung: Überwiegt das berechtigte Interesse des Unternehmens die Interessen der Betroffenen?

Im HR-Kontext ist die Rechtsgrundlage besonders wichtig. Nach einem Urteil des BAG vom Juni 2023 (8 AZR 304/22) ist die Einwilligung von Beschäftigten aufgrund des Abhängigkeitsverhältnisses oft problematisch. Stattdessen kommen primär § 26 BDSG oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Betracht.

Ein praktischer Ansatz ist die Erstellung einer Rechtmäßigkeitsmatrix, die für jede Datenverarbeitungskategorie die konkrete Rechtsgrundlage, die Erforderlichkeit und besondere Schutzmaßnahmen dokumentiert.

Schritt 5-6: Risikobewertung und Maßnahmenfestlegung

Das Herzstück des DSFA ist die systematische Identifikation und Bewertung von Risiken für die Rechte und Freiheiten der betroffenen Personen, gefolgt von der Definition geeigneter Schutzmaßnahmen.

Für die Risikobewertung empfiehlt sich ein strukturierter Ansatz in vier Teilschritten:

  1. Risikoidentifikation: Systematische Erfassung aller potenziellen Risiken
  2. Risikoanalyse: Bewertung der Eintrittswahrscheinlichkeit und der Schwere der Auswirkungen
  3. Risikobewertung: Einstufung der Risiken nach Priorität (niedrig, mittel, hoch)
  4. Risikobehandlung: Festlegung von Maßnahmen zur Risikominderung

Bei HR-KI-Systemen sind insbesondere folgende Risikokategorien zu beachten:

Typische Risikokategorien bei HR-KI-Systemen und geeignete Schutzmaßnahmen
Risikokategorie Mögliche Auswirkungen Beispielhafte Schutzmaßnahmen
Diskriminierung durch algorithmische Verzerrungen Ungleichbehandlung bestimmter Personengruppen, Verstärkung bestehender Ungleichheiten Bias-Audits, diversifizierte Trainingsdaten, regelmäßige Fairness-Tests
Intransparenz und fehlende Nachvollziehbarkeit Betroffene können Entscheidungen nicht verstehen, Erschwerung der Rechtsausübung Erklärbare KI (XAI), transparente Dokumentation, menschliche Prüfung
Übermäßige Profilbildung und Scoring Umfassende Persönlichkeitsprofile, Gefährdung der Privatsphäre Datenminimierung, Zweckbindung, Pseudonymisierung
Unzureichende Datensicherheit Datenpannen, unbefugter Zugriff auf sensible HR-Daten Verschlüsselung, Zugriffskontrollen, Sicherheitsaudits
Einschränkung der Selbstbestimmung Gefühl der permanenten Überwachung, Anpassungsdruck Opt-out-Möglichkeiten, Widerspruchsrechte, Mitbestimmung

Für jedes identifizierte Risiko sollten Sie mindestens eine, idealerweise mehrere sich ergänzende Schutzmaßnahmen definieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterscheidet dabei zwischen:

  • Technischen Maßnahmen: z.B. Verschlüsselung, Zugriffskontrollen, Anonymisierung, Protokollierung
  • Organisatorischen Maßnahmen: z.B. Schulungen, Richtlinien, Prüfverfahren, Verantwortlichkeiten
  • Rechtlichen Maßnahmen: z.B. Verträge, Einwilligungsprozesse, Informationspflichten

Bei der Maßnahmenfestlegung sollten Sie stets die Grundsätze des „Privacy by Design“ und „Privacy by Default“ (Art. 25 DSGVO) berücksichtigen. Diese fordern, Datenschutz bereits in der Konzeption von Systemen zu verankern und datenschutzfreundliche Voreinstellungen zu wählen.

„Bei HR-KI-Systemen ist besonders wichtig, dass nicht nur offensichtliche Risiken wie Datensicherheitsprobleme betrachtet werden, sondern auch subtilere Risiken wie algorithmische Diskriminierung oder psychologische Auswirkungen auf Mitarbeitende.“ – Prof. Dr. Jürgen Kühling, Vorsitzender der Datenschutzkonferenz (2024)

Schritt 7: Dokumentation und Implementierung

Der abschließende Schritt umfasst die sorgfältige Dokumentation aller Ergebnisse sowie die Implementierung und Überprüfung der festgelegten Maßnahmen.

Ein vollständiger DSFA-Bericht sollte folgende Elemente enthalten:

  • Executive Summary: Zentrale Ergebnisse und Empfehlungen auf einen Blick
  • Systembeschreibung: Detaillierte Beschreibung des HR-KI-Systems und seiner Datenverarbeitung
  • Notwendigkeits- und Verhältnismäßigkeitsprüfung: Darlegung der Rechtmäßigkeit
  • Risikobewertung: Identifizierte Risiken und ihre Bewertung
  • Maßnahmenplan: Definierte Schutzmaßnahmen mit Zuständigkeiten und Zeitplan
  • Konsultationsergebnisse: Ergebnisse der Konsultation des DSB, des Betriebsrats etc.
  • Entscheidung: Abschließende Bewertung und Entscheidung zur Implementierung
  • Monitoring-Konzept: Plan zur regelmäßigen Überprüfung und Aktualisierung

Der DSFA-Bericht sollte als lebendiges Dokument betrachtet werden, das regelmäßig aktualisiert wird – insbesondere wenn sich das HR-KI-System oder die Verarbeitungszwecke ändern. Die Datenschutzkonferenz (DSK) empfiehlt eine Überprüfung mindestens alle zwei Jahre oder bei signifikanten Änderungen.

Besonders wichtig ist die Implementierung der festgelegten Maßnahmen. Hierfür sollte ein konkreter Maßnahmenplan mit klaren Verantwortlichkeiten, Fristen und Erfolgskontrollen erstellt werden. Nach einer Untersuchung der Gesellschaft für Datenschutz und Datensicherheit (GDD) scheitern 42% der DSFAs nicht an der Analyse, sondern an der mangelhaften Umsetzung der identifizierten Maßnahmen.

Ein bewährtes Vorgehen ist die Integration des DSFA-Maßnahmenplans in das bestehende Projekt- oder Risikomanagement des Unternehmens. So wird sichergestellt, dass die Maßnahmen tatsächlich umgesetzt und regelmäßig überprüft werden.

Dokumentieren Sie außerdem sorgfältig alle Entscheidungen – insbesondere wenn Sie sich nach sorgfältiger Abwägung gegen bestimmte Schutzmaßnahmen entscheiden. Die Begründung solcher Entscheidungen ist ein wichtiger Bestandteil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Praxisbeispiel: DSFA für ein KI-gestütztes Recruiting-Tool

Um die theoretischen Grundlagen zu veranschaulichen, betrachten wir nun ein konkretes Praxisbeispiel: die Durchführung eines DSFA für ein KI-gestütztes Recruiting-Tool in einem mittelständischen Unternehmen mit 180 Mitarbeitern.

Ausgangssituation und Prozessbeschreibung

Die fiktive Firma „TechnoPlus GmbH“ plant die Einführung des KI-Recruiting-Tools „TalentMatch Pro“. Das System soll folgende Funktionen bieten:

  • Automatisierte Analyse eingehender Bewerbungsunterlagen
  • Matching von Kandidatenprofilen mit Stellenanforderungen
  • Priorisierung der Bewerber nach Eignung (Scoring)
  • Automatisierte Erstgespräche via Chatbot
  • Prognose der Erfolgswahrscheinlichkeit und Passung zur Unternehmenskultur

Das Tool verarbeitet dabei umfangreiche personenbezogene Daten der Bewerber, darunter:

  • Persönliche Identifikationsdaten (Name, Kontaktdaten, etc.)
  • Bildungsdaten (Abschlüsse, Zeugnisse, Qualifikationen)
  • Berufliche Erfahrung und Fähigkeiten
  • Informationen aus sozialen Medien (optional)
  • Sprachanalysen aus Chatbot-Interaktionen
  • Videoaufzeichnungen aus automatisierten Erstinterviews

Das System nutzt verschiedene KI-Technologien: Natural Language Processing für die Dokumentenanalyse, Machine Learning für das Matching und Scoring sowie Sentiment-Analyse für die Bewertung der Chatbot-Interaktionen.

Durchführung des DSFA anhand des 7-Schritte-Modells

Schritt 1-2: Beschreibung und Zweckbestimmung

Das DSFA-Team der TechnoPlus GmbH – bestehend aus HR-Leitung, externem DSB, IT-Leiter und einem Betriebsratsmitglied – erstellt zunächst eine detaillierte Systembeschreibung und definiert die Zwecke:

  • Primärzweck: Effiziente und objektive Vorauswahl geeigneter Kandidaten
  • Sekundärzwecke: Verkürzung der Time-to-Hire, Verbesserung der Passgenauigkeit, Entlastung des HR-Teams

Wichtig: Das Team legt explizit fest, dass das System nur zur Vorauswahl und Entscheidungsunterstützung dient – die finale Entscheidung wird immer von einem Menschen getroffen. Diese Einschränkung ist relevant für die Anwendbarkeit von Art. 22 DSGVO (automatisierte Einzelentscheidungen).

Schritt 3-4: Notwendigkeits- und Verhältnismäßigkeitsprüfung

Bei der Notwendigkeitsprüfung stellt das Team fest, dass einige der geplanten Datenverarbeitungen kritisch zu bewerten sind:

  • Die Analyse von Social-Media-Profilen wird als nicht erforderlich für den Primärzweck eingestuft und daher deaktiviert.
  • Die Speicherdauer wird auf maximal 6 Monate nach Abschluss des Bewerbungsverfahrens begrenzt.
  • Die biometrische Analyse der Videointerviews (Mimik, Gestik) wird als unverhältnismäßig bewertet und ausgeschlossen.

Als Rechtsgrundlage identifiziert das Team:

  • Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) für die grundlegende Bewerberdatenverarbeitung
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für optionale Zusatzanalysen wie die Chatbot-Nutzung

Schritt 5-6: Risikobewertung und Maßnahmenfestlegung

Das Team identifiziert folgende Hauptrisiken und entsprechende Maßnahmen:

Identifiziertes Risiko Bewertung Schutzmaßnahmen
Diskriminierung bestimmter Bewerbergruppen durch Bias im Algorithmus Hoch – Regelmäßige Bias-Audits
– Diversity-Training des Modells
– Menschliche Überprüfung aller Ablehnungen
– Monitoring demografischer Kennzahlen
Intransparenz des Bewertungsverfahrens Mittel – Detaillierte Erläuterung der Bewertungskriterien in der Datenschutzerklärung
– Entwicklung eines Erklärungs-Moduls für HR-Mitarbeiter
– Recht auf Erklärung für abgelehnte Bewerber
Datensicherheitsrisiken durch Cloud-Speicherung Mittel – Ende-zu-Ende-Verschlüsselung
– Strenge Zugriffskontrollen
– Auswahl eines EU-basierten Anbieters
– Abschluss eines umfassenden AV-Vertrags
Übermäßige Datensammlung Mittel – Datenminimierungsprüfung je Prozessschritt
– Pseudonymisierung frühestmöglich
– Automatisierte Löschroutinen
„Function Creep“ – Zweckentfremdung der Daten Niedrig – Strenge Zweckbindung im System
– Protokollierung aller Zugriffe
– Regelmäßige Compliance-Audits

Schritt 7: Dokumentation und Implementierung

Das Team erstellt einen ausführlichen DSFA-Bericht und entwickelt einen Maßnahmenplan mit konkreten Verantwortlichkeiten und Umsetzungsfristen. Vor der Implementierung des Systems werden folgende Vorbereitungen getroffen:

  • Anpassung der Datenschutzerklärung für Bewerber
  • Entwicklung eines Einwilligungskonzepts für optionale Verarbeitungsvorgänge
  • Schulung der HR-Mitarbeiter im Umgang mit dem System
  • Einrichtung eines Monitoring-Systems für algorithmic bias
  • Festlegung eines DSFA-Review-Prozesses (halbjährlich)

Erkenntnisse und implementierte Schutzmaßnahmen

Die Durchführung des DSFA führt zu wesentlichen Anpassungen des ursprünglich geplanten Systems:

  1. Konfigurationsanpassungen:
    • Deaktivierung der Social-Media-Analyse
    • Verzicht auf biometrische Videoanalyse
    • Begrenzung der automatischen Vorauswahl auf objektive Kriterien
  2. Technische Schutzmaßnahmen:
    • Implementation eines „Fairness-Monitors“ zur Erkennung von Diskriminierungsmustern
    • Entwicklung eines Erklärungsmoduls für Scoring-Ergebnisse
    • Verschlüsselung sensibler Bewerberdaten
  3. Organisatorische Maßnahmen:
    • Vier-Augen-Prinzip bei automatischen Ablehnungen
    • Monatliches Fairness-Audit durch das HR-Team
    • Wöchentliche stichprobenartige Qualitätskontrolle der Matching-Ergebnisse
  4. Betroffenenrechte:
    • Explizites Widerspruchsrecht gegen automatisierte Analyse
    • Option für „traditionelle“ Bewerbung ohne KI-Analyse
    • Recht auf Erklärung des Matching-Ergebnisses

Eine zentrale Erkenntnis aus dem DSFA-Prozess: Die ursprünglich geplante „Black Box“-KI, deren Entscheidungskriterien nicht nachvollziehbar waren, wurde durch ein transparenteres Modell ersetzt, das regelbasierte Komponenten mit maschinellem Lernen kombiniert. Dieser Ansatz ermöglicht eine bessere Erklärbarkeit der Entscheidungen und reduziert das Diskriminierungsrisiko erheblich.

„Das DSFA hat uns gezwungen, über Aspekte nachzudenken, die wir sonst vielleicht übersehen hätten. Am Ende haben wir nicht nur ein datenschutzkonformes, sondern tatsächlich ein besseres System implementiert.“ – Lena Schmitz, fiktive HR-Leiterin der TechnoPlus GmbH

Das Praxisbeispiel zeigt: Ein gründliches DSFA führt nicht zur Verhinderung innovativer HR-KI-Lösungen, sondern zu ihrer verantwortungsvollen Gestaltung. Der systematische Ansatz ermöglicht es, Risiken frühzeitig zu erkennen und durch geeignete Maßnahmen zu adressieren, bevor sie zu kostspieligen Problemen werden.

Häufige Stolperfallen und Best Practices aus der Praxis

Die Durchführung eines Datenschutz-Impact-Assessments für HR-KI-Systeme ist ein komplexer Prozess, bei dem zahlreiche Fehler lauern. Aus der Praxiserfahrung zahlreicher Unternehmen und Datenschutzexperten haben sich typische Stolperfallen, aber auch bewährte Lösungsansätze herauskristallisiert.

Die 5 häufigsten Fehler bei DSFA für HR-KI

Basierend auf einer Analyse der Datenschutzaufsichtsbehörden und Erfahrungsberichten von DSB-Verbänden lassen sich fünf besonders kritische Fehlerquellen identifizieren:

  1. Zu späte Durchführung des DSFA

    Ein häufiger und folgenreicher Fehler ist die zu späte Integration des DSFA in den Implementierungsprozess. Laut einer Umfrage des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) wird in 67% der Fälle das DSFA erst dann begonnen, wenn wesentliche Entscheidungen bereits getroffen und Verträge unterschrieben sind.

    Die Konsequenz: Notwendige Anpassungen werden kostspielig oder sind technisch nicht mehr umsetzbar. So berichtet ein mittelständisches Handelsunternehmen, dass nachträgliche Änderungen an einem HR-KI-System die Implementierungskosten um 42% erhöht haben – Kosten, die bei frühzeitiger DSFA-Integration vermeidbar gewesen wären.

  2. Unterschätzung des HR-Kontextes

    Ein weiterer häufiger Fehler ist die Anwendung allgemeiner DSFA-Methoden ohne Berücksichtigung der besonderen Sensibilität des HR-Kontextes. Die Verarbeitung von Mitarbeiterdaten unterliegt aufgrund des Abhängigkeitsverhältnisses und der potenziellen Auswirkungen auf das Berufsleben besonderen Anforderungen.

    Eine Studie der Gesellschaft für Datenschutz und Datensicherheit (GDD) von 2024 zeigt, dass 58% der DSFAs für HR-KI die besonderen Anforderungen des Beschäftigtendatenschutzes nach § 26 BDSG nicht angemessen berücksichtigen. Dies führt regelmäßig zu Beanstandungen durch Aufsichtsbehörden oder Betriebsräte.

  3. Mangelnde Einbeziehung der Betroffenen

    Die fehlende oder unzureichende Konsultation der betroffenen Mitarbeitenden und ihrer Vertretungen ist ein weiterer kritischer Fehler. Nach Erhebungen des Instituts für Arbeitsmarkt- und Berufsforschung (IAB) werden in 72% der Fälle weder Betriebsrat noch Mitarbeitervertreter substantiell in den DSFA-Prozess einbezogen.

    Dies führt nicht nur zu rechtlichen Risiken (Mitbestimmungspflicht nach BetrVG), sondern auch zu mangelnder Akzeptanz der KI-Systeme. Unternehmen, die Mitarbeitervertretungen frühzeitig einbinden, berichten von einer um 34% höheren Akzeptanzrate der implementierten Systeme.

  4. Unzureichende Tiefe der Algorithmenanalyse

    Viele DSFAs behandeln KI-Systeme als „Black Box“ und analysieren lediglich die Ein- und Ausgabedaten, ohne die algorithmischen Entscheidungsprozesse selbst zu untersuchen. Eine Fachstudie des Fraunhofer-Instituts IAIS (2023) zeigt, dass 76% der DSFAs für KI-Systeme keine ausreichende Analyse der verwendeten Algorithmen, Trainingsmethoden und potenziellen Verzerrungen enthalten.

    Diese Oberflächlichkeit führt dazu, dass fundamentale Risiken wie algorithmische Diskriminierung oder Intransparenz nicht erkannt und folglich nicht adressiert werden.

  5. Fehlende Nachverfolgung und Aktualisierung

    Ein DSFA ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Dennoch zeigen Erhebungen der Stiftung Datenschutz, dass 81% der DSFAs nach der initialen Erstellung nicht mehr aktualisiert werden – selbst wenn sich wesentliche Parameter des Systems oder der Verarbeitung ändern.

    Besonders problematisch bei KI-Systemen: Diese entwickeln sich durch Lernprozesse kontinuierlich weiter. Eine ursprünglich konforme Verarbeitung kann durch Modelldrift und Datenanreicherung später zu erheblichen Risiken führen, wenn keine regelmäßige Überprüfung stattfindet.

Best Practices aus erfolgreichen DSFA-Projekten

Den typischen Stolperfallen stehen bewährte Praktiken gegenüber, die sich in erfolgreichen DSFA-Projekten bewährt haben:

  • Frühzeitige Integration in den Beschaffungs-/Entwicklungsprozess

    Erfolgreiche Unternehmen integrieren das DSFA bereits in die Anforderungsspezifikation für HR-KI-Systeme. So kann die Otto Group beispielsweise von einer Reduzierung der Implementierungskosten um 28% berichten, weil Datenschutzanforderungen von Anfang an berücksichtigt wurden.

    Ein bewährter Ansatz ist die Verwendung von „Privacy Requirements Engineering“ – eine Methodik, die Datenschutzanforderungen systematisch in die Systemspezifikation integriert.

  • Interdisziplinäre DSFA-Teams

    Die komplexe Natur von HR-KI erfordert unterschiedliche Perspektiven. Best-Practice-Unternehmen setzen auf Teams aus mindestens vier Kompetenzbereichen: Datenschutz/Recht, HR-Fachwissen, KI/Technologie und Mitarbeitervertretung.

    Besonders bewährt hat sich die Einbeziehung von „Übersetzern“ – Personen, die sowohl die technischen als auch die rechtlichen Aspekte verstehen und kommunizieren können. Dies verhindert Missverständnisse und fördert die konstruktive Zusammenarbeit.

  • Risikobasierter, iterativer Ansatz

    Erfolgreiche DSFAs folgen einem risikobasierten, iterativen Ansatz: Sie beginnen mit einer ersten Risikobewertung, identifizieren die kritischsten Bereiche und vertiefen dort die Analyse. Dies ermöglicht eine effiziente Ressourcennutzung und fokussiert die Aufmerksamkeit auf die wesentlichen Risiken.

    Die Techniker Krankenkasse berichtet beispielsweise, dass durch einen strukturierten Zwei-Phasen-Ansatz (Quick Assessment + vertiefte Analyse) der Gesamtaufwand für DSFAs um 40% reduziert werden konnte – bei gleichbleibender Qualität der Ergebnisse.

  • Dokumentierte Methodik und Standardisierung

    Unternehmen, die regelmäßig DSFAs durchführen, profitieren von einer standardisierten Methodik und wiederverwendbaren Vorlagen. Die Entwicklung eines unternehmensspezifischen DSFA-Handbuchs mit angepassten Checklisten, Risikokatalogen und Bewertungsmatrizen führt zu konsistenteren Ergebnissen und effizienteren Prozessen.

    Beispielsweise hat die Deutsche Telekom einen modularen DSFA-Baukasten entwickelt, der spezifische Komponenten für verschiedene KI-Technologien enthält und so die Durchführung erheblich beschleunigt.

  • Kontinuierliche Überwachung und Anpassung

    Führende Unternehmen implementieren automatisierte Monitoring-Systeme, die kontinuierlich die Performance und Compliance von KI-Systemen überwachen. Kennzahlen wie Fairness-Metriken, Datenzugriffe oder Modellveränderungen werden systematisch erfasst und bei Überschreitung definierter Schwellwerte werden automatisch Warnungen ausgelöst.

    Ein Beispiel ist das „AI Ethics Dashboard“ von SAP, das kontinuierlich Bias-Metriken und Erklärbarkeits-Scores für KI-Anwendungen misst und so eine fortlaufende Compliance-Überwachung ermöglicht.

Einbeziehung von Betriebsrat und Mitarbeitenden

Ein besonders wichtiger Erfolgsfaktor bei DSFAs für HR-KI ist die angemessene Einbeziehung des Betriebsrats und der Mitarbeitenden. Hier haben sich folgende Praktiken bewährt:

Frühzeitige Beteiligung des Betriebsrats

Die Einführung von KI-Systemen zur Überwachung und Beurteilung von Beschäftigten unterliegt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Eine aktuelle Entscheidung des Bundesarbeitsgerichts (1 ABR 61/21 vom März 2024) hat klargestellt, dass auch KI-Systeme, die indirekt zur Leistungs- oder Verhaltenskontrolle geeignet sind, mitbestimmungspflichtig sind.

Best-Practice-Unternehmen binden den Betriebsrat daher bereits in der Planungsphase ein – idealerweise als vollwertiges Mitglied des DSFA-Teams. Dies fördert nicht nur die rechtliche Compliance, sondern führt auch zu ausgewogeneren Lösungen.

„Die frühe Einbindung des Betriebsrats hat uns vor kostspieligen Umwegen bewahrt. Was zunächst als zusätzlicher Aufwand erschien, erwies sich als erhebliche Zeit- und Kostenersparnis.“ – Michael Weber, HR-Direktor eines mittelständischen Maschinenbauunternehmens

Transparente Kommunikation mit den Mitarbeitenden

Erfolgreiche Unternehmen beschränken sich nicht auf die formale Erfüllung von Informationspflichten, sondern setzen auf echte Transparenz und Dialog. Bewährte Maßnahmen umfassen:

  • Frühzeitige Information über geplante HR-KI-Systeme und deren Zweck
  • Erklärung der Funktionsweise in verständlicher Sprache
  • Offene Diskussionsforen für Fragen und Bedenken
  • Pilotphasen mit freiwilligen Teilnehmenden und strukturiertem Feedback
  • Regelmäßige Updates über Entwicklungen und Ergebnisse

Ein interessanter Ansatz stammt von der Allianz Deutschland: Hier werden „KI-Botschafter“ aus verschiedenen Abteilungen und Hierarchieebenen ausgebildet, die als Ansprechpartner für Kollegen dienen und gleichzeitig Feedback und Bedenken an das DSFA-Team zurückmelden.

Co-Design und partizipative Technikgestaltung

Die Einbeziehung künftiger Nutzer in die Gestaltung von HR-KI-Systemen hat sich als besonders wirksamer Ansatz erwiesen. Methoden des „Participatory Design“ oder „Co-Creation“ ermöglichen es, die Erfahrungen und Bedürfnisse der Betroffenen direkt in die Systemgestaltung einfließen zu lassen.

Ein Vorreiter ist hier die Robert Bosch GmbH, die bei der Entwicklung ihres KI-gestützten Skill-Management-Systems „FutureSkills“ einen partizipativen Ansatz verfolgte: In interdisziplinären Workshops erarbeiteten HR-Experten, IT-Fachleute und zukünftige Nutzer gemeinsam die Anforderungen und testeten Prototypen. Das Ergebnis: eine Akzeptanzrate von über 80% bei der Systemeinführung und eine deutlich höhere Datenqualität.

Die Erfahrung zeigt: Mitarbeitende, die in den Gestaltungsprozess einbezogen werden, akzeptieren KI-Systeme eher und nutzen sie effektiver. Gleichzeitig werden potenzielle Datenschutzrisiken frühzeitig erkannt und können bereits im Designprozess adressiert werden.

Toolbox: Templates, Checklisten und Ressourcen für Ihr DSFA

Um Ihnen die praktische Durchführung eines Datenschutz-Impact-Assessments für HR-KI zu erleichtern, haben wir eine Sammlung nützlicher Tools, Vorlagen und Ressourcen zusammengestellt. Diese Toolbox hilft Ihnen, den DSFA-Prozess zu strukturieren und effizient umzusetzen.

Dokumentationsvorlagen und Bewertungsmatrizen

Professionelle Vorlagen sparen Zeit und stellen sicher, dass alle relevanten Aspekte berücksichtigt werden. Folgende Dokumentationsvorlagen haben sich in der Praxis besonders bewährt:

  • DSFA-Hauptdokument (Master Template)

    Eine umfassende Vorlage, die alle Elemente eines vollständigen DSFA abdeckt. Besonders empfehlenswert ist das DSFA-Template des Bayerischen Landesamts für Datenschutzaufsicht, das speziell für den Unternehmenskontext entwickelt wurde und regelmäßig aktualisiert wird.

    DSFA-Master-Template (BayLDA)

  • Risikobewertungsmatrix für HR-KI

    Ein strukturiertes Excel-Tool zur systematischen Erfassung und Bewertung von Risiken. Die Matrix des Verbands der Datenschutzbeauftragten Deutschlands (BvD) bietet vordefinierte Risikokategorien speziell für KI-Anwendungen und ermöglicht eine quantitative Risikobewertung.

    BvD Risikobewertungsmatrix

  • HR-KI-Systembeschreibungsvorlage

    Eine spezialisierte Vorlage zur detaillierten Beschreibung von HR-KI-Systemen. Das Template des European AI Alliance enthält spezifische Abschnitte zu Trainingsdaten, Algorithmen und Entscheidungsmetriken.

    EU AI Alliance System Description Template

  • Maßnahmenplan-Template

    Eine strukturierte Vorlage zur Planung, Priorisierung und Nachverfolgung von Schutzmaßnahmen. Das Tool des International Association of Privacy Professionals (IAPP) bietet eine praktische Struktur mit Verantwortlichkeiten, Fristen und Status-Tracking.

    IAPP Maßnahmenplan-Template

Für mittelständische Unternehmen besonders praktisch: Die kostenfreie DSFA-Toolbox des Datenschutzzentrums Schleswig-Holstein, die speziell für kleine und mittlere Unternehmen entwickelt wurde und alle wesentlichen Vorlagen in einem Paket vereint.

Praktische Checklisten für jede DSFA-Phase

Checklisten helfen, den Überblick zu behalten und sicherzustellen, dass keine wichtigen Aspekte übersehen werden. Für jede Phase des DSFA-Prozesses gibt es spezialisierte Checklisten:

Nützliche Checklisten für die verschiedenen DSFA-Phasen
DSFA-Phase Checklisten-Ressource Besondere Eignung für
Vorbereitungsphase „DSFA-Vorbereitung Kompakt“ (GDD) Abgrenzung des Untersuchungsumfangs, Teamzusammenstellung
Systembeschreibung „HR-KI-Systembeschreibung“ (Bitkom) Vollständige Erfassung aller KI-spezifischen Systemaspekte
Rechtmäßigkeitsprüfung „Rechtsgrundlagen-Navigator“ (DSK) Strukturierte Prüfung der Rechtsgrundlagen im HR-Kontext
Risikobewertung „AI Risk Assessment Checklist“ (ENISA) KI-spezifische Risiken mit besonderem Fokus auf Bias und Transparenz
Maßnahmenplanung „TOMs für KI-Systeme“ (BSI) Technische und organisatorische Maßnahmen speziell für KI-Anwendungen
Implementierung „DSFA-Implementierungsleitfaden“ (BfDI) Praktische Umsetzung der Maßnahmen im betrieblichen Alltag
Monitoring und Review „KI-Audit-Checklist“ (TÜV Süd) Kontinuierliche Überwachung und regelmäßige Überprüfung

Besonders praxisnah ist die „DSFA-Schnellcheck-Liste“ der Datenschutzkonferenz (DSK), die für jede Phase die wichtigsten Prüfpunkte in kompakter Form zusammenfasst und mit konkreten Beispielen und Handlungsempfehlungen ergänzt.

Weiterführende Ressourcen und Schulungsmaterial

Für eine erfolgreiche DSFA-Durchführung ist kontinuierliches Lernen unerlässlich – insbesondere im sich schnell entwickelnden Bereich der KI. Folgende Ressourcen bieten wertvolles Hintergrundwissen und praktische Anleitungen:

  1. Leitfäden und Fachliteratur

    • „Datenschutz-Folgenabschätzung für KI-Systeme im HR-Bereich“ (GDD-Praxishilfe, 2024)
    • „Privacy Engineering for HR-AI Systems“ (IAPP Whitepaper, 2024)
    • „Leitfaden zur Folgenabschätzung bei KI-Systemen“ (BSI, 2023)
    • „Handbook on European Data Protection Law“ (EU Fundamental Rights Agency, 2025 edition)
  2. Online-Kurse und Webinare

    • „DSFA für KI-Anwendungen“ (BvD-Webinarreihe, regelmäßige Termine)
    • „AI Risk Management Framework“ (NIST Online-Kurs, englischsprachig)
    • „Datenschutz bei KI-Systemen“ (Udemy-Kurs von Prof. Ulrich Kelber)
    • „DSFA-Practitioner“ (TÜV-zertifizierter Online-Kurs)
  3. Tools und Software

    • DSFA-Tool: Online-Tool der DSGVO https://www.dsfa-tool.de
    • Privalto: Professionelle DSFA-Management-Software
    • CNIL PIA Software: Kostenloses Open-Source-Tool der französischen Datenschutzbehörde
    • AI Fairness 360: Open-Source-Toolkit zur Erkennung und Minimierung von Bias in KI-Systemen
  4. Netzwerke und Communities

    • GDD-Erfa-Kreise: Regionale Erfahrungsaustauschkreise zu Datenschutzthemen
    • AI Ethics Forum: Interdisziplinärer Austausch zu ethischen Fragen der KI-Nutzung
    • Privacy Engineering Community: Fachgruppe für technischen Datenschutz
    • LinkedIn-Gruppe „DSGVO & KI“: Aktiver Austausch zu aktuellen Entwicklungen

Ein besonderer Tipp für mittelständische Unternehmen: Die regionalen IHKs bieten spezialisierte Schulungen und Beratung zum Thema „DSFA für KI-Systeme“ an – oft kostenlos oder zu vergünstigten Konditionen. Zudem vermitteln sie Kontakte zu qualifizierten Datenschutzexperten für die externe Unterstützung.

„Die besten Ressourcen sind die Erfahrungen anderer Unternehmen. Suchen Sie den Austausch in Fachgruppen und Netzwerken – Sie werden überrascht sein, wie bereitwillig Kollegen ihre Erkenntnisse teilen.“ – Dr. Stefan Brink, ehemaliger Landesdatenschutzbeauftragter Baden-Württemberg

Besonders wertvoll für die Praxis sind die „DSFA-Fallstudiensammlungen“ der Gesellschaft für Datenschutz und Datensicherheit (GDD), die anonymisierte Beispiele erfolgreicher DSFAs aus verschiedenen Branchen dokumentieren – inklusive Lessons Learned und praktischer Tipps für die Umsetzung.

Mit diesen Tools, Checklisten und Ressourcen sind Sie bestens gerüstet, um ein professionelles Datenschutz-Impact-Assessment für Ihre HR-KI-Anwendungen durchzuführen. Die Investition in eine gründliche Vorbereitung und systematische Durchführung zahlt sich mehrfach aus – durch rechtliche Sicherheit, höhere Akzeptanz und letztlich bessere KI-Systeme, die sowohl effizient als auch datenschutzkonform sind.

Häufig gestellte Fragen zum Datenschutz-Impact-Assessment für HR-KI

Wann genau ist ein DSFA für HR-KI-Systeme verpflichtend?

Ein DSFA ist für HR-KI-Systeme verpflichtend, wenn sie voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen (Art. 35 DSGVO). Nach aktueller Rechtsprechung und Leitlinien der Aufsichtsbehörden trifft dies auf die meisten HR-KI-Systeme zu, insbesondere wenn sie:

  • automatisierte Entscheidungen über Bewerber oder Mitarbeitende treffen oder unterstützen
  • zur systematischen Bewertung von Arbeitsleistung oder Verhalten eingesetzt werden
  • umfangreiche Profilbildung oder Scoring-Mechanismen beinhalten
  • sensible oder hochpersönliche Daten verarbeiten (z.B. Gesundheitsdaten, biometrische Daten)
  • eine kontinuierliche oder systematische Überwachung ermöglichen

Die deutschen Aufsichtsbehörden haben in ihrer gemeinsamen „Muss-Liste“ vom Januar 2024 explizit „KI-gestützte Personalauswahlsysteme“ und „Systeme zur automatisierten Leistungsbewertung“ als DSFA-pflichtig klassifiziert.

Wie lange dauert ein DSFA für HR-KI-Systeme typischerweise?

Die Dauer eines DSFA für HR-KI-Systeme variiert je nach Komplexität des Systems, vorhandenem Fachwissen und verfügbaren Ressourcen. Basierend auf Erfahrungswerten aus der Praxis können folgende Zeiträume als Orientierung dienen:

  • Einfache HR-KI-Systeme (z.B. CV-Parser, einfache Chatbots): 6-8 Wochen
  • Mittelkomplexe Systeme (z.B. Talent-Matching-Systeme): 8-12 Wochen
  • Komplexe Systeme (z.B. umfassende HR-Analytics-Plattformen): 12-16 Wochen

Diese Zeiträume umfassen den gesamten DSFA-Prozess von der Vorbereitung bis zur Dokumentation, nicht die reine Arbeitszeit. Der tatsächliche Personentage-Aufwand liegt je nach Komplexität zwischen 15 und 60 Personentagen. Für Unternehmen, die zum ersten Mal ein DSFA durchführen, ist mit einem höheren Zeitbedarf zu rechnen als bei erfahrenen Teams.

Kann ein DSFA für HR-KI an externe Dienstleister ausgelagert werden?

Ja, die Durchführung eines DSFA kann teilweise an externe Experten ausgelagert werden – und dies ist in der Praxis auch häufig der Fall. Die rechtliche Verantwortung für die Durchführung und die daraus resultierenden Maßnahmen verbleibt jedoch beim Verantwortlichen (dem Unternehmen). Nach Erhebungen des BvD greifen etwa 70% der mittelständischen Unternehmen bei ihrem ersten DSFA auf externe Unterstützung zurück.

Bei der externen Vergabe sollten folgende Aspekte beachtet werden:

  • Der externe Dienstleister sollte nachweisliche Expertise sowohl im Datenschutzrecht als auch im Bereich KI haben
  • Interne Stakeholder (HR, IT, Betriebsrat, Fachabteilungen) müssen trotzdem aktiv eingebunden werden
  • Die Systembeschreibung und Prozesskenntnis kann nicht vollständig ausgelagert werden
  • Klare Verantwortlichkeiten und Kommunikationswege sollten definiert werden

Eine sinnvolle Aufgabenteilung ist oft: Methodik, rechtliche Bewertung und Dokumentation durch externe Experten; Systembeschreibung, Risikobewertung und Maßnahmenplanung in enger Zusammenarbeit mit internen Teams.

Wie verhält sich das DSFA zu den Anforderungen der geplanten EU-KI-Verordnung (AI Act)?

Das DSFA nach DSGVO und die Anforderungen der EU-KI-Verordnung (AI Act) überschneiden sich in vielen Bereichen, haben aber unterschiedliche Schwerpunkte. Nach dem aktuellen Stand (2025) gilt:

  • Das DSFA fokussiert auf Datenschutzrisiken, während der AI Act ein breiteres Spektrum an Risiken abdeckt (Sicherheit, Grundrechte, Diskriminierung, etc.)
  • Die meisten HR-KI-Systeme werden unter dem AI Act als „Hochrisiko-Systeme“ klassifiziert und unterliegen damit strengen Anforderungen
  • Für Hochrisiko-Systeme fordert der AI Act ein Risikomanagement-System, das viele Elemente eines DSFA enthält

Praktische Empfehlung: Unternehmen sollten ihre DSFA-Methodik bereits jetzt um Elemente des AI Act erweitern, um Doppelarbeit zu vermeiden. Ein „erweitertes DSFA“ kann beide Anforderungskataloge abdecken und so Ressourcen sparen. Zentrale zusätzliche Elemente sind dabei:

  • Detailliertere Dokumentation der KI-Architektur und Trainingsdaten
  • Erweiterte Anforderungen an Transparenz und Erklärbarkeit
  • Spezifische Tests auf Robustheit und Genauigkeit
  • Umfassendere Maßnahmen zur menschlichen Aufsicht (Human Oversight)

Die Harmonisierung beider Rahmenwerke in einem integrierten Assessment-Prozess wird von Datenschutzbehörden empfohlen und spart langfristig erhebliche Ressourcen.

Welche Rolle spielt der Betriebsrat beim DSFA für HR-KI-Systeme?

Der Betriebsrat spielt eine zweifache Rolle beim DSFA für HR-KI-Systeme:

  1. Rechtliche Rolle: Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer geeignet sind. Dies betrifft die meisten HR-KI-Systeme. Das BAG hat in mehreren Urteilen (zuletzt 1 ABR 61/21) die Mitbestimmungspflicht auch bei KI-Systemen bekräftigt.
  2. Fachliche Rolle: Der Betriebsrat bringt die Perspektive der Beschäftigten ein und kann wertvolle Hinweise zu potenziellen Auswirkungen und Risiken aus Mitarbeitersicht geben.

Best Practices für die Einbeziehung des Betriebsrats:

  • Frühzeitige Information über geplante HR-KI-Systeme
  • Direkte Beteiligung im DSFA-Team (idealerweise ein BR-Mitglied mit IT/Datenschutz-Affinität)
  • Gemeinsame Workshops zur Risikobewertung
  • Regelmäßige Updates über den Fortschritt des DSFA
  • Einbeziehung bei der Festlegung von Schutzmaßnahmen

Die aktive Einbeziehung des Betriebsrats trägt nicht nur zur rechtlichen Absicherung bei, sondern führt nachweislich zu höherer Akzeptanz der HR-KI-Systeme bei der Belegschaft. Nach einer Studie des Instituts für Mitbestimmung und Unternehmensführung (2024) liegt die Akzeptanzrate bei Mitarbeiten um 34% höher, wenn der Betriebsrat aktiv in den DSFA-Prozess eingebunden wurde.

Wie geht man mit KI-Systemen um, die sich durch kontinuierliches Lernen verändern?

Lernende KI-Systeme stellen eine besondere Herausforderung für das DSFA dar, da sich ihre Funktionsweise und damit auch ihr Risikoprofil über Zeit verändern kann. Für solche Systeme empfiehlt sich ein mehrstufiger Ansatz:

  1. Initial-Assessment des Basis-Systems: Bewertung des Systems im Ausgangszustand, mit besonderem Fokus auf die Lernmechanismen und mögliche Drift-Szenarien
  2. Definition von Grenzwerten und Überwachungsmetriken: Festlegung klarer Parameter, bei deren Überschreitung eine Neubewertung erfolgen muss (z.B. Performance-Änderungen, Bias-Metriken)
  3. Kontinuierliches Monitoring: Implementierung eines automatisierten Überwachungssystems, das relevante Kennzahlen erfasst und analysiert
  4. Regelmäßige Review-Zyklen: Planmäßige Überprüfung des Systems in festen Intervallen (z.B. vierteljährlich)
  5. Event-basierte Neubewertung: Auslösung eines Mini-DSFA bei signifikanten Änderungen oder Überschreitung definierter Grenzwerte

Praktische Tipps aus der Erfahrung führender Unternehmen:

  • Implementieren Sie „Guardrails“ – technische Begrenzungen, die unerwünschtes Lernverhalten verhindern
  • Nutzen Sie Modell-Versioning, um bei Problemen zu einer bekannten, sicheren Version zurückkehren zu können
  • Setzen Sie auf transparente, erklärbare KI-Modelle, deren Entscheidungsfindung nachvollziehbar bleibt
  • Definieren Sie klare Verantwortlichkeiten für das kontinuierliche Monitoring
  • Dokumentieren Sie alle Modellveränderungen und deren Auswirkungen systematisch

Beispiel: Die Deutsche Bahn setzt bei ihrem lernenden HR-Matching-System auf ein „Ampelsystem“, das Modellveränderungen automatisch klassifiziert: Grün (unkritisch), Gelb (manuelle Prüfung erforderlich) und Rot (sofortige Neubewertung und ggf. Rollback).

Müssen Cloud-basierte HR-KI-Lösungen anders behandelt werden als On-Premise-Systeme?

Ja, Cloud-basierte HR-KI-Lösungen erfordern im DSFA besondere Aufmerksamkeit in mehreren Bereichen:

  1. Auftragsverarbeitung: Bei Cloud-Lösungen liegt typischerweise eine Auftragsverarbeitung nach Art. 28 DSGVO vor, die im DSFA zu berücksichtigen ist. Der AV-Vertrag muss auf KI-spezifische Aspekte eingehen (z.B. Trainingsverfahren, Modellanpassungen).
  2. Internationale Datentransfers: Bei Cloud-Anbietern außerhalb des EWR müssen die besonderen Anforderungen für Drittlandtransfers (Kap. V DSGVO) berücksichtigt werden. Nach dem Schrems-II-Urteil und den folgenden Entwicklungen sind hier besonders strenge Maßstäbe anzulegen.
  3. Shared Responsibility: Die Verantwortlichkeiten für Datenschutz und Datensicherheit sind zwischen Cloud-Anbieter und Nutzer geteilt. Diese Verantwortungsverteilung muss im DSFA klar dokumentiert werden.
  4. Kontrollmöglichkeiten: Die eingeschränkten direkten Kontrollmöglichkeiten bei Cloud-Lösungen erfordern alternative Überwachungsmechanismen, die im DSFA zu beschreiben sind.

Besondere Maßnahmen für Cloud-basierte HR-KI-Systeme:

  • Durchführung einer gründlichen Anbieterbewertung (Vendor Assessment) als Teil des DSFA
  • Prüfung vorhandener Zertifizierungen des Anbieters (ISO 27001, SOC 2, TISAX, etc.)
  • Klare vertragliche Regelungen zur Datennutzung (insbesondere: Nutzung der Daten zum Training anderer KI-Modelle ausschließen)
  • Implementierung zusätzlicher Sicherheitsmaßnahmen wie Client-seitige Verschlüsselung
  • Regelmäßige Überprüfung der Compliance des Anbieters (Audit-Rechte nutzen)

Ein praktischer Tipp: Viele Cloud-Anbieter stellen inzwischen DSFA-Hilfsdokumente bereit, die ihre technischen und organisatorischen Maßnahmen detailliert beschreiben. Diese können das DSFA erheblich erleichtern, sollten aber kritisch geprüft und nicht ungeprüft übernommen werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert