HR und GenAI: Zwischen Effizienzgewinn und Datenschutzrisiko

von | Juli 23, 2025 | KI im Personalwesen, News

zuletzt aktualisiert 6. Oktober 2025

Chancen treffen auf neue Herausforderungen

HR-Mitarbeiterin tippt sensible Personaldaten in ein KI-Chatfenster, während digitale Datenspuren aus dem Laptop in den Raum abstrahlen
Die Eingabe sensibler Informationen in KI-Tools kann unbemerkt zu Datenlecks führen – insbesondere im HR-Bereich, wo Gehalts- und Mitarbeiterdaten verarbeitet werden.

Tools wie ChatGPT, Copilot oder Claude verändern zunehmend die tägliche Arbeit in Personalabteilungen. Ob für das Verfassen von Arbeitszeugnissen, das Übersetzen von Bewerbungsschreiben oder das Formulieren von Feedback – generative KI wird in vielen HR-Prozessen bereits eingesetzt. Die versprochenen Effizienzvorteile sind erheblich, doch gleichzeitig rücken neue Risiken in den Fokus: Wie gehen Unternehmen mit sensiblen Personaldaten um, die in KI-Tools eingegeben werden? Und welche Verantwortung trägt dabei die HR-Abteilung?

Eine aktuelle Untersuchung des Analyseunternehmens Harmonic wirft ein Schlaglicht auf die Schattenseite dieses technologischen Fortschritts – mit besonderem Augenmerk auf Datenlecks und unbeabsichtigte Offenlegung vertraulicher Informationen. Denn das Risiko einer unbeabsichtigten Preisgabe sensibler Daten ist groß – gerade im Handlungsfeld von HR.

Besonders kritisch: Laut einer ergänzenden Befragung der Enterprise Strategy Group geben 82 % der Unternehmen an, überhaupt nicht zu wissen, ob – und wozu – Mitarbeitende generative KI aktuell nutzen. Diese fehlende Transparenz und der Einsatz von sog. Schatten-KI trifft vor allem in Personalabteilungen auf besonders sensible Daten – und kann zum blinden Fleck mit erheblichem Compliance-Risiko werden.

Personaldaten als Risikofaktor: Was wirklich in Prompts landet

Die Studie basiert auf der Auswertung zehntausender Nutzereingaben in populäre GenAI-Tools im vierten Quartal 2024. Dabei zeigt sich: 8,5 % der Prompts enthielten sensible Informationen, im Unternehmenskontext ein signifikanter Anteil. Besonders relevant für das Personalwesen: Rund 27 % dieser sensiblen Inhalte waren Mitarbeiterdaten.

Typische Inhalte:

  • Gehaltsdaten aus der Lohn- und Bonusplanung
  • PII (Personally Identifiable Information), z. B. Name, Geburtsdatum, Sozialversicherungsnummer
  • Leistungsbeurteilungen oder interne Disziplinarvermerke

Kostenlose KI-Versionen: Ein unterschätztes Sicherheitsrisiko

Besonders alarmierend: Die Mehrheit dieser sensiblen Eingaben erfolgt über kostenfreie Versionen von KI-Tools. So nutzten im Erhebungszeitraum:

  • 63,8 % der ChatGPT-Nutzer die kostenlose Variante
  • Davon entfielen 53,5 % der sensiblen Prompts auf diese Gruppe
  • Ähnlich hohe Werte zeigten sich bei Gemini (58,6 %), Claude (75 %) und Perplexity (50,5 %)

Da viele dieser Tools in den kostenfreien Versionen Trainingsdaten aus Nutzeranfragen extrahieren dürfen, besteht das reale Risiko, dass Personaldaten in öffentlich verfügbare KI-Modelle einfließen – mit potenziellen Konsequenzen für Vertraulichkeit, Compliance und Unternehmensreputation.

Kritische Nutzungsmuster im HR-Umfeld

Laut Studie betrifft die Weitergabe sensibler Daten in KI-Prompts vor allem folgende Kategorien:

KategorieBeispiele aus dem HR-Alltag
MitarbeiterdatenGehaltsberechnungen, Bonuspläne, Mitarbeitergespräche
Rechts-/FinanzdatenVertragsauszüge, Betriebsvereinbarungen, Budgetplanungen
SicherheitsdatenZugangsdaten für HR-Software, LDAP-Konfigurationen
Quellcode/Access KeysEingabe interner HR-Tools, API-Schlüssel für Bewerberportale

Besonders kritisch ist der unbewusste Umgang mit strukturierten Daten: Tabellen mit Personalnummern, CSV-Dateien mit Bewerberbewertungen oder interne KPI-Berichte werden zur Bearbeitung oft direkt in ein Prompt eingefügt – mit unklarer Datenweiterverwendung.

Typische Risikoszenarien beim Einsatz von GenAI im HR-Alltag

Die Studie zeigt, dass sensible Eingaben in KI-Tools oft unbeabsichtigt erfolgen – meist im Rahmen alltäglicher HR-Aktivitäten. Besonders riskant wird es, wenn strukturierte Daten oder personenbezogene Informationen unbedacht in generative Systeme übertragen werden. Die folgenden drei Beispiele veranschaulichen typische Anwendungsfehler:

1. Bonusplanung in der Gehaltsrunde

Eine HR-Managerin nutzt ChatGPT, um eine differenzierte Leistungsbegründung für die jährliche Bonuszuteilung zu formulieren. Zur Orientierung fügt sie eine Excel-Tabelle mit Gehaltsdaten, Bonusvorschlägen und Leistungsbewertungen mehrerer Teammitglieder in das Prompt ein – inklusive Klarnamen. Die Vertraulichkeit der Daten ist damit potenziell kompromittiert.

Risiko: Preisgabe interner Vergütungsstrukturen und personenbezogener Leistungsinformationen.

2. Übersetzung eines Abmahnungsschreibens

Ein Personaler bittet Claude, ein formales Abmahnungsschreiben ins Englische zu übersetzen. Der Originaltext enthält detaillierte Angaben zu Fehlverhalten, Zeitpunkten, Gesprächsverläufen sowie personenbezogene Informationen. Obwohl das Ziel legitim ist, werden dadurch besonders schützenswerte Daten einer generativen KI offengelegt.

Risiko: Verletzung der arbeitsrechtlichen Vertraulichkeitspflichten; mögliche Datenschutzverstöße nach Art. 9 DSGVO.

3. Erstellung eines internen Diversity-Reports

Zur Erstellung eines internen Berichts zur Diversitätsentwicklung bittet eine HR-Referentin ein KI-Tool um Hilfe bei Textentwurf und Visualisierung. Dafür überträgt sie personenbezogene Daten wie Alter, Geschlecht, Nationalität und Beschäftigungsdauer in das System – zunächst zur Diagrammerstellung, dann zur Kommentierung.

Risiko: Verarbeitung besonders sensibler Datenkategorien ohne ausreichende rechtliche Grundlage; Risiko der unbeabsichtigten Weitergabe.

Diese Beispiele verdeutlichen: Es sind nicht außergewöhnliche Fehler, sondern alltägliche Vorgänge, bei denen sensible Informationen durch Routinehandlungen unbewusst offengelegt werden. Genau deshalb ist es entscheidend, HR-Teams für diese Szenarien zu sensibilisieren und technische sowie organisatorische Schutzmaßnahmen zu etablieren.

Handlungsempfehlungen für HR-Abteilungen

Die bloße Einschränkung oder das vollständige Verbot von GenAI-Tools erscheint wenig realistisch. Vielmehr braucht es klare Governance-Strukturen und gezielte Schutzmechanismen – auch innerhalb der Personalabteilung. Harmonic leitet daraus fünf konkrete Forderungen ab:

1. Echtzeit-Überwachung der KI-Nutzung

HR-Systeme sollten protokollieren, ob und welche Daten in externe KI-Tools übertragen werden – idealerweise in Echtzeit.

2. Trennung von Free- und Enterprise-Versionen

Mitarbeitende sollten ausschließlich KI-Tools nutzen dürfen, deren Datenschutzstandards kontrollierbar sind. Die Nutzung von Free-Tiers ist risikobehaftet und sollte unterbunden werden.

3. Prompt-Level-Transparenz

Sicherheitsverantwortliche und HR-Leitungen benötigen Einblick in Inhalte sensibler Prompts – ohne dabei auf personenbezogene Inhalte direkt zugreifen zu müssen.

4. Sensitivitätsklassifikation

Automatisierte Tools zur Erkennung sensibler Begriffe (z. B. „Gehaltsgruppe“, „Mitarbeiterbewertung“) können Datenlecks schon bei der Eingabe unterbinden.

5. HR-spezifische Schulungen

KI-Weiterbildungen müssen speziell auf HR-Anwendungen zugeschnitten sein – inkl. Beispielen zu Bewerbermanagement, Mitarbeiterdatenverarbeitung und arbeitsrechtlichen Aspekten.

Fazit: Sicherheitsbewusstsein ist der Schlüssel zur produktiven KI-Nutzung im HR

Die Ergebnisse der Harmonic-Studie zeigen eindrücklich: HR-Abteilungen befinden sich in einem Spannungsfeld zwischen dem Effizienzgewinn durch generative KI und der wachsender Verantwortung im Umgang mit vertraulichen Informationen.

Der Schlüssel liegt nicht in einem kategorischen Verbot, sondern im Aufbau intelligenter Kontrollmechanismen, klarer Richtlinien und gezielter Kompetenzentwicklung. Denn nur, wenn HR-Teams wissen, welche Daten kritisch sind – und wie KI-Tools intern sicher genutzt werden können –, lässt sich das Potenzial der Technologie verantwortungsvoll entfalten.

Welche Risiken entstehen beim Einsatz von generativer KI im Personalwesen?

Durch den Einsatz generativer KI im HR-Bereich besteht das Risiko, dass sensible Daten wie Gehaltsinformationen, Leistungsbewertungen oder personenbezogene Mitarbeiterdaten unbeabsichtigt in externe Systeme gelangen. Dies kann zu Datenschutzverletzungen, DSGVO-Verstößen und Reputationsschäden führen.

Welche Arten von Personaldaten sind besonders gefährdet?

Besonders gefährdet sind personenbezogene Daten wie Name, Geburtsdatum, Gehalt, Leistungsbeurteilungen, Bonuspläne, PII (Personally Identifiable Information) und interne Bewerbungsunterlagen. Auch Tabellen oder strukturierte Dateien mit mehreren Mitarbeiterprofilen bergen hohe Risiken.

Warum sind kostenlose KI-Tools problematisch für den HR-Einsatz?

Kostenlose KI-Versionen trainieren häufig mit den eingegebenen Daten. Wenn sensible HR-Informationen in ein Free-Tier-System wie ChatGPT oder Claude eingegeben werden, können diese unbeabsichtigt zur Modellverbesserung verwendet werden – was gegen Datenschutzrichtlinien verstößt.

Wie können externe Dienstleister versehentlich Kundendaten weitergeben?

Wenn externe HR-Dienstleister generative KI verwenden, um Kundendokumente oder Bewerberfeedback zu formulieren oder zu übersetzen, können sie vertrauliche Inhalte unbewusst in öffentliche Systeme eingeben. Dies stellt eine unzulässige Weitergabe fremder Daten dar – selbst ohne direkte Personenbezüge.

Was sind typische Fehlerszenarien im HR-Alltag mit KI-Tools?

Häufige Fehler sind z. B. das Einfügen kompletter Mitarbeiterlisten in ein Chatfenster zur Textformulierung, das Übersetzen von Disziplinarmaßnahmen oder das Hochladen von Bewerbungsunterlagen zur Analyse. Diese Routinehandlungen können unbeabsichtigt zu Datenschutzverstößen führen.

Welche Schutzmaßnahmen sollten HR-Abteilungen ergreifen?

Empfehlenswert sind technische Maßnahmen wie Prompt-Monitoring, Datenklassifikation, der Ausschluss von Free-Tier-Nutzung sowie Schulungen zu KI-spezifischen Datenschutzrisiken. Zudem sollten klare Richtlinien für die Eingabe sensibler Daten etabliert werden.

Gibt es rechtliche Konsequenzen bei Verstößen?

Ja, insbesondere bei Verstößen gegen die DSGVO drohen Unternehmen Bußgelder und Imageschäden. Wenn personenbezogene Daten ohne Einwilligung oder legitime Rechtsgrundlage an KI-Dienste übermittelt werden, handelt es sich um eine Datenschutzverletzung.

Wie schaffen HR-Teams Transparenz über KI-Nutzung im Unternehmen?

Durch den Einsatz von Usage-Tracking, zentralem Reporting über genutzte KI-Tools und die Schulung von Mitarbeitenden zu sicheren Anwendungsszenarien können HR-Abteilungen mehr Transparenz schaffen und Risiken gezielt steuern.

best practice | dsgvo | Studien zum Einsatz von KI im Personalwesen | tools

verwandte Artikel:

Neueste Artikel & Insights über den Einsatz von KI im Personalwesen

Wenn KI-Trainer vor Chatbots warnen

Einleitung: Die paradoxe Vertrauenskrise im KI-Ökosystem Generative KI wird in Organisationen und im Alltag immer präsenter. Unternehmen versprechen Effizienzgewinne und setzen zunehmend auf Automatisierung – teils verbunden mit Stellenabbau. Ein...

mehr lesen

Personalplanung mit KI: Eine Übersicht

Summary In der Personalplanung vollzieht sich ein Wandel durch Künstliche Intelligenz (KI), der sämtliche Branchen und Unternehmensgrößen umfasst. KI-gestützte Workforce-Planning-Lösungen werden branchenübergreifend – etwa im Gesundheitswesen,...

mehr lesen

Impressum & Datenschutz