Deutsche Unternehmen stehen vor einem massiven regulatorischen Umbruch. Zwei konkrete Gesetzesänderungen zwingen HR-Abteilungen und Betriebsräte zu sofortigen Anpassungen im Umgang mit sensiblen Personaldaten.

Anzeige

Die EU-KI-Verordnung ist bereits in Kraft und stellt Unternehmen vor neue Herausforderungen bei der Dokumentation und Klassifizierung ihrer Systeme. Dieser kostenlose Leitfaden unterstützt Sie dabei, die neuen Regeln rechtssicher umzusetzen und Bußgelder zu vermeiden. EU-KI-Verordnung kompakt: Jetzt Umsetzungsleitfaden kostenlos sichern

Bundesrat besiegelt schärfere Sicherheitsvorgaben

Der Bundesrat hat am 6. März 2026 das KRITIS-Dachgesetz gebilligt. Das Gesetz setzt bundeseinheitliche Standards für den Schutz kritischer Infrastrukturen in elf Sektoren wie Energie und Gesundheit. Für die Personalarbeit hat das weitreichende Folgen: Betroffene Unternehmen müssen sich bis zum 17. Juli 2026 als KRITIS-Betreiber registrieren lassen.

Das bedeutet verpflichtende Überholungen bei Zugangskontrollen, Sicherheitsüberprüfungen und Hintergrundchecks für Mitarbeiter. Die sichere Verarbeitung hochsensibler Personaldaten wird damit zur Chefsache – ein Verstoß kann die nationale Infrastruktur gefährden. Die HR-Abteilung muss nun beweisen, dass sie diese Daten unter Einhaltung der DSGVO lückenlos schützt.

EU gewährt Aufschub für KI in der Personalauswahl

Parallel verschiebt die EU die Fristen für den Einsatz risikobehafteter Künstlicher Intelligenz. Das geht aus einer Analyse der Plattform Dr. Datenschutz vom 9. März hervor. Der sogenannte Digital Omnibus passt die Anwendungsfristen der KI-Verordnung an.

KI-Systeme im Personalwesen – wie algorithmische Recruiting-Software oder automatische Lebenslauf-Scans – gelten als hochriskant. Ursprünglich sollten sie bis August 2026 konform sein. Jetzt wurde die Frist auf den 2. Dezember 2027 verschoben. Doch Vorsicht: Die DSGVO-Regeln zu automatisierten Einzelentscheidungen gelten unverändert sofort. Unternehmen sollten die gewonnene Zeit für gründliche Datenschutz-Folgenabschätzungen nutzen.

Beschäftigtendatenschutzgesetz steht weiter in den Startlöchern

Im Hintergrund schreitet die Debatte um das Beschäftigtendatenschutzgesetz (BeschDG) voran. Der Entwurf soll nach einem EuGH-Urteil von 2023 endlich Klarheit schaffen – etwa beim Umgang mit Bewerberdaten oder der Mitarbeiterüberwachung.

Rechtsexperten raten Firmen, nicht auf die finale Abstimmung im Bundestag zu warten. Betriebsvereinbarungen sollten schon jetzt an den strengen Grundsatz der Datensparsamkeit im Gesetzesentwurf angepasst werden. Die Kernfrage lautet: Ist jede gespeicherte Information für das Arbeitsverhältnis zwingend notwendig?

Anzeige

Eine fehlende oder fehlerhafte Datenschutz-Folgenabschätzung kann Unternehmen teuer zu stehen kommen und Bußgelder von bis zu 2% des Jahresumsatzes nach sich ziehen. Mit diesen kostenlosen Muster-Vorlagen und Checklisten erstellen Sie eine rechtssichere DSFA in wenigen Schritten. Kostenloses E-Book mit DSFA-Vorlagen herunterladen

Digitale Personalakte als Risiko und Chance

Der Druck zur Compliance beschleunigt die Einführung digitaler Personalakten. Doch eine Studie von DocuWare warnt: Ohne durchdachte Berechtigungskonzepte bergen diese Systeme enorme Datenschutzrisiken.

Ein häufiger Fehler sind zu weit gefasste Zugriffsrechte auf sensible Daten. Um DSGVO und künftiges BeschDG zu erfüllen, müssen Unternehmen granulare Zugriffskontrollen einführen. Gehaltsdaten, Leistungsbeurteilungen und Gesundheitsinformationen müssen strikt voneinander getrennt werden. Jeder Zugriff muss protokolliert werden. Zudem ist für die Einführung solcher Systeme die Zustimmung des Betriebsrats zwingend erforderlich.

Komplexes Dreieck aus Compliance-Anforderungen

Die Gleichzeitigkeit von KRITIS-Gesetz, KI-Fristen und nationalem Datenschutzrecht schafft eine extrem komplexe Lage für Arbeitgeber. Datenschutz am Arbeitsplatz ist kein IT-Thema mehr, sondern eine Governance-Aufgabe, die HR, Rechtsabteilung und Betriebsrat in ständigen Dialog zwingt.

Die Gefahr von Schadensersatzklagen bei Datenpannen ist real. Die bloße Kontrolle über Personaldaten zu verlieren, kann bereits haftbar machen. Die Praxis, sich auf pauschale Mitarbeiter-Einwilligungen zu verlassen, wird daher durch strikte gesetzliche Notwendigkeit und transparente Betriebsvereinbarungen abgelöst.

Für das restliche Jahr 2026 ist entschlossenes Handeln gefragt. KRITIS-Betreiber müssen die Juli-Frist im Blick behalten. Alle Unternehmen sollten ihre KI-Tools trotz verlängerter Frist jetzt auf Bias und Datenschutz überprüfen. Das BeschDG wird der finale Katalysator sein, der rigorose Schutzstandards für Personaldaten endgültig verankert.

Trading

Finanztrends

Redaktion finanztrends.de

>>