ChatGPT und KI im HR: Was 2026 erlaubt ist, wo DSGVO-Grenzen liegen, wann der Betriebsrat mitbestimmt, ein Praxisleitfaden für Arbeitgeber.
Ein HR-Manager tippt in ChatGPT: "Erstelle ein Arbeitszeugnis für Max Mustermann, 32 Jahre, war als Projektleiter bei uns tätig, Bewertung gut." Zwei Sekunden später liegt ein fertig formuliertes Zeugnis vor. Problem: Max Mustermanns Daten sind jetzt bei OpenAI, ohne Rechtsgrundlage, ohne AVV, ohne Wissen des Mitarbeiters.
KI-Tools sind im HR-Alltag angekommen. Das ist eine Realität, die Arbeitgeber nicht mehr ignorieren können. Die Frage ist nicht ob, sondern wie sie eingesetzt werden, und welche rechtlichen Leitplanken dabei gelten. Wer das nicht klärt, riskiert Datenschutzverstöße und Ärger mit dem Betriebsrat.
Inhalt
- KI-Tools im HR-Alltag 2026, ein Überblick
- ChatGPT für Stellenanzeigen, Zeugnisse und Kommunikation
- KI für Dokumentenanalyse und Vertragsmanagement
- Datenschutz: Was bei personenbezogenen Daten gilt
- Betriebsvereinbarung: Wann der Betriebsrat Mitsprache hat
- Praktische Regeln für den KI-Einsatz im HR
- Fazit
1. KI-Tools im HR-Alltag 2026, ein Überblick
Der Einsatz von KI im Personalwesen hat sich 2024 und 2025 von einzelnen Experimentierfeldern zu einer breiten Alltagspraxis entwickelt. Das betrifft vor allem kleinere und mittlere Unternehmen, die KI nicht strategisch einführen, sondern schlicht nutzen, weil es funktioniert und Zeit spart.
Die häufigsten Einsatzbereiche 2026:
- Textgenerierung: Stellenanzeigen, Arbeitszeugnisse, Onboarding-Dokumente, Absagebriefe
- Dokumentenanalyse: Vertragsprüfung, Checklisten-Erstellung, Analyse von Tarifverträgen
- Gesprächsvorbereitung: Mitarbeitergespräche strukturieren, Fragelisten generieren
- Reporting: Texte für Personalberichte, Präsentationsfolien, HR-Kommunikation
- Übersetzungen: Dokumente für internationale Mitarbeiter automatisch übersetzen
Das klingt nach harmlosen Hilfsmitteln. Und für den größten Teil dieser Anwendungen stimmt das auch, solange keine personenbezogenen Daten verarbeitet werden. Genau da liegt die Grenze, die viele unbewusst überschreiten.
2. ChatGPT für Stellenanzeigen, Zeugnisse und Kommunikation
Stellenanzeigen sind das unkomplizierteste KI-Einsatzfeld im HR. Keine personenbezogenen Daten, keine sensiblen Informationen, klares Ziel: einen Text produzieren, der die richtigen Bewerber anspricht.
Was gut funktioniert
- Erstentwürfe für Stellenanzeigen erstellen lassen und dann anpassen
- Formulierungen auf gender-neutrale Sprache prüfen lassen
- Benefit-Texte formulieren ("Was wir bieten")
- Anforderungsprofile strukturieren
- Lokale Besonderheiten einbauen (z.B. Tarif, Homeoffice-Regelung)
Zeugnisse, die entscheidende Grenze
Beim Arbeitszeugnis wird es komplizierter. Das Dokument ist an eine bestimmte Person gebunden. Sobald Name, Beschäftigungszeit, Aufgaben oder Leistungsbeurteilung in den Prompt eingehen, handelt es sich um personenbezogene Daten nach Art. 4 DSGVO.
Das bedeutet: Generische Formulierungsbausteine über ChatGPT entwickeln, erlaubt. Den konkreten Zeugnis-Text mit echten Mitarbeiterdaten generieren lassen, nicht erlaubt, ohne AVV und DSGVO-konforme Basis.
| Anwendungsfall | Datenschutzrelevanz | ChatGPT ohne AVV |
|---|---|---|
| Stellenanzeige erstellen | Keine personenbezogenen Daten | Erlaubt |
| Zeugnis-Formulierungen entwickeln (generisch) | Keine personenbezogenen Daten | Erlaubt |
| Konkretes Zeugnis für "Max Mustermann" | Personenbezogene Daten | Nicht erlaubt |
| Absagebriefe (ohne Bewerberdaten) | Keine personenbezogenen Daten | Erlaubt |
| Absage mit Bezug auf spezifischen Bewerber | Personenbezogene Daten | Nicht erlaubt |
| Gesprächsleitfaden für Mitarbeitergespräch | Keine personenbezogenen Daten (wenn generisch) | Erlaubt |
| Leistungsbeurteilung eines konkreten Mitarbeiters | Personenbezogene Daten, ggf. besonders sensibel | Nicht erlaubt |
Kommunikation: Vorsicht bei E-Mail-Drafts
Wenn ein HR-Mitarbeiter ChatGPT bittet, eine schwierige E-Mail an einen Mitarbeiter zu formulieren und dabei Kontext wie "er war krankgeschrieben und hat jetzt Probleme mit dem Team" eingibt, fließen Gesundheitsdaten in ein unkontrolliertes System. Gesundheitsdaten sind nach Art. 9 DSGVO besonders geschützte Daten mit noch strengeren Anforderungen.
3. KI für Dokumentenanalyse und Vertragsmanagement
Ein wachsendes Einsatzgebiet ist die KI-gestützte Vertragsanalyse. Tools wie Harvey, Luminance oder spezialisierte HR-Software können Musterarbeitsverträge auf Klauseln prüfen, Tarifverträge zusammenfassen oder NachwG-Konformität der eigenen Vertragsmuster analysieren.
Sinnvolle Einsätze
- Vertragsmuster (ohne personenbezogene Daten) auf NachwG-Pflichtinhalte prüfen lassen
- Tarifvertragsauszüge zusammenfassen und erklären lassen
- FAQ-Dokumente für Mitarbeiter zu HR-Themen generieren
- Checklisten für Onboarding, Offboarding oder Betriebsprüfung erstellen
- Betriebsvereinbarungen auf inhaltliche Vollständigkeit überprüfen (strukturell, nicht rechtlich)
Wo Vorsicht geboten ist
Wer konkrete Mitarbeiterverträge in KI-Tools einlädt, um sie zu analysieren, gibt personenbezogene Daten preis. Auch unterschriebene Dokumente mit Vor- und Nachnamen, Gehaltszahlen und Beschäftigungsbeginn fallen darunter. Das ist ohne AVV eine Datenschutzverletzung.
Einige spezialisierte Legal-Tech-Anbieter bieten DSGVO-konforme Dokumentenanalyse mit EU-Server-Hosting und AVV an. Das ist der richtige Weg für Unternehmen, die dieses Potenzial systematisch nutzen wollen.
4. Datenschutz: Was bei personenbezogenen Daten gilt (Art. 28 DSGVO, AVV)
Die Datenschutzgrundverordnung kennt keine Ausnahme für KI. Wer personenbezogene Daten an einen Dritten übergibt, auch an einen KI-Dienst, braucht eine Rechtsgrundlage und, wenn es sich um Auftragsverarbeitung handelt, einen AVV.
Wann liegt Auftragsverarbeitung vor?
Auftragsverarbeitung (Art. 28 DSGVO) liegt vor, wenn ein Dritter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Bei KI-Diensten ist das der Regelfall, wenn echte Mitarbeiterdaten verarbeitet werden.
Der AVV muss mindestens regeln:
- Gegenstand, Dauer, Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien der Betroffenen
- Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Maßnahmen (TOMs)
- Unterauftragsverarbeiter (Sub-AVVs)
- Pflicht zur Löschung nach Auftragsende
US-Server und ChatGPT: OpenAI verarbeitet Daten auf US-Servern. Seit dem EU-US Data Privacy Framework (DPF, Juli 2023) ist der Transfer in die USA grundsätzlich zulässig, aber nur wenn der US-Anbieter beim DPF registriert ist und ein AVV abgeschlossen wurde. OpenAI bietet für Unternehmenskunden (ChatGPT Enterprise, API mit Datenschutzoptionen) einen AVV an. Die kostenlose Version und ChatGPT ohne Enterprise-Vertrag bieten keinen DSGVO-konformen AVV und können Eingaben für Modelltraining nutzen.
Kurzfassung: Wer die kostenlose Version von ChatGPT nutzt und echte Mitarbeiterdaten eingibt, verletzt die DSGVO. Das ist kein theoretisches Risiko, die Aufsichtsbehörden in Deutschland und Europa haben 2024-2025 mehrere Verfahren gegen Unternehmen eingeleitet.
Besondere Datenkategorien im HR
Neben den regulären personenbezogenen Daten gibt es im HR-Kontext regelmäßig besondere Datenkategorien nach Art. 9 DSGVO, die strengere Anforderungen haben:
- Gesundheitsdaten: Krankmeldungen, AU-Bescheinigungen, BEM-Prozesse
- Gewerkschaftszugehörigkeit: Relevant für Tarifbindung, Sonderrechte
- Biometrische Daten: Wenn Zeiterfassung per Fingerabdruck läuft
- Religiöse Überzeugungen: Urlaubsansprüche für religiöse Feiertage, Gebetszeiten
Für diese Daten gilt: Verarbeitung nur mit expliziter Einwilligung oder auf gesetzlicher Grundlage (§26 BDSG). KI-Tools ohne lückenlose Datenschutzgarantien sind hier vollständig ausgeschlossen.
5. Betriebsvereinbarung: Wann der Betriebsrat Mitsprache hat (§87 BetrVG)
KI im HR ist nicht nur eine Datenschutzfrage. Wenn ein Betriebsrat vorhanden ist, greift das Mitbestimmungsrecht des Betriebsverfassungsgesetzes, in einem Bereich, der viele Arbeitgeber überrascht.
§87 Abs. 1 Nr. 6 BetrVG: Der Betriebsrat hat ein erzwingbares Mitbestimmungsrecht bei der "Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen." KI-Tools, die Mitarbeiterdaten analysieren, auch wenn das nicht der primäre Zweck ist, können darunter fallen.
Relevante Beispiele: KI-gestützte Analyse von Krankheitsmustern, KI-Tool das Mitarbeitergespräche aufzeichnet und auswertet, automatisierte Leistungsbeurteilungen auf Basis von Systemdaten, KI-Screening von Bewerbungen (§80 BetrVG).
Was eine Betriebsvereinbarung regeln sollte
Wenn der Betriebsrat einbezogen werden muss, ist eine Betriebsvereinbarung (BV) zum KI-Einsatz der richtige Weg. Sie schafft Klarheit für alle Seiten und verhindert Streit.
- Welche KI-Tools werden für welche Zwecke eingesetzt?
- Welche Mitarbeiterdaten werden verarbeitet?
- Wie wird verhindert, dass Daten für Leistungsüberwachung genutzt werden?
- Wer hat Zugriff auf welche KI-generierten Auswertungen?
- Wie werden Mitarbeiter informiert?
- Wie können Mitarbeiter Entscheidungen anfechten, die auf KI-Auswertungen basieren?
Kein Betriebsrat vorhanden? Dann entfällt die Mitbestimmungspflicht, aber die DSGVO-Anforderungen gelten trotzdem vollständig. Mitarbeiter haben individuelle Rechte (Auskunft, Widerspruch, Art. 21 DSGVO), die nicht durch das Fehlen eines Betriebsrats wegfallen.
6. Praktische Regeln für den KI-Einsatz im HR
Aus den rechtlichen Anforderungen ergeben sich klare Spielregeln für den Alltag. Keine abstrakten Verbote, sondern handhabbare Leitlinien:
Goldene Regel: Kein Name, keine Daten
Wenn kein Mitarbeitername und keine identifizierenden Daten im Prompt stehen, ist das Risiko minimal. Diese Regel schützt vor 90 % der typischen Fehler.
Checkliste für KI-Toolauswahl
- Server-Standort: EU oder DPF-zertifizierter US-Anbieter?
- AVV verfügbar und abgeschlossen?
- Werden Eingaben für Modelltraining genutzt? (Opt-out prüfen)
- TOMs dokumentiert und ausreichend?
- Sub-Auftragsverarbeiter bekannt und abgesichert?
- Löschkonzept für Eingaben vorhanden?
- Betriebsrat (falls vorhanden) informiert?
Unternehmensrichtlinie KI im HR
Wer KI-Nutzung im Unternehmen nicht regelt, überlässt das Feld individuellen Entscheidungen der Mitarbeiter. Das führt zu einem unkontrollierten Flickenteppich an Tools und Datenschutzrisiken. Eine interne Richtlinie sollte:
- Erlaubte und nicht erlaubte KI-Tools benennen (Positivliste)
- Kategorien von Daten definieren, die nie in KI-Tools eingegeben werden dürfen
- Verantwortlichen für KI-Tool-Freigabe festlegen
- Meldeprozess bei versehentlicher Datenpanne regeln
- Schulungspflicht für HR-Mitarbeiter festschreiben
Transparenz gegenüber Mitarbeitern
Wenn KI im HR eingesetzt wird und Mitarbeiterdaten verarbeitet werden, müssen die Betroffenen informiert werden, entweder in der Datenschutzerklärung (Beschäftigtendatenschutz) oder durch gesonderte Information. Das ist kein bürokratisches Detail, sondern ein rechtliches Muss nach Art. 13/14 DSGVO. Einen allgemeinen Überblick über Datenschutz in HR und Lohnabrechnung bieten wir auf unserer Themenseite.
7. Fazit
KI macht echte HR-Arbeit einfacher, das stimmt. Stellenanzeigen in einem Viertel der Zeit, bessere Zeugnis-Formulierungen, strukturiertere Gespräche. Der Nutzen ist real und für viele HR-Mitarbeiter längst spürbar.
Aber der Übergang von "KI als Schreibhilfe" zu "KI verarbeitet Mitarbeiterdaten" passiert schnell und oft unbewusst. Wer diesen Schritt macht, ohne die rechtlichen Voraussetzungen zu schaffen, riskiert mehr als ein Bußgeld: Das Vertrauen der Mitarbeiter ist schwerer zurückzugewinnen als jede Geldstrafe.
Der pragmatische Weg: Klare interne Richtlinie, Positivliste genehmigter Tools, Schulung der HR-Mitarbeiter, Betriebsrat frühzeitig einbinden. Das ist kein Hindernis für KI-Nutzung, sondern die Grundlage dafür, sie dauerhaft und vertrauenswürdig einzusetzen.
