KI-Meeting-B Stille Datenschutz-Fallen im HR-Bereich

KI-Transkriptionshilfen in Personalgesprächen verstoßen systemisch gegen DSGVO und den neuen EU-KI-Akt – das zeigt eine aktuelle Analyse. Deutsche Unternehmen riskieren hohe Bußgelder und Klagen.

Hamburg/Brüssel – In deutschen Personalabteilungen wächst die Sorge. Der Grund: Eine heute veröffentlichte Untersuchung zu KI-gestützten „Meeting-Bots“ wie Otter.ai oder Microsoft Copilot. Diese stillen Zuhörer in Bewerbungsgesprächen könnten einen massiven Verstoß gegen die DSGVO und den seit Anfang 2026 voll durchgreifenden EU-KI-Akt darstellen. Experten warnen vor einer systemischen Datenschutzlücke.

Schatten-KI ohne Kontrolle

Im Zentrum des Skandals steht der Bericht der Denkfabrik Social Europe vom 21. Januar. Er identifiziert sogenannte „Schatten-KI“ als Hauptgefahr. Gemeint sind Tools, die Mitarbeiter eigenmächtig installieren, ohne dass die IT-Abteilung davon weiß.

Ein typisches Szenario: Ein Recruiter lädt einen KI-Assistenten zum Video-Interview ein, um eine automatische Zusammenfassung zu erhalten. Das Problem: Die Bots treten oft als stille Teilnehmer auf. Sie zeichnen Gespräche auf und verarbeiten Sprachdaten – meist ohne dass Bewerber die Tragweite verstehen.

Viele Unternehmen unterschätzen, wie weitreichend der EU‑KI‑Akt Personal‑KI als Hochrisiko‑System einstuft – besonders Recruiting‑Tools und Meeting‑Bots können ohne Nachweise zu Kennzeichnungspflichten, fehlender Datenresidenz in der EU und mangelnder menschlicher Aufsicht führen, was empfindliche Bußgelder nach sich ziehen kann. Der kostenlose Umsetzungsleitfaden zur EU‑KI‑Verordnung fasst Anforderungen, Risikoklassen und Dokumentationspflichten zusammen und liefert eine praxistaugliche Checkliste für HR‑Teams. Jetzt kostenlosen KI‑Umsetzungsleitfaden herunterladen

„Die Einwilligung eines Bewerbers ist in dieser Machtungleichheit oft rechtlich wertlos“, erklärt eine Hamburger Datenschutzexpertin. Wer für den Job die Aufzeichnung akzeptieren muss, gibt keine „freiwillige“ Zustimmung im Sinne der DSGVO. Ein klarer Verstoß.

Zudem transferieren viele Consumer-Bots Audio-Daten in die USA. Nach den strengen „Schrems II“-Standards ist das für sensible HR-Daten – etwa zu Gesundheit oder Gewerkschaftszugehörigkeit – ein unkalkulierbares Risiko für deutsche Unternehmen.

Personal-KI gilt als Hochrisiko-System

Die Rechtslage hat sich 2026 verschärft. Der EU-KI-Akt stuft Systeme für „Personalmanagement“ und „Rekrutierung“ explizit als Hochrisiko-KI ein. Das hat konkrete Folgen:

• Menschliche Aufsicht ist Pflicht: Einstellungsentscheidungen dürfen nicht allein auf KI-Zusammenfassungen basieren, die fehlerhaft oder voreingenommen sein können.
• Transparenz vorab: Bewerber müssen vor dem Gespräch klar informiert werden, dass eine KI ihre Antworten oder sogar ihre Emotionen analysiert.
• Strenge Datenkontrolle: Es braucht hohe Standards, um diskriminierende Ergebnisse zu verhindern.

Laut dem Hamburgischen Beauftragten für Datenschutz (HmbBfDI) scheitert der lockere Umgang mit Meeting-Bots bereits an der Transparenz. Taucht ein Bot nur als Teilnehmer „NoteTaker“ auf, ohne vorherige Erklärung, verstößt der Arbeitgeber gegen die DSGVO.

Die Falle der „besonderen Kategorien personenbezogener Daten“

Eine spezielle Gefahr lauert bei Artikel-9-Daten der DSGVO. In Vorstellungsgesprächen oder Mitarbeitergesprächen werden oft Gesundheitsinfos (z.B. zu Behinderungen) oder Angaben zur Familienplanung preisgegeben.

Für die Aufzeichnung solcher hochsensiblen Daten reicht das „berechtigte Interesse“ des Arbeitgebers nicht aus. Hier ist eine ausdrückliche, verstärkte Einwilligung nötig – oder eine spezielle gesetzliche Grundlage nach dem Bundesdatenschutzgesetz (BDSG).

Die Gefahr potenziert sich durch die „Always-on“-Funktion mancher Bots. Tools, die mit Kalendern synchronisiert sind, können versehentlich vertrauliche interne Meetings oder sogar Betriebsrats-Sitzungen aufzeichnen. In Deutschland ist die unerlaubte Aufnahme des „nicht-öffentlich gesprochenen Wortes“ nach §201 StGB strafbar.

Was Personalverantwortliche jetzt tun müssen

Wirtschaftsverbände raten zu sofortigen Notfallmaßnahmen. Unautorisierte KI-Erweiterungen auf Firmengeräten sollten gesperrt werden. Erlaubt sein sollten nur Enterprise-Versionen mit klaren Datenverarbeitungsverträgen (AV-Verträgen) und garantierter Datenhaltung in der EU.

Experten rechnen 2026 mit einer Welle von Auskunftsersuchen abgelehnter Bewerber. Sie werden wissen wollen, ob eine KI ihr Interview analysiert hat. Können Unternehmen nicht nachweisen, dass ein Mensch die finale Entscheidung traf, drohen Diskriminierungsklagen und saftige Bußgelder.

Für HR-Leiter heißt das konkret:
* Sofort prüfen: Netzwerke und Kalender auf unbefugte „Schatten-KI“ scannen.
* Stille Aufnahmen verbieten: Bots müssen ihre Anwesenheit und Funktion klar akustisch und visuell ankündigen.
* Anbieterverträge prüfen: Garantiert das Tool EU-Datenresidenz und nutzt es Daten nicht zum Training öffentlicher KI-Modelle?
* Datenschutzerklärungen aktualisieren: Muss klarstellen, ob und wie KI-Transkription in Interviews zum Einsatz kommt.

Die Ära „Einfach ausprobieren“ ist in der HR-Technologie vorbei. Compliance ist keine Option mehr, sondern Voraussetzung.

PS: Der neue EU‑KI‑Akt betrifft bereits Personalprozesse – kennen Sie die laufenden Übergangsfristen und die sofort umsetzbaren Maßnahmen für HR? Unser kompakter Leitfaden erklärt, welche Dokumentation, Kennzeichnung und Nachweise bei Auskunftsersuchen nötig sind, wie Sie Anbieter‑Verträge prüfen und welche konkreten Schritte Sie jetzt zur Risiko­minimierung setzen sollten. Praktische Checklisten helfen, DSGVO‑ und KI‑Compliance schnell umzusetzen. EU‑KI‑Verordnung: Gratis‑Leitfaden für HR herunterladen