HR-Compliance, Whistleblowing und Arbeitsrecht
DSGVO-Datenpanne § 33/34: 72-h-Meldung + Betroffenen-Information
anymize pseudonymisiert Betroffenen-Liste und sensitive Inhalts-Snippets aus geleakten Dokumenten automatisch, bevor das DSGVO-Art.-33-Meldungs-Paket an GPT, Claude oder Gemini geht. So entsteht die strukturierte 72-h-Meldung an die Aufsichtsbehörde + Art.-34-Betroffenen-Information mit Vorfalls-Beschreibung, Risiko-Bewertung, Schutzmaßnahmen in Stunden — kritisch im Krisen-Zeitfenster, ohne § 26 BDSG zu berühren.
Schwierigkeit: Spezialist · Datenklasse: Beschäftigtendaten · Letztes Review:
Zur Orientierung gedacht. Die personalrechtliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Hinweis
Krisen-Workflow: 72-h-Meldefrist absolut
DSGVO Art. 33 erzwingt 72-h-Meldepflicht ab Kenntnis. Bei verspäteter/unvollständiger Meldung Bußgeld bis 10 Mio EUR / 2 % Umsatz (Art. 83 Abs. 4); bei vorsätzlicher Verheimlichung bis 20 Mio EUR / 4 % (Abs. 5). KI darf KEINE spekulativen 'wahrscheinlichen' Sachverhalte erfinden — jede Aussage IT-Security-Forensik-gestützt. Bei Art.-9-Datenpanne (Gesundheitsdaten geleakt): zusätzliche Sorgfalt.
Anwendungsbereich
Worum geht es hier?
HR-Datenpannen sind hochsensible Compliance-Vorfälle mit DSGVO-Art.-33/34-Meldepflicht. Schnittpunkt § 26 BDSG, DSGVO Art. 9 (Gesundheits-, Religions-Daten), AGG (bei Diskriminierungs-relevanten Daten) und Arbeitsrecht (BR-Information). Krisen-Charakter (72-h-Frist) macht KI-Strukturierung wertvoll.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- DSB (Federführung), HR-Compliance, IT-Security, CISO, Personalleiter/-leiterin. Sekundär: Geschäftsleitung, Konzern-Compliance, externe Anwaltskanzlei, BR.
- Seniorität
- Fortgeschritten bis Senior — Krisen-Workflow erfordert DSGVO-, IT-Security- und HR-Verständnis.
- Unternehmensgröße
- Alle ab 50 MA (DSB-Pflicht ab 20 MA bei automatisierter Verarbeitung). Strukturierter KI-Workflow lohnt ab Mittelstand.
- Spezifische Kontexte
- Fehlversand Personalakte per E-Mail; Insider-Datenleck (gekündigte/r MA nimmt Personalliste mit); Phishing-Credential-Diebstahl; Cloud-Misconfiguration (S3/SharePoint öffentlich); BR-Korrespondenz versehentlich verteilt; KI-Tool-Halluzination veröffentlicht Personenbezug.
Die Situation in der Personalabteilung
So bringen Sie Tempo und Sorgfalt zusammen
HR-Datenpannen besonders sensibel: § 26 BDSG-geschützte Daten + Art. 9 Sondervorgaben + AGG-Merkmale. DSGVO Art. 33 erzwingt: 72-h-Meldepflicht ab Kenntnis an zuständige Aufsichtsbehörde (LfD je Bundesland); Inhalte (Art der Verletzung, betroffene Kategorien + Anzahl, Folgen, Maßnahmen); Art. 34 Betroffenen-Information bei hohem Risiko. Krisen-Zeitfenster: Sachverhalts-Klärung unter Zeitdruck, Risiko-Bewertung, Strukturierung nach LfD-Online-Formularen, Betroffenen-Information verständlich, BR-Information. Halluzinations-Risiko: KI darf keine spekulativen Sachverhalte erfinden — jede Aussage IT-Security-Forensik-gestützt. anymize-Kernhebel: Betroffenen-Listen, Personalnummern, Art.-9-Daten dürfen nicht ungeschützt in Public-LLM.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro Vorfall
1,5–4 h
Bei 1–5 Vorfällen p.a.: 1,5–20 h jährlich. Krisen-Zeit-Faktor besonders kritisch wegen 72-h-Frist.
Bußgeld-Vermeidung
bis 20 Mio EUR
Art. 83 Abs. 4 (2 % Umsatz) bei verspäteter/unvollständiger Meldung; Abs. 5 (4 %) bei vorsätzlicher Verheimlichung.
72-h-Frist
absolut
DSGVO Art. 33 ab Kenntnis. Aufsichtsbehörde-Online-Portal-Übermittlung.
Halluzinations-Schutz
Forensik-gestützt
Jede Aussage muss IT-Security-Forensik-Beleg, HR-Auskunfts-Quelle oder dokumentierte Kontrolle haben.
So gehen Sie vor
Der Workflow Schritt für Schritt
Vorfalls-Eingang: IT-Security-Alert oder MA-Hinweis oder Aufsichtsbehörde-Anfrage. Sofort: 72-h-Frist-Tracker DSGVO Art. 33.
DSB + IT-Security + HR-Compliance
DSGVO Art. 33; Krisen-Zeit-Faktor
Sachverhalts-Klärung: IT-Forensik (Logs, Audit-Trail, Phishing-E-Mail-Analyse); HR-Auskunfts-Quelle (welche MA-Daten betroffen).
IT-Security + HR-Compliance
Faktenbasis ohne Spekulation
Risiko-Bewertung: Schweregrad (Vertraulichkeits-/Integritäts-/Verfügbarkeits-Verletzung); Art.-9-Daten betroffen? AGG-Merkmale betroffen?
DSB
DSGVO Art. 34-Schwelle; Art. 9 Sonder-Sensitivität
Datenklassifikation: Klasse A; bei Gesundheits-/SchwB-Daten Klasse A+. Bei verdächtigem Inhalt aus geleakten Dokumenten: Snippets pseudonymisieren vor KI-Verarbeitung.
DSB
§ 26 BDSG; DSGVO Art. 9
anymize-Pseudonymisierung Betroffenen-Liste + geleakte Snippets: [[MA-…]], [[SchwB-…]], [[Gesundheitsdaten-Art9-…]].
anymize
§ 26 BDSG; DSGVO Art. 28
KI-Drafting Art.-33-Meldungs-Paket: Vorfalls-Beschreibung (basierend auf Forensik), betroffene Kategorien + Anzahl, Folgen (DSGVO-Rechte-Beeinträchtigung), Maßnahmen (Abhilfe + Schadensminderung), Empfehlungen für Betroffene. Art.-34-Betroffenen-Information falls hohes Risiko.
GPT / Claude / Gemini in anymize
DSGVO Art. 33 Abs. 3 + Art. 34
Re-Identifikation für Aufsichtsbehörde-Übermittlung; Halluzinations-Check: jede Aussage gegen Forensik-Belege verifizieren. KEINE 'wahrscheinlichen' Sachverhalte ohne Beleg.
Mensch + anymize
Halluzinations-Risiko = selbst-belastend
DSB-Letztcheck + IT-Security-Bestätigung + ggf. externe Anwaltskanzlei (insb. bei größeren Vorfällen). BR-Information bei Beschäftigten-relevanten Daten. Übermittlung an Aufsichtsbehörde-Online-Portal innerhalb 72 h. Bei Art. 34: Betroffenen-Information zusätzlich.
DSB
DSGVO Art. 33; Art. 34
Folge-Workflow: Schadensminderung; Bias-Audit bei KI-Tool-Halluzination; Mitarbeiter-Schulung (→ UC-V-HR-HRC-017); Audit-Log + 5-Jahres-Aufbewahrung; ggf. Compliance-Investigation (→ UC-V-HR-HRC-019).
Mensch + System
DSGVO Art. 5 Abs. 2 Rechenschaftspflicht
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Pseudonymisiert Betroffenen-Listen + geleakte Inhalts-Snippets in Krisen-Zeit.
- Art.-9-Flag bei Gesundheits-/SchwB-Daten — On-Premises-LLM-Routing.
- Re-Identifikation für Aufsichtsbehörde-Übermittlung mit Klarnamen.
- Verarbeitung in deutschen Rechenzentren (Hetzner) oder On-Premises bei Art.-9.
Was Sie als DSB / IT-Security tun
- IT-Forensik VOR KI-Drafting: Logs, Audit-Trail, Phishing-Analyse.
- Halluzinations-Mitigation: jede Aussage gegen Forensik-Beleg verifizieren.
- 72-h-Frist-Tracker zwingend; bei Aufsichtsbehörde-Übermittlung Online-Portal je Bundesland.
- Bei Art. 34-Schwelle: Betroffenen-Information mit Schutzmaßnahmen.
- BR-Information bei MA-Daten-Betroffenheit; bei größeren Vorfällen externe Kanzlei.
Daten-Input
IT-Forensik-Bericht; HR-Auskunfts-Quelle (betroffene MA-Kategorien); Aufsichtsbehörde je Bundesland; ggf. geleakte Dokument-Snippets; Schadensminderungs-Maßnahmen.
Output-Kontrolle
Re-identifiziertes Art.-33-Meldungs-Paket (Vorfalls-Beschreibung, betroffene Kategorien + Anzahl, Folgen, Maßnahmen) + ggf. Art.-34-Betroffenen-Information (verständliche Sprache, Schutzmaßnahmen).
Freigabeprozess
DSB → IT-Security-Bestätigung → ggf. externe Anwaltskanzlei → Geschäftsleitung → Aufsichtsbehörde-Online-Portal innerhalb 72 h. anymize ist der Anonymisierungs-Layer im Krisen-Workflow.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. IT-Forensik-Bericht + HR-Auskunfts-Quelle vorbereiten (vor KI-Drafting!).
2. In anymize einfügen — Pseudonymisierung Betroffenen-Liste + Snippets läuft automatisch.
3. Prompt anhängen, KI-Aufruf starten — KEINE spekulativen Aussagen tolerieren.
4. Verifikation jeder Aussage gegen Forensik-Beleg; Re-Identifikation für LfD-Übermittlung.
5. DSB-Letztcheck; bei Art.-9-Datenpanne externe Kanzlei.
6. LfD-Online-Portal-Übermittlung innerhalb 72 h.
7. Bei Art.-34-Schwelle: Betroffenen-Information parallel.
# Context (C)
Rechtsstand: <heutiges Datum>. Du entwirfst ein DSGVO-Art.-33-Meldungs-
Paket für eine HR-Datenpanne + ggf. Art.-34-Betroffenen-Information.
Input: IT-Forensik-Bericht, HR-Auskunfts-Quelle (betroffene MA-Kategorien);
Betroffenen-Liste pseudonymisiert; ggf. geleakte Snippets pseudonymisiert.
# Role (R)
Du agierst als DSB-Drafting-Assistenz mit Kenntnis DSGVO (Art. 33 72-h-
Meldung, Art. 34 Betroffenen-Information, Art. 35 DPIA, Art. 83 Bußgelder),
§ 26 BDSG, ggf. Art. 9 DSGVO, BfDI-Tätigkeitsberichte zu HR-Datenpannen.
# Action (A)
1. **Art.-33-Vorfalls-Beschreibung**: Art der Verletzung (Vertraulichkeit /
Integrität / Verfügbarkeit), Zeitpunkt, Entdeckung, Ursache.
**NUR forensisch belegte Aussagen** — keine Spekulation.
2. **Betroffene Kategorien personenbezogener Daten**: welche Kategorien
(Stammdaten, Gehalt, Krankheits-Daten, etc.); Anzahl betroffener
Personen.
3. **Wahrscheinliche Folgen**: für Rechte und Freiheiten der Betroffenen
(Identitätsdiebstahl, Diskriminierung, Reputations-Schaden, Phishing-
Anschluss-Risiko, etc.).
4. **Ergriffene/geplante Abhilfe-Maßnahmen**:
- Sofort: Account-Sperrung, System-Patches, Forensik-Sicherung.
- Mittelfristig: Sicherheits-Schulung (→ UC-V-HR-HRC-017),
System-Härtung.
- Bei Art.-9-Datenpanne: zusätzliche Schutzmaßnahmen.
5. **DSB-Kontaktdaten**: Name, Position, Erreichbarkeit.
6. **Art.-34-Schwelle bewerten**: hohes Risiko für Rechte/Freiheiten?
- Bei JA: Art.-34-Betroffenen-Information drafttieren — verständliche
Sprache, Schutzmaßnahmen-Empfehlungen, Kontakt für Rückfragen.
- Bei NEIN: Begründung dokumentieren.
7. **Pflicht-Auslassung**: keine spekulativen "wahrscheinlichen"
Sachverhalte — nur Forensik-Belege. Bei Lücken `[[FEHLEND: Forensik
prüfen]]`.
8. **AGG-/HinSchG-Cross-Check**: bei Diskriminierungs-relevanten Daten
bzw. Whistleblower-Identitäten zusätzliche Sensitivität.
# Format (F)
- Strukturiertes Art.-33-Meldungs-Paket nach LfD-Online-Formular je
Bundesland.
- Separat Art.-34-Betroffenen-Information falls Schwelle erreicht.
- Verständliche Sprache (Art. 34 für Laien).
- Bei jeder unsicheren Aussage `[[FEHLEND]]`.
- Keine spekulativen Aussagen.
# Target Audience (T)
- Art. 33: zuständige Aufsichtsbehörde (LfD); juristisch korrekt, vollständig.
- Art. 34: betroffene Beschäftigte; verständlich, schutz-handlungsfähig.So sieht der Input aus
Pseudonymisierter Eingabetext
Vorfall: Fehlversand Gehaltsdatei per E-Mail
Eingangsdatum: 2026-05-11 09:15 (Selbst-Meldung durch HR-Sachbearbeiterin)
72-h-Frist: 2026-05-14 09:15
IT-Forensik:
- E-Mail-Versand 2026-05-10 17:32 von HR-Postfach an externen Empfänger [[Ext-Empfaenger-…]] (Verwechslung mit ähnlicher Adresse Steuerberater [[Steuerberater-…]]).
- Anhang: Lohnsteuer-Datei mit Daten von 42 MA: Klarname, SV-Nr., Steuer-ID, Brutto, Netto, Lohnsteuer-Klasse, Kirchensteuer-Status (Art. 9!).
- Externer Empfänger [[Ext-Empfaenger-…]] hat 2026-05-11 08:50 selbst gemeldet, E-Mail gelöscht ohne Weiterverarbeitung.
- IT-Forensik: keine weiteren Empfänger; E-Mail-Server-Log bestätigt Single-Recipient.
Betroffene: 42 MA; davon 3 mit SchwB-Status (Art. 9); 14 mit konfessioneller Kirchensteuer (Art. 9).
Risiko-Bewertung: durch Selbst-Löschung Empfänger niedrig bis mittel; aber Art.-9-Daten betroffen → Art.-34-Schwelle prüfen.So liefert anymize zurück
Der KI-Entwurf
# DSGVO Art. 33-Meldung an Aufsichtsbehörde
[An: Landesbeauftragte/r für Datenschutz [[Bundesland-…]]]
[Datum 2026-05-11]
## 1. Art der Verletzung
**Vertraulichkeits-Verletzung** durch Fehlversand einer Lohnsteuer-Datei
per E-Mail an einen externen, unbeteiligten Empfänger.
## 2. Zeitpunkt
- **Vorfall**: 2026-05-10 17:32
- **Entdeckung**: 2026-05-11 08:50 (Selbst-Meldung externer Empfänger)
- **Bestätigung intern**: 2026-05-11 09:15
## 3. Ursache (forensisch belegt)
Verwechslung der E-Mail-Adresse mit ähnlicher Adresse des regelmäßigen
Steuerberaters durch HR-Sachbearbeiterin. Keine Auto-Vervollständigungs-
Fehler — manuelles Eintippen, Tippfehler.
## 4. Betroffene Kategorien
- **42 Beschäftigte** mit Stammdaten (Name, SV-Nr., Steuer-ID), Gehalts-
Daten (Brutto, Netto, Lohnsteuer-Klasse, Kirchensteuer).
- **Art. 9 DSGVO**: 3 MA mit SchwB-Status (Behinderung); 14 MA mit
konfessioneller Kirchensteuer (Religion).
## 5. Wahrscheinliche Folgen
**Durch Selbst-Löschung niedrig bis mittel**, aber:
- Art.-9-Daten (Religion, Behinderung) sind besonders schutzwürdig.
- Identitätsdiebstahl-Risiko durch SV-Nr. + Steuer-ID begrenzt durch
Empfänger-Kooperation.
- Phishing-Anschluss-Risiko gegen Beschäftigte: theoretisch, aber
Empfänger hat versichert E-Mail gelöscht ohne Weiterverarbeitung.
## 6. Ergriffene Maßnahmen
- **Sofort 2026-05-11**: E-Mail-Löschungs-Bestätigung extern eingeholt;
HR-System-Audit; IT-Forensik-Sicherung der Server-Logs.
- **Mittelfristig**: Lohnsteuer-Datei-Versand künftig nur über
verschlüsseltes Portal (KEIN E-Mail-Versand); Sensibilisierungs-Schulung
(→ UC-V-HR-HRC-017); Adress-Whitelist im HR-Postfach für Steuer-Empfänger.
## 7. DSB-Kontakt
[[DSB-Name]], [[DSB-Position]], [[DSB-E-Mail]], [[DSB-Telefon]]
## 8. Art.-34-Schwelle-Bewertung
**Hohes Risiko bejaht** wegen Art.-9-Daten (Religion + Behinderung) trotz
Selbst-Löschung. → Art.-34-Betroffenen-Information parallel.
---
# DSGVO Art. 34-Betroffenen-Information
Sehr geehrte/r [[MA-Name-empfaenger]],
am 10.05.2026 ist es zu einem Vorfall im Bereich Lohnabrechnung gekommen:
Eine Datei mit Ihren Lohnsteuer-Daten (Name, SV-Nr., Steuer-ID, Gehalt,
Lohnsteuer-Klasse, Kirchensteuer-Status, ggf. Schwerbehinderten-Status)
wurde versehentlich an einen externen Empfänger geschickt.
**Was ist passiert?**
Eine HR-Sachbearbeiterin hat die Datei an eine falsche E-Mail-Adresse
gesendet — durch eine Adress-Verwechslung mit einem ähnlichen Empfänger.
Der externe Empfänger hat den Vorfall sofort gemeldet und versichert, die
E-Mail gelöscht zu haben, ohne sie an Dritte weiterzugeben.
**Welche Daten sind betroffen?**
- Name, SV-Nummer, Steuer-ID
- Brutto- und Netto-Gehalt, Lohnsteuer-Klasse
- Bei einigen Beschäftigten: Kirchensteuer-Status (Religion)
- Bei wenigen Beschäftigten: Schwerbehinderten-Status
**Was haben wir getan?**
- Sofortige Bestätigung der E-Mail-Löschung beim externen Empfänger.
- IT-Forensik-Sicherung der Server-Logs.
- Meldung an die Aufsichtsbehörde DSGVO Art. 33.
- Künftiger Versand von Lohnsteuer-Dateien nur über verschlüsseltes Portal.
**Was empfehlen wir Ihnen?**
- Sollten Sie verdächtige Phishing-E-Mails oder unbekannte Kreditkarten-
Transaktionen bemerken, melden Sie sich umgehend bei uns.
- Bei Fragen oder Sorgen: DSB-Kontakt [[DSB-E-Mail]] oder [[DSB-Telefon]].
**Ihre Rechte (DSGVO)**:
- Auskunft über Ihre Daten (Art. 15) — siehe UC-V-HR-HRC-014.
- Beschwerde bei der Aufsichtsbehörde [[Bundesland-LfD]].
- Schadensersatz-Anspruch (Art. 82 DSGVO) — bei nachweislichem Schaden.
Wir entschuldigen uns für den Vorfall und nehmen die Sicherheit Ihrer
Daten sehr ernst.
Mit freundlichen Grüßen
[[DSB-Name]]
Datenschutzbeauftragte/r [[AG-Name]]Was das HR-Recht verlangt
Pflichten — und wie anymize sie abdeckt
DSGVO Art. 33 — 72-h-Meldefrist absolut
Ab Kenntnis. Verspätung bei Bußgeld bis 10 Mio EUR / 2 % (Art. 83 Abs. 4). 72-h-Frist-Tracker zwingend.
DSGVO Art. 34 — Betroffenen-Information bei hohem Risiko
Bei Art.-9-Daten i.d.R. Schwelle erreicht. Verständliche Sprache für Laien; Schutzmaßnahmen-Empfehlungen.
DSGVO Art. 9 — Gesundheits-/Religions-Daten in HR-Datenpannen
Kirchensteuer-Status = Religion (Art. 9); SchwB-Status = Behinderung (Art. 9). Sonder-Sensitivität in der Art.-34-Bewertung.
DSGVO Art. 83 — Bußgelder
Abs. 4: bis 10 Mio EUR / 2 % Umsatz bei verspäteter/unvollständiger Meldung. Abs. 5: bis 20 Mio EUR / 4 % bei vorsätzlicher Verheimlichung.
DSGVO Art. 82 — Schadensersatz
Auch immateriellen Schaden (LAG Düsseldorf 14 Sa 1100/19). Bei nachweisbarem Identitätsdiebstahl-Schaden 6-stellig möglich.
DSGVO Art. 5 Abs. 2 Rechenschaftspflicht
AG muss Compliance dokumentieren. Audit-Log + Aufbewahrung der Meldungs-Dokumentation.
Halluzinations-Risiko bei Krisen-Drafting
KI darf KEINE spekulativen 'wahrscheinlichen' Sachverhalte erfinden. Jede Aussage IT-Security-Forensik-gestützt. [[FEHLEND]]-Markierungen bei Lücken.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Bei der Datenpannen-Meldung werden hochsensible Daten verarbeitet: Betroffenen-Liste, Personalnummern, ggf. Art.-9-Daten (Gesundheit, Religion, SchwB), ggf. Snippets aus geleakten Dokumenten. anymize pseudonymisiert die Betroffenen-Liste und Snippets vor dem KI-Drafting; bei Art.-9-Datenpanne On-Premises-LLM-Routing. Verarbeitung in deutschen Rechenzentren (Hetzner). Halluzinations-Mitigation: Forensik-Beleg-Verifikation; [[FEHLEND]]-Markierungen bei Lücken. Rechtsgrundlage: § 26 BDSG + ggf. § 22 BDSG (Art. 9). AVV + DPIA-Update für Krisen-Workflow.
Was anymize konkret leistet
- Pseudonymisiert Betroffenen-Liste + geleakte Snippets in Krisen-Zeit.
- Art.-9-Flag bei Gesundheits-/Religions-/SchwB-Bezügen.
- Halluzinations-Mitigation durch Forensik-Beleg-Verifikation.
- Integriert mit DSMS-Tools (Otris, DataGuard, Privatech) und BfDI-Online-Meldeportal.
- Verarbeitung in deutschen Rechenzentren (Hetzner) oder On-Premises.
Sicherheitscheck vor der Veröffentlichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- 72-h-Frist-Tracker aktiviert?
- IT-Forensik abgeschlossen — Sachverhalt belegt?
- HR-Auskunfts-Quelle: betroffene MA-Kategorien klar?
- Bei Art.-9-Datenpanne: On-Premises-LLM aktiviert?
Nach der KI-Antwort
- Art.-33-Meldungs-Paket vollständig (Art, Zeitpunkt, Ursache, Kategorien, Folgen, Maßnahmen, DSB)?
- KEINE spekulativen Aussagen — alle gegen Forensik-Beleg verifiziert?
- Bei hohem Risiko: Art.-34-Betroffenen-Information mit verständlicher Sprache?
- AGG-/HinSchG-Cross-Check bei sensiblen Datenkategorien?
Vor LfD-Übermittlung
- DSB-Letztcheck dokumentiert?
- IT-Security-Bestätigung der Maßnahmen?
- Bei größeren Vorfällen: externe Kanzlei?
- BR-Information bei Beschäftigten-Daten-Betroffenheit?
- LfD-Online-Portal-Übermittlung innerhalb 72 h?
- Audit-Log + 5-Jahres-Aufbewahrung (Rechenschaftspflicht)?
Typische Fehlermuster — und wie anymize gegensteuert
- →Spekulative 'wahrscheinliche' Aussagen ohne Forensik — KI markiert [[FEHLEND]].
- →Art.-34-Schwelle nicht bewertet — Art.-9-Daten erhöhen automatisch.
- →72-h-Frist überschritten — Tracker zwingend.
- →Art.-9-Daten in Public-LLM verarbeitet — On-Premises-Routing.
- →BR-Information vergessen — bei MA-Daten Betroffenheit Pflicht.
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen — DSGVO + BDSG
- 72-h-Meldepflicht an Aufsichtsbehörde
- Betroffenen-Information bei hohem Risiko
- Bei systematischen Verarbeitungen
- Rechenschaftspflicht
- Schadensersatz (auch immateriell)
- Bußgeld bis 10 Mio EUR / 2 %
- Bußgeld bis 20 Mio EUR / 4 %
- Gesundheits-/Religions-Daten besondere Kategorie
- Beschäftigtendaten + Art.-9-Beschäftigtenkontext
Rechtsprechung und Behörden
- Immaterieller Schadensersatz Art. 82
- Beschäftigten-PII-Schutz
- Aufsichtsbehörden-Praxis bei HR-Datenpannen
- HR-Datenpannen-Volumina steigend
Tools und Plattformen
- Bundes-Meldung; Länder haben eigene Portale
- DSMS-Tools für Vorfalls-Management
- KI-Governance
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Ersatz für die HR-Letztverantwortung
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die personalrechtliche Würdigung im Einzelfall noch eine arbeits- oder mitbestimmungsrechtliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt arbeitsrechtlich zu bewerten ist, welche Entscheidungen in Ihrem konkreten Fall richtig sind — das bleibt selbstverständlich bei Ihnen und Ihrer HR-Letztverantwortung.
KI-Outputs müssen vor jeder Verwendung HR-fachlich geprüft werden. Insbesondere personenbezogene Entscheidungen (Einstellung, Beförderung, Kündigung) dürfen nicht allein auf KI-Empfehlungen gestützt werden (DSGVO Art. 22, EU AI Act Art. 26). anymize gewährleistet die Vertraulichkeit der Beschäftigtendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit und die rechtliche Verantwortung liegen in Ihrer Hand.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.