HR-Compliance, Whistleblowing und Arbeitsrecht
HinSchG-Hinweis-Triage KI-gestützt (Klassifikation, Eskalation, BfDI-Konformität, 3-Monats-Feedback)
anymize pseudonymisiert Hinweisgeber-Identität, Beschuldigte und sensible Inhalts-Marker automatisch, bevor die Triage an GPT, Claude oder Gemini geht — bei höchst sensiblen Hinweisen routet anymize auf On-Premises-LLM. So entsteht die strukturierte HinSchG-Triage mit Klassifikation, Eskalations-Empfehlung und 3-Monats-Rückmeldungs-Vorbereitung, ohne § 8 HinSchG zu berühren (Bußgeld bis 50.000 EUR vermieden).
Schwierigkeit: Spezialist · Datenklasse: Beschäftigtendaten · Letztes Review:
Zur Orientierung gedacht. Die personalrechtliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Sondergruppe
Höchst-vertraulich: HinSchG-Triage mit BfDI-Restriktivität
Die HinSchG-Triage ist der heikelste KI-Einsatz im Whistleblower-Workflow. Re-Identifikations-Risiko durch KI-Stilometrie + DSGVO Art. 22-Grenze + restriktive BfDI-Lesart. Bei höchst sensiblen Hinweisen (Whistleblowing zu Geschäftsleitung, Art. 9-Kategorien, Strafanzeige-Pflicht-Tatbestände): KI-Ausschluss, manuelle Bearbeitung. Bei Klassifikations-Konfidenz < 70 % oder Schweregrad 'hoch'/'akut': automatische Eskalation an Senior-Compliance. Menschliche Letzt-Entscheidung Pflicht — DSGVO Art. 22.
Anwendungsbereich
Worum geht es hier?
Die Triage ist der inhaltliche Kern jedes HinSchG-Workflows nach der Eingangsbestätigung. KI kann hier wertvolle Vorab-Strukturierung leisten — Kategorisierung (Korruption / AGG / Datenschutz / Arbeitsschutz / Steuer / Geldwäsche), Schweregrad-Bewertung, Zuständigkeits-Routing. Gleichzeitig ist die Triage höchst sensibel: jede Re-Identifikation des Hinweisgebenden durch KI-Stilometrie oder Cloud-LLM-Logging-Leak verletzt § 8 HinSchG (Bußgeld bis 50.000 EUR § 40 HinSchG).
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- HinSchG-Meldestellen-Beauftragte/r, Compliance-Officer, HR-Compliance, DSB, Interne Revision. Sekundär: Geschäftsleitung (Eskalations-Empfänger), externe Anwaltskanzlei, BfDI.
- Seniorität
- Senior. Junior-Personal darf HinSchG-Triage niemals alleinverantwortlich durchführen.
- Unternehmensgröße
- Alle Arbeitgeber ≥ 50 MA seit 17.12.2023; ab 250 MA seit 02.07.2023. Konzern-Lösungen mit konzernweiter Meldestelle.
- Spezifische Kontexte
- Hinweise zu Korruption, Untreue, Datenschutzverstößen, AGG-Diskriminierung, Arbeitsschutz-Mängeln, Umweltverstößen, Steuerverstößen, Geldwäsche, Banking-Regulatorik, Strafrecht.
Die Situation in der Personalabteilung
So bringen Sie Tempo und Sorgfalt zusammen
Triage ist der heikelste KI-Einsatz im HinSchG-Workflow. Drei zentrale Stolpersteine: (1) Re-Identifikations-Risiko durch KI-Stilometrie — auch ohne Klarnamen können charakteristische Sprache, Dialekt, seltene Termini den Hinweisgebenden identifizierbar machen; § 8 HinSchG-Verstoß; (2) DSGVO Art. 22 Grenze — vollautomatische Entscheidung mit Rechtswirkung verboten, KI nur assistive Vorab-Triage, menschliche Letzt-Entscheidung Pflicht; (3) BfDI-Lesart sehr restriktiv — KI-Triage bei Art.-9-Kategorien nur unter strengsten Voraussetzungen zulässig. Inhaltliche Triage-Aufgaben: § 2 HinSchG-Anwendungsbereich, Verstoßkategorie, Schweregrad, Zuständigkeit, Eskalations-Notwendigkeit, 3-Monats-Rückmeldungs-Vorbereitung. anymize-Mitigation: Pseudonymisierung Pflicht; bei höchst-sensiblen Inhalten On-Premises-LLM; bei < 70 % Konfidenz automatische Eskalation.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro Triage
30–90 Min
Vorab-Klassifikation + 3-Monats-Rückmeldungs-Vorbereitung. Bei 30–100 Hinweisen p.a.: 15–150 h jährlich.
Vertraulichkeitsbruch-Risiko
bis 50k EUR
§ 40 HinSchG pro Fall; KI-Stilometrie-Leak in Cloud-LLM-Logs kann hunderte Hinweise auf einmal exponieren.
BfDI-Konformität
On-Premises
Bei Art.-9-Kategorien oder Geschäftsleitungs-Hinweisen On-Premises-LLM zwingend; Cloud-LLM nur bei AVV + DPIA + BV.
Konfidenz-Schwelle
70 %
Bei < 70 % oder Schweregrad 'hoch'/'akut' automatische Eskalation an Senior-Compliance — Mitigation Halluzinations-Risiko.
So gehen Sie vor
Der Workflow Schritt für Schritt
Eingang Hinweis verarbeitet (UC-V-HR-HRC-008 abgeschlossen); 7-Tage-Eingangsbestätigung versandt.
Mensch + System
UC-V-HR-HRC-008
Pflicht-Sensitivitäts-Pre-Check: ist der Hinweis höchst sensibel (sexuelle Belästigung, Geschäftsleitungs-Hinweis, Geheimdienst-Bezug, Strafanzeige-Pflicht-Tatbestand)? Bei JA: KI-Ausschluss; manuelle Bearbeitung.
Mensch
Bitkom Risiko-Ampel rot; Schutz-Priorität
Daten-Klassifikation: Klasse A (höchste Stufe) — ggf. Art.-9-Kategorien.
Mensch
DSGVO Art. 9; § 8 HinSchG
anymize-Pseudonymisierung: Hinweisgeber-Identität → [[HG-…]] mit Sonder-Flag; Beschuldigte → [[Besch-…]]; weitere Personen → [[Person-…]]; Standort → [[Standort-…]]; Gesundheits-/Religions-/Sexualitäts-Hinweise → [[Art9-…]]-Flag. Bei Bedarf: Stil-Normalisierung gegen Stilometrie-Re-ID.
anymize
§ 8 HinSchG; § 26 BDSG; DSGVO Art. 9
Spot-Check auf Restidentifikatoren (charakteristische Termini, Dialekt-Marker, seltene Begriffe); ggf. zusätzliche Maskierung.
Mensch
NER + Stilometrie
KI-Vorab-Klassifikation (auf pseudonymisierten Daten): § 2 HinSchG-Anwendungsbereich, Verstoßkategorie, Schweregrad, ggf. Cross-Cluster-Indikation. Konfidenz-Score: bei < 70 % oder Schweregrad 'hoch'/'akut' automatische Eskalation.
On-Premises-LLM bei Art.-9; Azure OpenAI Frankfurt sonst
Strukturierungs-Unterstützung; Mitigation Halluzinations-Risiko
KI-Eskalations-Empfehlung: interne Zuständigkeit (HR-Compliance / Konzern-Compliance / DSB / externe Kanzlei); parallele Eskalations-Notwendigkeit (Geschäftsleitung, Aufsichtsrat, BR-Information, Strafanzeige-Pflicht-Check § 138 StGB).
KI
Beschleunigung; niemals vollautomatische Entscheidung
Menschliche Letzt-Entscheidung durch Senior-Compliance: Kategorisierung, Schweregrad, Zuständigkeit, weitere Vorgehensweise. KI-Empfehlung als Input, nicht als Entscheidung. Bei Strafrecht-Indikation: externe Strafrechts-Kanzlei.
Mensch (Senior + ggf. extern)
DSGVO Art. 22; § 17 HinSchG-Verantwortung
3-Monats-Rückmeldung gem. § 17 Abs. 2 HinSchG vorbereiten: spätestens 3 Monate nach Eingangsbestätigung; KI darf Standard-Bausteine vorschlagen; menschliche Anpassung Pflicht; keine inhaltlichen Verfahrens-Details, die Hinweisgebende oder Beschuldigte exponieren könnten. Folge-Workflows: interne Untersuchung (→ UC-V-HR-HRC-019), AGG-Beschwerde (→ UC-V-HR-HRC-010), verhaltensbedingte Kündigung (→ UC-V-HR-HRC-002).
Mensch + KI
§ 17 Abs. 2 HinSchG
Rück-Substitution Platzhalter NUR in gesicherter Compliance-Umgebung. Hinweisgeber-Klarname verlässt das LLM nie. Audit-Log + 3-Jahres-Aufbewahrung (§ 11 HinSchG); DPIA-Update; BV-Konformität (§ 87 Abs. 1 Nr. 6 BetrVG).
Mensch + System
§ 8 HinSchG; § 11 HinSchG; EU AI Act Art. 26
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Pseudonymisiert Hinweisgeber, Beschuldigte, weitere Personen, Standorte mit Sonder-Schutz-Flags.
- Art.-9-Flag-Markierung bei Gesundheits-/Religions-/Sexualitäts-Hinweisen — On-Premises-LLM-Routing.
- Stil-Normalisierung gegen Stilometrie-Re-Identifikation.
- Konfidenz-Schwellwerte: bei < 70 % oder Schweregrad 'hoch'/'akut' automatische Eskalation.
- Verarbeitung in deutschen Rechenzentren (Hetzner) oder On-Premises (Llama 3 / GPT-OSS).
Was Sie als Senior-Compliance tun
- Pflicht-Sensitivitäts-Pre-Check vor KI-Einsatz — höchst sensible Hinweise manuell bearbeiten.
- Letzt-Entscheidung als Workflow-Pflichtfeld (DSGVO Art. 22).
- Bei Strafrecht-Indikation: externe Kanzlei zwingend für Strafanzeige-Pflicht-Check.
- Repressalien-Schutz aktiv (§§ 33–35 HinSchG; § 36 Beweislastumkehr).
- 3-Monats-Rückmeldungs-Tracker; Audit-Log + 3-Jahres-Aufbewahrung; DPIA aktuell.
Daten-Input
Pseudonymisierter Hinweis-Inhalt mit [[HG-…]], [[Besch-…]], [[Standort-…]] + Stil-Normalisierung. Fall-Nummer, Eingangsdatum, 3-Monats-Frist.
Output-Kontrolle
Strukturierter Triage-Bericht mit Konfidenz-Score, § 2 HinSchG-Anwendungsbereich-Check, Verstoßkategorie, Schweregrad, Zuständigkeit, parallele Eskalations-Notwendigkeit, Strafanzeige-Pflicht-Check, Repressalien-Schutz-Maßnahmen, 3-Monats-Rückmeldungs-Skizze.
Freigabeprozess
KI-Empfehlung → Senior-Compliance → ggf. externer Anwalt → Geschäftsleitung (bei Eskalation). anymize ist der Anonymisierungs-Layer; menschliche Letzt-Entscheidung Pflicht.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. Pflicht-Sensitivitäts-Pre-Check: höchst sensibel (Whistleblowing zu Geschäftsleitung, sexuelle Belästigung, Art.-9-Kategorien)? Bei JA: KI-Ausschluss, manuelle Bearbeitung.
2. Hinweis-Inhalt in anymize einfügen — Pseudonymisierung läuft automatisch (Hinweisgeber, Beschuldigte, Standort, Art.-9-Marker; ggf. Stil-Normalisierung).
3. Prompt anhängen, KI-Aufruf in Thinking-Modus starten (bei Art.-9: On-Premises-LLM).
4. Konfidenz-Score prüfen: < 70 % oder Schweregrad 'hoch'/'akut' → Senior-Compliance + ggf. externe Kanzlei.
5. Menschliche Letzt-Entscheidung dokumentieren; 3-Monats-Rückmeldungs-Tracker.
# Context (C)
Rechtsstand: <heutiges Datum>. Du unterstützt eine deutsche interne
HinSchG-Meldestelle bei der Vorab-Triage eingehender Hinweise. Der
Hinweis-Inhalt ist pseudonymisiert: Hinweisgeber-Identität, Beschuldigte,
weitere Personen, Standort durch [[Kategorie-Hash]]-Platzhalter; ggf.
Stil-Normalisierung; sensible Art.-9-Kategorien mit `[[Art9-…]]`-Flag.
# Role (R)
Du agierst als Compliance-Triage-Assistenz mit Kenntnis HinSchG
(insbesondere § 2 Anwendungsbereich, § 8 Vertraulichkeit, § 17 Fristen,
§ 40 Bußgeld), EU-Whistleblower-Richtlinie 2019/1937, DSGVO Art. 9 + Art. 22,
§ 26 BDSG, BfDI- und DSK-Lesarten.
# Action (A)
1. **§ 2 HinSchG-Anwendungsbereich-Check**: ist der Hinweis HinSchG-relevant?
2. **Verstoßkategorie**: Korruption / AGG-Diskriminierung / Datenschutz /
Arbeitsschutz / Steuer / Geldwäsche / Banking-Regulatorik / Strafrecht /
Umwelt / Sonstige.
3. **Schweregrad**: gering / mittel / hoch / akut.
4. **Zuständigkeit interne Bearbeitung**: HR-Compliance / Konzern-Compliance
/ Datenschutz/DSB / Risk-Management / externe Anwaltskanzlei.
5. **Parallele Eskalations-Notwendigkeit**: Geschäftsleitung / Aufsichtsrat
/ BR-Information / DSB-Eskalation / Strafanzeige (mit Begründung).
6. **Konfidenz-Score**: Selbst-Einschätzung (0–100 %). Bei < 70 % oder
Schweregrad 'hoch'/'akut' automatische Eskalation an Senior-Compliance.
7. **3-Monats-Rückmeldungs-Skizze (§ 17 Abs. 2 HinSchG)**: geplante/getroffene
Maßnahmen als Bausteine, ohne inhaltliche Verfahrens-Details, die
Hinweisgebende oder Beschuldigte exponieren würden.
8. **Pflicht-Auslassung**: keine Klarnamen; keine Re-Identifikations-Versuche;
keine Empfehlung zur Strafanzeige ohne externe juristische Bewertung;
keine vollautomatische Verfahrens-Entscheidung.
# Format (F)
- Strukturierter Triage-Bericht mit nummerierten Abschnitten.
- Konfidenz-Score am Anfang.
- Eskalations-Empfehlungen explizit.
- 3-Monats-Rückmeldungs-Skizze als Vorschlag mit `[[Anpassung-…]]`-Markern.
- Bei jeder unsicheren Klassifikation `[[FEHLEND]]`.
- Keine vollautomatische Entscheidung; klar als Empfehlung formuliert.
# Target Audience (T)
Senior-Compliance-Officer / Meldestellen-Beauftragte/r als Letzt-Entscheider/in.
Erwartung: strukturiert, konservativ-restriktiv (im Zweifel Eskalation),
juristisch korrekt, vertraulich.So sieht der Input aus
Pseudonymisierter Eingabetext
Fall-Nummer: HSG-2026-0427-A8X3
Eingangsdatum: 2026-05-11; Eingangsbestätigung versandt 2026-05-13.
3-Monats-Frist: 2026-08-11.
Hinweisgeber-Status: anonym.
Pseudonymisierter Hinweis-Inhalt:
„Ich beobachte seit etwa 6 Monaten in der Abteilung [[Abteilung-a3f9]], dass [[Besch-9c2e]] (Bereichsleitung) systematisch Aufträge an die Firma [[Firma-b2e7]] vergibt. Bei mehreren Aufträgen waren die Preise über dem Marktdurchschnitt; bei Beschaffungs-Nr. [[Auftrag-c4d1]] wurden alternative Angebote überhöht bewertet. Ich vermute persönliche Verbindung zwischen [[Besch-9c2e]] und Geschäftsführung von [[Firma-b2e7]]. Mehrere Kolleg:innen teilen Beobachtung; ein/e Kolleg/in hat versucht intern zu intervenieren, wurde zurückgewiesen.”
Pflicht-Sensitivitäts-Pre-Check: Geschäftsleitungs-Bezug? Indirekt (Bereichsleitung, nicht Geschäftsführung). → KI-Triage zulässig.So liefert anymize zurück
Der KI-Entwurf
## HinSchG-Triage-Bericht — Fall HSG-2026-0427-A8X3
**Konfidenz-Score**: 78 % — über Schwelle, jedoch wegen Strafrechts-Indikation Pflicht-Eskalation an Senior-Compliance + externe Strafrechts-Kanzlei.
## 1. § 2 HinSchG-Anwendungsbereich-Check
HinSchG-relevant: konkrete Verdachtstatsachen für Vergabe-Manipulation (mögliche Untreue § 266 StGB); mehrere Beobachter; abgewiesene interne Intervention.
## 2. Verstoßkategorie
- **Primär**: Korruption + Vermögensdelikte (Untreue § 266 StGB).
- **Sekundär**: Compliance-Verstoß interne Beschaffungs-Richtlinien.
- **Tertiär**: Repressalien-Risiko gegen intervenierte Kolleg:innen (§§ 33–35 HinSchG).
## 3. Schweregrad
**Hoch.** Konkrete Beschaffungs-Nr. verifizierbar; mehrere Beobachter; gescheiterte interne Intervention; systematisches Verhalten über 6 Monate.
## 4. Zuständigkeit interne Bearbeitung
- Compliance-Lead + DSB.
- Externe Strafrechts-Kanzlei für Vergabe-Manipulation/Untreue-Bewertung (Pflicht).
- Interne Revision für Beschaffungs-Aufklärung.
- HR-Compliance für Repressalien-Schutz.
## 5. Parallele Eskalations-Notwendigkeit
- **Geschäftsleitung**: ja (Bereichsleitung-Verdacht); Information ohne Hinweis-Inhalts-Details.
- **Aufsichtsrat**: prüfen.
- **BR-Information**: nein (keine Mitbestimmung); aber über Repressalien-Schutz-Maßnahmen.
- **DSB-Eskalation**: ja.
- **Strafanzeige**: NICHT durch Meldestelle ohne juristische Bewertung — externe Kanzlei prüft.
## 6. Repressalien-Schutz (§§ 33–35 HinSchG)
**Pflicht**: aktiver Schutz der intervenierten Kolleg:innen + Hinweisgebenden. Beweislastumkehr § 36 HinSchG.
## 7. 3-Monats-Rückmeldungs-Skizze (§ 17 Abs. 2 HinSchG) — Frist 2026-08-11
```
Sehr geehrte Hinweisgeberin, sehr geehrter Hinweisgeber,
gemäß § 17 Abs. 2 HinSchG informieren wir Sie über den Stand der
Folgemaßnahmen zu Ihrer Meldung vom 11. Mai 2026 (HSG-2026-0427-A8X3):
Die zuständige Compliance-Abteilung hat die Bearbeitung eingeleitet.
Eine externe Bewertung durch eine spezialisierte Anwaltskanzlei wurde
beauftragt. Die Interne Revision hat die Aufklärung der relevanten
Beschaffungs-Vorgänge aufgenommen.
[[Anpassung-Verfahrens-Status zum Zeitpunkt der Rückmeldung]]
Unabhängig davon gilt für Sie der Schutz vor Repressalien gemäß §§ 33–35
HinSchG.
Mit freundlichen Grüßen
[[Name-Meldestellen-Beauftragte/r]]
```
## 8. Strafanzeige-Pflicht-Check
- § 138 StGB Anzeigepflicht greift bei Mord, Raub etc. — bei Untreue/Korruption keine generelle Pflicht.
- Spezialgesetzliche Anzeigepflichten (GwG, Steuerstrafrecht): externe Kanzlei prüft.
## 9. Pflicht-Hinweise an Senior-Compliance
- KI-Empfehlung ersetzt NIE menschliche Letzt-Entscheidung (DSGVO Art. 22).
- Hinweisgeber-Identität: KI hat keinen Klarnamen-Zugriff; § 8 HinSchG gewahrt.
- KI-Inventar-Eintrag erforderlich (EU AI Act Art. 26).
- DPIA-Aktualisierung bei Verfahrens-Sub-Workflow.Was das HR-Recht verlangt
Pflichten — und wie anymize sie abdeckt
§ 8 HinSchG + § 40 HinSchG — Vertraulichkeit und Bußgeld
Bußgeld bis 50.000 EUR bei Vertraulichkeitsbruch. anymize entfernt Hinweisgeber-Identität strukturell aus dem KI-Kontext; bei höchst-sensiblen Fällen On-Premises-LLM.
DSGVO Art. 22 — Keine vollautomatische Entscheidung
KI nur assistive Vorab-Triage. Menschliche Letzt-Entscheidung Pflicht. Bei Konfidenz < 70 % oder Schweregrad hoch/akut automatische Eskalation.
DSGVO Art. 9 — Besondere Kategorien
Bei Art.-9-Hinweisen (Gesundheit, sexuelle Identität, politische/religiöse Anschauung): On-Premises-LLM zwingend. DSK + BfDI sehr restriktiv.
KI-Stilometrie-Re-Identifikation
Auch ohne Klarnamen können seltene Termini, Dialekt, charakteristische Sprache Hinweisgebende identifizieren. anymize bietet Stil-Normalisierung als Mitigation.
§ 17 Abs. 2 HinSchG — 3-Monats-Rückmeldung
Spätestens 3 Monate; 3-Monats-Tracker zwingend. Rückmeldung ohne inhaltliche Verfahrens-Details, die Hinweisgebende oder Beschuldigte exponieren könnten.
§§ 33–35 HinSchG + § 36 — Repressalien-Schutz
Repressalien-Verbot; Beweislastumkehr bei nachteiligen Maßnahmen. Pflicht-Maßnahme: aktiver Schutz der intervenierten Kolleg:innen + Hinweisgebenden.
§ 138 StGB — Strafanzeige-Pflicht
Greift nur bei bestimmten Delikten (Mord, Raub, Geldfälschung). Bei Untreue/Korruption keine generelle Pflicht — externe Strafrechts-Bewertung.
BetrVG § 87 Abs. 1 Nr. 6 + BfDI-Lesart
KI-Tool BV-pflichtig. BfDI sehr restriktiv bei Beschäftigten-PII in Public-LLMs. DPIA + BV Pflicht.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Die HinSchG-Triage ist der heikelste KI-Sub-Workflow im Whistleblower-Verfahren. anymize löst den Konflikt strukturell: Hinweisgeber-Identität verlässt das System niemals in Richtung Public-Cloud-LLM (Sonder-Schutz-Flag § 8 HinSchG). Beschuldigte, weitere Personen, Standorte werden pseudonymisiert. Art.-9-Kategorien (Gesundheit, sexuelle Identität, politische/religiöse Anschauung) werden markiert und auf On-Premises-LLM geroutet (Llama 3 / GPT-OSS / Mistral lokal — Goldstandard). Bei Stilometrie-Risiko: Stil-Normalisierung. Verarbeitung in deutschen Rechenzentren (Hetzner) oder On-Premises. Rechtsgrundlage § 26 BDSG + ggf. § 22 BDSG für Art.-9; HinSchG als bereichsspezifisches Spezialgesetz. AVV + DPIA + BV (§ 87 Abs. 1 Nr. 6 BetrVG) Pflicht. Bei Konfidenz < 70 % oder Schweregrad 'hoch'/'akut': automatische Eskalation an Senior-Compliance.
Was anymize konkret leistet
- Sonder-Schutz-Flag für Hinweisgeber-Identität — verlässt das System niemals.
- Art.-9-Flag-Markierung; On-Premises-LLM-Routing für höchst-sensible Hinweise.
- Stil-Normalisierung gegen KI-Stilometrie-Re-Identifikation.
- Konfidenz-Schwellwerte: bei < 70 % automatische Eskalation an Senior-Compliance.
- Integriert mit HinSchG-Plattformen (EQS / LegalTegrity / SECJUR / Whispli) und On-Premises-LLM für Goldstandard-Vertraulichkeit.
Sicherheitscheck vor der Veröffentlichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Pflicht-Sensitivitäts-Pre-Check vor KI-Einsatz — höchst sensibel? KI-Ausschluss.
- Pseudonymisierungs-Spot-Check + Stilometrie-Bewertung?
- Bei Art.-9-Kategorien: On-Premises-LLM aktiviert?
Nach der KI-Triage
- Konfidenz-Score dokumentiert; Eskalations-Schwellwert eingehalten?
- Menschliche Letzt-Entscheidung als Workflow-Pflichtfeld?
- Bei Strafrecht-Indikation: externe Kanzlei eingebunden?
- Repressalien-Schutz aktiv (§§ 33–35 HinSchG)?
Vor 3-Monats-Rückmeldung
- 3-Monats-Rückmeldungs-Skizze als Vorschlag (mit [[Anpassung]]-Markern)?
- 3-Monats-Rückmeldungs-Tracker aktiv?
- Audit-Log + 3-Jahres-Aufbewahrung (§ 11 HinSchG); KI-Inventar (EU AI Act Art. 26)?
- DPIA aktuell (DSGVO Art. 35); BV zur KI-Triage abgeschlossen (BetrVG § 87)?
Typische Fehlermuster — und wie anymize gegensteuert
- →Höchst-sensiblen Hinweis durch KI gelaufen — Pflicht-Sensitivitäts-Pre-Check fängt das ab.
- →Re-Identifikation durch Stilometrie — Stil-Normalisierung als Mitigation.
- →Vollautomatische Eskalations-Entscheidung (DSGVO Art. 22) — der Prompt erzwingt menschliche Letzt-Entscheidung.
- →Strafanzeige ohne juristische Bewertung — der Strafanzeige-Pflicht-Check verweist auf externe Kanzlei.
- →3-Monats-Rückmeldung verpasst — Tracker zwingend.
- →Klartext-Hinweis-Inhalt in Public-Cloud-LLM — anymize routet bei Art.-9 auf On-Premises.
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen — HinSchG
- Anwendungsbereich
- Vertraulichkeit
- 3-Monats-Rückmeldung; Folgemaßnahmen-Information
- Dokumentation; 3-Jahres-Aufbewahrung
- Repressalien-Verbot + Beweislastumkehr
- Bußgeld bis 50.000 EUR
- Auslegung zugunsten Hinweisgebende
Primärnormen — Datenschutz und Strafrecht
- Beschäftigtendaten
- Besondere Kategorien — On-Premises bei Art.-9
- Keine vollautomatische Entscheidung
- AVV + DPIA Pflicht
- KI-Tool BV-pflichtig
- Sehr restriktive Beschäftigtendatenschutz-Linie
- Strafanzeige-Pflicht-Check
Rechtsprechung und Plattformen
- KI-Tool BV-Pflicht
- HinSchG-Plattformen mit Triage-Modulen
- Praxis-Hinweise
- Risiko-Ampel rot bei HinSchG-KI-Triage
- Verstärkt KI-Transparenz
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Ersatz für die HR-Letztverantwortung
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die personalrechtliche Würdigung im Einzelfall noch eine arbeits- oder mitbestimmungsrechtliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt arbeitsrechtlich zu bewerten ist, welche Entscheidungen in Ihrem konkreten Fall richtig sind — das bleibt selbstverständlich bei Ihnen und Ihrer HR-Letztverantwortung.
KI-Outputs müssen vor jeder Verwendung HR-fachlich geprüft werden. Insbesondere personenbezogene Entscheidungen (Einstellung, Beförderung, Kündigung) dürfen nicht allein auf KI-Empfehlungen gestützt werden (DSGVO Art. 22, EU AI Act Art. 26). anymize gewährleistet die Vertraulichkeit der Beschäftigtendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit und die rechtliche Verantwortung liegen in Ihrer Hand.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.