Onboarding und Personaladministration

IT-Provisionierungs-Ticket aus Rolle (rollenbasiertes Berechtigungs-Konzept) mit KI generieren

anymize entfernt MA-Klarnamen und Vorgesetzte aus dem Provisionierungs-Input. Die KI generiert ein vollständiges IT-Ticket mit rollenbasierten Berechtigungen (RBAC: M365, GitHub-Org, AWS-IAM-Rolle, Slack-Channels, Jira-Projekte) nach BSI IT-Grundschutz, ISO 27001 und Least-Privilege-Prinzip — bereit zur Übergabe an ServiceNow / Jira Service Management / Microsoft Entra ID.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenBeispiel ansehen

Schwierigkeit: Fortgeschritten · Datenklasse: Beschäftigtendaten · Letztes Review:

Zur Orientierung gedacht. Die personalrechtliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI im Onboarding und in der Personaladministration

IT-Provisionierung ist der Onboarding-Sub-Schritt mit dem höchsten Zeitaufwand für IT-Ops und gleichzeitig dem höchsten Sicherheits-Risiko. Manuelle Provisionierung führt zu Over-Provisioning (Branchen-Benchmark: 30–40 % der MA haben mehr Berechtigungen als nötig — Least-Privilege-Verletzung) und Time-to-Productivity-Verzögerung. BSI IT-Grundschutz, ISO 27001 und in regulierten Branchen MaRisk/BAIT/VAIT/KAIT verlangen rollenbasierte Berechtigungen. Dieser Vertical-UC vertieft UC-M-HR-007 für den IT-Provisionierungs-Sub-Schritt. Die Letztprüfung durch IT-Ops und ggf. DSB/ISMS bleibt selbstverständlich bei Ihnen.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
HR-Business-Partner mit IT-Schnittstellen-Verantwortung, People-Operations, IT-Operations, IAM-Engineer; sekundär Datenschutzbeauftragter (DSB), ISMS-Beauftragter, Betriebsrat.
Seniorität
Fortgeschritten — RBAC-Verständnis, Least-Privilege, BSI-Grundschutz-Grundkenntnisse.
Unternehmensgröße
KMU bis Konzern; besonders KRITIS-Betreiber, Bank/Versicherung (MaRisk/BAIT/VAIT), Pharma (GxP), Energieversorger.
Spezifische Kontexte
(a) Tech-Rolle (Repository + Cloud-IAM), (b) Sales (CRM + Sales-Tools), (c) Finance (SAP + DATEV + Bankschnittstellen), (d) Führungskraft (erweiterte Berechtigungen + Vertretung), (e) Werkstudent/Praktikant (eingeschränkt), (f) Compliance/Audit (Read-Only).
03

Die Situation in der Personalabteilung

So bringen Sie Tempo und Sorgfalt zusammen

IT-Provisionierung kostet manuell 30–90 Min pro Hire: HR sendet Mail an IT, IT-Ops überlegt Berechtigungen, erstellt Tickets in 5–15 Subsystemen, prüft Compliance. Häufige Folge: Over-Provisioning (zu großzügige Berechtigungen aus 'Bauchgefühl') oder Under-Provisioning (Time-to-Productivity-Verzögerung 1–5 Tage). BSI IT-Grundschutz und ISO 27001 verlangen rollenbasierte Berechtigungen mit Least-Privilege-Prinzip. In regulierten Branchen (KRITIS, BAIT/VAIT/KAIT) ist Auditierbarkeit Pflicht. Eingaben (MA-Klarname, Rolle, Team, Vorgesetzte:r) sind Klasse A nach § 26 BDSG. Bei IAM-Automation mit KI (Microsoft Entra ID Copilot, SailPoint AI, Saviynt) greift BetrVG § 87 Abs. 1 Nr. 6. BSI AIC4 ist spezifischer Katalog für KI-Cloud-Services.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Ticket

30–60 Min

Von 60–90 Min auf 20–30 Min Review. Vollständige Subsystem-Liste mit Least-Privilege-Begründung pro Berechtigung wird in einem KI-Lauf strukturiert.

Sicherheits-Hebel

30–40 % weniger Over-Provisioning

Branchen-Benchmark: Manuelle Provisionierung führt zu Over-Provisioning bei 30–40 % der MA — Least-Privilege-Verletzung mit ISO-Findings.

Kosten-Hebel

2,6–4,5 kEUR/Jahr

Bei 50 Hires/Jahr × 45 Min Ersparnis × 70–120 EUR/h.

Erkennungsrate

>95 %

Klarnamen MA und Vorgesetzte werden dreifach geprüft erkannt; Rolle und Berechtigungen bleiben strukturiert sichtbar.

05

So gehen Sie vor

Der Workflow Schritt für Schritt

1

HR-BP sammelt Rolle, Team, Vorgesetzte:r, Standort, Eintrittsdatum, Probezeit und ggf. Sonder-Berechtigungen.

Mensch

Strukturierte Anforderung.

2

Daten-Klassifikation: Klarname MA + Vorgesetzte = Klasse A; Rolle/Team/Standort/Berechtigungs-Set = Klasse B; Rollen-Templates = Klasse C.

Mensch

§ 26 BDSG.

3

anymize anonymisiert [[MA-…]], [[Manager-…]], [[Team-…]]. Rolle, Standort und Berechtigungs-Bedarf bleiben Klartext. Spot-Check bei kleinen Teams oder exotischen Standorten.

anymize

DSGVO Art. 5; NER-Restrisiko.

4

Frontier-KI erzeugt IT-Ticket mit Subsystem-Liste (M365, Azure AD/Okta, GitHub, AWS-IAM, Slack, Jira, Confluence, ggf. CRM/HRIS/SAP), Least-Privilege-Begründung pro Berechtigung und Compliance-Marker (BSI/ISO/MaRisk/GxP). Sonder-Berechtigungen mit DSGVO-Risikoanalyse und Just-in-time-Empfehlung.

GPT / Claude / Gemini in anymize

Strukturierung; Least-Privilege.

5

Rück-Substitution Platzhalter; Ticket-Übergabe an ServiceNow / Jira Service Management / Microsoft Entra ID-Workflow.

anymize + Mensch

DSGVO Art. 28.

6

IT-Ops-Review: rollenbasierte Berechtigungen plausibel, Sonder-Berechtigungen begründet, Least-Privilege eingehalten, SoD bei Finance/Compliance.

Mensch (IT-Ops)

BSI-Compliance · ISO 27001.

7

BetrVG-§-87-BV-Check bei IAM-Automation mit KI (Entra ID Copilot, SailPoint AI, Saviynt); Provisionierung am Eintrittstag T0 vor 09:00.

Mensch

BAG 1 ABR 20/21; Time-to-Productivity.

8

Quartalsweise Berechtigungs-Review (User Access Review / UAR) ab Q+1 nach Eintritt — typisch Q1/Q2/Q3/Q4 für regulierte Branchen.

Mensch + System

BSI · ISO 27001 · MaRisk-Auditierbarkeit.

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Erkennt MA-Klarname, Vorgesetzte und Team-Identifier mit über 95 %.
  • Spot-Check für kleine Teams und exotische Standorte (Re-Identifizierungsrisiko).
  • Bidirektionale Re-Identifikation für Übergabe an ServiceNow/Jira/Entra ID.
  • Verarbeitung in deutschen Rechenzentren; AVV nach Art. 28 DSGVO.

Was Sie als HR-BP/IT-Ops tun

  • Rolle, Team und ggf. Sonder-Berechtigungen präzise erfassen.
  • Least-Privilege-Begründung pro Berechtigung im Review prüfen.
  • SoD-Check bei Finance-/Compliance-Rollen.
  • BetrVG-§-87-BV für IAM-Automation mit KI prüfen.

Daten-Input

Klasse A: Klarname MA + Vorgesetzte. Klasse B: Rolle, Team, Standort, Berechtigungs-Bedarf. Klasse C: Rollen-Templates (Engineering-Standard, Sales-Standard, Finance-Standard).

Output-Kontrolle

Pseudonymisierter Provisionierungs-Input an die KI; re-identifiziertes Ticket mit vollständiger Subsystem-Liste, Least-Privilege-Begründung, Compliance-Marker, Sonder-Berechtigungen und UAR-Datum zurück.

Freigabeprozess

HR-BP + IT-Ops; bei sensiblen Berechtigungen DSB + ISMS-Sign-off; bei Domain-Admin / Production-Admin Vorstand-Sign-off.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Provisionierungs-Parameter (Rolle, Team, Manager, ggf. Sonder-Berechtigungen) in anymize einfügen.

2. Prompt anhängen, Thinking-Modus aktivieren.

3. KI liefert IT-Ticket mit Subsystem-Liste und Compliance-Marker.

4. IT-Ops prüft Least-Privilege; BetrVG-§-87-BV für IAM-AI; Provisionierung am Eintrittstag.

Empfohlener Reasoning-Modus: Thinking-Modus.
# Context (C)
Rechtsstand: <heutiges Datum>. Du unterstützt die Erstellung eines
IT-Provisionierungs-Tickets für einen neuen MA in einem deutschen
Unternehmen. Eingaben pseudonymisiert mit `[[MA-…]]`, `[[Manager-…]]`,
`[[Team-…]]`. Rolle, Standort, Berechtigungs-Bedarf, Compliance-Branche
im Klartext.

# Role (R)
IAM-Engineer-Assistenz mit Kenntnis: BSI IT-Grundschutz, ISO 27001
Anhang A (Access Control), Least-Privilege, Need-to-Know, Segregation
of Duties, branchen-spezifische Anforderungen (MaRisk/BAIT/VAIT/KAIT
bei Bank/Versicherung; GxP bei Pharma; B3S bei KRITIS).

# Action (A)
1. Erzeuge ein IT-Provisionierungs-Ticket mit:
   - **Header**: MA, Eintritt, Rolle, Team, Vorgesetzte, Standort.
   - **Subsystem-Liste mit Berechtigungen** (Tabelle: Subsystem, Rolle/
     Gruppe, Scope, Begründung, Compliance-Marker):
     M365, Azure AD/Okta, GitHub/GitLab, AWS/Azure/GCP, Slack/Teams,
     Jira/Confluence, ggf. CRM, HRIS, SAP/DATEV, Sicherheits-Tools.
   - **Sonder-Berechtigungen**: aus Eingabe mit DSGVO-Risiko-Bewertung
     und Just-in-time vs. Permanent-Empfehlung.
   - **Probezeit-Einschränkungen**: Production-Deploy, kritische Daten
     erst nach T180 oder T90 mit Manager-Freigabe.
   - **Compliance-Marker** pro Berechtigung (BSI / ISO / MaRisk-Punkt).
   - **User Access Review** (UAR): erste Review Q+1 nach Eintritt.
2. Least-Privilege: KEINE Standard-Admin-Rolle.
3. SoD bei Finance-/Compliance-Rollen: keine Konflikt-Berechtigungen
   (z. B. nicht 'Zahlungs-Anweisung' + 'Zahlungs-Freigabe').
4. Bei IAM-AI-Tools (SailPoint AI, Entra ID Copilot, Saviynt):
   BetrVG-§-87-Hinweis.
5. KEINE Erfindung von Subsystemen.
6. Kritische Rollen (Admin, Production-Deploy): MFA-Pflicht +
   Privileged Access Management (PAM)-Tool.

# Format (F)
H2 Sections, Tabellen mit | Subsystem | Rolle/Gruppe | Scope |
Begründung | Compliance |, Sonder-Berechtigungen separat, UAR-Hinweis.

# Target Audience (T)
IT-Ops / IAM-Engineer; HR-BP zur Freigabe; DSB/ISMS bei sensiblen
Berechtigungen.
08

So sieht der Input aus

Pseudonymisierter Eingabetext

Provisionierungs-Input nach Anonymisierung der Klasse-A-Daten.
IT-Provisionierungs-Parameter HRIS-Export 2026-05-14

MA: [[MA-s9t0]]
Eintrittsdatum: 2026-07-01
Rolle: Senior Backend Engineer (Platform Team)
Team: [[Team-s9t0]] (Platform Team, 5 MA)
Vorgesetzte:r: [[Manager-s9t0]] (Engineering Director)
Standort: Berlin (Hauptsitz)
Probezeit: 6 Monate

Branche: SaaS / kein KRITIS, kein Bank, kein Pharma
Compliance: ISO 27001 zertifiziert; DSGVO-Standard
Sonder-Berechtigungen: keine

Tech-Stack-Kontext: Python/Go, PostgreSQL, Kafka, Kubernetes (EKS) auf AWS eu-central-1
09

So liefert anymize zurück

Der KI-Entwurf

KI-Output mit Subsystem-Liste, Least-Privilege-Begründung und UAR-Hinweis.
# IT-Provisionierungs-Ticket — Senior Backend Engineer Platform Team

## Header
| Feld | Wert |
|---|---|
| MA | [[MA-s9t0]] |
| Eintritt | 01.07.2026 |
| Rolle | Senior Backend Engineer |
| Team | [[Team-s9t0]] |
| Vorgesetzte:r | [[Manager-s9t0]] |
| Standort | Berlin |
| Probezeit | 6 Monate (Ende 31.12.2026) |
| Compliance | ISO 27001 / DSGVO-Standard |

## Subsystem-Liste
| Subsystem | Rolle/Gruppe | Scope | Begründung | Compliance |
|---|---|---|---|---|
| Microsoft 365 | E5-Lizenz | Email/Teams/SharePoint/OneDrive | Standard-Arbeitsplatz | ISO A.9.2 |
| Azure AD (Entra ID) | Group: Engineering-Standard + Platform-Team | Default | Rolle-Standard | ISO A.9.2.5 |
| GitHub Org | Team: backend-platform-write | Write Platform-Repos; Read Shared | Engineering | ISO A.9.4.5 |
| AWS IAM | Role: engineering-platform-developer | Read all eu-central-1; Write Platform-Team | Cloud-Backend; KEIN Production-Deploy in Probezeit | ISO A.9.4.5, BSI SYS.1.5 |
| Slack | Channels: #platform-team, #engineering-all, #announcements | Member | Team-Kommunikation | ISO A.9.2 |
| Jira | Projekt: PLATFORM | Issue-Create + Edit own | Projekt-Tracking | ISO A.9.2 |
| Confluence | Space: Engineering Wiki + Platform Team | Read-Write | Dokumentation | ISO A.9.2 |
| HRIS Personio | Self-Service | Eigene Daten R/W; Team-Sicht Read | Standard | DSGVO Art. 32 |
| 1Password | Vault: Engineering Platform | Member | Credentials-Mgmt | ISO A.9.4.3 |
| Yubikey 2× | Standard | Personalisiert | MFA-Pflicht | ISO A.9.4.2 |
| CrowdStrike Falcon | EDR Standard | Auto-Enroll | IT-Security | ISO A.12.2 |

## Sonder-Berechtigungen
Keine in der Eingabe.

## Probezeit-Einschränkungen
| Berechtigung | Freigabe ab | Begründung |
|---|---|---|
| AWS Production-Deploy | T180 | Vier-Augen-Production in Probezeit |
| GitHub Branch Protection Override | T180 | Code-Review-Disziplin |
| Customer-Data-Read (Prod-DB Read-Only) | T90 + Manager-Freigabe + DSGVO-Zert | DSGVO Art. 32, Need-to-Know |

## Compliance-Sicherheits-Marker
- **MFA**: Pflicht (Yubikey + Mobile-Backup).
- **PAM**: nicht in Probezeit; ab T180 für Production-Deploy.
- **EDR**: CrowdStrike Falcon ab T0.
- **BetrVG-§-87**: Personio AI + Entra ID Copilot durch BV 2024-Q4 abgedeckt.

## User Access Review (UAR)
- Erste Review: 01.10.2026 (Q+1).
- Reviewer: [[Manager-s9t0]] + IAM-Engineer.
- Folge-Reviews: quartalsweise.

## Provisionierung
- Ziel-Datum: 01.07.2026 vor 09:00.
- ServiceNow-Ticket: ITSM-XXXX.
- Bestätigung an: [[MA-s9t0]], [[Manager-s9t0]], HR-BP.
10

Was das HR-Recht verlangt

Pflichten — und wie anymize sie abdeckt

BSI IT-Grundschutz · ISO 27001 Anhang A (SRC-0251)

Rollenbasierte Berechtigungen + Least-Privilege + Need-to-Know + UAR. Over-Provisioning = ISO-Findings.

BSI AIC4 (SRC-0252)

KI-Cloud-Service-Compliance-Kriterien — relevant bei IAM-Automation mit KI (Entra ID Copilot, SailPoint AI).

DSGVO Art. 32 · § 26 BDSG · DSGVO Art. 28 (SRC-0215, SRC-0242)

Sicherheit der Verarbeitung; Berechtigungs-Konzept Teil dessen. Pseudonymisierung Klasse A vor LLM.

BetrVG § 87 Abs. 1 Nr. 6 (SRC-0211)

IAM-Automation mit KI mitbestimmungspflichtig. BAG 1 ABR 20/21 (SRC-0257).

EU AI Act Annex III Nr. 4 (SRC-0231)

HR-/Personalmanagement-KI = Hochrisiko; IT-Provisionierungs-KI als Teil davon.

MaRisk/BAIT/VAIT/KAIT · GxP · B3S

Bank/Versicherung: auditierbare RBAC; Pharma: validierte IT-Systeme; KRITIS: branchen-spezifische IT-Sicherheit.

DSK-OH KI v1.0 (SRC-0246)

HR-Pseudonymisierung; KI-Einsatz in IAM dokumentieren.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

IT-Provisionierungs-Tickets enthalten Klarnamen MA + Vorgesetzte und detaillierte Rollen-/Berechtigungs-Beschreibungen. anymize pseudonymisiert die Klasse-A-Daten vor dem KI-Aufruf; Rolle und Berechtigungs-Bedarf bleiben Klartext, weil sie für die Strukturierung gebraucht werden. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO + § 26 BDSG. Verarbeitung in deutschen Rechenzentren (Hetzner, BSI C5); AVV nach Art. 28 DSGVO mit IAM-/HRIS-Provider.

Was anymize konkret leistet

  • Erkennt MA-Klarname, Vorgesetzte und Team-Identifier mit über 95 %.
  • Bidirektionale Re-Identifikation für Übergabe an ServiceNow/Jira/Entra ID.
  • IAM-Alternativen: Personio AI, SailPoint AI, Saviynt, Microsoft Entra ID Copilot (alle BetrVG-§-87-pflichtig).
  • Verarbeitung in deutschen Rechenzentren (BSI C5); AVV nach Art. 28 DSGVO.
  • Originaldokumente werden nicht gespeichert.
12

Sicherheitscheck vor der Veröffentlichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • Rolle und Team strukturiert erfasst?
  • Sonder-Berechtigungen mit Begründung dokumentiert?
  • Compliance-Branche (KRITIS/Bank/Pharma) gesetzt?
  • Pseudonymisierungs-Spot-Check bei kleinen Teams?

Nach der KI-Antwort

  • Vollständige Subsystem-Liste (M365, AD, Git, Cloud, Slack, Jira)?
  • Least-Privilege-Begründung pro Berechtigung?
  • Compliance-Marker (BSI/ISO/MaRisk) pro Berechtigung?
  • Probezeit-Einschränkungen für Production-Deploy/kritische Daten?

Vor der Provisionierung

  • IT-Ops-Review dokumentiert; SoD bei Finance/Compliance-Rollen?
  • BetrVG-§-87-BV für IAM-AI (Entra ID Copilot, SailPoint) aktuell?
  • MFA + EDR + 1Password als Standard?
  • UAR-Datum festgelegt (Q+1 nach Eintritt)?

Typische Fehlermuster — und wie anymize gegensteuert

  • Over-Provisioning (Standard-Admin statt Least-Privilege) — der Prompt zwingt rolle-spezifische Gruppen.
  • Vergessene UAR-Termine — Prompt erzwingt UAR-Datum.
  • SoD-Verletzung bei Finance-Rollen — der Prompt prüft auf Konflikt-Berechtigungen.
  • Sonder-Berechtigungen permanent statt just-in-time — DSGVO-Risiko-Bewertung im Output.
  • BetrVG-§-87-BV nicht aktualisiert für neue IAM-AI-Komponenten — Offene-Punkte-Section.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen — IT-Sicherheit und Datenschutz

  • Access Control + Least-Privilege (SRC-0251)
  • KI-Cloud-Service-Compliance (SRC-0252)
  • Sicherheit der Verarbeitung
  • Beschäftigtendaten (SRC-0215)
  • AVV (SRC-0242)
  • HR-Pseudonymisierung (SRC-0246)

Primärnormen — Mitbestimmung und KI-Recht

  • Mitbestimmung IAM-AI (SRC-0211)
  • HR-Hochrisiko-KI (SRC-0231)
  • Bank/Versicherung auditierbare RBAC
  • Pharma-validierte IT-Systeme
  • KRITIS-Branchen-Sicherheit

Sekundärquellen

  • 19 % GenAI in HR (SRC-0271)
  • KMU-Adoption (SRC-0277)
  • HRIS-AI (SRC-0306)
  • AWS Frankfurt, ISO 27001 (SRC-0308)

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Ersatz für die HR-Letztverantwortung

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die personalrechtliche Würdigung im Einzelfall noch eine arbeits- oder mitbestimmungsrechtliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt arbeitsrechtlich zu bewerten ist, welche Entscheidungen in Ihrem konkreten Fall richtig sind — das bleibt selbstverständlich bei Ihnen und Ihrer HR-Letztverantwortung.

KI-Outputs müssen vor jeder Verwendung HR-fachlich geprüft werden. Insbesondere personenbezogene Entscheidungen (Einstellung, Beförderung, Kündigung) dürfen nicht allein auf KI-Empfehlungen gestützt werden (DSGVO Art. 22, EU AI Act Art. 26). anymize gewährleistet die Vertraulichkeit der Beschäftigtendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit und die rechtliche Verantwortung liegen in Ihrer Hand.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.