People Analytics und Workforce Planning

HR-Datenpanne § 33 DSGVO Meldung mit 72-Stunden-Behörden-Kommunikation an BfDI/Aufsichtsbehörde

anymize.ai pseudonymisiert MA-Namen, IBANs und Diagnose-Codes im Drafting-Input (sonst zweiter Datenschutz-Vorfall durch KI-Tool-Leak). Die KI generiert Art.-33-Meldung mit Sachverhalt, betroffenen Daten, Risiko-Bewertung, Mitigation und Art.-34-Empfehlung — innerhalb der 72-h-Frist. EuGH C-340/21 Bulgarian Posts (Schadensersatz auch ohne Schaden); BfDI-Konkretisierungs-Schreiben; anwaltliche Verifikation vor Behörden-Einreichung Pflicht.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenBeispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Beschäftigtendaten · Letztes Review:

Zur Orientierung gedacht. Die personalrechtliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

Hinweis

DSGVO Art. 33 — 72-Stunden-Frist hart; Verzögerung = eigenständiger Verstoß

Die 72-h-Frist ab Kenntnis DSB ist hart. Verzögerung = eigenständiger Verstoß (BfDI-Linie, SRC-0309). EuGH C-340/21 Bulgarian Posts (14.12.2023): Schadensersatz auch ohne nachgewiesenen materiellen Schaden möglich. DSGVO Art. 83 Bußgeld bis 20 Mio EUR oder 4 % Konzernumsatz. KI darf NIE Rechtsbeurteilung ersetzen — Halluzinations-Risiko bei Fristen und Schwellenwerten besonders gefährlich; anwaltliche Verifikation vor Behörden-Einreichung Pflicht.

01

Anwendungsbereich

Worum geht es hier?

KI in People Analytics und Workforce Planning

HR-Datenpannen sind die brisanteste Schnittstelle von People Analytics, HRIS-Sicherheit und Datenschutz-Recht. Die 72-Stunden-Frist nach DSGVO Art. 33 (SRC-0241) + Art. 34 (SRC-0242) ist hart; KI kann massiv beschleunigen, scheitert aber an Rechts-Halluzinationen + Fristen-Hardcoding. BfDI >32.000 Meldungen 2023 (SRC-0309); EuGH C-340/21 Bulgarian Posts (Schadensersatz auch ohne Schaden, SRC-0268) macht HR-Datenpanne zum justiziellen Massenphänomen.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
Datenschutzbeauftragter HR (Federführung), HR-Compliance-Lead (Sachverhalt), IT-Security-Lead (technische Aufklärung), CHRO (Eskalation), externe Anwaltskanzlei (Hochrisiko-Fälle).
Seniorität
Senior — DSGVO-Art.-33-/-34-Fristen + Behörden-Kommunikation.
Unternehmensgröße
Alle — Meldepflicht ab erstem Vorfall (keine Schwelle).
Spezifische Kontexte
Ransomware HRIS; Fehladressierte Vergütungs-/Personalakte; Fehl-Konfiguration Cloud-Storage; Verlorenes/Gestohlenes Endgerät mit HR-Daten; KI-Tool-Daten-Leak (Public-LLM-Upload).
03

Die Situation in der Personalabteilung

So bringen Sie Tempo und Sorgfalt zusammen

DSGVO Art. 33 (SRC-0241) verpflichtet zur Meldung einer Datenpanne an die zuständige Aufsichtsbehörde innerhalb 72 Stunden ab Kenntnis. Art. 34 (SRC-0242) verpflichtet bei hohem Risiko zur Information der Betroffenen. HR-Daten haben spezifische Risiken: Vergütungs-Daten = höchste Sensibilität (§ 26 BDSG); Gesundheitsdaten (BEM, AU-Bescheinigung) = Art. 9 DSGVO; Bewerber-Daten; KI-Tool-Datenpannen (Public-LLM-Upload ohne Pseudonymisierung — häufig unentdeckt). Die 72-h-Frist ist hart; Verzögerung = eigenständiger Verstoß (BfDI-Linie, SRC-0309). EuGH C-340/21 (SRC-0268): Schadensersatz auch ohne nachgewiesenen materiellen Schaden. anymize.ai pseudonymisiert MA-Namen, IBANs und Diagnose-Codes im Drafting-Input — sonst entsteht zweiter Datenschutz-Vorfall (KI-Tool-Leak des Datenpannen-Sachverhalts). KI kann Erstentwurf in Minuten produzieren — Rechtsfristen-Hardcoding + Faktenverifikation + anwaltliche Verifikation vor Behörden-Einreichung Pflicht.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeitersparnis pro Vorfall (72-h-Phase)

4–10 h

KI darf NIE Rechtsbeurteilung ersetzen; Halluzinations-Risiko bei Fristen besonders gefährlich.

Risiko-Hebel

20 Mio EUR + 4 %

DSGVO Art. 83 Bußgeld bis 20 Mio EUR oder 4 % Konzernumsatz; EuGH-Schadensersatz auch bei immateriellen Schäden (C-340/21); Reputations-Risiko bei BfDI-Veröffentlichung.

Vertraulichkeit

Drafting-Input

anymize.ai pseudonymisiert MA-Namen, IBANs, Diagnose-Codes — sonst zweiter Datenschutz-Vorfall.

Erkennungsrate

>95 %

NER-Spot-Check; Fristen-Hardcoding (72 h ab Kenntnis DSB).

05

So gehen Sie vor

Der Workflow Schritt für Schritt

1 (T+0)

Vorfall wird DSB bekannt; Incident-Triage; Klassifikation (technisch, organisatorisch).

Mensch (DSB + IT-Security)

Datenschutzpflicht

2 (T+0 bis T+12h)

Sachverhalts-Aufklärung; betroffene Datenkategorien identifizieren; Zeitfenster, Anzahl Betroffene.

Mensch

Faktenbasis

3

Datenklassifikation: Sachverhalt mit Klarnamen = Klasse A; sanitisierter Sachverhalt für Behörden = Klasse B/C.

Mensch

§ 26 BDSG · Vertraulichkeit

4

Pseudonymisierung des Drafting-Inputs: konkrete MA-Namen, IBANs, Krankheitsdaten → Platzhalter. Diagnose-Codes nur kategorial.

anymize

DSGVO Art. 28 · Art. 9

5 (T+24h)

KI-gestützter Erstentwurf Art.-33-Meldung: Sachverhalt, betroffene Daten, Risikobewertung, Mitigation.

GPT / Claude / Gemini in anymize

Geschwindigkeit

6 (T+36h)

Rechts-Verifikation Pflichtschritt: anwaltliche Prüfung Art. 33/34, Hochrisiko-Schwelle, zuständige Behörde (BfDI vs. LDSB).

Mensch + Kanzlei

Rechtshalluzinations-Risiko

7 (T+48h)

Hochrisiko-Bewertung: Art.-34-Betroffenenbenachrichtigung + ggf. Pressemitteilung erforderlich?

Mensch (DSB + Rechtsabteilung)

Art. 34 DSGVO

8 (T+60h)

Finale Behörden-Meldung über BfDI-Portal oder Landesaufsichtsbehörden-Portal; Re-Identifikation für Behörden-Kommunikation.

Mensch

DSGVO Art. 33

9 (T+72h Cut-off)

Meldung abgegeben + Bestätigung archiviert.

Mensch

Frist

10 Post-Incident

Betroffenen-Kommunikation (Art. 34); BR-Information BetrVG § 87 Abs. 1 Nr. 6; Lessons-Learned; KI-Inventar-Update bei KI-Tool-Vorfall.

Mensch

Compliance + Lernen

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Pseudonymisiert MA-Namen, IBANs, Diagnose-Codes im Drafting-Input — sonst zweiter Datenschutz-Vorfall.
  • Diagnose-Codes werden nur kategorial übergeben (Art.-9-Schutz).
  • Fristen-Hardcoding: 72-h-Frist ab Kenntnis DSB (nicht ab Vorfall) im Output-Format.
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO.

Was Sie als DSB tun

  • Vorfalls-Zeitpunkt + Kenntnis-Zeitpunkt DSB präzise dokumentieren.
  • Anwaltliche Verifikation vor Behörden-Einreichung Pflicht; bei Hochrisiko externe Kanzlei.
  • Hochrisiko-Schwelle Art. 34 anwaltlich prüfen; zuständige Behörde (BfDI vs. LDSB) identifizieren.
  • BR-Information BetrVG § 87 erfolgen lassen; Forensik-Berichte anhängen; Lessons-Learned Post-Incident.

Daten-Input

Pseudonymisierter Sachverhalt, betroffene Datenkategorien, Zeitfenster, Anzahl Betroffene, technische Ursache, Mitigation.

Output-Kontrolle

Pseudonymisiertes Drafting geht an die KI. Re-identifizierte Sachverhalts-Beschreibung (5–8 Sätze), Betroffene-Daten-Tabelle (Kategorie × Sensibilität × Anzahl), Risiko-Bewertung-Matrix, Mitigation-Bullets, Art.-34-Empfehlung-Zeile, Frist-Konformitäts-Zeile, Behörden-Zuständigkeits-Zeile kommen zurück. ALLE Aussagen sind anwaltlich zu prüfen.

Freigabeprozess

Pseudonymisierung des Drafting-Inputs, anwaltliche Verifikation vor Behörden-Einreichung, Hochrisiko-Schwelle Art. 34 geprüft, zuständige Behörde korrekt identifiziert, BR-Information BetrVG § 87, Bestätigung Behörden-Einreichung archiviert.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Vorfalls-Zeitpunkt + Kenntnis-Zeitpunkt DSB präzise dokumentieren.

2. Pseudonymisierter Sachverhalt in anymize einfügen — Diagnose-Codes nur kategorial; IBANs/Klarnamen automatisch zu Platzhaltern.

3. Diesen Prompt anhängen, „Thinking-Modus” wählen.

4. ANWALTLICHE VERIFIKATION VOR BEHÖRDEN-EINREICHUNG ZWINGEND; bei Hochrisiko externe Kanzlei + Forensik-Berichte anhängen.

Empfohlener Reasoning-Modus in anymize: Thinking-Modus. KI-Output IMMER anwaltlich verifizieren.
# Context (C)
Rechtsstand: <heutiges Datum>. Du unterstützt den Erstentwurf einer DSGVO-Art.-33-Meldung einer HR-Datenpanne an die zuständige Aufsichtsbehörde innerhalb der 72-Stunden-Frist. Input: pseudonymisierter Sachverhalt — MA-Namen, IBANs, Diagnose-Codes durch [[Kategorie-Hash]]-Platzhalter; betroffene Datenkategorien, Zeitfenster, Anzahl Betroffene in Klartext.

# Role (R)
Du agierst als Datenschutzbeauftragter mit Incident-Response-Erfahrung und DSGVO-Art.-33-/-34-Kompetenz. Du kennst DSGVO Art. 33 (SRC-0241) + Art. 34 (SRC-0242), Art. 32 TOMs, Art. 5, BfDI Konkretisierungs-Schreiben (SRC-0309), EuGH C-340/21 Bulgarian Posts (SRC-0268), BetrVG § 87 (SRC-0211), § 26 BDSG (SRC-0215).

# Action (A)
1. **Sachverhalts-Beschreibung**: zeitlicher Ablauf, betroffene Systeme, technische/organisatorische Ursache (Art. 33 Abs. 3 lit. a).
2. **Betroffene Datenkategorien** (Art. 33 Abs. 3 lit. a): Personalstammdaten, Vergütung, Gesundheitsdaten (Art. 9), Bewerber-Daten — präzise auflisten.
3. **Anzahl Betroffene** und **Anzahl Datensätze** (Art. 33 Abs. 3 lit. b).
4. **Risiko-Bewertung** (Art. 33 Abs. 3 lit. c): wahrscheinliche Folgen für Betroffene; Hochrisiko-Schwelle? EuGH C-340/21 berücksichtigen.
5. **Mitigation** (Art. 33 Abs. 3 lit. d): ergriffene Maßnahmen.
6. **Art.-34-Prüfung**: Hochrisiko erfüllt? → Betroffenen-Benachrichtigung Pflicht.
7. **Frist-Konformität**: T+0 zu Behörden-Einreichung-Differenz; Begründung falls > 72 h (Art. 33 Abs. 1 Satz 2).
8. **Zuständige Behörde identifizieren**: BfDI vs. Landesaufsichtsbehörde; bei One-Stop-Shop Lead-Authority.
9. Kennzeichnung: jede Aussage mit [Forensik], [HRIS] oder [Manuelle Aufklärung] taggen.

# Format (F)
- Sachverhalts-Beschreibung — 5–8 Sätze
- Betroffene-Daten-Tabelle (Datenkategorie × Sensibilität × Betroffenenanzahl)
- Risiko-Bewertung-Matrix
- Mitigation-Bullets
- Art.-34-Empfehlung-Zeile (ja/nein + Begründung)
- Frist-Konformitäts-Zeile
- Behörden-Zuständigkeits-Zeile
- ALLE Aussagen sind anwaltlich zu prüfen

# Target Audience (T)
Behörden-Sachbearbeiter:in (BfDI/LDSB); intern DSB + Rechtsabteilung + CHRO. Fakten-strikt, fristen-konform, juristisch belastbar.
08

So sieht der Input aus

Pseudonymisierter Eingabetext

Sachverhalt nach anymize-Pseudonymisierung. Klar-MA-Name, Drittfirma-Klarname, Microsoft-Audit-Logs als Platzhalter; konkrete Daten in Klartext.
HR-Datenpanne Unternehmen [[UN-a3f9]] (Konzern, 8.500 MA, Hauptsitz Frankfurt)
Datum Vorfall (T+0): [[Datum-b2e7]] 14:30 MEZ
Datum Kenntnis DSB: [[Datum-b2e7]] 18:00 MEZ
Aktuelles Datum Drafting: T+24h

Sachverhalt:
HR-Mitarbeiter [[MA-c4d1]] sendete versehentlich Excel-Liste mit Vergütungsdaten 142 Sales-MA an externe E-Mail-Adresse statt internem Verteiler. Empfänger ist Drittunternehmen [[Drittfirma-d8a3]]. E-Mail nach 30 Min vom Empfänger zurückgemeldet; schriftliche Löschungs-Bestätigung. Forensik via [[Microsoft-365-Audit-e1f5]] bestätigt: 1 Versand, 1 Öffnung, keine Weiterleitung.

Betroffene Daten (142 MA):
- Name, Vorname (Klasse A)
- Funktion, Karrierestufe (Klasse B)
- Jahresgehalt brutto + Variable + Bonus 2025 (Klasse A, höchste Sensibilität)
- Standort, Geschlecht (Klasse B)
KEINE Gesundheitsdaten, KEINE IBAN, KEINE Schwerbehinderten-Information.

Mitigation T+0 bis T+24h:
- E-Mail-Rückruf via Outlook Recall (extern nicht erfolgreich)
- Empfänger schriftliche Löschungs-Bestätigung erhalten
- Microsoft-365-Audit-Forensik: keine Weiterleitung, kein Download
- HR-Prozess-Audit eingeleitet
- BR-Information vorbereitet (BetrVG § 87 Abs. 1 Nr. 6)
- Externe Anwaltskanzlei [[Kanzlei-f7c2]] eingeschaltet

Hauptsitz Frankfurt → zuständige Behörde: Hessischer Datenschutzbeauftragter (HBDI).
09

So liefert anymize zurück

Der KI-Entwurf

KI-Output nach Re-Identifikation. Frist-Konformität 72 h dokumentiert; Hochrisiko-Schwelle anwaltlich zu prüfen; ALLE Aussagen anwaltlich zu verifizieren.
## Meldung nach Art. 33 DSGVO an Hessischen Datenschutzbeauftragten (HBDI)

**Verantwortlicher**: [[UN-a3f9]], Hauptsitz Frankfurt am Main.
**Vorfalls-Zeitpunkt** (T+0): [[Datum-b2e7]] 14:30 MEZ.
**Kenntnis DSB**: [[Datum-b2e7]] 18:00 MEZ.
**Meldung an Behörde**: T+36h (innerhalb 72-h-Frist).

### 1. Sachverhalts-Beschreibung
Am [[Datum-b2e7]] um 14:30 MEZ versendete ein HR-Mitarbeiter eine Excel-Liste mit Vergütungs-Daten von 142 MA der Sales-Funktion irrtümlich an eine externe E-Mail-Adresse eines Drittunternehmens. Der Empfänger meldete den Eingang nach 30 Minuten zurück, bestätigte die Löschung schriftlich. Microsoft-365-Audit-Forensik bestätigt: eine Versand-Aktion, eine Öffnung, keine Weiterleitung [Forensik].

### 2. Betroffene Datenkategorien
| Kategorie | Sensibilität | Betroffene |
|---|---|---|
| Name, Vorname | Klasse A | 142 |
| Funktion, Karrierestufe | Klasse B | 142 |
| Jahresgehalt brutto + Variable + Bonus 2025 | **Klasse A (höchste Sensibilität)** | 142 |
| Standort, Geschlecht | Klasse B | 142 |
| Gesundheitsdaten (Art. 9 DSGVO) | — | 0 |
| Finanzkontodaten (IBAN) | — | 0 |

### 3. Risiko-Bewertung
**Wahrscheinliche Folgen für Betroffene**:
- **Verlust der Vertraulichkeit Vergütungs-Information**: erheblich.
- **Identitätsdiebstahl-Risiko**: eingeschränkt (keine Finanz-/Ausweisdaten).
- **Reputations-/Belästigungs-Risiko**: eingeschränkt; Empfänger Geschäftspartner mit Datenverarbeitungs-Reputation.

EuGH C-340/21 (SRC-0268) berücksichtigt: Schadensersatz für immaterielle Schäden möglich; Mitigation-Maßnahmen wirksam.

**Hochrisiko-Schwelle Art. 34 DSGVO**: anwaltliche Einschätzung [[Kanzlei-f7c2]] erforderlich.

### 4. Mitigation
- E-Mail-Rückruf (Outlook Recall, extern nicht erfolgreich).
- Empfänger-Kontakt + schriftliche Löschungs-Bestätigung erhalten.
- Microsoft-365-Audit-Forensik: keine Weiterleitung, kein Download.
- HR-Prozess-Audit eingeleitet (Vier-Augen-Prinzip Sales-Comp-Daten).
- BR-Information BetrVG § 87 Abs. 1 Nr. 6 erfolgt (SRC-0211).
- Externe Anwaltskanzlei [[Kanzlei-f7c2]] eingeschaltet.

### 5. Art.-34-Empfehlung
**Vorläufig: keine Art.-34-Benachrichtigung** wegen wirksamer Mitigation (Bestätigung Empfänger-Löschung + Forensik), eingeschränkter Risiko-Konstellation. Anwaltliche Letzt-Prüfung steht aus.

### 6. Frist-Konformität
Vorfall T+0; Behörden-Meldung T+36h → innerhalb 72-h-Frist Art. 33 Abs. 1 DSGVO.

### 7. Zuständige Behörde
**Hessischer Datenschutzbeauftragter (HBDI)** wegen Hauptsitz Frankfurt am Main. One-Stop-Shop nicht einschlägig.

---

**Anwaltliche Verifikation erfolgt durch [[Kanzlei-f7c2]] vor Behörden-Einreichung.**
10

Was das HR-Recht verlangt

Pflichten — und wie anymize sie abdeckt

DSGVO Art. 33 (SRC-0241)

72-h-Frist hart; Verzögerung = eigenständiger Verstoß; Begründungspflicht bei > 72 h.

DSGVO Art. 34 (SRC-0242)

Betroffenen-Benachrichtigung bei hohem Risiko.

EuGH C-340/21 Bulgarian Posts (SRC-0268)

Schadensersatz auch für immaterielle Schäden möglich; keine Bagatellgrenze.

BfDI Konkretisierungs-Schreiben (SRC-0309)

72-h-Frist + Inhalts-Anforderungen + One-Stop-Shop-Anwendung.

BetrVG § 87 Abs. 1 Nr. 6 (SRC-0211)

BR-Information binnen vereinbarter Frist (typisch 24 h).

§ 26 BDSG (SRC-0215)

Beschäftigten-Datenschutz.

EU AI Act (SRC-0231)

Bei KI-Tool-Datenpanne zusätzlich Art.-26-Logging-Anforderungen.

DSGVO Art. 22 (SRC-0240)

Falls KI-Tool für Versand-Filterung eingesetzt war, Art.-22-Check.

DSGVO Art. 83 Bußgeld

Bis 20 Mio EUR oder 4 % Konzernumsatz.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Rechtsgrundlage Art. 33/34 DSGVO (rechtliche Verpflichtung). Datenklassen: Sachverhalt mit Klarnamen = Klasse A; Behörden-Meldung kann Klarnamen-Anteile enthalten (zwingend für Sachverhalts-Klarheit), aber minimiert. anymize.ai pseudonymisiert MA-Namen, IBANs, Diagnose-Codes im Drafting-Input — sonst zweiter Datenschutz-Vorfall durch KI-Tool-Leak. Diagnose-Codes nur kategorial. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO. DSGVO Art. 33 72-h-Frist hart; Art. 34 bei hohem Risiko; EuGH C-340/21 Bulgarian Posts (Schadensersatz auch ohne Schaden); BfDI-Konkretisierungs-Schreiben (SRC-0309) >32.000 Meldungen 2023. BetrVG § 87 Abs. 1 Nr. 6 BR-Information binnen 24 h; § 11 NIS2 bei KRITIS-Betreibern zusätzliche Meldepflichten. EU AI Act Art. 26 bei KI-Tool-Vorfall. DSGVO Art. 83 Bußgeld bis 20 Mio EUR / 4 % Konzernumsatz. ANWALTLICHE VERIFIKATION VOR BEHÖRDEN-EINREICHUNG ZWINGEND.

Was anymize konkret leistet

  • Pseudonymisiert MA-Namen, IBANs, Diagnose-Codes im Drafting-Input — sonst zweiter Datenschutz-Vorfall.
  • Diagnose-Codes werden nur kategorial übergeben (Art.-9-Schutz).
  • Fristen-Hardcoding: 72-h-Frist ab Kenntnis DSB im Output-Format.
  • Verarbeitung in deutschen Rechenzentren (Hetzner).
  • Alternative: OneTrust Incident Manager, DataGuard für DE-Mittelstand, BfDI-Meldeportal (Bundesbehörden-Konstellationen), Landesaufsichtsbehörden-Portale (HBDI, LDA Bayern), Microsoft Sentinel für SIEM-Forensik.
12

Sicherheitscheck vor der Veröffentlichung

Was anymize liefert — was Sie souverän entscheiden

T+0 bis T+24h

  • Vorfalls-Zeitpunkt + Kenntnis-Zeitpunkt DSB präzise dokumentiert?
  • 72-h-Frist ab Kenntnis DSB (nicht ab Vorfall)?
  • Pseudonymisierung des Drafting-Inputs vor LLM-Transfer?
  • Forensik-Berichte vorhanden?

T+24h bis T+60h

  • Anwaltliche Verifikation vor Behörden-Einreichung?
  • Hochrisiko-Schwelle Art. 34 anwaltlich geprüft?
  • Zuständige Behörde korrekt identifiziert (BfDI vs. LDSB)?
  • One-Stop-Shop-Anwendung geprüft?

Bei T+72h Cut-off und Post-Incident

  • Mitigation-Maßnahmen dokumentiert?
  • BR-Information BetrVG § 87 erfolgt?
  • EU-AI-Act-Logging bei KI-Tool-Vorfall?
  • Bestätigung Behörden-Einreichung archiviert?
  • Lessons-Learned-Sitzung Post-Incident eingeplant?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI berechnet Frist ab Vorfall statt ab Kenntnis DSB — Fristen-Hardcoding im Output-Format.
  • KI erfindet zuständige Behörde — anwaltliche Verifikation Pflicht.
  • KI gibt Klar-Daten in Behörden-Meldung aus, die nicht zwingend nötig sind — Re-Identifikation nur was zwingend.
  • KI extrapoliert Hochrisiko-Schwelle Art. 34 ohne anwaltliche Prüfung — der Prompt erzwingt anwaltliche Einschätzung.
  • KI ignoriert Diagnose-Codes-Sensibilität (Art. 9) — anymize.ai übergibt nur kategorial.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen — DSGVO Art. 33/34

  • 72-h-Meldepflicht ab Kenntnis
  • Betroffenen-Info bei hohem Risiko
  • Bei KI-Tool-Datenpanne Art.-22-Check
  • Beschäftigten-Datenschutz
  • Bei KI-Tool-Vorfall Art.-26-Logging
  • AVV / Bußgeld bis 20 Mio EUR oder 4 %
  • BR-Information binnen 24 h

EuGH-Rechtsprechung und Aufsicht

  • Schadensersatz auch ohne Schaden; 14.12.2023
  • >32.000 Meldungen 2023

Studien und Plattformen

  • Incident-Management
  • SIEM-Forensik
  • Kontext

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Ersatz für die HR-Letztverantwortung

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die personalrechtliche Würdigung im Einzelfall noch eine arbeits- oder mitbestimmungsrechtliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt arbeitsrechtlich zu bewerten ist, welche Entscheidungen in Ihrem konkreten Fall richtig sind — das bleibt selbstverständlich bei Ihnen und Ihrer HR-Letztverantwortung.

KI-Outputs müssen vor jeder Verwendung HR-fachlich geprüft werden. Insbesondere personenbezogene Entscheidungen (Einstellung, Beförderung, Kündigung) dürfen nicht allein auf KI-Empfehlungen gestützt werden (DSGVO Art. 22, EU AI Act Art. 26). anymize gewährleistet die Vertraulichkeit der Beschäftigtendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit und die rechtliche Verantwortung liegen in Ihrer Hand.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.