Personalentwicklung und Learning

Onboarding-Trainings-Modul AI-Tools (Copilot, ChatGPT, EU AI Act KI-Kompetenz-Pflicht)

anymize ersetzt Schatten-KI-Vorfall-Details und MA-Beispiele automatisch durch Platzhalter, bevor das Frontier-Modell das 60-Min-Onboarding-Modul zur sicheren Nutzung freigegebener KI-Tools (Microsoft 365 Copilot mit People Skill, ChatGPT Enterprise, Claude for Work, anymize.ai) mit Do/Don't-Katalog, Datenschutz-Praxis und EU AI Act Art. 4 KI-Kompetenz-Bezug entwirft.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenBeispiel ansehen

Schwierigkeit: Fortgeschritten · Datenklasse: Beschäftigtendaten · Letztes Review:

Zur Orientierung gedacht. Die personalrechtliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI in der Personalentwicklung und im Learning

EU AI Act Art. 4 macht KI-Kompetenz-Schulung seit 02.02.2025 zur Arbeitgeber-Pflicht. Onboarding-Module für freigegebene KI-Tools sind dafür der praxisrelevanteste L&D-Hebel — sie bewegen Beschäftigte aus dem Schatten-IT-Risiko (Privat-Account ChatGPT) in den freigegebenen Stack.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
L&D-Manager, AI-Champion / AI-Enablement-Lead, IT-Trainer, HR Business Partner Learning, Compliance-Beauftragte, DSB (Sign-off), BR-Mitglieder.
Seniorität
Einsteiger-L&D für Standard-Drafting; Senior für KI-Governance-Vertiefung und Konzern-Roll-out.
Unternehmensgröße
Ab KMU mit Microsoft 365 Copilot-Lizenz; Mittelstand mit ChatGPT Enterprise / Claude for Work; Konzern mit eigenem AI-Enablement-Programm.
Spezifische Kontexte
Onboarding Tag-1-Pflichtmodul, Tool-Roll-out-Begleitung (z.B. Microsoft 365 Copilot Wave), jährliches Refresh, anlassbezogene Nachschulung nach Schatten-KI-Vorfall, rollenspezifische Tiefen-Module (HR, Finance, Engineering, Marketing).
03

Die Situation in der Personalabteilung

So bringen Sie Tempo und Sorgfalt zusammen

KI-Tool-Onboarding hat drei vertikale Risiken. Erstens: EU AI Act Art. 4 Pflicht seit 02.02.2025 — Arbeitgeber müssen sicherstellen, dass Beschäftigte und andere Personen mit KI-Nutzung über ausreichende KI-Kompetenz verfügen; McKinsey HR-Monitor 2025: nur 28 % formales KI-Training. Zweitens: Schatten-KI-Risiko — Beschäftigte nutzen Privat-Accounts (ChatGPT, Gemini, Claude.ai) mit personenbezogenen Daten = § 26-BDSG-Verstoß; DSGVO Art. 28 ohne AVV; Geschäftsgeheimnis-Verlust. Drittens: Tool-spezifische Spezifika — Microsoft 365 Copilot mit People Skill (Grant Thornton SRC-0315) hat DSGVO-Besonderheiten (Personalsuche im Tenant); ChatGPT Enterprise US-Verarbeitung; Claude for Work unterschiedliche Default-Privacy-Settings.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Trainings-Modul

6–14 h

Lokalisierung und Tool-Update-Pflege (Copilot-Funktionen quartalsweise) KI-affin.

Compliance-Hebel Art. 99

15 Mio EUR / 3 %

EU AI Act Bußgelder bei Pflichtverletzung.

Schatten-KI-Vermeidung

Geschäftsgeheimnis

Samsung-Vorfall 2023 als Warnung: fehlendes Onboarding kann Geschäftsgeheimnis-Verlust auslösen.

Erkennungsrate

>95 %

anymize entfernt Schatten-KI-Vorfall-Details und MA-Beispiele.

05

So gehen Sie vor

Der Workflow Schritt für Schritt

1

Tool-Inventar definieren: welche KI-Tools sind freigegeben (M365 Copilot, ChatGPT Enterprise, Claude for Work, anymize, ggf. Joule, Illuminate)?

Mensch (IT + DSB + L&D)

Curriculum-Basis

2

Rollenspezifik definieren: Allgemein-Modul + Vertiefungen HR / Finance / Engineering / Marketing.

Mensch

Praxis-Tauglichkeit

3

Daten-Klassifikation: interne Tool-Konfigurationen, MA-Beispiele aus Schatten-KI-Vorfällen = Klasse A. Generische Tool-Funktions-Beschreibungen = Klasse C.

Mensch

§ 26 BDSG

4

anymize pseudonymisiert: [[MA-…]], [[Tool-Konfig-…]], [[Schatten-Vorfall-…]].

anymize

DSGVO Art. 28

5

KI-Drafting des Curriculums: 4 Module à 12-18 Min (M1 EU AI Act Art. 4 + Datenschutz, M2 Microsoft Copilot, M3 ChatGPT/Claude, M4 Do/Don't + Praxis).

KI

Geschwindigkeit

6

Do/Don't-Katalog rollenspezifisch: 10 Do + 10 Don't pro Rolle.

KI + Mensch

Praxis-Tauglichkeit

7

DSB-Review: Datenschutz-Aussagen verifizieren (DSK, Art. 28 AVV, BAG Workday SRC-0260, Microsoft Copilot People Skill SRC-0315).

Mensch (DSB)

Compliance

8

BR-Information BetrVG § 87 (KI-Tool-Mitbestimmung, SRC-0211, ArbG Hamburg SRC-0259).

Mensch

Mitbestimmung

9

Roll-out via LMS; Teilnahme-Tracking; Quiz-Bestehensgrenze 80 %. Revisionssichere Archivierung als EU AI Act Art. 4-Nachweis.

Mensch + System

Beweisbarkeit

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Erkennt Schatten-KI-Vorfall-Details, Tool-Konfigurationen, MA-Beispiele mit über 95 % Erkennungsrate.
  • anymize.ai selbst ist Pflicht-Layer für Klasse-A-/-B-Daten in Curriculum-Tool-Stack.
  • Bidirektionale Anonymisierung für Schatten-KI-Vorfall-Lehrstücke.

Was Sie als L&D + DSB tun

  • EU AI Act Art. 4-Bezug zentral in M1.
  • Microsoft Copilot People Skill DSGVO-Hinweis (SRC-0315 Grant Thornton) integrieren.
  • Do/Don't-Katalog rollenspezifisch (HR/Finance/Engineering/Marketing).
  • DSB-Sign-off + BR-Information BetrVG § 87.

Daten-Input

KI-Tool-Inventar (freigegebene Tools, Blacklist), Rollenspezifik, Schatten-KI-Vorfall-Pseudonymisiert, Authoring-Tool, Ziel-LMS.

Output-Kontrolle

Re-identifiziertes Curriculum mit 4-Modul-Struktur, Do/Don't-Katalog tabellarisch, Praxis-Quiz mit 6 realistischen Szenarien, Teilnahme-Bestätigung.

Freigabeprozess

L&D → DSB → IT-Security → BR-Information → Veröffentlichung.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. KI-Tool-Inventar (freigegebene Tools + Blacklist) und Schatten-KI-Vorfälle in anymize einfügen.

2. Diesen Prompt anhängen, Thinking-Modus.

3. DSB-Review jedes Datenschutz-Statements Pflicht; Microsoft Copilot People Skill (SRC-0315) korrekt.

4. BR-Information BetrVG § 87 vor Roll-out.

Modell-Empfehlung: Claude bevorzugt für Tool-Demo-Storytelling.
# Context (C)
Rechtsstand: <heutiges Datum>. Du unterstützt das Drafting eines 60-Min-
Onboarding-Trainings-Moduls zur sicheren Nutzung freigegebener KI-Tools
im deutschen Unternehmen. Der Input ist pseudonymisiert: interne
Tool-Konfigurationen, Schatten-KI-Vorfälle, MA-Namen durch
`[[Kategorie-Hash]]`-Platzhalter. Gesetzestexte, Tool-Dokus sind Klartext.

# Role (R)
Du agierst als KI-Enablement-Trainer mit DSGVO-Sensibilität. Du kennst
EU AI Act Art. 4 (KI-Kompetenz-Pflicht seit 02.02.2025, SRC-0232), Art. 50
(SRC-0235), Annex III Nr. 4 (SRC-0231), DSGVO Art. 22 (SRC-0240), Art. 28
(SRC-0242), § 26 BDSG (SRC-0215), DSK-Orientierungshilfe KI Mai 2024
(SRC-0246), DSK-Leitlinie TOM bei KI Juni 2025 (SRC-0247), BetrVG § 87
(SRC-0211), ArbG Hamburg 24 BVGa 1/24 (SRC-0259), Grant Thornton Microsoft
People Skill (SRC-0315).

# Action (A)
1. Erstelle ein 4-Modul-Curriculum à 12-18 Min: M1 EU AI Act Art. 4 +
   Datenschutz-Basics, M2 Microsoft 365 Copilot Demo + DSGVO, M3 ChatGPT
   Enterprise / Claude for Work Demo, M4 Do/Don't + Praxis-Quiz.
2. Pro Modul: Lernziel + 4-6 Folien + 3 Quiz-Fragen.
3. EU-AI-Act-Art.-4-Pflicht zentral in M1.
4. Microsoft Copilot People Skill DSGVO-Risiko (SRC-0315) explizit
   ansprechen.
5. Schatten-KI-Risiko mit konkretem (pseudonymisierten) Vorfall
   illustrieren.
6. Do/Don't-Katalog 10 Do + 10 Don't, rollenspezifische Vertiefungs-
   Bullets (HR / Finance / Engineering / Marketing).
7. anymize.ai-Hinweis: Wann ist Pseudonymisierungs-Layer nötig? Konkrete
   Beispiele.
8. Markiere unsichere Aussagen mit `[[VERIFIKATION-PFLICHT]]` und
   unsichere Tool-Aussagen mit `[[TOOL-DOKU-PRÜFEN]]`.
9. Teilnahme-Bestätigungs-Template.

# Format (F)
- Modul-Übersicht als Markdown-Tabelle.
- Modul-Inhalte: Lernziel + Folien-Bullets + Quiz.
- Do/Don't-Katalog tabellarisch.
- Praxis-Quiz mit 6 Szenarien.
- Teilnahme-Bestätigung.

# Target Audience (T)
Alle Beschäftigten (Wissensarbeiter). Tonalität: praxisnah, motivierend
(KI als Produktivitäts-Hebel), klar zu Datenschutz- und Compliance-Grenzen.
08

So sieht der Input aus

Pseudonymisierter Eingabetext

Schulungs-Auftrag mit KI-Tool-Inventar und konkretem Schatten-KI-Vorfall.
Schulungs-Auftrag: 60-Min-Onboarding-Modul „Sichere Nutzung freigegebener KI-Tools” für alle [[Anzahl-MA]] Beschäftigten.
Rollenspezifik: Allgemein-Modul + 15-Min-Vertiefungen für HR / Finance / Engineering / Marketing.
Anlass: EU AI Act Art. 4 Pflicht (seit 02.02.2025) + Microsoft 365 Copilot Roll-out + Schatten-KI-Vorfall Q1.

Freigegebene Tools (Stand 2026-05):
- Microsoft 365 Copilot (Tenant Frankfurt, BSI C5) — inkl. People Skill (Grant Thornton SRC-0315).
- ChatGPT Enterprise (US-Hosting, SCC + DPF, AVV abgeschlossen).
- Claude for Work (EU-Tenant verfügbar).
- anymize.ai (Pseudonymisierungs-Layer) — Pflicht-Stack für Klasse-A-/-B-Daten.

Schatten-KI-Vorfall Q1 (pseudonymisiert):
- Vorfall [[Schatten-Vorfall-a3f9]]: [[MA-b2e7]] (HR) hat 20 Lebensläufe in privates ChatGPT-Konto kopiert. DSB-Audit ergab Datenschutz-Verletzung.

Ausgeschlossene Tools (Blacklist):
- Privat-Accounts ChatGPT / Gemini / Claude.ai.
- DeepSeek (chinesisches Hosting, DSGVO-Risiko).
09

So liefert anymize zurück

Der KI-Entwurf

KI-Output (Beispiel). DSB-Sign-off jedes Datenschutz-Statements Pflicht; Schatten-KI-Vorfall als Lehrstück.
## Curriculum: Onboarding KI-Tools 2026

### Modul-Übersicht

| Modul | Lernziel | Dauer | Quiz-Schwelle |
|---|---|---|---|
| M1 | EU AI Act Art. 4 + DSGVO-Basics | 14 min | 3/3 |
| M2 | Microsoft 365 Copilot — sichere Nutzung | 16 min | 2/3 |
| M3 | ChatGPT Enterprise / Claude for Work | 16 min | 2/3 |
| M4 | Do/Don't + Praxis-Quiz (6 Szenarien) | 14 min | 5/6 |

### Modul M2 — Microsoft 365 Copilot

**Folien-Bullets**:
- Copilot-Tenant: Frankfurt-Hosting, BSI C5 — grundsätzlich datenschutzfreundlich.
- **People Skill** (SRC-0315): Suchanfragen wie „Wer hat zuletzt Projekt X bearbeitet?” können Beschäftigtendaten preisgeben — nur für berechtigte Anwendungsfälle.
- Sensitivity Labels in M365 setzen — Copilot respektiert Labels.
- Niemals Gehaltsdaten, Bewerber-Daten, Kunden-Verträge ohne Klassifikation in Prompts.
- BAG Workday DSGVO (SRC-0260) als Warnung für Konzern-Datentransfer.

### Modul M3 — ChatGPT Enterprise / Claude for Work

**Folien-Bullets**:
- ChatGPT Enterprise: AVV, kein Training auf Eingaben, SOC 2.
- Claude for Work: EU-Tenant verfügbar.
- **Privat-Accounts strikt verboten** — Schatten-KI-Vorfall [[Schatten-Vorfall-a3f9]] zeigt: 20 Lebensläufe in privates ChatGPT = § 26-BDSG-Verstoß.
- **anymize.ai-Layer** für Klasse-A-/-B-Daten Pflicht.

### Modul M4 — Do/Don't (Auswahl)

| Do | Don't |
|---|---|
| Freigegebene Tools (Copilot, ChatGPT Enterprise, Claude for Work) | Privat-Accounts mit Geschäftsdaten |
| anymize.ai vor LLM-Prompt für Klasse-A-/-B-Daten | Rohdaten mit MA-/Kunden-Namen direkt in LLM |
| Sensitivity Labels in M365 setzen | Vertrauliche Dokumente ohne Label |
| Quellen-Verweise vom LLM verlangen und prüfen | LLM-Output ungeprüft übernehmen |
| Bei Unsicherheit DSB / IT fragen | „Wird schon passen” — Schatten-KI riskieren |
| Bei AGG-relevanten Themen Bias-Check | KI-Ranking blind übernehmen (BAG 8 AZR 74/25!) |

**Praxis-Quiz**:
- Szenario: HR-BP will Lebenslauf-Zusammenfassung. Richtiger Weg?
  - a) Privat-ChatGPT ✗
  - b) Copilot direkt — vorsichtig, Sensitivity-Label, mit DSB klären.
  - c) anymize-Pseudonymisierung + Claude for Work + Re-Identifikation lokal. ✓

`[[VERIFIKATION-PFLICHT: anymize.ai-Workflow-Details mit DSB-Sign-off]]`
`[[TOOL-DOKU-PRÜFEN: Microsoft Copilot People Skill TOM-Anforderungen]]`

### Teilnahme-Bestätigung
- Name: ________________  Datum: _________
- Modul-ID: AI-Tools-Onboarding-2026-v1.0
- Quiz-Ergebnis Gesamt: ___ /12 (Bestehensgrenze 9/12)
- Bestätigung Teilnehmer: ______________________
10

Was das HR-Recht verlangt

Pflichten — und wie anymize sie abdeckt

EU AI Act Art. 4 — KI-Kompetenz-Pflicht (SRC-0232)

Seit 02.02.2025 — Schulung gilt als Nachweis. Bei Pflichtverletzung Sanktion Art. 99 bis 15 Mio EUR / 3 % Umsatz.

EU AI Act Art. 50 — Transparenzpflicht (SRC-0235)

Bei KI-Interaktion mit externen Stakeholdern Transparenz-Hinweis Pflicht.

DSGVO Art. 28 — AVV-Pflicht (SRC-0242)

AVV mit jedem KI-Anbieter Pflicht. Bei US-Anbietern (ChatGPT Enterprise) SCC + DPF.

§ 26 BDSG — Beschäftigtendaten (SRC-0215)

Schatten-KI-Vorfall (Lebensläufe in Privat-ChatGPT) = § 26-BDSG-Verstoß. Onboarding-Modul muss Schatten-KI-Risiko adressieren.

Grant Thornton Microsoft People Skill (SRC-0315)

Microsoft Copilot People Skill ermöglicht Personalsuche im Tenant — Beschäftigtendaten-Preisgabe ohne legitimes Interesse möglich. TOM-Anforderungen prüfen.

BetrVG § 87 Abs. 1 Nr. 6 + ArbG Hamburg 24 BVGa 1/24

Bei KI-Tool mit Arbeitgeber-Account Mitbestimmung. BV vor Tool-Roll-out; ArbG Hamburg als Präzedenz.

BAG Workday DSGVO (SRC-0260)

Konzern-Datentransfer als Risiko. Copilot-Daten bleiben im EU-Tenant; ChatGPT Enterprise US-Hosting → SCC.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO (Rechtspflicht EU AI Act Art. 4) + Art. 6 Abs. 1 lit. f (berechtigtes Interesse Schulung). AVV nach Art. 28 mit LMS-Anbieter und jedem freigegebenen KI-Tool. anymize-Einordnung Kernhebel — interne Vorfälle pseudonymisieren; anymize.ai selbst ist Inhalt des Trainings.

Was anymize konkret leistet

  • Erkennt Schatten-KI-Vorfall-Details und MA-Beispiele mit über 95 % Genauigkeit.
  • anymize.ai selbst ist Pflicht-Layer für Klasse-A-/-B-Daten im Tool-Stack.
  • Alternative Pfade: Microsoft 365 Copilot Frankfurt-Tenant + Sensitivity Labels, ChatGPT Enterprise mit AVV + SCC, Claude for Work mit EU-Tenant, SuccessFactors Joule (SRC-0306), Workday Illuminate (SRC-0307), On-Premise-Modelle (Llama, Mistral) für strenge Konzern-DSB.
12

Sicherheitscheck vor der Veröffentlichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • Tool-Inventar definiert (freigegeben + Blacklist)?
  • Schatten-KI-Vorfall pseudonymisiert?
  • Rollenspezifik definiert (HR/Finance/Engineering/Marketing)?

Inhaltliche Qualität

  • EU AI Act Art. 4-Bezug zentral in M1?
  • Microsoft Copilot People Skill DSGVO-Hinweis (SRC-0315) integriert?
  • anymize-Layer-Workflow konkret beschrieben?
  • Do/Don't-Katalog rollenspezifisch?

Roll-out

  • DSB-Sign-off dokumentiert?
  • BR-Information BetrVG § 87 (ArbG Hamburg)?
  • Quiz-Schwelle ≥ 80 % konfiguriert?
  • LMS-Tracking aktiv (EU AI Act Art. 4-Nachweis)?
  • Revisionssichere Archivierung?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI vermischt Privat- und Enterprise-Accounts — klar trennen (Privat-Accounts strikt verboten).
  • KI vergisst Microsoft Copilot People Skill-Risiko — SRC-0315 als Pflicht-Folie.
  • KI macht generische Tool-Aussagen — [[TOOL-DOKU-PRÜFEN]] zwingt zur aktuellen Doku-Verifikation.
  • KI ignoriert anymize.ai-Layer-Workflow — als zentrales Do im Curriculum verankern.
  • KI unterschätzt Schatten-KI-Risiko — konkreter pseudonymisierter Vorfall als Lehrstück.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen — EU AI Act

  • KI-Kompetenz-Pflicht seit 02.02.2025 (SRC-0232)
  • Transparenzpflicht (SRC-0235)
  • Hochrisiko-KI Beschäftigung (SRC-0231)

Primärnormen — Datenschutz und Mitbestimmung

  • Verbot vollautomatischer Entscheidung (SRC-0240)
  • AVV mit jedem KI-Anbieter (SRC-0242)
  • Beschäftigtendaten — niemals Privat-Accounts (SRC-0215)
  • Dienstliche Geräte (SRC-0246)
  • Technisch-organisatorische Maßnahmen (SRC-0247)
  • KI-Tool-Mitbestimmung (SRC-0211)
  • ChatGPT-Mitbestimmungs-Präjudiz (SRC-0259)
  • Microsoft People Skill TOM (SRC-0315)
  • Konzern-Datentransfer (SRC-0260)

Markt

  • 28 % formales KI-Training (SRC-0271)
  • 11 % KI in Onboarding (SRC-0276)

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Ersatz für die HR-Letztverantwortung

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die personalrechtliche Würdigung im Einzelfall noch eine arbeits- oder mitbestimmungsrechtliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt arbeitsrechtlich zu bewerten ist, welche Entscheidungen in Ihrem konkreten Fall richtig sind — das bleibt selbstverständlich bei Ihnen und Ihrer HR-Letztverantwortung.

KI-Outputs müssen vor jeder Verwendung HR-fachlich geprüft werden. Insbesondere personenbezogene Entscheidungen (Einstellung, Beförderung, Kündigung) dürfen nicht allein auf KI-Empfehlungen gestützt werden (DSGVO Art. 22, EU AI Act Art. 26). anymize gewährleistet die Vertraulichkeit der Beschäftigtendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit und die rechtliche Verantwortung liegen in Ihrer Hand.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.