← Zurück zur Branchenseite

Datenschutz-Handout · anymize

KI-Nutzung mit anymize – Einordnung für den Datenschutzbeauftragten

Branche: HR & Personalwesen

Dieses Handout fasst für die/den Datenschutzbeauftragte:n zusammen, warum und wie der Einsatz von anymize datenschutzkonform ist. Es dient als Grundlage für die Prüfung und Freigabe.

1 · Wie anymize personenbezogene Daten schützt

  • anymize anonymisiert personenbezogene Daten, BEVOR sie ein KI-Modell erreichen. Verarbeitung und Hosting erfolgen in Deutschland.
  • Auf vollständig anonymisierte Daten ist die DSGVO nicht anwendbar (Erwägungsgrund 26 DSGVO).
  • Es findet kein Drittlandtransfer personenbezogener Daten statt (kein US-CLOUD-Act-Zugriff, kein Schrems-II-Risiko).
  • Im optionalen Klartext-Betrieb (ohne Anonymisierung) greifen AVV (Art. 28) und die TOMs (Art. 32); die Datenhaltung bleibt in Deutschland.

2 · Branchenspezifische Grundlagen (HR & Personalwesen)

  • § 26 BDSG / Art. 6 · Art. 88 DSGVOBeschäftigtendatenschutz; nach EuGH C-34/21 stützt man sich zunehmend direkt auf Art. 6/88 DSGVO.
  • BetrVG § 87 Abs. 1 Nr. 6Zwingende Mitbestimmung bei technischen Einrichtungen, die zur Verhaltens-/Leistungskontrolle geeignet sind – KI fast immer erfasst.
  • EU AI Act Anhang III Nr. 4KI im Recruiting und Personalmanagement ist Hochrisiko. Die Hochrisiko-Pflichten wurden durch den Digital Omnibus (Einigung 2026) auf den 02.12.2027 verschoben.
  • RL (EU) 2023/970 · HinSchGEntgelttransparenz und Hinweisgeberschutz – zusätzliche Pflichten bei Personaldaten.

Ohne Anonymisierung entsteht personenbezogene Profilbildung in der KI. US-Cloud-Tools verschärfen die Drittland- und Mitbestimmungsproblematik und sind für Beschäftigtendaten regelmäßig mit erheblichem Zusatzaufwand verbunden.

Lebensläufe, Zeugnisse und Personaldokumente werden anonymisiert (Namen, Adressen, Gesundheitsangaben), bevor eine KI sie verarbeitet. Es entsteht keine personenbezogene Bewertung in der KI – der Datenschutz- und Mitbestimmungskonflikt entschärft sich.

3 · Prüfpunkte für die Freigabe

  • AVV nach Art. 28 DSGVO liegt vor (Muster wird bereitgestellt).
  • Eintrag im Verzeichnis von Verarbeitungstätigkeiten ergänzt (Art. 30).
  • DSFA-Schwelle geprüft und dokumentiert (Art. 35).
  • TOMs gemäß Art. 32 inkl. Anonymisierung umgesetzt.
  • KI-Kompetenz der Mitarbeitenden sichergestellt (Art. 4 EU AI Act, seit 02.02.2025).

4 · Unser Datenschutzbeauftragter

Manuel Langeheinecke
digitalNORD GmbH, Kiel, Schleswig-Holstein
Kontakt: datenschutz@anymize.ai

Ort, Datum

Freigabe Datenschutzbeauftragte:r

Dieser Ratgeber ist sorgfältig recherchiert, ersetzt aber keine Rechtsberatung im Einzelfall. Einige Fristen des EU AI Act sind derzeit in politischer Anpassung, Landesrecht variiert je Bundesland. Bitte final mit deinem Datenschutzbeauftragten oder einer Anwält:in abstimmen.