Hochrisiko-KI im Datenschutz-Check: Vier Herausforderungen, die Sie überwinden müssen

Disclaimer: Die Inhalte dieses Blogs dienen ausschließlich allgemeinen Informationszwecken und stellen keine rechtliche Beratung dar. Obwohl wir uns bemühen, aktuelle und relevante Informationen bereitzustellen, können nicht alle möglichen Einzelfälle und speziellen rechtlichen Konstellationen berücksichtigt werden. Der Blog ersetzt keine individuelle Beratung durch einen qualifizierten Rechtsanwalt oder Datenschutzexperten. Für verbindliche Auskünfte und individuelle Lösungen empfehlen wir, professionellen rechtlichen Rat einzuholen.

Schön, dass Sie auch bei unserem zweiten Teil unserer dreiteiligen Blogreihe zum Thema Künstliche Intelligenz (KI) und Datenschutz wieder dabei sind! In unserem ersten Beitrag haben wir für Sie die fünf Kernelemente zusammengefasst, die aus Datenschutz-Sicht beim Einsatz von KI jedenfalls immer relevant sind, heute beschäftigen wir uns mit vier Herausforderungen, die ein KI-Einsatz mit sich bringen kann, besonders dann, wenn von sogenannter „Hochrisiko-KI“ die Rede ist. Natürlich zeigen wir auch wieder auf, wie Sie diese Herausforderungen meistern und mögliche Risiken mitigieren können.

Auch heute wieder vier kleine Spoiler vorweg:

Dieser Beitrag greift nur bestimmte ausgewählte Aspekte auf, die einen Betreiber einer Hochrisiko-KI treffen können – eine detailliertere Darstellung aus Sicht des AI Acts finden Sie in einem unserer nächsten Blogbeiträge, die sich eingehender mit den Anforderungen aus dem AI Act beschäftigen!
Achtung, Deadline: Während ein großer Teil der Vorschriften des AI Act erst im Sommer 2026 in Geltung sein wird, gelten die Vorschriften zur sogenannten „KI-Kompetenz“ bereits ab 2. Februar 2025 – und zwar für alle KI-Systeme im Anwendungsbereich des AI-Act.
Den Anbieter von Hochrisiko-KI-Systemen treffen vielfältige Pflichten – diese Pflichten können in Ausnahmefällen aber auch für den Betreiber Wirkung entfalten, etwa, wenn diese ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Hochrisiko-KI-System mit ihrem Namen oder ihrer Handelsmarke versehen, unabhängig davon, ob Verträge im Hintergrund eine andere Pflichtenaufteilung regeln.
Wir haben diesen Blogbeitrag mit etlichen zusätzlichen Praxistipps für eine konkrete Umsetzung versehen.

In den Trendumfragen für 2025¹ und ferner herrscht weitgehend Einigkeit darüber, dass die Zukunft von HR maßgeblich durch den Einsatz von KI geprägt sein wird. Aufgrund der Bestimmungen des AI Acts fallen die meisten KI-Systeme jedoch in die Kategorie der sogenannten „Hochrisiko-KI“ – weswegen wir diese in den Fokus unseres Blogbeitrages rücken wollen und im weiteren Verlauf auch das Beispiel einer (erfundenen) Recruiting-Plattform verwenden möchten. Konkret gehen wir in unserem Beispiel davon aus, dass neben Lebensläufen, Dienstzeugnissen und anderen Unterlagen, die automatisiert gescreent werden, auch Rankings der vielversprechendsten Bewerber*innen auf eine bestimmte Position erstellt werden.

Aber: Was ist denn nun unter dem Begriff einer „Hochrisiko-KI“ zu verstehen und warum ist das ein Thema, mit dem man sich durchaus befassen sollte?

Wie immer in solchen Fällen ist die Definition sehr technisch und umfasst 2 Kriterien, die kumulativ vorliegen müssen²: Das KI-System soll als Sicherheitsbauteil eines Produkts, das unter die in Anhang I des AI Act genannten EU-Vorschriften fällt, eingesetzt werden oder das KI-System ist selbst ein solches Produkt und das KI-System als Sicherheitsbauteil oder als Produkt muss einer Konformitätsbewertung durch Dritte im Fall des Inverkehrbringens oder Inbetriebnehmens innerhalb der EU unterzogen werden. Beispiele hierfür wären Aufzüge, Funkanlagen oder Medizinprodukte.

Darüber hinaus gelten KI-Systeme, die in Anhang III zum AI Act geführt werden, als hochriskant: Beispiele hierfür wären etwa Sicherheitsbauteile der digitalen kritischen Infrastruktur, aber auch Auswahl- und Zulassungssysteme zu allen Ebenen der allgemeinen und beruflichen Bildung, sowie KI-Systeme, die im Recruiting für die Einstellung oder Auswahl geeigneter Bewerber*innen verwendet werden sollen, insb. um gezielt Jobinserate zu schalten, Bewerbungen zu sichten und zu bewerten, oder aber auch im Bereich des Performance Managements. Es gibt zwar auch hier wieder Ausnahmen, die ein KI-System aus der Hochrisiko-Einstufung herausnehmen können, allerdings gilt ein in Anhang III zum AI Act angeführtes KI-System immer als hochriskant, wenn es ein Profiling natürlicher Personen vornimmt. Entsprechend werden zukünftig viele HR-Anwendungen unter die Definition eines Hochrisiko-KI-Systems fallen.

Noch eine weitere Anmerkung, weil wir immer wieder über solche KI-Systeme stolpern, insbesondere jene, die aus dem US-amerikanischen Raum ihren Weg zu uns finden: KI-Systeme, die im Rahmen von Vorstellungsgesprächen zB mittels Videoaufnahmen dieser Job Interviews die Emotionen von Bewerber*innen analysieren, um ihre Eignung für eine bestimmte Stelle zu bewerten, könnten zukünftig gegen Art 5 AI Act verstoßen (sogenannte „verbotene Praktiken“, die ab Februar 2025 generell verboten sind).

Nachdem wir die grundlegenden Begriffe geklärt haben, was sind also die vier in der Einleitung angekündigten Herausforderungen, denen Sie sich auf jeden Fall stellen sollten?

Die erste Herausforderung: Herstellen von Transparenz und Anpassen interner Prozesse

Wir haben in unserem ersten Blogbeitrag zu den fünf Kernelementen von Datenschutz und KI die Wichtigkeit von Transparenz herausgestrichen: Dies sollte jedenfalls durch entsprechende Updates Ihrer Datenschutzinformation / Privacy Notices erfolgen, für unser Beispiel einer Recruiting-Plattform mit KI-Support bedeutet dies daher auch einen notwendigen Review dieses Dokuments.

Damit ist die Aktualisierungsarbeit aber noch nicht getan: Es ist auch dringend empfohlen, die Bewerber*innen vor Upload ihrer Unterlagen und Informationen deutlich darauf hinzuweisen, dass KI während des Bewerbungsverfahrens zum Einsatz kommen wird. Sie können dies durch einen deutlichen Hinweis bereits auf der Startseite Ihrer Bewerbungsplattform machen, oder indem Sie ein Pop-Up Fenster schalten, das aktiv weggeklickt werden muss oder indem Sie ein Overlay aktivieren – der Fantasie in Bezug auf die konkrete Umsetzung sind wenig Grenzen gesetzt, wichtig ist nur: Der Hinweis muss gut lesbar sein, dh klare und einfache Sätze sowie eine gut lesbare Schriftgröße sind wichtig – ein Asterix mit einem Verweis auf einen Fußnotentext irgendwo auf der Seite in Schriftgröße 8pt wird der Transparenzverpflichtung eher nichts Gutes tun.

Praxistipp 1: Auch intern sollte Transparenz sichergestellt sein, nämlich in Bezug auf die Nachvollziehbarkeit und Reproduzierbarkeit der Ergebnisse, die durch den Einsatz von KI-Systemen erzeugt werden: Zwar sind Anbieter von KI-Systemen erst 2026 dazu verpflichtet, Manuals und Bedienungsanleitungen bereit zu stellen und zudem trifft den Verantwortlichen ebenfalls erst dann die Verpflichtung, Logs des Hochrisiko-KI-Systems für zumindest sechs Monate aufzubewahren – um aber den Anforderungen nach Art 15 DSGVO nachkommen zu können sowie um die ggf erforderlichen Risk Assessments durchführen zu können, empfiehlt es sich, den Lieferanten des KI-Systems auch schon jetzt auf diesbezügliche Unterlagen anzusprechen sowie sicher zu stellen, dass Logfiles erstens für Ihr Unternehmen zugänglich sind und zweitens, dass die Aufbewahrungsfrist zielführend definiert wird (Art 26 AI Act spricht in diesem Zusammenhang von einem „mindestens für sechs Monate aufzubewahren“). Darüber hinaus sollten Sie sicherstellen, dass die Ergebnisse, die Ihnen Ihr KI-System zum Beispiel beim Screening der Lebensläufe mit anschließender Rangfolge liefert, revisionssicher abgespeichert werden, um bei Nachfragen aussagefähig zu sein, entweder, weil Ihr KI-System dies ohnehin automatisch kann und zB in den Logs mit speichert, oder weil Sie Ihr HR-Team anweisen, jeweils Screenshots zu machen und diese gesondert abzuspeichern.

Praxistipp 2: Darüber hinaus sind Ihre Mitarbeiter*innen auf den korrekten Einsatz des KI-Systems zu schulen, das geht natürlich ebenfalls am besten, wenn man tatsächlich verstanden hat, wie das KI-System funktioniert, welche Algorithmen zumindest in Grundzügen dahinter liegen und wie Ergebnisse in welcher Form aus welchen Gründen zustande kommen (mehr zum Training weiter unten). Eine solche Transparenz zahlt dann auch positiv auf allfällige Nachfragen von unterlegenen Bewerber*innen in Bezug auf die Bewertung ihrer Unterlagen ein, unterstellend, dass in ihrem Fall eine mögliche Diskriminierung und damit ein Verstoß gegen das Gleichbehandlungsgebot vorliegen könnte.

Die zweite Herausforderung: Sicherstellen des Vorliegens einer adäquaten Rechtsgrundlage

Wie Sie es bereits aus unserem ersten Blogbeitrag kennen, ist für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage, die dies erlaubt, erforderlich – aber Achtung: Der AI Act stellt keine eigenständige Rechtsgrundlage dar, außer, es wird ausdrücklich im AI Act so angeführt.

Mit anderen Worten: Wir müssen prüfen, welche Alternative nach Art 6 DSGVO zum Tragen kommen könnte; im Rahmen des Bewerbungsverfahrens, und insbesondere mit Blick auf den Einsatz von KI-Profiling-Technologien wird typischerweise an die Einholung einer entsprechenden Zustimmung der Bewerber*innen nach Art 6 Abs 1 lit a DSGVO zu denken sein. Eine gültige Einwilligung bedarf neben anderem einer bewussten Entscheidung, die auf einer konkreten Information darüber beruht, wie die Daten der betroffenen Person verarbeitet werden – Sie sehen, mit einer entsprechenden Kennzeichnung, wie unter Punkt 1 in diesem Beitrag beschrieben, erfüllen Sie nicht nur die Anforderungen aus dem AI Act, sondern unterstützen auch Ihren Einwilligungsprozess aus Datenschutz-Sicht!

Weil wir gerade über Profiling sprechen: Nach Art 22 DSGVO haben natürliche Personen, in unserem Beispiel die Bewerber*innen, das Recht, nicht ausschließlich einer auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die gegenüber den Bewerber*innen eine rechtliche Wirkung entfaltet oder sie in ähnlicher Weise beeinträchtigt. Eine rechtliche Entscheidung wäre in unserem Fall zum Beispiel die Entscheidung, ob ein*e bestimmte*r Bewerber*in im weiteren Recruitingprozess berücksichtigt wird oder eine Absage erhält. Und – in der Literatur wird, nicht zuletzt basierend auf den Ende letzten Jahres ergangenen „SCHUFA-Entscheidungen“ des EuGH³ die Auffassung vertreten, dass bereits eine Empfehlung als Entscheidung im Sinne des Art 22 DSGVO anzusehen ist, wenn diese Empfehlung die weitere Entscheidung „maßgeblich“ beeinflusst. Übersetzt bedeutet dies, ein Ranking oder sonst eine Empfehlung für oder gegen Bewerber*innen, das von einem KI-System erstellt wird, und an das sich Recruiter*innen zumeist halten, gilt entsprechend wohl als „automatisierte Entscheidung“.

Des Weiteren ist darauf zu achten, dass eine automatisierte Entscheidungsfindung, die auf der Verarbeitung von Daten besonderer Kategorien (landläufig als „sensible Daten“ bezeichnet, gemeint sind hier aber gesundheitsbezogene Informationen, Informationen zu Religion oder philosophischen Überzeugen oder auch zur sexuellen Orientierung einer Person) beruht, nicht zulässig ist, es ist daher darauf zu achten, dass Ihr KI-System keinesfalls auf diese Daten zugreift, lassen Sie sich Entsprechendes vom Anbieter Ihres KI-Systems bestätigen!

Praxistipp 3: Für die konkrete Umsetzung in Ihrem HR-Team bedeutet dies, dass erstens Bewerber*innen das Recht haben, sich nicht einer solchen automatisierten Entscheidungsfindung unterziehen zu wollen: Wir erinnern uns, eine Einwilligung hat stets freiwillig zu erfolgen, Freiwilligkeit ist allerdings nur dann gegeben, wenn es eine echte Wahlmöglichkeit gibt. Entsprechend sollten Sie auf Ihrem Bewerbungsportal präsent eine Alternative zum Upload der Bewerbungsunterlagen in Ihrem Portal vorsehen, bieten Sie zB eine Emailadresse an, über die die Dokumente ebenfalls geschickt werden. Das macht allerdings natürlich nur dann Sinn, wenn ebenfalls sichergestellt ist, dass der interne Upload auf die Plattform durch Ihr HR-Team in der Folge nicht erst eine automatisierte Entscheidungsfindung triggert. In dem Fall wäre dies wahrscheinlich eine Datenverarbeitung ohne Rechtsgrundlage und damit eine Verletzung wesentlicher Datenschutzprinzipien.

Praxistipp 4: Achten Sie bei der Implementierung Ihres Systems auch darauf, dass jede*r Bewerber*in das Recht hat auf ein Eingreifen eines/einer menschlichen Recruiters/Recruiterin hat – Sie sollten proaktiv auf dieses Recht hinweisen, einen Prozess hierfür intern vorab definieren und geeignete wording-Vorschläge parat haben, dies umso mehr, als jede*r Bewerber*in auch das Recht hat, seinen/ihren Standpunkt vorzutragen und die Entscheidung anzufechten.

Für den Fall, dass Ihr Unternehmen über einen Betriebsrat verfügt, kann es weiters erforderlich sein, auch für eine solche Recruiting-Plattform eine Betriebsvereinbarung abzuschließen; diskutieren Sie diese Frage am besten bereits im Vorfeld mit eine*r Arbeitsrechtexpert*in!

Die dritte Herausforderung: Verhindern von Diskriminierung und Reduktion eines „unconscious bias“ der KI

Gerade im HR-Bereich ist es wichtig, nicht nur an Datenschutzaspekte und IT-Sicherheitskriterien zu denken, sondern auch geltendes Arbeitsrecht nicht außer Acht zu lassen, insbesondere die Vorschriften zum Gleichbehandlungsgebot. Nach Art 10 AI Act sind Hochrisiko-Systeme so zu trainieren, dass EU-Anti-Diskriminierungsvorgaben nicht verletzt werden – dies betrifft nicht nur die Entwicklung von solchen KI-Systemen, sondern es sind auch die Betreiber (also Sie als Unternehmen) nach Art 26 AI Act gefordert, sicherzustellen, soweit die Kontrolle der Inputdaten bei Ihnen liegt, sicherzustellen, dass „input data (…) relevant and sufficiently representative in view of the intended purpose of the high-risk AI system“ ist.

Praxistipp 5: Übersetzt heißt dies, dass Sie vom Anbieter Ihrer KI-Anwendung eine Dokumentation zum Thema Data Governance verlangen sollten, in der verständlich ausgeführt wird, wie das fragliche KI-System trainiert wurde, sodass keine Anti-Diskriminierungsvorgaben verletzt wurden. Der Anbieter ist hierzu nach dem AI Act erst 2026 verpflichtet, eine solche Dokumentation proaktiv bereit zu stellen, das Gleichbehandlungsgesetz und verwandte Materien gelten in Österreich aber natürlich trotzdem, entsprechend sollten Sie Informationen vor diesem Hintergrund jedenfalls verlangen. Ebenso sollten Sie sicherstellen, dass Sie über eine nachvollziehbare interne Dokumentation verfügen, anhand welcher Kriterien und Informationen das ausgewählte KI-System für Ihre Zwecke trainiert wurde; legen Sie einen besonderen Fokus auf mögliche biases und versuchen Sie aktiv, diese zu vermeiden. Ein klassisches Beispiel wäre, dass Sie für die Position eines IT Fachexperten anonymisierte Lebensläufe früherer Mitarbeiter nutzen, die alle männlichen Geschlechts waren, sodass die KI basierend auf diesen Informationen lernt, dass der beste Bewerber ebenfalls männlichen Geschlechts sein muss und weibliche oder diverse Bewerber*innen von Vornherein aussortiert. Gleiche Überlegungen kann man mit Alter oder mit disruptiven Lebensläufen oder Ausbildungen auf dem zweiten Bildungsweg anstellen. Sie sehen, es gibt Vieles, worüber sich Ihre HR Expert*innen im Vorfeld Gedanken machen sollten!

Praxistipp 5a: Darüber hinaus unterstützt Sie eine solche Dokumentation bei der für Hochrisiko-KI-Systemen wahrscheinlich zu erstellenden Datenschutz-Folgenabschätzung, da dort eine Darstellung der Verhältnismäßigkeit und Notwendigkeit der Datenverarbeitung erfolgen muss.

Die vierte Herausforderung: Der Aufbau von „KI-Kompetenz“ bei Ihren Mitarbeiter*innen

Streng genommen sammeln sich unter dieser Überschrift ebenfalls mehrere Herausforderungen auf einmal: Zunächst die zeitliche Komponente – die Vorschriften zur KI-Kompetenz nach dem AI Act sind bereits ab dem 2. Februar 2025 wirksam, also knapp zwei Monate nach Erscheinen dieses Blogbeitrags. Das bedeutet nicht, dass bis zum 2. Februar 2025 alle Mitarbeiter*innen unmittelbar bereits geschult sein müssen- aber natürlich besteht insofern Handlungsbedarf, als ab 2. Februar 2025 alle Mitarbeiter*innen „mit KI-Kontakt“ geschult und hierfür entsprechende Rahmenbedingungen und Ressourcen geschaffen werden müssen.

Und dann die inhaltliche Komponente – Details darüber, wann Mitarbeiter*innen über ein ausreichendes Maß an KI-Kompetenz verfügen, hält der AI Act nicht fest, vielmehr wird relativ generisch normiert, dass Unternehmen mit „besten Kräften sicherzustellen [haben], dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI‑Systemen befasst sind, über ein ausreichendes Maß an KI‑Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI‑Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI‑Systeme eingesetzt werden sollen, zu berücksichtigen sind.“⁴

Praxistipp 6:

Implementieren Sie eine KI-Richtlinie, die auch das Thema Training und Kompetenzerwerb zum Inhalt hat sowie Vorgaben darüber trifft, welche Mitarbeiter*innengruppen Zielgruppe welcher Trainings sind. Diese Richtlinie sollte sinnvollerweise auch Vorgaben darüber enthalten, welche Grundkompetenz bei den jeweiligen Mitarbeiter*innen vorhanden sein muss als auch wo und in welcher Form Unterstützung gewährleistet werden kann, zB indem Sie extern Fachexperten im Rahmen einer Art Supporthotline beiziehen.
Gehen Sie bei der Erstellung Ihres Trainingsplans am besten modular vor: Eine Grundschulung mit der Erklärung der wesentlichen Basics für alle Mitarbeiter*innen sowie vertiefende Schulungen für zB HR Mitarbeiter*innen oder IT (Support) Mitarbeiter*innen. Sehen Sie wiederkehrende Auffrischungsschulungen vor und dokumentieren Sie die verpflichtende Teilnahme aller Mitarbeiter*innen. In diesem Zusammenhang eine kurze Randbemerkung, sollte Ihr Unternehmen über einen Betriebsrat verfügen: Sprechen Sie das Trainingskonzept bei verpflichtender Teilnahme an Schulungen und Trainings vorher mit dem Betriebsrat ab und nehmen Sie es in den Kanon Ihrer verpflichtenden Schulungsmaßnahmen offiziell mit auf.
Vergessen Sie in Ihrem Schulungskonzept nicht auf Werkstudent*innen, Praktikant*innen, Leihmitarbeiter*innen und generell externe Fachkräfte, sofern diese Zugriff auf KI-Anwendungen erhalten.

Es gibt jedoch zumindest eine gewisse Erleichterung: Ein Verstoß gegen die Bestimmungen des Art. 4 AI Act, der sich auf das Thema KI-Kompetenz bezieht, ist nicht direkt strafbewehrt. Dennoch entbindet Sie dies nicht von der grundsätzlichen Verantwortung, die sichere Nutzung ihrer KI-Systeme sicherzustellen. Eine unsachgemäße Nutzung, die zu Schäden führt, kann als Verletzung der allgemeinen Sorgfaltspflicht gewertet werden, insbesondere wenn der Schaden durch eine angemessene Schulung hätte vermieden werden können.

Bonus: Eine zusätzliche Dokumentationsanforderung

Im privaten Bereich trifft Unternehmen die Verpflichtung zur Durchführung einer Grundrechte-Folgenabschätzung, wenn diese ein Hochrisiko-KI-System implementiert haben und zusätzlich öffentliche Dienste erbringen oder ein Hochrisiko-KI-System im Bereich des Credit Scorings und der Überprüfung der Kreditwürdigkeit nutzen (mit Ausnahme von Fraud Detection) oder ein solches Hochrisiko-KI-System zur Kalkulation von Preisen und Risiken im Bereich der Lebens- und Gesundheitsversicherung nutzen. Die Verpflichtung zur Durchführung einer solchen Grundrechte-Folgenabschätzung wird daher die wenigsten KMUs tatsächlich typischerweise treffen.

Aber, woher kommt Ihnen der Begriff „Folgenabschätzung“ vielleicht noch bekannt vor? Richtig, die DSGVO verlangt unter bestimmten Umständen die Durchführung einer Datenschutz-Folgenabschätzung: Im Fall des Einsatzes eines Hochrisiko-KI-Systems ist typischerweise davon auszugehen, dass das Risiko-Threshold des Art 35 DSGVO erreicht wird, was eine solche Dokumentation erforderlich macht (Stichwort: Profiling).

Darüber hinaus treffen Betreiber eines Hochrisiko-KI-Systems eine Vielzahl weiterer Pflichten, in bestimmten Fällen ist auch eine Registrierungspflicht verbunden. Details dazu samt weiteren Praxistipps werden wir Ihnen sehr gerne zur Verfügung stellen, sobald auf EU-Ebene entsprechende Guidances verfügbar sind!

In unserem dritten und letzten Beitrag zum Thema Künstliche Intelligenz und Datenschutz werden wir ausnahmsweise ein kleines bisschen über den Tellerrand schauen und uns dem Thema „KI Governance“ widmen – wir werden uns fragen, was dieser schöne Begriff eigentlich bedeutet, was das für eine konkrete Umsetzung in einem KMU bedeutet und worauf man eigentlich noch achten sollte, abseits von datenschutzrechtlichen Überlegungen. Seien Sie gespannt!

Gastbeitrag von Bettina Sterner:

Bettina Sterner, B.A. Bettina Sterner ist eine erfahrene Expertin im Datenschutzmanagement mit umfassender Praxis bei internationalen Großunternehmen. Neben ihrer fundierten Kenntnis des österreichischen Datenschutzrechts ist sie auch mit datenschutzrechtlichen Anforderungen in Nicht-EU-Ländern bestens vertraut. Darüber hinaus verfolgt sie aktuelle Entwicklungen in angrenzenden Technologiefeldern wie der Künstlichen Intelligenz. Ihre Expertise teilt sie regelmäßig in externen Vorträgen und durch Fachbeiträge auf ihrem Blog.

[*] Alle generierten Grafiken wurden erstellt mit Microsoft Designer, designer.microsoft.com.

[1] zB HR Trends to Watch in 2025; abgefragt am 4.12.2024.

[2] Art 6 Abs 1 AI Act.

[3] Hier insbesondere EuGH C‑634/21.

[4] Art. 4 Abs. 1 AI Act.

Hoch­ri­si­ko-KI im Daten­schutz-Check: Vier Her­aus­for­de­run­gen, die Sie über­win­den müssen