KRITIS-Dachgesetz und KI-Fristen zwingen Personalabteilungen zum Handeln ( Finanztrends)

Deutsche Unternehmen stehen vor einem massiven regulatorischen Umbruch. Zwei konkrete Gesetzesänderungen zwingen HR-Abteilungen und Betriebsräte zu sofortigen Anpassungen im Umgang mit sensiblen Personaldaten.

Anzeige

Die EU-KI-Verordnung ist bereits in Kraft und stellt Unternehmen vor neue Herausforderungen bei der Dokumentation und Klassifizierung ihrer Systeme. Dieser kostenlose Leitfaden unterstützt Sie dabei, die neuen Regeln rechtssicher umzusetzen und Bußgelder zu vermeiden. EU-KI-Verordnung kompakt: Jetzt Umsetzungsleitfaden kostenlos sichern

Bundesrat besiegelt schärfere Sicherheitsvorgaben

Der Bundesrat hat am 6. März 2026 das KRITIS-Dachgesetz gebilligt. Das Gesetz setzt bundeseinheitliche Standards für den Schutz kritischer Infrastrukturen in elf Sektoren wie Energie und Gesundheit. Für die Personalarbeit hat das weitreichende Folgen: Betroffene Unternehmen müssen sich bis zum 17. Juli 2026 als KRITIS-Betreiber registrieren lassen.

Das bedeutet verpflichtende Überholungen bei Zugangskontrollen, Sicherheitsüberprüfungen und Hintergrundchecks für Mitarbeiter. Die sichere Verarbeitung hochsensibler Personaldaten wird damit zur Chefsache – ein Verstoß kann die nationale Infrastruktur gefährden. Die HR-Abteilung muss nun beweisen, dass sie diese Daten unter Einhaltung der DSGVO lückenlos schützt.

EU gewährt Aufschub für KI in der Personalauswahl

Parallel verschiebt die EU die Fristen für den Einsatz risikobehafteter Künstlicher Intelligenz. Das geht aus einer Analyse der Plattform Dr. Datenschutz vom 9. März hervor. Der sogenannte Digital Omnibus passt die Anwendungsfristen der KI-Verordnung an.

KI-Systeme im Personalwesen – wie algorithmische Recruiting-Software oder automatische Lebenslauf-Scans – gelten als hochriskant. Ursprünglich sollten sie bis August 2026 konform sein. Jetzt wurde die Frist auf den 2. Dezember 2027 verschoben. Doch Vorsicht: Die DSGVO-Regeln zu automatisierten Einzelentscheidungen gelten unverändert sofort. Unternehmen sollten die gewonnene Zeit für gründliche Datenschutz-Folgenabschätzungen nutzen.

Beschäftigtendatenschutzgesetz steht weiter in den Startlöchern

Im Hintergrund schreitet die Debatte um das Beschäftigtendatenschutzgesetz (BeschDG) voran. Der Entwurf soll nach einem EuGH-Urteil von 2023 endlich Klarheit schaffen – etwa beim Umgang mit Bewerberdaten oder der Mitarbeiterüberwachung.

Rechtsexperten raten Firmen, nicht auf die finale Abstimmung im Bundestag zu warten. Betriebsvereinbarungen sollten schon jetzt an den strengen Grundsatz der Datensparsamkeit im Gesetzesentwurf angepasst werden. Die Kernfrage lautet: Ist jede gespeicherte Information für das Arbeitsverhältnis zwingend notwendig?

Anzeige

Eine fehlende oder fehlerhafte Datenschutz-Folgenabschätzung kann Unternehmen teuer zu stehen kommen und Bußgelder von bis zu 2% des Jahresumsatzes nach sich ziehen. Mit diesen kostenlosen Muster-Vorlagen und Checklisten erstellen Sie eine rechtssichere DSFA in wenigen Schritten. Kostenloses E-Book mit DSFA-Vorlagen herunterladen

Digitale Personalakte als Risiko und Chance

Der Druck zur Compliance beschleunigt die Einführung digitaler Personalakten. Doch eine Studie von DocuWare warnt: Ohne durchdachte Berechtigungskonzepte bergen diese Systeme enorme Datenschutzrisiken.

Ein häufiger Fehler sind zu weit gefasste Zugriffsrechte auf sensible Daten. Um DSGVO und künftiges BeschDG zu erfüllen, müssen Unternehmen granulare Zugriffskontrollen einführen. Gehaltsdaten, Leistungsbeurteilungen und Gesundheitsinformationen müssen strikt voneinander getrennt werden. Jeder Zugriff muss protokolliert werden. Zudem ist für die Einführung solcher Systeme die Zustimmung des Betriebsrats zwingend erforderlich.

Komplexes Dreieck aus Compliance-Anforderungen

Die Gleichzeitigkeit von KRITIS-Gesetz, KI-Fristen und nationalem Datenschutzrecht schafft eine extrem komplexe Lage für Arbeitgeber. Datenschutz am Arbeitsplatz ist kein IT-Thema mehr, sondern eine Governance-Aufgabe, die HR, Rechtsabteilung und Betriebsrat in ständigen Dialog zwingt.

Die Gefahr von Schadensersatzklagen bei Datenpannen ist real. Die bloße Kontrolle über Personaldaten zu verlieren, kann bereits haftbar machen. Die Praxis, sich auf pauschale Mitarbeiter-Einwilligungen zu verlassen, wird daher durch strikte gesetzliche Notwendigkeit und transparente Betriebsvereinbarungen abgelöst.

Für das restliche Jahr 2026 ist entschlossenes Handeln gefragt. KRITIS-Betreiber müssen die Juli-Frist im Blick behalten. Alle Unternehmen sollten ihre KI-Tools trotz verlängerter Frist jetzt auf Bias und Datenschutz überprüfen. Das BeschDG wird der finale Katalysator sein, der rigorose Schutzstandards für Personaldaten endgültig verankert.

Christian Drastil: Wiener Börse Plausch

Kapitalmarkt-stimme.at daily voice: Bianca-Olivia, Elisabeth Oberndorfer und Andreas Onea reden mit der Wiener Börse übers Investieren

Bildnachweis

1. Trading

Random Partner

---

EY
Bei EY wird alles daran gesetzt, dass die Welt besser funktioniert. Dafür steht unser Anspruch „Building a better working world“. Mit unserem umfassenden Wissen und der Qualität unserer Dienstleistungen stärken wir weltweit das Vertrauen in die Kapitalmärkte und Volkswirtschaften.

>> Besuchen Sie 55 weitere Partner auf boerse-social.com/partner

 Latest Blogs

» LinkedIn-NL: Die neue Podcastwelle zum Wiener Aktienmarkt

» ATX, OMV, AT&S: Österreichs Börse im Fokus der Charttechnik – und warum ...

» Börse-Inputs auf Spotify zu u.a.: Das überraschende Allzeithoch des ATX TR

» ATX Total Return knackt erneut die Bestmarke – Wiener Börse glänzt mit 1...

» Börse-Inputs auf Spotify zu u.a. Addiko Bank, CTS Eventim, Polytec

» Österreich-Depots: Weekend Bilanz (Depot Kommentar)

» Börsegeschichte 10.4: Böhler-Uddeholm, UBM (Börse Geschichte) (BörseGesc...

» Nachlese: Norbert Hofer Emerald Horizon (audio cd.at)

» PIR-News: News zu Verbund, Addiko, Research zu Telekom Austria, neue Akt...

» (Christian Drastil)