Rechtssichere Umsetzung von People Analytics

Die rechtssichere Umsetzung von People Analytics erfordert mehr als die punktuelle Beachtung einzelner Vorschriften. Entscheidend ist ein systematischer Ansatz, der rechtliche, technische und organisatorische Anforderungen miteinander verbindet. KI-gestützte Auswertungen greifen regelmässig in sensible Bereiche des Arbeitsverhältnisses ein und verlangen daher eine sorgfältige Gestaltung von Datenflüssen, Entscheidprozessen und Verantwortlichkeiten. Im Zentrum stehen dabei insbesondere Fragen der Zweckbindung, der Eingriffsintensität, der Transparenz sowie der Einbettung in bestehende Governance- und Kontrollstrukturen. Die folgenden Ausführungen zeigen, wie sich diese Anforderungen in der Praxis umsetzen lassen und welche Massnahmen für eine tragfähige und rechtssichere Ausgestaltung von People Analytics zentral sind.Use Case präzis beschreiben

Viele der mit dem Einsatz von KI in People Analytics verbundenen Risiken lassen sich nicht durch ein einzelnes Dokument «wegregeln», sondern nur durch eine kohärente Umsetzung. Ein praxistauglicher Ansatz beginnt mit einer präzisen Beschreibung des Use Cases. Festzuhalten ist, welche Entscheide und Prozessschritte durch KI unterstützt werden sollen, welche Daten hierfür erforderlich sind und welche Folgen aus einem Output zulässigerweise abgeleitet werden dürfen. Dabei ist bereits auf dieser Stufe zu prüfen, ob der angestrebte Einsatz mit den arbeitsrechtlichen Schranken vereinbar ist, insbesondere ob keine unzulässige Verhaltensüberwachung begründet wird und ob die Bearbeitung auf arbeitsbezogene Zwecke beschränkt bleibt. Darauf aufbauend ist ein Dateninventar zu erstellen, das Datenflüsse, Schnittstellen und Speicherorte transparent macht. Ein solches Inventar bildet zugleich die Grundlage für die datenschutzrechtliche Rechenschaftspflicht und ermöglicht es, Bearbeitungszwecke, Datenkategorien und Verantwortlichkeiten klar zuzuordnen. Erst bei hinreichender Übersicht lassen sich Zweckbindung, Aufbewahrungsfristen und Zugriffskonzepte konsistent steuern.

Weniger ist mehr

In einem nächsten Schritt ist die Eingriffsintensität zu bestimmen. Datensparsamkeit ist dabei nicht nur ein Datenschutzgrundsatz, sondern zugleich eine Qualitäts- und Risikostrategie: Viele Fragestellungen lassen sich mit weniger Daten und höherer Aggregation beantworten, ohne dass der Erkenntnisgewinn leidet. Der Vorrang von anonymisierten oder zumindest aggregierten Auswertungen ist deshalb nicht nur rechtlich geboten, sondern auch methodisch sinnvoll. Wo personenbezogene Analysen erforderlich sind, sind die betroffenen Mitarbeitenden vorgängig zu informieren. Diese Information hat sich nicht auf allgemeine Hinweise zu beschränken, sondern muss insbesondere Zweck, Funktionsweise, Datenkategorien und Einsatzbereich des KI-Systems verständlich machen. Ein strukturierter Dialog fördert zudem Akzeptanz und verbessert die Projektqualität, weil Risiken und Nebenwirkungen frühzeitig adressiert werden können. Gerade vor dem Hintergrund der gesetzlichen Mitwirkungsrechte empfiehlt es sich, Mitarbeitendenvertretungen frühzeitig einzubeziehen, Alternativen zu prüfen und Stellungnahmen zu dokumentieren. Mitwirkung ist dabei nicht blosse Formalität, sondern ein zentrales Element eines rechtssicheren KI-Einsatzes.

Wirksames Monitoring

Da sich Teams, Rollen und Datenquellen verändern, sind Monitoring, regelmässige Re-Validierung und klare Freigabeprozesse als Mindeststandard vorzusehen. Ein wirksames Monitoring umfasst dabei nicht nur technische Leistungskennzahlen, sondern auch die systematische Beobachtung von Verzerrungen, Fehlerraten und gruppenspezifischen Abweichungen. Ebenso wichtig ist die Frage, wie Betroffene Korrekturen anbringen können. Ein definierter Kontaktpunkt in HR oder Legal, ein klarer Korrekturprozess sowie eine nachvollziehbare menschliche Überprüfung senken nicht nur das rechtliche Risiko, sondern erhöhen auch die Belastbarkeit der Ergebnisse. Fliessen KI-gestützte Auswertungen in individuelle Entscheide ein, darf sich diese Prüfung nicht auf eine formale Bestätigung beschränken.

Schliesslich ist bei der Beschaffung von KI-Tools die Lieferantenbeziehung als Bestandteil des Risikomanagements zu behandeln. Verträge sollten Datensicherheit, Auftragsbearbeitung, Zugriffs- und Kontrollmöglichkeiten, Audit-Rechte sowie Exit-Szenarien abdecken. Gerade bei cloudbasierten Plattformen empfiehlt es sich zudem, technische und organisatorische Massnahmen nicht nur abzufragen, sondern im Betrieb periodisch zu verifizieren. Zu prüfen ist dabei auch, inwieweit Anbieter Daten für eigene Zwecke weiterverwenden oder in Trainingsprozesse einfliessen lassen, und ob Datenübermittlungen ins Ausland stattfinden. Entsprechende Risiken sind vertraglich und organisatorisch zu adressieren. Soweit die vorgesehene Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen mit sich bringen kann, ist zudem rechtzeitig zu prüfen, ob eine Datenschutz-Folgenabschätzung durchzuführen ist.

Gelebte Verantwortung ist zentral

Ergänzend ist eine klare interne Governance-Struktur erforderlich, die Verantwortlichkeiten entlang des gesamten Lebenszyklus eines KI-Systems festlegt. Dazu gehören insbesondere definierte Rollen für Freigabe, Betrieb, Kontrolle und Weiterentwicklung sowie dokumentierte Entscheidgrundlagen. So wird sichergestellt, dass KI-Systeme in bestehende Compliance-, Datenschutz- und Risikomanagementprozesse eingebettet sind. Eine rechtssichere Umsetzung gelingt schliesslich nur durch das Zusammenspiel von klarer Zweckdefinition, transparenter Kommunikation, sorgfältigem Systemdesign und gelebter Verantwortung im Unternehmen.