Thought Leadership
Wenn Mitarbeitende eine Schicht antreten, geben sie ihrem Arbeitgeber mehr preis, als vielen bewusst ist. Moderne Workforce-Management-Systeme verarbeiten nicht nur Namen, Arbeitszeiten und Abwesenheiten. Sie können auch Standortdaten, Verfügbarkeiten, Qualifikationen und Schichtpräferenzen erfassen.
Genau deshalb bewegen sich diese Systeme in einem besonders sensiblen Bereich. Sie betreffen Menschen nicht als Kundinnen und Kunden, sondern als Beschäftigte. Wer mit der Verarbeitung der eigenen Daten z. B. in einem Onlineshop nicht einverstanden oder dieser gegenüber skeptisch ist, kann den Anbieter wechseln. Beschäftigte können das nicht ohne Weiteres, weil ihr Einkommen und damit ihr Lebensunterhalt davon abhängt. Datenschutz im Workforce Management ist deshalb keine Formalie, sondern eine Aufgabe mit viel Verantwortung.
Workforce-Daten sind besonders schutzbedürftig
Diese besondere Verantwortung beginnt bei der Art der Daten. Workforce-Management-Systeme nehmen in der IT-Landschaft von Unternehmen eine Sonderrolle ein, weil sie Daten in einem strukturell ungleichen Verhältnis verarbeiten. Die Daten sind durch das oben beschriebene Machtgefälle geprägt, Mitarbeitende können sich meist nicht aussuchen, ob sie die Systeme nutzen oder nicht. Aus Arbeitszeiten, Ausfällen, Verfügbarkeiten oder Zusatzschichten lassen sich zudem Muster ableiten, die über die reine Einsatzplanung hinausgehen.
Solche Daten sind allerdings notwendig, um Betriebe zu steuern. Genau darin liegt die Schwierigkeit: Was organisatorisch sinnvoll ist, kann bei falscher Nutzung schnell unfair werden. Wer arbeitet regelmäßig nachts? Wer lehnt bestimmte Schichten ab? Wer ist häufig kurzfristig nicht verfügbar? Solche Informationen können relevant sein, aber auch zu vorschnellen Bewertungen durch KI-Systeme ohne den emotionalen, menschlichen Bezug führen.
Die DSGVO setzt hierfür den rechtlichen Rahmen. Doch Konformität allein reicht nicht. Wer Workforce-Daten verarbeitet, muss erklären können, wofür sie genutzt werden, wer Zugriff hat und wie eine faire Nutzung der Daten sichergestellt wird.
KI erhöht den Nutzen, aber auch das Risiko
Mit KI steigt dieser Anspruch. Richtig eingesetzt, kann sie Workforce Management deutlich verbessern. Prognosemodelle helfen, Personalbedarfe präziser vorherzusagen. Intelligente Planung kann Über- und Unterbesetzung reduzieren und zugleich Präferenzen von Mitarbeitenden berücksichtigen. In Handel, Logistik, Gesundheitswesen und Gastronomie macht das einen spürbaren Unterschied in Bezug auf Kosten, Servicequalität und Zufriedenheit.
Doch je stärker KI in Planungsprozesse eingreift, desto wichtiger wird die Nachvollziehbarkeit. Empfiehlt ein System, bestimmte Personen häufiger zu bestimmten Zeiten einzusetzen, muss klar sein, warum. Welche Daten fließen ein? Nach welchen Zielen optimiert das Modell? Geht es um Kosten, Fairness, Verfügbarkeit oder um eine Balance aus allem?
Deshalb darf KI nicht per se als neutrale Wahrheit behandelt werden. Ihre Ergebnisse hängen von Datenqualität, Modellannahmen und Zielvorgaben ab. Ein System, das nur auf Effizienz ausgerichtet ist, spricht andere Empfehlungen aus als eines, das Erholung, Fairness und Präferenzen berücksichtigt. Verantwortung beginnt bei der Auswahl und Konzeption KI-basierter Lösungen.
Datenschutz, Sicherheit und Compliance müssen zusammen gedacht werden
Damit das praktisch wirksam wird, dürfen Datenschutz, IT-Sicherheit und Compliance nicht getrennt betrachtet werden. Viele Unternehmen organisieren diese Bereiche noch immer in eigenen Silos. Bei Workforce-Daten ist das riskant, weil rechtliche, technische und organisatorische Fragen ineinandergreifen.
Ein Sicherheitsvorfall deckt solche Versäumnisse zwangsläufig auf. Es müssen Schwachstellen und Probleme technisch behoben werden, regulatorische Meldepflichten eingehalten, die Kommunikation mit Nutzenden übernommen sowie die daraus gewonnenen Erkenntnisse zur künftigen Prävention aufgezeichnet werden. Hier greifen intern einige Schnittstellen ineinander und aufeinander zu. Sicherheit, Compliance und Kommunikation lassen sich also nicht trennen.
Für KI-gestützte Workforce-Management-Systeme gilt das umso mehr. Unternehmen sollten nicht nur prüfen, ob ein Tool leistungsfähig ist. Entscheidend ist auch, ob Datenflüsse transparent sind, Verantwortlichkeiten feststehen und regulatorische Anforderungen erfüllt werden. Governance ist keine Bremse, sondern Voraussetzung für belastbare Innovation.
In meiner Position als CIO bin ich die Person, die diese Fäden zusammenhält und die Kontrolle über diese Systeme und Datenströme übernimmt. Verantwortlichkeiten sind durch so eine Besetzung klar geregelt, und es gibt eine Kontrollinstanz im Unternehmen.
KI-Governance braucht klare Verantwortung
Wirksamer Datenschutz hängt also nicht nur an Technik, sondern an klaren Zuständigkeiten. Und KI-Compliance funktioniert nur, wenn IT, Informationssicherheit, Rechtsabteilung, HR, Produktentwicklung, operative Führungskräfte und Arbeitnehmervertretungen zusammenarbeiten.
KI-Systeme sind in Geschäftsprozesse eingebunden, beeinflussen operative Entscheidungen und wirken direkt auf Mitarbeitende. Deshalb reicht es nicht, sie einmal zu prüfen und danach laufen zu lassen. Unternehmen brauchen Prozesse, um KI-Funktionen regelmäßig zu bewerten, zu dokumentieren und anzupassen.
Dazu gehört KI-Kompetenz. Führungskräfte und HR-Teams sollten erklären können, was eine im Unternehmen eingesetzte KI tut, welche Daten sie nutzt und wo menschliche Kontrolle notwendig bleibt. Der EU AI Act verstärkt diese Notwendigkeit: KI-Systeme, die Personal und Arbeitsorganisation betreffen, gelten als besonders sensibel.
Die größten Risiken entstehen oft im Alltag
Trotz klarer Governance entstehen viele Probleme im Arbeitsalltag. Ein Team nutzt einen KI-Assistenten für die Schichtplanung, ohne die Datenverarbeitung zu prüfen. Eine HR-Abteilung testet ein neues Tool, bevor Datenschutz oder IT eingebunden werden. Eine Führungskraft lädt sensible Daten in ein externes System, weil es schnell geht. So entsteht Schatten-IT, meist aus Zeitdruck.
KI verschärft das, weil viele Anwendungen leicht zugänglich sind und sofort nützlich wirken. Unternehmen brauchen Transparenz über genutzte Tools. Verbote allein reichen nicht. Es erfordert geprüfte Alternativen, klare Leitlinien und Beschaffungsprozesse, die Datenschutz, KI-Governance und rechtliche Risiken berücksichtigen.
Ebenso wichtig ist Kommunikation. Mitarbeitende müssen verstehen, ob und wie KI ihre Schichten beeinflusst, Daten bewertet oder Entscheidungen vorbereitet. Auch Betriebsräte und Gewerkschaften verlangen zu Recht belastbare Informationen. Wer KI im Arbeitsumfeld einführt, muss sie erklären können.
Fazit: Souveränität wird zur strategischen Frage
Die entscheidende Frage lautet nicht, ob Workforce-Management-Systeme sicher sind. Sicherheit ist kein Zustand, sondern ein Zusammenspiel aus Technik, Prozessen, Recht und Verantwortung, das immer wieder auf den Prüfstand gestellt werden muss.
Wichtiger sind andere Fragen: Nach welchen Regeln werden Workforce-Daten verarbeitet? Wer ist rechenschaftspflichtig? Welche Interessen prägen die Architektur eines Systems? Europäische Anbieter, die nach europäischem Recht arbeiten und ihre Systeme in diesem Rahmen entwickeln, haben hier einen strukturellen Vorteil. Nicht, weil sie unbedingt technisch überlegen sind, aber weil Rechtsklarheit, Verantwortlichkeit und Vertrauen von Anfang an eine große Rolle spielen.
Für CIOs ist die Auswahl eines Workforce-Management-Anbieters nicht mehr nur eine operative Entscheidung, sondern betrifft zu gleichen Teilen Datenhoheit, regulatorische Resilienz, Mitarbeitervertrauen und organisatorisches Risiko und wird somit zu einer strategischen Management-Entscheidung, die relevant für den Unternehmenserfolg ist.
