Vorteile und Nutzen von Microsoft „People Skill“ im Unternehmen
„People Skill“ bietet zahlreiche Vorteile für Personalentwicklung und projektbasierte Arbeit. Kompetenzen werden KI-basiert durch Milliarden von Graph-Signalen und die LinkedIn-Taxonomie erkannt – auch bislang nicht sichtbare Fähigkeiten. Die Vorteile: Die Funktion ist für Copilot- oder Viva-Nutzer lizenzfrei und lässt sich schnell im Tenant aktivieren. Skill-Profile stehen umgehend bereit und können in bestehende HR-Prozesse integriert werden.
Der integrierte „Skills Agent“ ermöglicht es, passende Experten per Chat im Unternehmen zu finden – ein klarer Mehrwert für projektorientierte Strukturen. Standardisierte Schnittstellen ermöglichen die Anbindung externer HR-Systeme und unternehmensspezifischer Taxonomien. Damit lässt sich die unternehmensinterne Skill-Struktur abbilden und weiterentwickeln. Die Lokalisierung von Skill-Bezeichnungen (zum Beispiel „Projektmanagement“ statt „Project Management“) verbessert Nutzerfreundlichkeit und Akzeptanz.
Datenschutzrisiken beim Einsatz von Microsoft People Skill
Trotz aller funktionalen Vorteile birgt „People Skill“ erhebliche Risiken im Hinblick auf Datenschutz und Compliance. Sowohl technische als auch organisatorische Aspekte müssen sorgfältig bewertet werden. Ein wesentliches Risiko besteht in der Art der automatisierten Erstellung von Kompetenzprofilen. Dabei werden Inhalte aus E-Mails, Chats, Dokumenten und Besprechungen analysiert, um daraus Fähigkeiten der Mitarbeitenden abzuleiten. Diese Verarbeitung erfolgt meist ohne ausdrückliche Zustimmung der Betroffenen – ein möglicher Verstoß gegen die DSGVO. Besonders kritisch ist, dass Mitarbeitende oft nicht wissen, welche Datenquellen verwendet werden und wie daraus Profile entstehen. Fehlt eine transparente Kommunikation mit klaren technischen Begrenzungen, kann die Funktion als verdeckte Leistungsüberwachung verstanden werden – ein arbeits- und datenschutzrechtlich sensibler Bereich. Unternehmen mit Betriebsrat sollten diesen frühzeitig einbinden.
Ein weiteres Risiko liegt in der Funktionsweise der zugrunde liegenden künstlichen Intelligenz (KI). Automatische Kompetenzzuordnungen können fehlerhaft oder verzerrt sein.
Die KI kann bestehende Vorurteile aus der Kommunikation übernehmen und in Profile übertragen. Das kann zu ungleicher Behandlung führen, wenn bestimmte Mitarbeitende über- oder unterbewertet werden. Auch veraltete Informationen oder Kontextfehler können zu falschen Kompetenzzuordnungen führen. Fehlzuordnungen können reale Konsequenzen haben – etwa bei Projektbesetzungen, Beförderungen oder Gehaltsverhandlungen.
Die zentrale Speicherung von Skill-Daten im Microsoft-365-Tenant birgt zusätzliche IT-Sicherheitsrisiken. Bei einem Datenleck wären auch sensible personenbezogene Daten betroffen – mit möglichen gravierenden Folgen für Unternehmen und Mitarbeitende. Fehlt ein sauberes Rollen- und Berechtigungskonzept, besteht das Risiko unbefugten Zugriffs auf Skill-Profile. Ein unzureichendes Löschkonzept kann zur rechtswidrigen Speicherung personenbezogener Daten führen.
Ein zentrales Prinzip der DSGVO ist das Recht auf informationelle Selbstbestimmung. Dieses Prinzip wird verletzt, wenn Mitarbeitende ihre Profile nicht aktiv beeinflussen können.
Oft fehlen Opt-in- oder Opt-out-Möglichkeiten zur Zustimmung oder Ablehnung der Verarbeitung. Auch Korrektur- oder Löschmöglichkeiten fehlerhafter Skills sind häufig nicht vorhanden. Ohne diese Kontrolle entsteht ein Machtungleichgewicht – mit negativen Folgen für das Vertrauen in Arbeitgeber und Technologie.
Besonders kritisch ist die mögliche Erfassung sensibler personenbezogener Daten. Dazu gehören Gesundheitsdaten oder Aussagen zum Sozialverhalten und zur Leistungsbereitschaft. Diese Daten unterliegen besonderem Schutz und dürfen nur unter engen Voraussetzungen verarbeitet werden. Wird eine solche Information automatisch erfasst, liegt ohne Schutzmaßnahmen ein klarer Verstoß gegen die DSGVO vor.
Handlungsempfehlungen für einen datenschutzkonformen Einsatz
Datenschutz-Folgenabschätzung (DSFA) und rechtliche Grundlage
Zentrale Voraussetzung ist die Durchführung einer DSFA, inklusive Risikoanalyse und dokumentierter Interessenabwägung. Bei der KI-basierten Skill-Erkennung ist die DSFA nicht nur empfehlenswert, sondern aufgrund der Innovationshöhe verpflichtend. Als Rechtsgrundlage kommt meist das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist theoretisch möglich, aber in der Praxis aufgrund des Widerrufsrechts schwer dauerhaft umsetzbar.
Transparenz und klare Kommunikation
Transparente Kommunikation gegenüber den Mitarbeitenden ist essenziell, um Risiken zu minimieren. Die Beschäftigten müssen genau wissen, wie „People Skill“ funktioniert, welche Daten zu welchem Zweck genutzt werden – und welche Rechte ihnen zustehen. Die Skill-Erkennung sollte so aufgebaut sein, dass Mitarbeitende ihre Profile aktiv gestalten können. Das heißt: Sie sollten Skills bestätigen, korrigieren oder löschen können. Opt-in- oder Opt-out-Verfahren fördern nicht nur die Akzeptanz, sondern stärken auch die rechtliche Absicherung.
Anpassung der Skill-Taxonomie
Die verwendete Skill-Taxonomie sollte an unternehmensspezifische Anforderungen angepasst werden. Dazu zählen: Übersetzung englischer Begriffe, Entfernen von Doubletten, Ergänzung um branchenspezifische oder tarifliche Skills. Zur Vermeidung von Diskriminierung sollten regelmäßig „Bias-Checks“ durchgeführt werden. Sie gewährleisten, dass die KI keine systematische Benachteiligung verursacht.
Umgang mit sensiblen Daten und Löschfristen
Der Umgang mit besonders sensiblen personenbezogenen Daten nach Artikel 9 DSGVO erfordert besondere Sorgfalt. Kompetenzen, die Rückschlüsse auf Persönlichkeit oder Verhalten erlauben, sollten als „sensibel“ markiert und von der automatischen Erkennung ausgeschlossen sein. Ein verbindliches Löschkonzept und ein Korrekturprozess für fehlerhafte Skills müssen eingerichtet werden.
Technische und organisatorische Schutzmaßnahmen
Die IT-Sicherheitsstandards im Microsoft-365-Tenant sollten überprüft und optimiert werden.
Zu den zentralen Maßnahmen zählen:
- Verschlüsselung sensibler Skill-Daten
- Strenge Zugriffskontrollen und Erweiterung bestehender Data Loss Prevention (DLP)-Richtlinien auf HR-relevante Inhalte
- Ein fein abgestuftes Rollen- und Berechtigungskonzept
- Schulungskonzepte, um Mitarbeitende und Führungskräfte zu sensibilisieren
Fazit: Datenschutz und Innovation können Hand in Hand gehen
„People Skill“ bietet Unternehmen wertvolle Potenziale für Personalentwicklung und Projektsteuerung. Da die Funktion tief in Kommunikations- und Personaldaten eingreift, ist ein bewusster, DSGVO-konformer Einsatz unerlässlich. Nur mit sorgfältiger DSGVO-Bewertung, Transparenz und technischer Absicherung kann das volle Potenzial rechtssicher genutzt werden.
Unser interdisziplinäres Team vereint Fachwissen in Datenschutz, IT und Compliance – und unterstützt Sie bei der rechtssicheren Einführung von „People Skill“ sowie anderen Microsoft-Technologien. Sprechen Sie uns an!
Dieser Beitrag wurde von unseren Experten Sebastian Barg und Jonas Neurath erstellt.
