Zurück zum Blog
Datenschutz
Arbeitsrecht

Beschäftigtendatenschutz und KI: Was Arbeitgeber beachten müssen

KI-Systeme verarbeiten zunehmend Mitarbeiterdaten — von Bewerbungsverfahren bis zur Kündigung. Dieser Leitfaden zeigt Arbeitgebern, welche Pflichten aus §26 BDSG, Art. 88 DSGVO und dem AI Act entstehen.

KCT
KI Comply TeamKI-Compliance Experten
25. Februar 20265 Min. Lesezeit
Beschäftigtendatenschutz und KI: Was Arbeitgeber beachten müssen

Das Wichtigste in Kürze

  • § 26 BDSG ist die zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten — auch beim Einsatz von KI-Systemen. Jede Verarbeitung muss für das Beschäftigungsverhältnis erforderlich sein.
  • Der AI Act stuft KI-Systeme im Beschäftigungskontext nach Anhang III Nr. 4 VO (EU) 2024/1689 als Hochrisiko ein — mit umfassenden Pflichten für Arbeitgeber als Betreiber.
  • Art. 88 DSGVO ermöglicht nationale Sonderregelungen: Deutschland hat mit § 26 BDSG einen eigenen Beschäftigtendatenschutz geschaffen, der über die allgemeinen DSGVO-Regeln hinausgeht.
  • Arbeitgeber müssen vor dem KI-Einsatz eine Datenschutz-Folgenabschätzung (DSFA) durchführen, den Betriebsrat einbinden und Beschäftigte transparent informieren.
  • Verstöße können Bußgelder bis zu 20 Mio. Euro (DSGVO) und 15 Mio. Euro (AI Act) nach sich ziehen — zuzüglich Schadensersatzansprüche und Beweisverwertungsverbote.

Künstliche Intelligenz hat den Arbeitsplatz erreicht — und zwar nicht nur als Produktivitätswerkzeug, sondern als System, das tiefgreifend in die Verarbeitung von Mitarbeiterdaten eingreift. Algorithmen sichten Bewerbungen, planen Schichten, messen Produktivität, prognostizieren Kündigungsrisiken und empfehlen Beförderungen. Was für Personalabteilungen nach Effizienzgewinn klingt, ist aus datenschutzrechtlicher Sicht ein Minenfeld.

Denn jede dieser Anwendungen verarbeitet personenbezogene Daten von Beschäftigten — und damit greift ein komplexes Regelungsgeflecht aus § 26 BDSG, Art. 88 DSGVO, dem AI Act und dem Betriebsverfassungsgesetz. Arbeitgeber, die KI-Systeme einführen, ohne diese Vorgaben systematisch zu beachten, riskieren nicht nur empfindliche Bußgelder, sondern auch die Unwirksamkeit ihrer Personalentscheidungen.

Dieser Artikel richtet sich an Geschäftsführer, Personalverantwortliche und Datenschutzbeauftragte, die KI-Systeme im Beschäftigungskontext einsetzen oder einführen wollen. Er erläutert die Rechtsgrundlagen, zeigt typische Risikobereiche auf und gibt einen praxisorientierten Leitfaden für die rechtskonforme Umsetzung.

Warum Beschäftigtendaten besonderen Schutz genießen

Das strukturelle Machtgefälle

Das Arbeitsverhältnis ist durch ein strukturelles Ungleichgewicht gekennzeichnet: Der Arbeitgeber bestimmt über Arbeitsinhalt, Arbeitsort und Vergütung. Der Beschäftigte ist wirtschaftlich vom Arbeitgeber abhängig. Dieses Machtgefälle macht es nahezu unmöglich, dass Beschäftigte der Datenverarbeitung durch ihren Arbeitgeber wirklich frei zustimmen — weshalb die Einwilligung im Beschäftigungsverhältnis nur eingeschränkt als Rechtsgrundlage taugt.

Der Gesetzgeber hat dieses Problem erkannt und mit § 26 BDSG eine Sonderregelung geschaffen, die den Schutz der Beschäftigten über die allgemeinen DSGVO-Regeln hinaus stärkt. Die Norm ist Ausdruck des verfassungsrechtlich verankerten Persönlichkeitsrechts (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG), das auch im Arbeitsverhältnis gilt und dem Arbeitgeber Grenzen setzt.

KI verstärkt die Risiken

Der Einsatz von KI-Systemen verschärft die datenschutzrechtlichen Risiken im Beschäftigungsverhältnis erheblich:

  • Umfang: KI-Systeme verarbeiten typischerweise große Datenmengen — weit mehr, als ein menschlicher Sachbearbeiter je überblicken könnte.
  • Geschwindigkeit: Algorithmische Entscheidungen werden in Sekundenbruchteilen getroffen, ohne dass Betroffene reagieren können.
  • Intransparenz: Viele KI-Modelle arbeiten als „Black Box" — die Entscheidungslogik ist selbst für den Arbeitgeber nicht vollständig nachvollziehbar.
  • Profiling: KI-Systeme können aus scheinbar harmlosen Einzeldaten detaillierte Persönlichkeitsprofile erstellen, die weit über den ursprünglichen Verarbeitungszweck hinausgehen.
  • Diskriminierung: Trainiert auf historischen Daten, können KI-Systeme bestehende Diskriminierungsmuster reproduzieren und verstärken.

Diese Risiken erklären, warum der Gesetzgeber — auf nationaler wie auf europäischer Ebene — den Einsatz von KI im Beschäftigungskontext besonders streng reguliert.

§ 26 BDSG: Der Kern des Beschäftigtendatenschutzes

Systematik und Anwendungsbereich

§ 26 BDSG ist die zentrale Norm des deutschen Beschäftigtendatenschutzes. Sie ergänzt und konkretisiert die DSGVO für den Bereich der Beschäftigtendatenverarbeitung. Die Norm gilt für alle Phasen des Beschäftigungsverhältnisses:

  • Anbahnung: Verarbeitung von Bewerberdaten durch KI-gestützte Vorauswahl (Applicant Tracking Systems)
  • Durchführung: Laufende Verarbeitung im bestehenden Arbeitsverhältnis (Zeiterfassung, Einsatzplanung, Leistungsbewertung)
  • Beendigung: Verarbeitung im Zusammenhang mit Kündigung, Aufhebung oder Zeugnis

Die Erforderlichkeitsprüfung

Das zentrale Tatbestandsmerkmal des § 26 Abs. 1 S. 1 BDSG ist die Erforderlichkeit. Die Verarbeitung von Beschäftigtendaten ist nur zulässig, wenn sie für den jeweiligen Zweck erforderlich ist. Erforderlichkeit verlangt eine dreistufige Prüfung:

Stufe 1 — Geeignetheit: Ist die KI-gestützte Datenverarbeitung geeignet, den angestrebten Zweck zu erreichen? Ein KI-System, das Schichtpläne optimiert, muss tatsächlich zu einer besseren Planung führen.

Stufe 2 — Erforderlichkeit im engeren Sinne: Gibt es ein milderes, gleich wirksames Mittel? Wenn der Arbeitgeber den gleichen Zweck mit weniger Daten oder ohne KI erreichen kann, ist der KI-Einsatz nicht erforderlich.

Stufe 3 — Angemessenheit (Verhältnismäßigkeit): Steht der Eingriff in das Persönlichkeitsrecht des Beschäftigten in einem angemessenen Verhältnis zum verfolgten Zweck? Je intensiver der Eingriff, desto gewichtiger müssen die Arbeitgeberinteressen sein.

Praxisbeispiel: Ein Arbeitgeber möchte ein KI-System einsetzen, das die Produktivität einzelner Mitarbeiter anhand von Tastaturanschlägen, Mausbewegungen und aktiven Bildschirmzeiten misst. Die Geeignetheit ist fraglich (Tastaturanschläge korrelieren nicht zwingend mit Produktivität), mildere Mittel sind verfügbar (klassische Zielvereinbarungen) und die Eingriffsintensität ist sehr hoch. Ein solches System würde die Erforderlichkeitsprüfung regelmäßig nicht bestehen.

Verarbeitung besonderer Kategorien

§ 26 Abs. 3 BDSG regelt die Verarbeitung besonderer Kategorien personenbezogener Daten im Beschäftigungskontext — also Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit und andere nach Art. 9 Abs. 1 DSGVO geschützte Daten. Die Verarbeitung ist nur zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Für KI-Systeme, die solche Daten verarbeiten — etwa biometrische Zeiterfassung oder KI-gestützte Gesundheitsprognosen —, gelten damit besonders strenge Anforderungen.

Art. 88 DSGVO: Europäischer Rahmen für nationale Sonderregeln

Die Öffnungsklausel

Art. 88 Abs. 1 DSGVO ermöglicht es den Mitgliedstaaten, durch Rechtsvorschriften oder Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten zu erlassen. Deutschland hat von dieser Öffnungsklausel mit § 26 BDSG Gebrauch gemacht.

Anforderungen an nationale Regelungen

Art. 88 Abs. 2 DSGVO gibt den inhaltlichen Rahmen vor. Die nationalen Vorschriften müssen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Der Artikel nennt ausdrücklich folgende Bereiche:

  • Transparenz der Verarbeitung
  • Konzerninterne Datenübermittlung innerhalb einer Unternehmensgruppe
  • Überwachungssysteme am Arbeitsplatz

Gerade der letzte Punkt — Überwachungssysteme — ist für den KI-Einsatz von zentraler Bedeutung. Art. 88 Abs. 2 DSGVO verlangt, dass nationale Regelungen den Einsatz von Überwachungstechnologien am Arbeitsplatz spezifisch regeln. KI-Systeme, die Mitarbeiterdaten verarbeiten, sind in aller Regel als solche Überwachungssysteme einzuordnen.

Rechtsprechung des EuGH

Der EuGH hat in der Rechtssache C-34/21 klargestellt, dass nationale Vorschriften nach Art. 88 DSGVO nicht hinter dem Schutzniveau der DSGVO zurückbleiben dürfen. Das bedeutet: Weder § 26 BDSG noch eine Betriebsvereinbarung kann den KI-Einsatz großzügiger zulassen, als es die allgemeinen DSGVO-Regeln erlauben. Art. 88 DSGVO ist eine Öffnungsklausel nach oben — hin zu mehr Schutz —, nicht nach unten.

Der AI Act: Hochrisiko-Einstufung von HR-KI

Anhang III Nr. 4: Beschäftigung und Personalmanagement

Der AI Act (VO (EU) 2024/1689) stuft KI-Systeme im Beschäftigungskontext in Anhang III Nr. 4 als Hochrisiko-KI ein. Betroffen sind KI-Systeme, die eingesetzt werden für:

  • Einstellung und Auswahl natürlicher Personen (z. B. Bewerbungsscreening, Interview-Analyse)
  • Entscheidungen über Beförderung und Kündigung (z. B. algorithmische Leistungsbewertung)
  • Aufgabenzuweisung auf der Grundlage individuellen Verhaltens oder persönlicher Merkmale
  • Überwachung und Bewertung der Leistung und des Verhaltens von Beschäftigten

Die Hochrisiko-Einstufung löst ein umfangreiches Pflichtenprogramm aus — sowohl für den Anbieter des KI-Systems als auch für den Arbeitgeber als Betreiber (Deployer).

Betreiberpflichten für Arbeitgeber

Als Betreiber von Hochrisiko-KI-Systemen treffen Arbeitgeber nach dem AI Act unter anderem folgende Pflichten:

Menschliche Aufsicht (Art. 26 Abs. 2): Der Arbeitgeber muss sicherstellen, dass natürliche Personen, die mit der menschlichen Aufsicht betraut sind, die Fähigkeiten, die Ausbildung und die Befugnisse haben, diese Aufgabe wirksam auszuüben. Rein automatisierte Personalentscheidungen ohne menschliche Kontrolle sind unzulässig.

Transparenz gegenüber Beschäftigten (Art. 26 Abs. 7): Arbeitgeber müssen die betroffenen Beschäftigten darüber informieren, dass sie dem Einsatz eines Hochrisiko-KI-Systems unterliegen. Diese Informationspflicht besteht zusätzlich zu den Transparenzpflichten aus der DSGVO.

Grundrechte-Folgenabschätzung (Art. 27): Vor dem erstmaligen Einsatz eines Hochrisiko-KI-Systems müssen Arbeitgeber eine Folgenabschätzung in Bezug auf die Auswirkungen auf die Grundrechte durchführen. Diese ist von der datenschutzrechtlichen DSFA zu unterscheiden, kann aber mit ihr kombiniert werden.

Überwachung und Meldepflichten (Art. 26 Abs. 5): Der Arbeitgeber muss das KI-System überwachen und bei schwerwiegenden Vorfällen oder Fehlfunktionen die zuständige Marktüberwachungsbehörde informieren.

Verbotene KI-Praktiken am Arbeitsplatz

Art. 5 VO (EU) 2024/1689 verbietet bestimmte KI-Praktiken, die auch den Beschäftigungskontext betreffen:

Verbotene PraxisRechtsgrundlageBeispiel am Arbeitsplatz
Emotionserkennung am ArbeitsplatzArt. 5 Abs. 1 lit. fKI analysiert Mimik in Videokonferenzen, um Mitarbeiterzufriedenheit zu messen
Social ScoringArt. 5 Abs. 1 lit. cUmfassende Bewertung des Sozialverhaltens von Beschäftigten mit systematischer Benachteiligung
Unterschwellige ManipulationArt. 5 Abs. 1 lit. aKI-gesteuerte Nudging-Systeme, die Beschäftigte zu bestimmtem Verhalten drängen, ohne dass sie es bemerken

Arbeitgeber müssen sicherstellen, dass keines ihrer KI-Systeme in eine dieser verbotenen Kategorien fällt. Ein Verstoß kann mit Bußgeldern von bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden.

Typische Risikobereiche: Wo Arbeitgeber besonders aufpassen müssen

1. KI-gestütztes Bewerbermanagement

Applicant Tracking Systems (ATS) mit KI-Komponenten gehören zu den verbreitetsten HR-KI-Anwendungen. Sie sichten Lebensläufe, bewerten Bewerberprofile und erstellen Rangfolgen. Die Risiken sind erheblich:

  • Diskriminierung: KI-Systeme, die auf historischen Einstellungsdaten trainiert wurden, können bestehende Diskriminierungsmuster reproduzieren — etwa bei Geschlecht, Alter oder ethnischer Herkunft.
  • Intransparenz: Bewerber erfahren häufig nicht, dass eine KI an der Auswahlentscheidung beteiligt war.
  • Art. 22 DSGVO: Wenn die KI-gestützte Vorauswahl dazu führt, dass Bewerber ohne menschliche Prüfung abgelehnt werden, liegt eine nach Art. 22 Abs. 1 DSGVO grundsätzlich verbotene automatisierte Einzelentscheidung vor.

Handlungsempfehlung: Stellen Sie sicher, dass ein Mensch die Ergebnisse der KI-Vorauswahl prüft und die finale Entscheidung trifft. Dokumentieren Sie die Entscheidungsgrundlagen. Informieren Sie Bewerber über den KI-Einsatz.

2. Algorithmische Leistungsbewertung

KI-Systeme, die Produktivitätskennzahlen, Zielerreichungsgrade oder Verhaltensmetriken automatisch auswerten und zu einer Leistungsbewertung zusammenführen, greifen besonders tief in das Persönlichkeitsrecht der Beschäftigten ein:

  • Die Eingriffsintensität ist hoch, da die Bewertung unmittelbare Auswirkungen auf Karriere, Vergütung und Beschäftigungssicherheit hat.
  • Es besteht die Gefahr der Reduktion komplexer Arbeitsleistung auf quantifizierbare Metriken, die der Realität nicht gerecht werden.
  • § 87 Abs. 1 Nr. 6 BetrVG löst ein zwingendes Mitbestimmungsrecht aus.
  • Die DSFA-Pflicht besteht aufgrund der systematischen Bewertung persönlicher Aspekte (Art. 35 Abs. 3 lit. a DSGVO).

3. Predictive Analytics: Kündigungsprognosen und Fehlzeitenanalyse

Einige Arbeitgeber setzen KI ein, um vorherzusagen, welche Beschäftigten mit hoher Wahrscheinlichkeit kündigen werden (Flight-Risk-Analyse) oder welche Beschäftigten häufiger krankheitsbedingt fehlen werden. Diese Anwendungen sind aus datenschutzrechtlicher Sicht besonders problematisch:

  • Profiling: Die Erstellung von Prognosen über zukünftiges Verhalten stellt ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO dar.
  • Gesundheitsdaten: Bei Fehlzeitenanalysen werden häufig — zumindest mittelbar — Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO verarbeitet.
  • Erforderlichkeit fraglich: Es ist zweifelhaft, ob eine prädiktive Analyse für die Durchführung des Beschäftigungsverhältnisses im Sinne von § 26 Abs. 1 S. 1 BDSG erforderlich ist.

4. KI-gestützte Kommunikationsüberwachung

Die Analyse von E-Mails, Chat-Nachrichten oder Telefonaten durch KI-Systeme — etwa zur Erkennung von Compliance-Verstößen, Insider-Bedrohungen oder Datenverlust — gehört zu den eingriffsintensivsten Maßnahmen:

  • Bei erlaubter privater Nutzung der Kommunikationsmittel ist der Arbeitgeber als Telekommunikationsanbieter anzusehen, was die Analyse erheblich einschränkt.
  • Auch bei rein dienstlicher Nutzung muss die Verhältnismäßigkeit gewahrt sein: Eine flächendeckende, anlasslose Überwachung aller Mitarbeiterkommunikation ist unverhältnismäßig.
  • Die Schwelle zur Totalüberwachung — die nach ständiger BAG-Rechtsprechung unzulässig ist — wird bei umfassender Kommunikationsanalyse schnell erreicht.

5. Biometrische Systeme

Fingerabdruckscanner, Gesichtserkennung zur Zutrittskontrolle oder verhaltensbasierte Authentifizierung verarbeiten biometrische Daten im Sinne von Art. 9 Abs. 1 DSGVO. Hierfür gelten verschärfte Anforderungen nach § 26 Abs. 3 BDSG. Der Arbeitgeber muss nachweisen, dass kein gleich wirksames, weniger eingreifendes Mittel zur Verfügung steht — eine klassische Chipkarte oder ein Passwort genügt in vielen Fällen.

Pflicht zur Datenschutz-Folgenabschätzung (DSFA)

Wann ist eine DSFA zwingend?

Bei KI-Systemen, die Beschäftigtendaten verarbeiten, ist eine DSFA nach Art. 35 DSGVO in aller Regel Pflicht. Die deutschen Aufsichtsbehörden haben in ihrer Positivliste ausdrücklich festgehalten, dass der Einsatz von KI zur Verarbeitung von Beschäftigtendaten eine DSFA erfordert. Darüber hinaus sind typischerweise mehrere der Kriterien aus den Leitlinien des Art.-29-Datenschutzausschusses erfüllt:

  • Systematische Bewertung persönlicher Aspekte (Profiling)
  • Verarbeitung im großen Umfang
  • Daten vulnerabler Gruppen (Beschäftigte als strukturell unterlegene Partei)
  • Innovative Technologie (KI)
  • Systematische Überwachung

Wenn zwei oder mehr dieser Kriterien erfüllt sind — was bei KI im Beschäftigungskontext praktisch immer der Fall ist —, ist die DSFA zwingend.

Inhalte der DSFA

Eine DSFA für KI-Systeme im Beschäftigungskontext muss mindestens enthalten:

  1. Beschreibung der Verarbeitung: Welche Daten verarbeitet das KI-System? Zu welchem Zweck? Auf welcher Rechtsgrundlage?
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Ist die KI-gestützte Verarbeitung erforderlich? Gibt es mildere Mittel?
  3. Risikobewertung: Welche Risiken bestehen für die Rechte und Freiheiten der Beschäftigten? Wie wahrscheinlich und wie schwerwiegend sind diese Risiken?
  4. Abhilfemaßnahmen: Welche technischen und organisatorischen Maßnahmen werden ergriffen, um die identifizierten Risiken zu mindern?

Die DSFA muss vor der Inbetriebnahme des KI-Systems durchgeführt und regelmäßig aktualisiert werden.

Betriebsrat und Mitbestimmung: Kein KI-Einsatz ohne Zustimmung

Das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG

Der Betriebsrat hat ein zwingendes Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Das BAG legt den Überwachungsbegriff dabei objektiv aus: Es genügt, wenn die Einrichtung geeignet ist, Verhaltens- oder Leistungsdaten zu erfassen. Eine Überwachungsabsicht des Arbeitgebers ist nicht erforderlich.

Da KI-Systeme, die Mitarbeiterdaten verarbeiten, stets zur Erfassung von Verhaltens- oder Leistungsdaten geeignet sind, greift das Mitbestimmungsrecht nahezu ausnahmslos. Die Einführung eines KI-Systems ohne vorherige Zustimmung des Betriebsrats ist rechtswidrig und kann per einstweiliger Verfügung untersagt werden.

Die Betriebsvereinbarung als Gestaltungsinstrument

Die Betriebsvereinbarung ist das zentrale Instrument, um den KI-Einsatz arbeits- und datenschutzrechtlich abzusichern. Sie kann nach § 26 Abs. 4 BDSG i. V. m. Art. 88 Abs. 1 DSGVO als eigenständige Rechtsgrundlage für die Datenverarbeitung dienen — vorausgesetzt, sie wahrt das Schutzniveau der DSGVO.

Eine Betriebsvereinbarung für KI-Systeme sollte mindestens folgende Punkte regeln:

  • Einsatzzweck und Funktionsweise des KI-Systems
  • Verarbeitete Datenkategorien und betroffene Personengruppen
  • Zweckbindung: klare Festlegung, dass die Daten nicht für andere Zwecke verwendet werden dürfen
  • Löschfristen und Aufbewahrungsregeln
  • Zugriffsrechte: Wer darf auf die KI-Ergebnisse zugreifen?
  • Menschliche Aufsicht: Wer prüft die KI-Ergebnisse, bevor Entscheidungen getroffen werden?
  • Transparenzmaßnahmen: Wie werden Beschäftigte informiert?
  • Evaluierung: Regelmäßige Überprüfung auf Diskriminierung und Fehlfunktionen
  • Eskalationswege: Was geschieht bei Beschwerden oder Fehlerkennung?
  • Sachverständigenrecht des Betriebsrats nach § 80 Abs. 3 S. 2 BetrVG

Sachverständige für KI (§ 80 Abs. 3 S. 2 BetrVG)

Seit der BetrVG-Novelle 2021 kann der Betriebsrat bei der Einführung von KI einen Sachverständigen hinzuziehen, ohne dass eine nähere Vereinbarung mit dem Arbeitgeber erforderlich ist. Diese Regelung stärkt die Position des Betriebsrats erheblich, da KI-Systeme häufig so komplex sind, dass eine Bewertung ohne technische Expertise nicht möglich ist.

8-Punkte-Leitfaden: So setzen Arbeitgeber KI rechtskonform ein

1. KI-Inventar erstellen

Erfassen Sie alle KI-Systeme, die Mitarbeiterdaten verarbeiten — vom Bewerbermanagementsystem über die Zeiterfassung bis zur Einsatzplanung. Dokumentieren Sie für jedes System: Anbieter, Einsatzzweck, verarbeitete Daten, betroffene Personengruppen und Datenflüsse. Dieses Inventar bildet die Grundlage für alle weiteren Compliance-Maßnahmen.

2. Rechtsgrundlage für jedes System prüfen

Führen Sie für jedes KI-System die Erforderlichkeitsprüfung nach § 26 Abs. 1 S. 1 BDSG durch. Dokumentieren Sie die Abwägung. Prüfen Sie, ob eine Betriebsvereinbarung als ergänzende oder eigenständige Rechtsgrundlage geschlossen werden sollte. Verzichten Sie auf die Einwilligung als primäre Rechtsgrundlage — sie ist im Beschäftigungsverhältnis nur in Ausnahmefällen tragfähig.

3. Hochrisiko-Einstufung nach AI Act prüfen

Prüfen Sie, ob Ihre KI-Systeme unter Anhang III Nr. 4 des AI Act fallen. Falls ja, stellen Sie sicher, dass alle Betreiberpflichten erfüllt sind: menschliche Aufsicht, Transparenz, Grundrechte-Folgenabschätzung, Überwachung und Meldepflichten.

4. DSFA durchführen

Führen Sie für jedes KI-System, das Beschäftigtendaten verarbeitet, eine DSFA nach Art. 35 DSGVO durch — vor der Inbetriebnahme. Identifizieren Sie Risiken, bewerten Sie deren Eintrittswahrscheinlichkeit und Schwere, und definieren Sie Abhilfemaßnahmen. Konsultieren Sie bei verbleibendem hohem Risiko die zuständige Aufsichtsbehörde (Art. 36 DSGVO).

5. Betriebsrat frühzeitig einbinden

Informieren Sie den Betriebsrat umfassend über geplante KI-Systeme und streben Sie den Abschluss einer Betriebsvereinbarung an. Berücksichtigen Sie, dass der Betriebsrat das Recht hat, einen Sachverständigen hinzuzuziehen (§ 80 Abs. 3 S. 2 BetrVG). Eine frühzeitige Einbindung vermeidet Konflikte und schafft Rechtssicherheit.

6. Beschäftigte transparent informieren

Informieren Sie alle betroffenen Beschäftigten vor dem Einsatz von KI-Systemen: Welche Daten werden verarbeitet? Zu welchem Zweck? Auf welcher Rechtsgrundlage? Welche Rechte haben die Beschäftigten? Nutzen Sie klare, verständliche Sprache — keine juristischen Fachbegriffe. Stellen Sie sicher, dass bei automatisierten Einzelentscheidungen das Recht auf menschliche Überprüfung nach Art. 22 Abs. 3 DSGVO gewährleistet ist.

7. Technische und organisatorische Maßnahmen implementieren

Setzen Sie konkrete Schutzmaßnahmen um:

  • Zugriffsbeschränkungen: Nur befugte Personen dürfen auf KI-Ergebnisse zugreifen.
  • Protokollierung: Dokumentieren Sie, wer wann auf welche Daten zugegriffen hat.
  • Anonymisierung/Pseudonymisierung: Wo immer möglich, sollten Daten anonymisiert oder pseudonymisiert verarbeitet werden.
  • Regelmäßige Audits: Prüfen Sie das KI-System in regelmäßigen Abständen auf Diskriminierung, Fehlfunktionen und Zweckentfremdung.
  • Löschkonzept: Definieren Sie klare Löschfristen und setzen Sie diese technisch um.

8. Regelmäßig überprüfen und aktualisieren

KI-Compliance ist ein fortlaufender Prozess. Überprüfen Sie mindestens jährlich: Sind die Rechtsgrundlagen noch tragfähig? Hat sich der Verarbeitungszweck geändert? Muss die DSFA aktualisiert werden? Erfüllt das System weiterhin die AI-Act-Anforderungen? Gibt es neue Rechtsprechung oder behördliche Vorgaben?

Häufig gestellte Fragen (FAQ)

Gilt § 26 BDSG auch für KI-Systeme, die von Drittanbietern betrieben werden?

Ja. Wenn ein Arbeitgeber ein KI-System eines externen Anbieters einsetzt, das Beschäftigtendaten verarbeitet, bleibt er datenschutzrechtlich Verantwortlicher. Er muss eine tragfähige Rechtsgrundlage nach § 26 BDSG nachweisen, die Verarbeitung durch den Anbieter vertraglich regeln (Art. 28 DSGVO — Auftragsverarbeitung) und sicherstellen, dass alle Betroffenenrechte gewahrt werden. Der Drittanbieter kann im Rahmen des AI Act als Anbieter (Provider) eigene Pflichten haben, die den Arbeitgeber als Betreiber aber nicht entlasten.

Können Beschäftigte gegen KI-gestützte Personalentscheidungen vorgehen?

Ja, auf mehreren Wegen. Art. 22 DSGVO gibt Beschäftigten das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet. Beschäftigte können Auskunft nach Art. 15 DSGVO verlangen, um zu erfahren, welche Daten verarbeitet und welche Logik der Entscheidung zugrunde liegt. Sie können Widerspruch nach Art. 21 DSGVO einlegen. Bei rechtswidrigen KI-Entscheidungen stehen ihnen Schadensersatzansprüche nach Art. 82 DSGVO zu. Im Kündigungsschutzprozess können auf rechtswidrig erhobenen KI-Daten basierende Beweise einem Beweisverwertungsverbot unterliegen.

Was passiert, wenn ein KI-System diskriminiert?

Wenn ein KI-System bei Einstellung, Beförderung oder Kündigung diskriminiert, liegt ein Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG) vor. Der Arbeitgeber haftet auch dann, wenn die Diskriminierung auf den Algorithmus und nicht auf eine bewusste menschliche Entscheidung zurückgeht. Betroffene können Entschädigung nach § 15 Abs. 2 AGG verlangen. Zudem drohen Bußgelder nach der DSGVO, wenn die Verarbeitung nicht den Grundsätzen der Datenminimierung und Richtigkeit (Art. 5 Abs. 1 lit. c und d DSGVO) entspricht.

Müssen auch kleine Unternehmen ohne Betriebsrat diese Regeln beachten?

Ja — mit Ausnahme der betriebsverfassungsrechtlichen Mitbestimmungspflichten. Die datenschutzrechtlichen Anforderungen aus § 26 BDSG, der DSGVO und dem AI Act gelten unabhängig von der Unternehmensgröße und unabhängig davon, ob ein Betriebsrat existiert. Auch ein Unternehmen mit fünf Beschäftigten muss die Erforderlichkeitsprüfung durchführen, die DSFA erstellen und die Betroffenenrechte wahren.

Welche Bußgelder drohen konkret?

Die Bußgelder sind gestaffelt: DSGVO-Verstöße (z. B. fehlende Rechtsgrundlage, unterlassene DSFA) können mit bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden (Art. 83 Abs. 5 DSGVO). AI-Act-Verstöße (z. B. Einsatz verbotener KI-Praktiken) können bis zu 35 Mio. Euro oder 7 % des Jahresumsatzes kosten. Verstöße gegen die Hochrisiko-Pflichten werden mit bis zu 15 Mio. Euro oder 3 % geahndet. Hinzu kommen Schadensersatzansprüche der Beschäftigten und potenzielle arbeitsrechtliche Konsequenzen (Unwirksamkeit von Personalentscheidungen, Beweisverwertungsverbote).

Fazit

Der Einsatz von KI-Systemen zur Verarbeitung von Beschäftigtendaten bietet Arbeitgebern erhebliche Chancen — von effizienterer Personalplanung bis hin zu datengestützter Talententwicklung. Doch diese Chancen sind an strenge rechtliche Voraussetzungen geknüpft. § 26 BDSG, Art. 88 DSGVO, der AI Act und das Betriebsverfassungsgesetz bilden ein engmaschiges Regelungsnetz, das keinen Raum für einen „quick and dirty"-Ansatz lässt.

Der Schlüssel zum rechtskonformen KI-Einsatz liegt in einem systematischen, proaktiven Vorgehen: KI-Inventar erstellen, Rechtsgrundlagen prüfen, Hochrisiko-Einstufung bewerten, DSFA durchführen, Betriebsrat einbinden, Beschäftigte informieren, Schutzmaßnahmen implementieren und das gesamte System regelmäßig überprüfen.

Arbeitgeber, die diesen Weg gehen, schaffen nicht nur Rechtssicherheit, sondern auch Vertrauen bei ihren Beschäftigten. Und dieses Vertrauen ist letztlich die Voraussetzung dafür, dass KI im Personalbereich ihr volles Potenzial entfalten kann — zum Vorteil aller Beteiligten.

Sie möchten Ihre KI-Systeme im Personalbereich auf Compliance prüfen? KI Comply unterstützt Sie mit Schulungen, Vorlagen und Expertenwissen — von der Bestandsaufnahme bis zur fertigen Betriebsvereinbarung. Jetzt kostenlos testen →

Rechtsquellen

  • Beschäftigtendatenschutz§26 BDSG
  • DSGVO BeschäftigteArt. 88 VO (EU) 2016/679 (Quelle)
  • Hochrisiko HR-KIAnhang III Nr. 4 VO (EU) 2024/1689
  • Mitbestimmung§87 Abs. 1 Nr. 6 BetrVG
  • Automatisierte EinzelentscheidungenArt. 22 VO (EU) 2016/679

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.

Artikel teilen:

Weiterlesen

Bild
Datenschutz

Beschäftigtendatenschutz und KI: Was Arbeitgeber beachten müssen

KI-Systeme verarbeiten oft Mitarbeiterdaten — von der Leistungsüberwachung bis zur Einsatzplanung. Welche DSGVO- und BDSG-Regeln gelten für Arbeitgeber?

Bild
Arbeitsrecht

KI-Überwachung am Arbeitsplatz: Grenzen und Regeln

KI-gestützte Mitarbeiterüberwachung ist technisch möglich — aber rechtlich eng begrenzt. Wo die Grenzen liegen und was erlaubt ist.

Bild
Praxis

KI im Personalwesen: Rechtssicherer Einsatz von KI im HR

KI im Recruiting, bei Leistungsbewertung oder Personalplanung? HR-KI ist Hochrisiko nach dem AI Act. Was erlaubt ist und worauf Sie achten müssen.

Mitbestimmung bei KI-Einführung: Rechte des Betriebsrats
Arbeitsrecht

Mitbestimmung bei KI-Einführung: Rechte des Betriebsrats

Der Betriebsrat hat bei der Einführung von KI-Systemen weitreichende Mitbestimmungsrechte. Wir erklären §87(1) Nr. 6 BetrVG, §90 BetrVG und die BAG-Rechtsprechung -- mit Praxisleitfaden und FAQ.

Bild
Arbeitsrecht

KI und Leistungsbewertung: Rechtliche Grenzen bei People Analytics

KI-gestützte Leistungsbewertung ist Hochrisiko nach dem AI Act. Welche rechtlichen Grenzen gelten und wie Sie People Analytics compliant einsetzen.

Bild
Regulierung

AI Act vs. DSGVO: Wie die beiden Regulierungen zusammenspielen

AI Act und DSGVO — zwei EU-Verordnungen, ein Ziel: verantwortungsvolle KI. Wir erklären die Unterschiede, Überschneidungen und was Unternehmen beachten müssen.

Machen Sie Ihr Team KI-fit

Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.

Preise ansehen