Zurück zum Blog
Arbeitsrecht
Praxis

KI und Leistungsbewertung: Rechtliche Grenzen bei People Analytics

KI-gestützte Leistungsbewertung ist Hochrisiko nach dem AI Act. Welche rechtlichen Grenzen gelten und wie Sie People Analytics compliant einsetzen.

KCT
KI Comply TeamKI-Compliance Experten
22. August 20255 Min. Lesezeit
KI und Leistungsbewertung: Rechtliche Grenzen bei People Analytics

Das Wichtigste in Kürze

  • KI-gestützte Leistungsbewertung fällt nach Anhang III Nr. 4 lit. b VO (EU) 2024/1689 (AI Act) in die Hochrisiko-Kategorie -- unabhängig davon, ob sie als eigenständiges Tool oder als Modul einer HR-Plattform betrieben wird.
  • Der Betriebsrat hat nach § 94 BetrVG ein zwingendes Mitbestimmungsrecht bei der Aufstellung allgemeiner Beurteilungsgrundsätze -- KI-gestützte Bewertungskriterien fallen darunter.
  • Art. 22 DSGVO verbietet grundsätzlich rein automatisierte Entscheidungen mit rechtlicher oder erheblich beeinträchtigender Wirkung; Leistungsbewertungen, die über Beförderung oder Kündigung entscheiden, sind erfasst.
  • Emotionserkennung am Arbeitsplatz ist nach Art. 5 Abs. 1 lit. f AI Act verboten -- Sentiment-Analysen auf Basis biometrischer Daten sind damit unzulässig.
  • Bei Verstößen drohen Bußgelder nach dem AI Act (bis 35 Mio. Euro oder 7 % des Jahresumsatzes bei verbotenen Praktiken), DSGVO-Sanktionen (bis 20 Mio. Euro oder 4 % des Jahresumsatzes) und Schadensersatzansprüche nach dem AGG.

Immer mehr Unternehmen setzen auf People Analytics und KI-gestützte Leistungsbewertung. Die Versprechen klingen überzeugend: objektive Kennzahlen statt subjektiver Einschätzungen, datenbasierte Beförderungsentscheidungen statt Bauchgefühl, frühzeitige Erkennung von Leistungsabfall statt verspäteter Reaktion. Doch was als Fortschritt verkauft wird, berührt die sensibelsten Bereiche des Arbeitsverhältnisses -- und trifft auf ein dichtes Regelungsgeflecht aus europäischem und deutschem Recht.

Der AI Act stuft KI-Systeme zur Leistungsbewertung als Hochrisiko ein. Gleichzeitig greifen das Betriebsverfassungsgesetz, die DSGVO, das BDSG und das Allgemeine Gleichbehandlungsgesetz. Für Arbeitgeber bedeutet das: Wer People Analytics ohne rechtliche Absicherung betreibt, riskiert Bußgelder, Schadensersatzansprüche und die Unwirksamkeit getroffener Personalentscheidungen.

Dieser Artikel zeigt, welche KI-Anwendungen in der Leistungsbewertung betroffen sind, wo die rechtlichen Grenzen liegen und wie Sie People Analytics compliant einsetzen.

KI-Anwendungen in der Leistungsbewertung

People Analytics umfasst eine Vielzahl von KI-Anwendungen, die über die klassische Leistungsbeurteilung hinausgehen. Die folgende Tabelle gibt einen Überblick über die häufigsten Einsatzfelder, ihre Datenbasis und die regulatorische Einordnung:

AnwendungDatenbasisRegulatorische EinordnungHauptrisiko
ProduktivitätsmessungTastaturanschläge, Bildschirmzeit, AufgabenabschlussHochrisiko (Anhang III Nr. 4 lit. b AI Act) + §87 Abs. 1 Nr. 6 BetrVGÜberwachungsdruck, unverhältnismäßige Kontrolle
360°-Feedback-AnalyseFreitextbewertungen von Kollegen, Vorgesetzten, KundenHochrisiko (Anhang III Nr. 4 lit. b AI Act) + §94 BetrVGVerzerrung durch sprachliche Muster, indirekte Diskriminierung
Sentiment-AnalyseE-Mails, Chat-Nachrichten, StimmeGgf. verboten (Art. 5 Abs. 1 lit. f AI Act)Emotionserkennung am Arbeitsplatz, Eingriff in Persönlichkeitsrecht
AbwesenheitsprognoseKrankheitstage, Urlaubsmuster, Wochentag-KorrelationenHochrisiko (Anhang III Nr. 4 lit. b AI Act) + §26 BDSGGesundheitsdaten (Art. 9 DSGVO), Diskriminierung chronisch Kranker
BeförderungsempfehlungLeistungsdaten, Projekterfolge, KompetenzprofileHochrisiko (Anhang III Nr. 4 lit. b AI Act)Strukturelle Diskriminierung, Perpetuierung historischer Ungleichheiten

Entscheidend: Keine dieser Anwendungen ist per se verboten (mit Ausnahme bestimmter Formen der Sentiment-Analyse). Aber jede einzelne unterliegt strengen Anforderungen -- und die bloße Einführung ohne Compliance-Prüfung ist rechtswidrig.

Hochrisiko nach Anhang III Nr. 4 lit. b AI Act

Die Einstufung im Detail

Anhang III Nr. 4 lit. b VO (EU) 2024/1689 erfasst KI-Systeme, die bestimmungsgemäß eingesetzt werden für:

„Entscheidungen, die die Bedingungen von Arbeitsverhältnissen, Beförderungsentscheidungen oder Kündigungen von Arbeitsvertragsverhältnissen betreffen, für die Zuweisung von Aufgaben auf der Grundlage des individuellen Verhaltens oder persönlicher Merkmale oder Eigenschaften oder für die Überwachung oder Bewertung der Leistung und des Verhaltens von Personen in solchen Verhältnissen."

Die Formulierung ist bewusst weit gefasst. Sie deckt ab:

  • Direkte Leistungsbewertung: KI-Systeme, die Performance-Scores berechnen oder Leistungsranglisten erstellen.
  • Indirekte Leistungsbewertung: Systeme, die Verhaltensmerkmale erfassen und daraus Rückschlüsse auf die Leistung ziehen (z. B. Kommunikationsanalysen, Aktivitätstracking).
  • Entscheidungsunterstützung: Auch wenn das System lediglich Empfehlungen abgibt und ein Mensch die finale Entscheidung trifft, bleibt die Hochrisiko-Einstufung bestehen, sofern die Empfehlung typischerweise die Entscheidung beeinflusst.

Pflichten für Betreiber

Als Betreiber eines Hochrisiko-KI-Systems zur Leistungsbewertung müssen Unternehmen nach den Art. 26, 9--15 VO (EU) 2024/1689 insbesondere:

  1. Risikomanagement betreiben (Art. 9): Ein fortlaufendes Risikomanagementsystem einrichten, das die spezifischen Risiken der Leistungsbewertung -- insbesondere Diskriminierung und unverhältnismäßige Überwachung -- adressiert.
  2. Datenqualität sicherstellen (Art. 10): Trainings-, Validierungs- und Testdatensätze müssen repräsentativ, fehlerfrei und frei von verzerrenden Mustern sein.
  3. Transparenz gewährleisten (Art. 13): Beschäftigte müssen verständlich über den Einsatz des Systems, seine Funktionsweise und die Auswirkungen auf ihre Bewertung informiert werden.
  4. Menschliche Aufsicht sicherstellen (Art. 14): Die finale Entscheidung über Beförderung, Kündigung oder leistungsbezogene Maßnahmen muss bei einem Menschen liegen, der die KI-Empfehlung überprüfen und übersteuern kann.
  5. Aufzeichnungen führen (Art. 12, 26 Abs. 5): Protokolle über den Systembetrieb müssen mindestens sechs Monate aufbewahrt werden.
  6. Information der Beschäftigten (Art. 26 Abs. 7): Betroffene Arbeitnehmer und ihre Vertreter sind vor der Inbetriebnahme über den Einsatz des Hochrisiko-Systems zu informieren.

§94 BetrVG: Mitbestimmung bei Beurteilungsgrundsätzen

Der Regelungsgehalt

Die Mitbestimmung des Betriebsrats bei KI-gestützter Leistungsbewertung geht über die allgemeine technische Überwachung nach §87 Abs. 1 Nr. 6 BetrVG hinaus. §94 BetrVG regelt zwei spezifische Mitbestimmungsrechte:

  • §94 Abs. 1 BetrVG: Der Inhalt von Personalfragebogen bedarf der Zustimmung des Betriebsrats. KI-basierte Erhebungsinstrumente, die systematisch Daten über Beschäftigte sammeln, können als Personalfragebogen im Sinne der Norm qualifiziert werden.
  • §94 Abs. 2 BetrVG: Die Aufstellung allgemeiner Beurteilungsgrundsätze bedarf der Zustimmung des Betriebsrats. Diese Vorschrift ist für KI-gestützte Leistungsbewertung zentral.

Was sind Beurteilungsgrundsätze?

Beurteilungsgrundsätze im Sinne des §94 Abs. 2 BetrVG umfassen alle Regelungen, die festlegen, nach welchen Kriterien und mit welchen Methoden die Leistung oder das Verhalten von Beschäftigten bewertet wird. Das BAG hat dies in ständiger Rechtsprechung weit ausgelegt (vgl. BAG, Beschluss vom 14.01.2014 -- 1 ABR 49/12).

Für KI-gestützte Leistungsbewertung bedeutet das konkret:

  • Die Bewertungskriterien, die der Algorithmus verwendet (z. B. Aufgabenabschlussrate, Kommunikationshäufigkeit, Reaktionszeiten), unterliegen der Mitbestimmung.
  • Die Gewichtung dieser Kriterien -- also welche Faktoren stärker oder schwächer in die Gesamtbewertung einfließen -- ist mitbestimmungspflichtig.
  • Die Bewertungsskala (Punktesystem, Ranking, Kategorisierung) bedarf der Zustimmung.
  • Auch Änderungen am Algorithmus, die die Bewertungslogik verändern, lösen erneut die Mitbestimmung aus.

Rechtsfolge bei Verstoß

Führt der Arbeitgeber ein KI-gestütztes Leistungsbewertungssystem ohne Zustimmung des Betriebsrats nach §94 Abs. 2 BetrVG ein, sind die daraus gewonnenen Bewertungen rechtswidrig. Personalentscheidungen, die auf solchen Bewertungen beruhen -- etwa Kündigungen oder die Verweigerung einer Beförderung -- können vor dem Arbeitsgericht angefochten werden. Der Betriebsrat kann die Unterlassung über das Arbeitsgericht erzwingen (§23 Abs. 3 BetrVG).

Datenschutzrechtliche Grenzen: §26 BDSG und Art. 22 DSGVO

Rechtsgrundlage nach §26 BDSG

Jede KI-gestützte Leistungsbewertung verarbeitet personenbezogene Daten von Beschäftigten. §26 Abs. 1 S. 1 BDSG erlaubt dies nur, wenn die Verarbeitung für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Die Erforderlichkeitsprüfung verlangt eine strenge Verhältnismäßigkeitsabwägung:

  • Geeignetheit: Ist die KI-gestützte Bewertung geeignet, den verfolgten Zweck (z. B. faire Leistungsbeurteilung) zu erreichen?
  • Erforderlichkeit: Gibt es kein milderes, gleich wirksames Mittel? Wenn eine herkömmliche Leistungsbeurteilung durch Vorgesetzte denselben Zweck erfüllt, ist der KI-Einsatz nicht erforderlich.
  • Angemessenheit: Steht der Eingriff in die Persönlichkeitsrechte der Beschäftigten in einem angemessenen Verhältnis zum verfolgten Zweck?

Praxisbeispiel: Eine KI-gestützte Produktivitätsmessung, die jeden Tastaturanschlag und jede Mausbewegung aufzeichnet, wird die Erforderlichkeitsprüfung in den meisten Fällen nicht bestehen. Die anlassbezogene Auswertung aggregierter Leistungskennzahlen kann hingegen verhältnismäßig sein.

Das Verbot automatisierter Einzelentscheidungen (Art. 22 DSGVO)

Art. 22 Abs. 1 DSGVO gewährt jeder betroffenen Person das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Für KI-gestützte Leistungsbewertung hat dies weitreichende Konsequenzen:

  • Eine automatisch generierte Kündigung auf Basis eines KI-Performance-Scores ist nach Art. 22 DSGVO unzulässig, wenn kein Mensch die Entscheidung substantiell überprüft hat.
  • Eine automatische Beförderungsablehnung auf Grundlage eines algorithmischen Rankings verstößt gegen Art. 22 DSGVO.
  • Auch eine automatische Gehaltsanpassung auf Basis einer KI-Leistungsbewertung fällt unter das Verbot.

Der EuGH hat in seinem Urteil vom 07.12.2023 (Rs. C-634/21 -- SCHUFA) klargestellt, dass bereits die automatisierte Erstellung eines Scores unter Art. 22 DSGVO fallen kann, wenn dieser Score maßgebliche Grundlage einer späteren Entscheidung eines Dritten ist. Übertragen auf People Analytics bedeutet das: Auch wenn formal ein Mensch die Personalentscheidung trifft, kann Art. 22 DSGVO greifen, wenn dieser Mensch den KI-Score faktisch nur „durchwinkt".

Datenschutz-Folgenabschätzung

Nach Art. 35 DSGVO ist vor dem Einsatz einer KI-gestützten Leistungsbewertung eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Die DSFA ist bei People Analytics regelmäßig verpflichtend, da mindestens zwei der folgenden Kriterien erfüllt sind: systematische Überwachung, Verarbeitung in großem Umfang, Bewertung oder Einstufung natürlicher Personen und Einsatz neuer Technologien.

Diskriminierungsrisiken und das AGG

Warum KI diskriminiert

KI-Systeme zur Leistungsbewertung können auf mehreren Ebenen diskriminieren:

Historische Verzerrungen in Trainingsdaten: Wenn bisherige Leistungsbewertungen systematisch bestimmte Gruppen benachteiligt haben -- etwa Frauen, die aufgrund von Elternzeit geringere Bewertungen erhielten, oder ältere Beschäftigte, deren Kompetenzen anders gewichtet wurden -- lernt der Algorithmus diese Verzerrungen und reproduziert sie.

Proxy-Diskriminierung: Auch scheinbar neutrale Merkmale können als Stellvertreter (Proxies) für geschützte Merkmale nach §1 AGG wirken. Die Kommunikationshäufigkeit korreliert möglicherweise mit der Abteilungszugehörigkeit, die wiederum geschlechtsspezifisch zusammengesetzt ist. Die Aktivitätszeit am Rechner kann Teilzeitkräfte -- überproportional Frauen -- benachteiligen.

Intersektionale Diskriminierung: KI-Systeme können Beschäftigte benachteiligen, die mehreren geschützten Gruppen angehören, ohne dass die Diskriminierung entlang einer einzelnen Dimension sichtbar wird.

Rechtsfolgen nach dem AGG

§7 AGG verbietet die Benachteiligung von Beschäftigten aus Gründen der Rasse oder ethnischen Herkunft, des Geschlechts, der Religion, einer Behinderung, des Alters oder der sexuellen Identität. Bei einem Verstoß drohen:

  • Schadensersatz nach §15 Abs. 1 AGG (materieller Schaden)
  • Entschädigung nach §15 Abs. 2 AGG (immaterieller Schaden, bis zu drei Monatsgehälter bei Nichteinstellung)
  • Unwirksamkeit diskriminierender Maßnahmen (§7 Abs. 2 AGG)

Wichtig: Der Arbeitgeber kann sich nicht damit entlasten, dass „die KI das so entschieden hat". Die Verantwortung für diskriminierungsfreie Personalentscheidungen bleibt beim Arbeitgeber -- unabhängig davon, ob er sie selbst trifft oder ein KI-System zu Rate zieht.

Emotionserkennung am Arbeitsplatz: Art. 5 Abs. 1 lit. f AI Act

Das Verbot

Art. 5 Abs. 1 lit. f VO (EU) 2024/1689 verbietet den Einsatz von KI-Systemen, die die Emotionen natürlicher Personen am Arbeitsplatz ableiten -- es sei denn, das System wird aus medizinischen oder sicherheitstechnischen Gründen eingesetzt (z. B. Müdigkeitserkennung bei Piloten).

Auswirkungen auf People Analytics

Das Verbot hat unmittelbare Konsequenzen für bestimmte People-Analytics-Anwendungen:

  • Sentiment-Analyse von E-Mails und Chat-Nachrichten: Soweit sie auf die Ableitung von Emotionen abzielt und biometrische Daten (Stimmmuster, Gesichtsausdruck) verarbeitet, ist sie am Arbeitsplatz verboten.
  • Stimmanalyse in Meetings: KI-Tools, die den Tonfall von Beschäftigten analysieren, um deren emotionalen Zustand oder Engagement-Level zu ermitteln, fallen unter das Verbot.
  • Gesichtserkennungsbasierte Engagement-Messung: Systeme, die über Webcam-Aufnahmen Aufmerksamkeit oder Zufriedenheit messen, sind unzulässig.

Abgrenzung: Eine rein textbasierte Inhaltsanalyse von Feedback-Texten (z. B. die Kategorisierung von 360°-Feedback nach Themen) fällt nicht unter Art. 5 Abs. 1 lit. f, sofern sie nicht auf die Ableitung von Emotionen aus biometrischen Daten abzielt. Die Grenze ist jedoch fließend, und Unternehmen sollten im Zweifelsfall auf solche Analysen verzichten oder eine rechtliche Einzelfallprüfung durchführen.

Sanktionen

Verstöße gegen Art. 5 AI Act (verbotene Praktiken) ziehen die höchste Bußgeldstufe nach sich: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes (Art. 99 Abs. 3 AI Act).

Compliance-Leitfaden: KI-Leistungsbewertung in 6 Schritten

Schritt 1: Bestandsaufnahme und Risikoklassifizierung

Erfassen Sie systematisch alle KI-Systeme und Tools, die in Ihrem Unternehmen zur Leistungsbewertung oder People Analytics eingesetzt werden. Prüfen Sie für jedes System:

  • Fällt es unter Anhang III Nr. 4 lit. b AI Act (Hochrisiko)?
  • Werden Emotionen abgeleitet (Art. 5 Abs. 1 lit. f AI Act -- Verbot)?
  • Welche personenbezogenen Daten werden verarbeitet und auf welcher Rechtsgrundlage?

Dokumentieren Sie das Ergebnis in Ihrem KI-Inventar gemäß Art. 26 Abs. 5 AI Act.

Schritt 2: Betriebsrat einbinden

Informieren Sie den Betriebsrat vor der Einführung oder wesentlichen Änderung eines KI-gestützten Bewertungssystems. Klären Sie die Mitbestimmungsrechte:

  • §94 Abs. 2 BetrVG: Zustimmung zu den Beurteilungsgrundsätzen (Kriterien, Gewichtung, Skala)
  • §87 Abs. 1 Nr. 6 BetrVG: Mitbestimmung bei technischer Überwachung
  • §90 BetrVG: Unterrichtung über die Planung technischer Anlagen

Schließen Sie idealerweise eine Betriebsvereinbarung ab, die den Einsatzrahmen, die verwendeten Kriterien, die menschliche Aufsicht und die Rechte der Beschäftigten regelt.

Schritt 3: Datenschutz-Folgenabschätzung durchführen

Führen Sie eine DSFA nach Art. 35 DSGVO durch, die mindestens folgende Punkte adressiert:

  • Zweck und Rechtsgrundlage der Verarbeitung (§26 BDSG)
  • Art und Umfang der verarbeiteten Daten
  • Risiken für die Rechte und Freiheiten der Beschäftigten
  • Technische und organisatorische Maßnahmen zur Risikominderung
  • Bewertung der Verhältnismäßigkeit

Beziehen Sie den betrieblichen Datenschutzbeauftragten nach Art. 35 Abs. 2 DSGVO ein.

Schritt 4: Diskriminierungsprüfung (Bias-Audit)

Führen Sie vor der Inbetriebnahme und regelmäßig im laufenden Betrieb einen Bias-Audit durch:

  • Analysieren Sie die Bewertungsergebnisse aufgeschlüsselt nach den geschützten Merkmalen des §1 AGG (Geschlecht, Alter, Herkunft, Behinderung).
  • Prüfen Sie auf Proxy-Diskriminierung: Korrelieren vermeintlich neutrale Bewertungskriterien mit geschützten Merkmalen?
  • Dokumentieren Sie die Ergebnisse und leiten Sie bei Auffälligkeiten Gegenmaßnahmen ein.
  • Wiederholen Sie den Audit mindestens halbjährlich und nach jedem Modell-Update.

Schritt 5: Menschliche Aufsicht implementieren

Stellen Sie sicher, dass KI-generierte Leistungsbewertungen niemals automatisch in Personalentscheidungen münden:

  • Jede Beförderungs-, Kündigungs- oder Vergütungsentscheidung muss von einer qualifizierten Person substantiell überprüft werden -- nicht nur formal abgenickt.
  • Die Aufsichtsperson muss den KI-Output verstehen, hinterfragen und übersteuern können (Art. 14 AI Act).
  • Schulen Sie Führungskräfte im Umgang mit KI-gestützten Bewertungen und sensibilisieren Sie sie für Automation Bias -- die Tendenz, algorithmischen Empfehlungen unkritisch zu folgen.

Schritt 6: Transparenz gegenüber Beschäftigten

Informieren Sie Beschäftigte klar und verständlich:

  • Dass ein KI-System zur Leistungsbewertung eingesetzt wird (Art. 26 Abs. 7 AI Act, Art. 13, 14 DSGVO)
  • Welche Daten erfasst und verarbeitet werden
  • Welche Kriterien die Bewertung beeinflussen
  • Welche Rechte die Beschäftigten haben (Auskunft nach Art. 15 DSGVO, Widerspruch nach Art. 21 DSGVO, Recht auf menschliche Überprüfung nach Art. 22 Abs. 3 DSGVO)
  • An wen sie sich bei Fragen oder Beschwerden wenden können

Häufig gestellte Fragen (FAQ)

Darf mein Arbeitgeber meine Leistung mit KI bewerten?

Grundsätzlich ja -- aber nur unter strengen Voraussetzungen. Die KI-gestützte Bewertung muss für die Durchführung des Beschäftigungsverhältnisses nach §26 Abs. 1 BDSG erforderlich sein, der Betriebsrat muss nach §94 Abs. 2 BetrVG zugestimmt haben, und es muss eine menschliche Aufsicht gewährleistet sein. Eine rein automatisierte Entscheidung über Beförderung oder Kündigung auf Basis des KI-Ergebnisses ist nach Art. 22 DSGVO unzulässig.

Muss der Arbeitgeber mich informieren, wenn KI an meiner Leistungsbewertung beteiligt ist?

Ja. Nach Art. 26 Abs. 7 AI Act müssen Betreiber von Hochrisiko-KI-Systemen betroffene Beschäftigte und deren Vertreter über den Einsatz informieren. Zusätzlich bestehen Informationspflichten nach Art. 13 und 14 DSGVO (Verarbeitungszweck, Rechtsgrundlage, Empfänger) sowie nach Art. 22 Abs. 3 DSGVO (Recht auf Erläuterung der Logik bei automatisierter Entscheidungsfindung).

Kann ich gegen eine KI-gestützte Leistungsbewertung vorgehen?

Ja, auf mehreren Wegen. Sie können Auskunft nach Art. 15 DSGVO verlangen -- einschließlich der involvierten Logik und der angestrebten Auswirkungen der automatisierten Verarbeitung. Sie können eine menschliche Überprüfung der Bewertung nach Art. 22 Abs. 3 DSGVO verlangen. Wenn die Bewertung diskriminierende Züge aufweist, können Sie Ansprüche nach dem AGG geltend machen. Und der Betriebsrat kann die Unterlassung eines ohne seine Zustimmung eingeführten Bewertungssystems gerichtlich durchsetzen.

Darf mein Arbeitgeber Sentiment-Analysen meiner E-Mails durchführen?

Das hängt von der konkreten Ausgestaltung ab. Wenn die Analyse darauf abzielt, Emotionen aus biometrischen Daten abzuleiten (z. B. Stimmmuster, Tippverhalten als physiologisches Signal), ist sie am Arbeitsplatz nach Art. 5 Abs. 1 lit. f AI Act verboten. Eine rein inhaltsbezogene Textanalyse (z. B. Themen-Kategorisierung von Feedback) kann zulässig sein, unterliegt aber der Erforderlichkeitsprüfung nach §26 BDSG und der Mitbestimmung des Betriebsrats. Im Zweifelsfall gilt: Die Hürden sind extrem hoch, und Arbeitgeber sollten auf solche Analysen verzichten.

Welche Bußgelder drohen bei Verstößen?

Die Bußgelder sind gestaffelt. Für den Verstoß gegen das Verbot der Emotionserkennung (Art. 5 AI Act): bis zu 35 Mio. Euro oder 7 % des Jahresumsatzes. Für die Verletzung von Hochrisiko-Pflichten (Art. 9--15 AI Act): bis zu 15 Mio. Euro oder 3 % des Jahresumsatzes. Für DSGVO-Verstöße (Art. 22, Art. 35): bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes. Hinzu kommen mögliche Schadensersatzansprüche nach §15 AGG und §82 DSGVO sowie die Unwirksamkeit von Personalentscheidungen, die auf rechtswidrigen KI-Bewertungen beruhen.

Fazit: People Analytics ja -- aber regelkonform

KI-gestützte Leistungsbewertung bietet Chancen für objektivere und konsistentere Personalentscheidungen. Doch das rechtliche Pflichtenprogramm ist umfangreich: AI Act, DSGVO, BDSG, BetrVG und AGG greifen ineinander und bilden ein Regelungsgeflecht, das Unternehmen nicht ignorieren können.

Die gute Nachricht: Compliance und Innovation schließen sich nicht aus. Wer People Analytics von Anfang an regelkonform aufsetzt -- mit Betriebsrat, Datenschutzbeauftragtem und einem robusten Risikomanagement --, schafft nicht nur Rechtssicherheit, sondern auch Akzeptanz bei den Beschäftigten. Und eine Leistungsbewertung, der die Beschäftigten vertrauen, ist am Ende auch die wirksamste.

Sie setzen KI in der Leistungsbewertung ein oder planen dies? KI Comply unterstützt Sie bei der rechtssicheren Umsetzung -- von der Risikoklassifizierung über die Betriebsvereinbarung bis zum Bias-Audit. Sprechen Sie uns an für eine unverbindliche Erstberatung.

Rechtsquellen

  • Hochrisiko BeschäftigungAnhang III Nr. 4 lit. b VO (EU) 2024/1689 (Quelle)
  • Beurteilungsgrundsätze§94 BetrVG
  • Automatisierte EntscheidungenArt. 22 DSGVO
  • Beschäftigtendatenschutz§26 BDSG

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.

Artikel teilen:

Weiterlesen

Bild
Praxis

KI im Personalwesen: Rechtssicherer Einsatz von KI im HR

KI im Recruiting, bei Leistungsbewertung oder Personalplanung? HR-KI ist Hochrisiko nach dem AI Act. Was erlaubt ist und worauf Sie achten müssen.

Bild
Datenschutz

Automatisierte Einzelentscheidungen: Wann KI entscheiden darf — und wann nicht

Art. 22 DSGVO verbietet grundsätzlich rein automatisierte Entscheidungen mit rechtlicher Wirkung. Was bedeutet das für KI-Systeme in Unternehmen?

Bild
Datenschutz

Beschäftigtendatenschutz und KI: Was Arbeitgeber beachten müssen

KI-Systeme verarbeiten oft Mitarbeiterdaten — von der Leistungsüberwachung bis zur Einsatzplanung. Welche DSGVO- und BDSG-Regeln gelten für Arbeitgeber?

Checkliste: DSFA für KI-Systeme durchführen
Datenschutz

Checkliste: DSFA für KI-Systeme durchführen

Praxisnahe Checkliste für die Datenschutz-Folgenabschätzung bei KI-Anwendungen. Schritt für Schritt durch alle Pflichtinhalte nach Art. 35 DSGVO -- mit Vorlage und Muster.

Ist KI-Output urheberrechtlich geschützt? Aktuelle Rechtslage
Regulierung

Ist KI-Output urheberrechtlich geschützt? Aktuelle Rechtslage

Warum rein maschinell erzeugte Inhalte in Deutschland keinen Werkschutz genießen, wo die Grenze zur schützfähigen KI-Assistenz verläuft und wie Unternehmen ihre Rechte an KI-gestütztem Content sichern.

KI-Software einkaufen: Rechtliche Prüfung vor dem Kauf
Compliance

KI-Software einkaufen: Rechtliche Prüfung vor dem Kauf

KI-Software kaufen ohne rechtliche Risiken: Wie Unternehmen Beschaffungsprozesse DSGVO-, BGB- und AI-Act-konform gestalten — mit Checkliste und Vertragsleitfaden.

Machen Sie Ihr Team KI-fit

Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.

Preise ansehen