Zurück zum Blog
Arbeitsrecht
Datenschutz

KI-Überwachung am Arbeitsplatz: Grenzen und Regeln

KI-gestützte Mitarbeiterüberwachung ist technisch möglich — aber rechtlich eng begrenzt. Wo die Grenzen liegen und was erlaubt ist.

KCT
KI Comply TeamKI-Compliance Experten
14. Dezember 20255 Min. Lesezeit
KI-Überwachung am Arbeitsplatz: Grenzen und Regeln

Das Wichtigste in Kürze

  • KI-gestützte Überwachung am Arbeitsplatz ist technisch weit fortgeschritten -- von Keystroke-Logging bis Sentiment-Analyse. Rechtlich gelten jedoch enge Grenzen.
  • Eine Totalüberwachung von Beschäftigten ist nach ständiger BAG-Rechtsprechung unzulässig -- egal ob mit oder ohne KI.
  • § 26 BDSG verlangt für jede Überwachungsmaßnahme eine strenge Erforderlichkeitsprüfung im Verhältnis zum Beschäftigungszweck.
  • Die Emotionserkennung am Arbeitsplatz ist nach Art. 5 Abs. 1 lit. f VO (EU) 2024/1689 (AI Act) ausnahmslos verboten.
  • Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein zwingendes Mitbestimmungsrecht bei der Einführung technischer Überwachungseinrichtungen.

Moderne KI-Systeme können Mitarbeiterverhalten in einem Umfang analysieren, der noch vor wenigen Jahren undenkbar war. Software misst Tastenanschläge pro Minute, analysiert den Tonfall in E-Mails, erkennt Gesichter auf Videoaufnahmen und berechnet aus Dutzenden Datenpunkten einen „Produktivitäts-Score". Für Arbeitgeber klingt das nach Effizienzgewinn -- für Beschäftigte nach Überwachungsstaat im Büro.

Das deutsche und europäische Recht setzt dieser technischen Möglichkeit klare Schranken. Dieser Artikel zeigt, welche Formen der KI-Überwachung es gibt, wo die rechtlichen Grenzen verlaufen und wie Unternehmen KI-Monitoring so gestalten, dass es rechtskonform bleibt.

Arten der KI-Überwachung am Arbeitsplatz

KI-gestützte Überwachungstools lassen sich in verschiedene Kategorien einteilen. Die folgende Tabelle gibt einen Überblick über gängige Methoden und ihre rechtliche Einordnung:

ÜberwachungsmethodeBeschreibungRechtliche Einordnung
Keystroke-LoggingAufzeichnung aller Tastatureingaben, Messung von Tippgeschwindigkeit und PausenGrundsätzlich unzulässig -- unverhältnismäßiger Eingriff in Persönlichkeitsrecht; Ausnahme: konkreter Verdacht einer Straftat (§ 26 Abs. 1 S. 2 BDSG)
Screen-MonitoringRegelmäßige oder permanente Screenshots des BildschirmsPermanente Überfassung unzulässig; anlassbezogene Stichproben mit Vorankündigung unter engen Voraussetzungen möglich
E-Mail-AnalyseKI-gestützte inhaltliche Auswertung dienstlicher E-MailsBei erlaubter Privatnutzung grundsätzlich unzulässig (TKG-Schutz); bei rein dienstlicher Nutzung nur unter Verhältnismäßigkeitsvorbehalt
Videoüberwachung mit KIKameraaufnahmen mit automatisierter Verhaltens- oder GesichtsanalyseOffene Überwachung in Ausnahmefällen zulässig (§ 4 BDSG); verdeckte Überwachung nur bei konkretem Straftatverdacht; KI-Gesichtserkennung als Hochrisiko-System (Anhang III Nr. 1 AI Act)
GPS-TrackingStandortüberwachung von Dienstfahrzeugen oder mobilen GerätenZulässig für Flottenmanagement und Diebstahlschutz; permanente Mitarbeiter-Standortverfolgung unverhältnismäßig
ProduktivitätsmessungKI errechnet Scores aus Aktivitätsdaten (Mausbewegungen, App-Nutzung, Bearbeitungszeiten)Nur bei sachlichem Bezug zur Arbeitsleistung und transparenter Information der Beschäftigten; Totalerfassung unzulässig
Sentiment-Analyse / EmotionserkennungAnalyse von Stimme, Mimik oder Texten zur Erkennung emotionaler ZuständeAm Arbeitsplatz ausnahmslos verboten nach Art. 5 Abs. 1 lit. f AI Act

Das Totalüberwachungsverbot: Rote Linie der Rechtsprechung

BAG-Rechtsprechung als Leitplanke

Das Bundesarbeitsgericht (BAG) hat in mehreren grundlegenden Entscheidungen klargestellt, dass eine lückenlose technische Überwachung von Arbeitnehmern unzulässig ist. Der zentrale Grundsatz: Beschäftigte dürfen nicht zum bloßen Objekt einer umfassenden Verhaltens- und Leistungskontrolle gemacht werden.

In seiner Entscheidung vom 29. Juni 2023 (Az. 2 AZR 296/22) bestätigte das BAG, dass eine anlasslose Videoüberwachung in Arbeitsbereichen unverhältnismäßig ist, wenn sie dauerhaft und flächendeckend erfolgt. Das Gericht betonte den Überwachungsdruck, der bereits durch die bloße Möglichkeit der Kontrolle entsteht und das Verhalten der Beschäftigten beeinflusst.

Diese Rechtsprechung gilt erst recht für KI-gestützte Systeme: Wenn ein Algorithmus aus zahlreichen Einzeldaten -- Tastenanschläge, Bildschirmaktivitäten, E-Mail-Inhalte, Standortdaten -- ein umfassendes Verhaltensprofil erstellt, liegt eine Totalüberwachung vor, selbst wenn jede einzelne Datenquelle für sich betrachtet noch verhältnismäßig erscheinen könnte.

Persönlichkeitsrecht als Schranke

Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) schützt Beschäftigte vor einer Überwachung, die ihre Menschenwürde verletzt. Das Bundesverfassungsgericht hat in seiner Rechtsprechung zum Recht auf informationelle Selbstbestimmung (BVerfG, Urteil vom 15. Dezember 1983, Az. 1 BvR 209/83 -- Volkszählungsurteil) festgehalten, dass die Möglichkeit einer umfassenden Registrierung und Katalogisierung der Persönlichkeit mit der Menschenwürde unvereinbar ist.

Für den Arbeitsplatz bedeutet das: Auch im Rahmen eines Beschäftigungsverhältnisses, das naturgemäß Weisungsrechte des Arbeitgebers umfasst, besteht ein unantastbarer Kernbereich privater Lebensgestaltung. KI-Systeme, die in diesen Kernbereich eindringen -- etwa durch Analyse privater Kommunikation oder permanente biometrische Erfassung -- verstoßen gegen Art. 2 Abs. 1 GG.

§ 26 BDSG: Erforderlichkeit als Maßstab

Grundregel der Datenverarbeitung im Beschäftigungsverhältnis

§ 26 Abs. 1 S. 1 BDSG ist die zentrale Rechtsgrundlage: Personenbezogene Daten von Beschäftigten dürfen verarbeitet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Das Wort „erforderlich" ist dabei der entscheidende Prüfstein.

Die Erforderlichkeitsprüfung verlangt eine dreistufige Abwägung:

  1. Geeignetheit: Ist die Überwachungsmaßnahme geeignet, den angestrebten Zweck zu erreichen? Ein Keystroke-Logger, der die Qualität der Arbeit messen soll, ist beispielsweise nicht geeignet, da Tastenanschläge nichts über die inhaltliche Qualität aussagen.

  2. Erforderlichkeit im engeren Sinne: Gibt es ein milderes Mittel, das den gleichen Zweck ebenso wirksam erfüllt? Wenn ein Gespräch mit dem Mitarbeiter ausreicht, ist eine technische Überwachung nicht erforderlich.

  3. Angemessenheit (Verhältnismäßigkeit): Steht der Eingriff in die Persönlichkeitsrechte in einem angemessenen Verhältnis zum verfolgten Zweck? Je intensiver die Überwachung, desto gewichtiger muss das Arbeitgeberinteresse sein.

Sonderfall: Aufdeckung von Straftaten

§ 26 Abs. 1 S. 2 BDSG erlaubt die Verarbeitung von Beschäftigtendaten zur Aufdeckung von Straftaten, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen. Die Maßnahme muss im Verhältnis zur Schwere der Straftat stehen. Pauschalverdacht oder ein allgemeines Misstrauen genügen nicht.

Für KI-Überwachung bedeutet das: Ein anlassloses, KI-gestütztes Screening aller Mitarbeiter-E-Mails auf mögliche Compliance-Verstöße ist nach § 26 Abs. 1 S. 2 BDSG nicht gedeckt. Erst wenn ein konkreter, dokumentierter Verdacht gegen einen bestimmten Mitarbeiter besteht, kommt eine gezielte Maßnahme in Betracht.

Art. 5 Abs. 1 lit. f AI Act: Emotionserkennung ist verboten

Absolutes Verbot ohne Ausnahme

Der AI Act (VO (EU) 2024/1689) stuft bestimmte KI-Praktiken als so gefährlich ein, dass sie vollständig verboten sind. Art. 5 Abs. 1 lit. f verbietet ausdrücklich KI-Systeme, die Emotionen natürlicher Personen am Arbeitsplatz und in Bildungseinrichtungen ableiten -- es sei denn, die Nutzung dient medizinischen oder sicherheitstechnischen Zwecken.

Das Verbot umfasst:

  • Stimmanalyse: KI, die aus Tonlage, Sprechgeschwindigkeit oder Stimmmuster emotionale Zustände wie Stress, Unzufriedenheit oder Erschöpfung ableitet.
  • Gesichtserkennung zur Emotionserkennung: Systeme, die Mikroexpressionen analysieren, um Gefühlszustände einzuschätzen.
  • Textbasierte Sentiment-Analyse: KI, die aus Wortwahl, Satzstruktur oder Kommunikationsstil in E-Mails oder Chat-Nachrichten auf die emotionale Verfassung von Mitarbeitern schließt.
  • Physiologische Signale: Auswertung von Herzfrequenz, Hautleitwiderstand oder Blickbewegungen durch Wearables oder Sensoren am Arbeitsplatz.

Konsequenzen bei Verstößen

Das Verbot gilt ab dem 2. Februar 2025 und wird ab diesem Zeitpunkt durchgesetzt. Verstöße gegen die verbotenen KI-Praktiken nach Art. 5 AI Act werden mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet -- je nachdem, welcher Betrag höher ist (Art. 99 Abs. 3 AI Act). Das sind die höchsten Bußgelder, die der AI Act vorsieht.

§ 87 Abs. 1 Nr. 6 BetrVG: Mitbestimmung bei KI-Überwachung

Zwingendes Mitbestimmungsrecht

Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein zwingendes Mitbestimmungsrecht bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen". Dieses Recht kann weder durch den Arbeitgeber noch durch eine Betriebsvereinbarung abbedungen werden.

Entscheidend ist nicht, ob der Arbeitgeber die Überwachung beabsichtigt, sondern ob die technische Einrichtung dazu geeignet ist. KI-Systeme, die Mitarbeiterdaten verarbeiten, sind regelmäßig zur Verhaltens- oder Leistungskontrolle geeignet -- selbst wenn sie primär einem anderen Zweck dienen (z. B. Produktionssteuerung).

Folge fehlender Mitbestimmung

Führt der Arbeitgeber ein KI-Überwachungssystem ohne Zustimmung des Betriebsrats ein, ist die Maßnahme rechtswidrig. Es gilt ein Beweisverwertungsverbot: Erkenntnisse, die aus dem rechtswidrig eingesetzten System stammen, dürfen in einem arbeitsgerichtlichen Verfahren grundsätzlich nicht verwertet werden (BAG, Beschluss vom 25. April 2017, Az. 1 ABR 46/15).

Der Betriebsrat kann zudem eine Einigungsstelle anrufen und im Eilverfahren per einstweiliger Verfügung die Abschaltung des Systems verlangen.

Erlaubte vs. verbotene Maßnahmen: Klare Abgrenzung

Die folgende Tabelle fasst zusammen, welche KI-gestützten Überwachungsmaßnahmen unter welchen Voraussetzungen zulässig oder verboten sind:

MaßnahmeErlaubtVerboten
ArbeitszeiterfassungDigitale Zeiterfassung mit KI-gestützter Anomalieerkennung (z. B. ungewöhnliche Muster)Permanente Standortverfolgung zur Kontrolle der Anwesenheit
E-Mail-ÜberwachungStichprobenartige Prüfung dienstlicher E-Mails bei rein dienstlicher Nutzung, mit VorankündigungInhaltliche Auswertung bei erlaubter Privatnutzung; KI-gestützte Sentiment-Analyse
VideoüberwachungOffene Überwachung öffentlich zugänglicher Bereiche (z. B. Eingang) zur Sicherheit (§ 4 BDSG)Permanente Überwachung an Arbeitsplätzen; verdeckte Kameras ohne konkreten Straftatverdacht
LeistungsmessungTransparente KPI-Erhebung mit sachlichem Bezug zur TätigkeitUmfassende Produktivitäts-Scores aus Mausbewegungen, App-Nutzung und Pausenzeiten
IT-SicherheitAutomatisierte Erkennung von Malware, ungewöhnlichen Login-Versuchen, DatenlecksAnlassloses Screening aller Nutzeraktivitäten zur Verhaltenskontrolle
FahrzeugortungGPS-Tracking für Routenoptimierung und Diebstahlschutz bei DienstfahrzeugenLückenlose Bewegungsprofile einzelner Mitarbeiter
EmotionserkennungKeine erlaubte Anwendung am Arbeitsplatz (Ausnahme: medizinische/sicherheitstechnische Zwecke)Jede Form der Emotionserkennung durch KI am Arbeitsplatz (Art. 5 Abs. 1 lit. f AI Act)

6 Compliance-Regeln für KI-Überwachung am Arbeitsplatz

Unternehmen, die KI-gestützte Monitoring-Tools einsetzen oder einführen wollen, sollten folgende Regeln beachten:

Regel 1: Zweckbindung strikt einhalten

Definieren Sie für jede Überwachungsmaßnahme einen konkreten, legitimen Zweck und dokumentieren Sie diesen schriftlich. Ein „allgemeines Interesse an der Produktivitätssteigerung" genügt nicht. Der Zweck muss spezifisch sein -- beispielsweise die Einhaltung von Compliance-Vorgaben in einem regulierten Bereich oder die IT-Sicherheit.

Regel 2: Erforderlichkeitsprüfung dokumentieren

Führen Sie vor jeder Einführung die dreistufige Verhältnismäßigkeitsprüfung nach § 26 BDSG durch und halten Sie das Ergebnis schriftlich fest. Prüfen Sie insbesondere, ob ein milderes Mittel -- etwa ein Mitarbeitergespräch, eine Stichprobe oder eine anonymisierte Auswertung -- den gleichen Zweck erfüllen kann.

Regel 3: Betriebsrat frühzeitig einbinden

Informieren Sie den Betriebsrat vor der Beschaffung eines KI-Überwachungstools und schließen Sie eine Betriebsvereinbarung ab, die den Einsatzzweck, den Datenumfang, die Speicherdauer und die Zugriffsrechte regelt. Die Betriebsvereinbarung ist zugleich eine mögliche Rechtsgrundlage nach Art. 88 DSGVO i.V.m. § 26 Abs. 4 BDSG.

Regel 4: Datenschutz-Folgenabschätzung durchführen

Eine DSFA nach Art. 35 DSGVO ist bei KI-gestützter Überwachung in aller Regel verpflichtend, da eine „systematische und umfassende Bewertung persönlicher Aspekte" natürlicher Personen vorliegt. Die DSFA muss vor dem Einsatz des Systems abgeschlossen sein.

Regel 5: Transparenz gegenüber Beschäftigten

Informieren Sie alle betroffenen Beschäftigten vor Beginn der Überwachung gemäß Art. 13 DSGVO über Art, Umfang und Zweck der Datenverarbeitung. Heimliche Überwachung ist nur unter den äußerst engen Voraussetzungen des § 26 Abs. 1 S. 2 BDSG bei konkretem Straftatverdacht zulässig.

Regel 6: Emotionserkennung kategorisch ausschließen

Stellen Sie sicher, dass kein eingesetztes KI-System -- auch nicht als Nebenfunktion -- Emotionen von Beschäftigten erkennt oder analysiert. Prüfen Sie dies bei der Beschaffung explizit und halten Sie das Verbot in Ihrer internen KI-Nutzungsrichtlinie fest.

Häufig gestellte Fragen (FAQ)

Darf mein Arbeitgeber KI einsetzen, um meine E-Mails zu lesen?

Das hängt davon ab, ob die private E-Mail-Nutzung am Arbeitsplatz erlaubt ist. Ist sie erlaubt, wird der Arbeitgeber zum Telekommunikationsanbieter -- eine inhaltliche Überwachung ist dann grundsätzlich unzulässig (§ 3 TDDDG, vormals § 88 TKG). Bei rein dienstlicher Nutzung darf der Arbeitgeber unter engen Voraussetzungen -- insbesondere bei konkretem Anlass, Transparenz und unter Wahrung der Verhältnismäßigkeit -- dienstliche E-Mails prüfen. Eine KI-gestützte, permanente Analyse aller E-Mails ist jedoch in keinem Fall verhältnismäßig.

Kann mein Arbeitgeber ohne Betriebsrat ein KI-Überwachungstool einführen?

In Betrieben ohne Betriebsrat entfällt das Mitbestimmungsrecht nach § 87 BetrVG. Der Arbeitgeber muss aber weiterhin alle datenschutzrechtlichen Vorgaben einhalten: § 26 BDSG, DSGVO (insbesondere Art. 35 DSFA-Pflicht) und die Verbote des AI Act. Das Fehlen eines Betriebsrats erweitert also nicht die Überwachungsbefugnisse. Auch die Informationspflichten gegenüber den Beschäftigten nach Art. 13 DSGVO bestehen unverändert.

Was ist mit Software, die „nur" die Produktivität misst?

Produktivitätstools wie Time-Tracker oder Activity-Dashboards, die Mausbewegungen, App-Wechsel und aktive Bildschirmzeiten erfassen, sind technische Überwachungseinrichtungen im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Sie unterliegen der Mitbestimmung und müssen die Anforderungen des § 26 BDSG erfüllen. Insbesondere dürfen sie keine umfassenden Verhaltensprofile erstellen. Ein Tool, das lediglich die an einem Vorgang verbuchte Arbeitszeit erfasst, ist eher zulässig als eines, das sekundengenau jede Aktivität am Bildschirm protokolliert.

Gilt das Emotionserkennungsverbot auch für Kundengespräche, die Mitarbeiter führen?

Ja. Art. 5 Abs. 1 lit. f AI Act verbietet die Emotionserkennung am Arbeitsplatz. Das erfasst auch Systeme, die während Kundengesprächen die Emotionen der Mitarbeiter (nicht der Kunden) analysieren -- etwa um deren „Freundlichkeit" zu bewerten. Die Verarbeitung emotionaler Zustände von Beschäftigten durch KI-Systeme ist unabhängig vom konkreten Anwendungskontext verboten. Für die Analyse der Kundenemotionen gelten wiederum die allgemeinen DSGVO-Anforderungen, insbesondere Einwilligung und Transparenz.

Welche Bußgelder drohen bei rechtswidriger KI-Überwachung?

Es drohen gestaffelte Sanktionen aus verschiedenen Rechtsquellen. Für Verstöße gegen die verbotenen KI-Praktiken (Art. 5 AI Act) sieht Art. 99 Abs. 3 AI Act Bußgelder bis zu 35 Mio. Euro oder 7 % des Jahresumsatzes vor. DSGVO-Verstöße (z. B. fehlende DSFA oder Rechtsgrundlage) werden mit bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes geahndet (Art. 83 Abs. 5 DSGVO). Hinzu kommen Schadensersatzansprüche betroffener Beschäftigter nach Art. 82 DSGVO und mögliche arbeitsrechtliche Konsequenzen wie Beweisverwertungsverbote, die eine Kündigung unwirksam machen können.

Fazit: Technik ist kein Freibrief

KI macht es technisch einfacher denn je, Mitarbeiter umfassend zu überwachen. Das Recht zieht dem aber klare Grenzen. Unternehmen, die KI-Monitoring einsetzen, müssen die Erforderlichkeit jeder Maßnahme an § 26 BDSG messen, das Totalüberwachungsverbot der BAG-Rechtsprechung beachten, die Emotionserkennung nach Art. 5 AI Act ausnahmslos unterlassen und den Betriebsrat nach § 87 BetrVG einbeziehen.

Wer diese Grundsätze befolgt, kann KI-gestützte Tools dort einsetzen, wo sie einen echten Mehrwert bieten -- etwa in der IT-Sicherheit, der Arbeitszeiterfassung oder der Routenoptimierung. Wer sie ignoriert, riskiert Millionenbußgelder, Schadensersatzklagen und den Verlust des Vertrauens der eigenen Belegschaft.

Sie wollen KI-Überwachungstools rechtskonform einsetzen? KI Comply unterstützt Ihr Unternehmen mit Compliance-Checks, Betriebsvereinbarungs-Vorlagen und Schulungen für Führungskräfte und Betriebsräte. Jetzt unverbindlich beraten lassen →

Rechtsquellen

  • Beschäftigtendatenschutz§26 BDSG
  • PersönlichkeitsrechtArt. 2 Abs. 1 GG
  • Emotionserkennung verbotenArt. 5 Abs. 1 lit. f VO (EU) 2024/1689 (Quelle)
  • Mitbestimmung§87 Abs. 1 Nr. 6 BetrVG

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.

Artikel teilen:

Weiterlesen

Bild
Datenschutz

Beschäftigtendatenschutz und KI: Was Arbeitgeber beachten müssen

KI-Systeme verarbeiten oft Mitarbeiterdaten — von der Leistungsüberwachung bis zur Einsatzplanung. Welche DSGVO- und BDSG-Regeln gelten für Arbeitgeber?

Bild
Arbeitsrecht

KI und Leistungsbewertung: Rechtliche Grenzen bei People Analytics

KI-gestützte Leistungsbewertung ist Hochrisiko nach dem AI Act. Welche rechtlichen Grenzen gelten und wie Sie People Analytics compliant einsetzen.

Bild
Arbeitsrecht

Betriebsvereinbarung KI: Muster-Inhalte und Best Practices

Bei der Einführung von KI-Systemen hat der Betriebsrat Mitbestimmungsrechte. Wir zeigen, was eine KI-Betriebsvereinbarung enthalten muss und liefern Muster-Inhalte.

Bild
Regulierung

AI Act vs. DSGVO: Wie die beiden Regulierungen zusammenspielen

AI Act und DSGVO — zwei EU-Verordnungen, ein Ziel: verantwortungsvolle KI. Wir erklären die Unterschiede, Überschneidungen und was Unternehmen beachten müssen.

Checkliste: DSFA für KI-Systeme durchführen
Datenschutz

Checkliste: DSFA für KI-Systeme durchführen

Praxisnahe Checkliste für die Datenschutz-Folgenabschätzung bei KI-Anwendungen. Schritt für Schritt durch alle Pflichtinhalte nach Art. 35 DSGVO -- mit Vorlage und Muster.

Google Gemini & Datenschutz: Was Unternehmen wissen müssen
Datenschutz

Google Gemini & Datenschutz: Was Unternehmen wissen müssen

Google Gemini verarbeitet Unternehmensdaten in Workspace und per API. Was bei Datenschutz, DSGVO-Konformität und AVV nach Art. 28 DSGVO zu beachten ist.

Machen Sie Ihr Team KI-fit

Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.

Preise ansehen