Wer KI-Systeme zur Kontrolle und Bewertung von Mitarbeitern einsetzt, bewegt sich rechtlich auf anspruchsvollem Terrain. Dauerüberwachung ist in aller Regel unzulässig, und wer den Betriebsrat nicht einbindet oder keine tragfähige datenschutzrechtliche Grundlage vorweisen kann, riskiert die Rechtswidrigkeit des gesamten Vorhabens.
Wer dagegen frühzeitig die richtigen Weichen stellt, eine durchdachte Betriebsvereinbarung etabliert und die Anforderungen der europäischen KI-Verordnung ernst nimmt, kann solche Systeme rechtssicher einsetzen und ihren Nutzen voll ausschöpfen.
Effizienzgewinn mit Nebenwirkungen
Das Interesse von Unternehmen an KI-gestützter Mitarbeiterkontrolle ist gut nachvollziehbar. Wer Arbeitsprozesse effizienter steuern, Qualität sichern und Probleme frühzeitig erkennen will, sieht darin ein naheliegendes Mittel – erst recht, wenn Mitarbeitende überwiegend remote arbeiten und eine unmittelbare Beobachtung durch Vorgesetzte schlicht nicht möglich ist.
Der Unterschied zu klassischen Kontrollmethoden ist dabei fundamental. Zeiterfassungssysteme oder Zugriffsprotokolle liefern punktuelle, rückwärtsgewandte Daten. KI-Systeme hingegen können Verhalten und Leistung nahezu lückenlos und in Echtzeit erfassen: Kommunikation wird ausgewertet, Videoaufnahmen werden analysiert, Leistungsabfälle werden prognostiziert, Verhaltensauffälligkeiten werden automatisch erkannt.
Ein Beispiel aus der Praxis verdeutlicht das gut: Im Call-Center analysieren solche Systeme Tonfall, Sprachmuster und Wortwahl in Echtzeit, erkennen die Stimmungslage des Kunden und geben dem Mitarbeiter noch während des Gesprächs konkrete Handlungsempfehlungen.
Das klingt nach Unterstützung – und soll es auch sein. Rechtlich ist es aber zugleich eine kontinuierliche Leistungs- und Verhaltenskontrolle, mit allem, was das nach sich zieht. Technische Machbarkeit und rechtliche Zulässigkeit sind wie immer zweierlei.
Frei nach Trappatoni: Was erlauben Recht?
Der Ausgangspunkt ist im deutschen und europäischen Recht eindeutig: Personenbezogene Daten dürfen grundsätzlich nicht verarbeitet werden – es sei denn, es gibt eine klare rechtliche Grundlage dafür. Im Arbeitsverhältnis kommen dafür im Wesentlichen drei Wege in Betracht: die gesetzliche Erlaubnis nach § 26 Bundesdatenschutzgesetz, die Einwilligung der Beschäftigten oder eine Betriebsvereinbarung.
Die fast überall anzutreffende Standard-Lösung über eine Einwilligung scheint simpel. Sie scheidet aber in der Praxis als rechtlich tragfähiges Instrument fast immer aus:
Denn eine Einwilligung ist nur wirksam, wenn sie wirklich freiwillig erteilt wird. Dies allerdings ist im Arbeitsverhältnis nicht der Normalfall. Wer von seinem Arbeitgeber gefragt wird, ob er einer Überwachungsmaßnahme zustimmt, steht regelmäßig nicht in einer gleichberechtigten Verhandlungssituation.
Hinzu kommt, dass viele KI-Systeme in ihrer Funktionsweise so intransparent sind, dass Arbeitgeber die Betroffenen gar nicht vollständig und verständlich darüber informieren könnten, was mit ihren Daten eigentlich passiert. Ohne diese Information aber ist keine wirksame Einwilligung möglich.
Die gesetzliche Erlaubnis nach § 26 BDSG greift nur, wenn die Datenverarbeitung wirklich erforderlich ist – also wenn das angestrebte Ziel nicht durch ein milderes Mittel ebenso gut erreicht werden kann. Bei KI-gestützter Dauerüberwachung wird diese Hürde selten übersprungen.
Neben dem Datenschutz spielt das Persönlichkeitsrecht der Beschäftigten eine entscheidende Rolle. Das Grundgesetz schützt jeden Menschen vor einer Situation, in der er dauerhaft beobachtet und bewertet wird, ohne sich dem entziehen zu können. Dauerüberwachung durch KI ist deshalb grundsätzlich unzulässig. Heimliche Kontrolle kommt allenfalls bei konkretem Verdacht auf schwerwiegende Pflichtverletzungen oder Straftaten in Betracht – und auch dann nur unter strengen Voraussetzungen.
Schließlich hat die europäische KI-Verordnung klare Vorgaben: Systeme, die Beschäftigte überwachen und bewerten, gelten als sogenannte Hochrisiko-KI. Für sie gelten besonders strenge Anforderungen – ihre Entscheidungen müssen nachvollziehbar und dokumentiert sein, und Menschen müssen die Kontrolle behalten.
Wo ist das Problem?
Problematisch ist nicht eine grundsätzliche Unzulässigkeit, sondern ein unterschätztes Bewusstsein für die betriebsverfassungsrechtliche Dimension solcher Systeme. Unternehmen führen KI-Tools ein, die Mitarbeiterverhalten analysieren, und kommunizieren das intern als Maßnahme zur Qualitätssicherung oder Prozessoptimierung – ohne ernsthaft an die offensichtlichen Folgen für die Persönlichkeitsrechte Ihrer Beschäftigten zu denken.
Das Betriebsverfassungsgesetz gibt dem Betriebsrat ein Mitbestimmungsrecht bei jeder technischen Einrichtung, die geeignet ist, Verhalten oder Leistung von Mitarbeitern zu überwachen (§ 87 Abs. 1 Nr. 6 BetrVG).
Entscheidend ist dabei nach gefestigter höchstrichterlicher betriebsverfassungsrechtlicher Rechtsprechung nicht, was der Arbeitgeber mit dem System vorhat, sondern was es technisch kann. Wenn ein System objektiv in der Lage ist, Mitarbeiterverhalten zu erfassen und auszuwerten, ist der Betriebsrat zwingend zu beteiligen. Ein System, das ohne diese Beteiligung eingeführt wurde, ist rechtswidrig.
Noch ein weiterer Aspekt wird regelmäßig übersehen:
Wenn ein KI-System nicht nur überwacht, sondern aus den Ergebnissen auch Bewertungen erstellt oder Empfehlungen für personalrechtliche Entscheidungen ableitet, greift ein zweiter Mitbestimmungstatbestand. Die Grundsätze, nach denen Mitarbeiter beurteilt werden, unterliegen ebenfalls der Mitbestimmung des Betriebsrats (§ 94 Abs. 2 BetrVG). Bei modernen KI-Systemen gehen Überwachung und Beurteilung nahtlos ineinander über – beide Tatbestände sind deshalb stets getrennt zu prüfen.
Hinzu kommt ein Risiko, das technisch bedingt ist und sich nicht ohne weiteres kontrollieren lässt:
Viele KI-Systeme reproduzieren systematische Verzerrungen aus ihren Trainingsdaten. Im Klartext bedeutet das: Wenn ein System mit Daten trainiert wurde, die bestimmte Gruppen benachteiligen, wird es diese Benachteiligung fortschreiben – automatisch und ohne offensichtlichen Anlass. Im Arbeitsverhältnis kann das zu mittelbarer Diskriminierung führen, für die der Arbeitgeber rechtlich einzustehen hat. Regelmäßige Überprüfungen auf solche Verzerrungen sind deshalb keine Kür, sondern Pflicht.
Schließlich sollte niemand darauf vertrauen, dass KI-generierte Daten im Streitfall ohne weiteres als Beweismittel verwertbar sind. Wer Mitarbeiterdaten rechtswidrig erhoben hat, kann sie im Kündigungsschutzprozess nicht ohne weiteres verwenden. Die Rechtsprechung entscheidet zwar bislang einzelfallbezogen – eine sichere Grundlage ist das nicht.
Was also tun?
Die gute Nachricht ist: Wer strukturiert vorgeht, kann KI-Systeme auch in mitbestimmten Betrieben rechtssicher einführen. Der entscheidende erste Schritt ist die frühzeitige, ernsthafte Einbindung des Betriebsrats. Nicht nur, weil rechtlich ohne ihn nichts geht.
Wer sein Mitbestimmungsgremium von Anfang an mit ins Boot holt, transparent über Zweck und Funktionsweise des Systems informiert und Bedenken ernst nimmt, kommt deutlich schneller zu tragfähigen Ergebnissen als derjenige, der ihn erst dann einschaltet, wenn das System bereits beschafft und die Fronten verhärtet sind.
Das wichtigste Regelungsinstrument ist die Betriebsvereinbarung. Sie kann die datenschutzrechtliche Grundlage für den Einsatz des Systems bilden und schafft gleichzeitig klare, für alle verbindliche Spielregeln.
Dort gehören zwingend hinein: Der genaue Zweck des Systems, der Umfang der Datenerhebung, Speicherfristen, Zugriffsrechte, Informationspflichten gegenüber den Beschäftigten und ein Mechanismus zur regelmäßigen Überprüfung auf Diskriminierungsfreiheit.
Dabei gilt eine wichtige Grenze: Eine Betriebsvereinbarung kann keine Datenverarbeitung legitimieren, die gegen zwingendes Datenschutzrecht verstößt. Der Europäische Gerichtshof (EuGH) hat das wiederholt klargestellt. Der Grundsatz der Erforderlichkeit gilt also auch dann, wenn Arbeitgeber und Betriebsrat sich einig sind.
Bei Systemen mit besonders eingriffsintensiver Wirkung – und dazu zählen die meisten KI-gestützten Überwachungslösungen – ist zudem eine sog. Datenschutz-Folgenabschätzung durchzuführen.
Das bedeutet: Vor dem Einsatz muss sorgfältig geprüft werden, welche Risiken das System für die Rechte der Betroffenen mit sich bringt und wie diese begrenzt werden können.