Rechtliche Anforderungen für KI im Personalwesen

Datenschutzrechtliche Anforderungen (DSGVO und BDSG): Die Verarbeitung von Personaldaten unterliegt den Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Im Beschäftigungskontext gilt die Öffnungsklausel des Art. 88 DSGVO, wonach Mitgliedstaaten spezielle Regeln für Beschäftigtendaten erlassen können. Deutschland hat hiervon mit § 26 BDSG Gebrauch gemacht, der die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses erlaubt. Allerdings hat der Europäische Gerichtshof (EuGH) am 30. März 2023 entschieden, dass eine landesrechtliche Regelung identisch zu § 26 Abs. 1 S. 1 BDSG gegen die DSGVO verstößt. In der Folge ist § 26 BDSG nur noch eingeschränkt anwendbar; die Zulässigkeit von Datenverarbeitungen im Arbeitsverhältnis stützt sich seither primär direkt auf die DSGVO-Grundlagen (z.B. Art. 6 DSGVO). Arbeitgeber müssen daher bei jeder KI-Anwendung im HR-Bereich prüfen, ob eine DSGVO-Rechtsgrundlage (etwa Vertragserfüllung, Rechtspflicht oder berechtigtes Interesse) einschlägig ist, und die strengen Datenschutz-Prinzipien (Zweckbindung, Datenminimierung, Integrität etc.) einhalten.

Verarbeitung personenbezogener Daten im HR-Bereich: Typische HR-Daten (von Bewerbungsunterlagen bis zu Leistungsbewertungen) gelten als personenbezogene Daten und dürfen nur unter bestimmten Voraussetzungen mit KI verarbeitet werden. Art. 6 Abs. 1 DSGVO nennt die zulässigen Rechtsgrundlagen. Im Arbeitsverhältnis kommen insbesondere in Betracht:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): wenn die Datenverarbeitung zur Durchführung oder Anbahnung des Arbeitsvertrags erforderlich ist, z.B. Gehaltsabrechnung oder Organisation von Arbeitsabläufen. KI-gestützte Prozesse im Bewerbungsverfahren oder während des Beschäftigungsverhältnisses können oft hierauf gestützt werden – allerdings nur, wenn der Einsatz der KI geeignet, erforderlich und angemessen zur Vertragserfüllung ist. Eine KI-basierte Anwendung, die nachweislich ungeeignete oder verzerrte Ergebnisse liefert, wäre demnach nicht zulässig, da es an der Eignung fehlt und datenschutzfreundlichere Alternativen vorzuziehen sind.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): wenn weder Vertrag noch gesetzliche Pflicht greifen, kann ein Arbeitgeber die KI-Nutzung auf berechtigte Interessen stützen. Hier ist eine strenge Interessenabwägung erforderlich: Das berechtigte Interesse des Unternehmens (z.B. Objektivierung von Auswahlentscheidungen oder Effizienzsteigerung durch KI) muss die schutzwürdigen Interessen der Beschäftigten überwiegen. In die Abwägung fließen u.a. die Erwartung der Betroffenen, alternative mildere Mittel und die Transparenz des Einsatzes ein. Gerade im Arbeitsverhältnis sind dabei hohe Maßstäbe anzulegen, da ein Abhängigkeitsverhältnis besteht.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Grundsätzlich können Mitarbeiter oder Bewerber in die Verarbeitung einwilligen, doch im Arbeitsrecht ist dies problematisch. Wegen des Über-/Unterordnungsverhältnisses gelten strenge Anforderungen an die Freiwilligkeit einer Einwilligung. Nur wenn kein Druck besteht und der Betroffene keinen Nachteil bei Verweigerung erleidet, ist eine Einwilligung wirksam. Daher wird in sensiblen Fällen (z.B. automatisierte Leistungsüberwachung) selten auf Einwilligung abgestellt. Der aktuelle Entwurf eines Beschäftigtendatenschutzgesetzes präzisiert ausdrücklich, in welchen Fällen im Arbeitsverhältnis von freiwilliger Einwilligung ausgegangen werden kann (z.B. Verwendung von Mitarbeiterfotos im Intranet, freiwillige Gesundheitsangebote).
• Gesetzliche Erlaubnis/Verpflichtung (Art. 6 Abs. 1 lit. c und lit. e DSGVO): In bestimmten Fällen ist die Verarbeitung zur Erfüllung einer rechtlichen Pflicht oder im öffentlichen Interesse zulässig – etwa Pflichtmeldungen, Arbeitsschutz oder im öffentlichen Dienst. Diese Grundlagen spielen beim KI-Einsatz in der Privatwirtschaft eine geringere Rolle, können aber einschlägig sein (z.B. bei KI-Systemen zur Gewährleistung der Compliance oder Sicherheit am Arbeitsplatz auf Basis gesetzlicher Vorgaben).

Daneben gelten Sonderregeln für besondere Datenkategorien. Verarbeitet eine KI z.B. Gesundheitsdaten, biometrische Identifikatoren oder Informationen zur ethnischen Herkunft (etwa im Rahmen von Video-Interviews oder Persönlichkeitstests), greift das Verbot des Art. 9 DSGVO. Eine Verarbeitung ist dann nur ausnahmsweise erlaubt, z.B. wenn sie für die Ausübung von Rechten oder Pflichten aus dem Arbeitsrecht erforderlich ist und angemessene Schutzmaßnahmen bestehen (Art. 9 Abs. 2 lit. b DSGVO, umgesetzt in § 26 Abs. 3 BDSG). Praktisch bedeutet das: Erkennt eine KI beispielsweise emotionale Zustände oder Gesundheitsmerkmale von Bewerbern, wäre dies unzulässig, sofern keine ausdrückliche Einwilligung oder arbeitsrechtliche Notwendigkeit vorliegt. Automatisierte Entscheidungen auf Basis solcher sensiblen Merkmale sind rechtlich hoch problematisch und nach der DSGVO im Regelfall verboten.

Erlaubnistatbestände für KI in der Personalverwaltung: Ein spezifisches „KI-Gesetz“ für das Personalwesen gibt es derzeit (noch) nicht – KI-Anwendungen müssen sich an die bestehenden Datenschutz-Erlaubnistatbestände halten. Die Zulässigkeit einer KI-gestützten Datenverarbeitung bemisst sich demnach an den oben genannten Rechtsgrundlagen. Wichtig ist, dass der Einsatz von KI zweckgebunden erfolgt (nur für legitime HR-Zwecke verwendet) und verhältnismäßig ist. So darf eine KI nur die personenbezogenen Daten verarbeiten, die für den konkreten Zweck notwendig sind, und nicht exzessiv Daten sammeln. Außerdem muss stets geprüft werden, ob es kein milderes, datenschutzfreundlicheres Mittel gibt, um den Zweck zu erreichen. Die Einhaltung der Grundsätze aus Art. 5 DSGVO (Rechtmäßigkeit, Transparenz, Datenminimierung, Zweckbindung, Richtigkeit, Speicherbegrenzung, Integrität & Vertraulichkeit) ist beim KI-Einsatz essenziell. Verstöße können – wie bei jeder Datenverarbeitung – zu erheblichen Bußgeldern führen (bis 20 Mio. € oder 4 % des weltweiten Umsatzes gemäß DSGVO).

Zusätzlich sollten Unternehmen bei hoch-invasiven KI-Systemen eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen. Gerade KI-Anwendungen, die eine umfangreiche Überwachung oder Profilbildung von Beschäftigten ermöglichen, werden von Aufsichtsbehörden als vermutlich hochriskant eingestuft – eine DSFA ist hier verpflichtend, um Risiken systematisch zu evaluieren und geeignete Schutzmaßnahmen festzulegen. Ebenso muss Privacy by Design (Art. 25 DSGVO) beachtet werden: Schon bei der Auswahl oder Entwicklung von HR-KI-Systemen sind datenschutzfreundliche Voreinstellungen und Sicherheitsmaßnahmen vorzusehen.

Die Europäische Union hat eine Verordnung zur Regulierung von KI (EU AI Act) erlassen. Diese EU-KI-Verordnung verfolgt einen risikobasierten Ansatz und hat erhebliche Auswirkungen auf KI-Systeme im Personalwesen. Im HR-Bereich werden viele KI-Anwendungen als „Hochrisiko-KI-Systeme“ eingestuft, was strengere Anforderungen und behördliche Aufsicht nach sich zieht.

Geplante Regelungen für Hochrisiko-KI im Personalwesen: KI-Systeme, die über Einstellungen, Beförderungen, Arbeitsbedingungen oder Kündigungen entscheiden oder bei der Personalauswahl eingesetzt werden, gelten als hochriskant. Anhang III der Verordnung listet ausdrücklich KI zur Personalauswahl sowie Systeme, die Entscheidungen im Zusammenhang mit der Durchführung, Beendigung oder Förderung eines Arbeitsverhältnisses treffen, als Hochrisiko-Anwendungen auf. Ebenfalls erfasst sind KI-Systeme, die Aufgaben anhand des Verhaltens oder der Eigenschaften von Beschäftigten zuteilen oder deren Leistung und Verhalten überwachen und bewerten. Damit fallen z.B. automatisierte Bewerbungsscreenings, KI-gestützte Mitarbeiterbewertungen und Überwachungstools eindeutig in die Kategorie der Hochrisiko-KI.

Für solche Hochrisiko-Systeme definiert die KI-Verordnung strenge Auflagen:

• Risikomanagement und Datenqualität: Anbieter und Anwender müssen ein Risikomanagement-System über den gesamten Lebenszyklus der KI implementieren. Sie müssen die mit dem Einsatz verbundenen Risiken (etwa Diskriminierung oder Fehlentscheidungen) analysieren und minimieren. Zudem sind Daten-Governance-Verfahren vorgeschrieben, um die Qualität, Repräsentativität und Aktualität der Trainingsdaten sicherzustellen. Insbesondere ist zu gewährleisten, dass die Daten möglichst frei von Bias sind, um Diskriminierungen zu vermeiden. Eine systematische Dokumentation der Trainings- und Testdaten ist erforderlich.
• Transparenz und Nachvollziehbarkeit: Hochrisiko-KI im HR-Bereich unterliegt besonderen Transparenzpflichten. Unternehmen müssen offenlegen, wenn und wo KI in Personalprozessen zum Einsatz kommt. Insbesondere müssen die Kriterien und Funktionsweisen der KI nachvollziehbar sein – eine Black-Box-KI ist unzulässig für wichtige Personalentscheidungen. Betroffene (z.B. Bewerber) sollen verstehen können, auf welcher Grundlage Entscheidungen gefällt werden. Außerdem schreibt die Verordnung Erklärbarkeit vor: zumindest gegenüber den Aufsichtsbehörden und bei Nachfragen muss ein nachvollziehbares Erklärungskonzept für die KI-Entscheidungen vorliegen. KI-Systeme mit Interaktion (etwa Chatbots im HR) müssen den Nutzer darauf hinweisen, dass sie KI sind, und sog. Deep Fakes wären klar zu kennzeichnen.
• Menschliche Kontrolle (Human Oversight): Trotz KI-Unterstützung dürfen wichtige Entscheidungen nicht vollautomatisch und unbeeinflusst vom Menschen erfolgen. Die Verordnung verlangt Mechanismen, um eine Letztentscheidung durch einen Menschen sicherzustellen. Betreiber müssen dafür sorgen, dass menschliche Entscheider die Empfehlungen der KI überprüfen können und bei Bedarf eingreifen oder überstimmen können. Dies dient dem Schutz der Betroffenenrechte und korrespondiert mit dem Verbot rein automatisierter Entscheidungen aus Art. 22 DSGVO. Ein vollständiges Outsourcing kritischer Personalentscheidungen an eine KI ist damit unzulässig.
• Dokumentation und Aufsicht: Für Hochrisiko-KI sind umfangreiche technische Dokumentationen zu erstellen (u.a. Beschreibung des Systems, Zweck, Logik, Leistungsmerkmale) und fortlaufend Einsatzprotokolle zu führen. Jede Nutzung eines solchen Systems soll nachvollziehbar sein. Zudem müssen Hochrisiko-KI-Systeme in einer EU-Datenbank registriert werden. Diese Registrierung soll den Aufsichtsbehörden ermöglichen, den Marktüberblick zu behalten. Geplant ist ferner ein Konformitätsbewertungsverfahren: Bestimmte KI-Systeme müssen vor dem Inverkehrbringen zertifiziert werden, um die Einhaltung aller Anforderungen (z.B. an Sicherheit, Genauigkeit und Robustheit) zu bestätigen. Im Personalbereich bedeutet das für Unternehmen: eingekaufte KI-Software darf nur verwendet werden, wenn sie eine entsprechende CE-Kennzeichnung oder Zertifizierung besitzt, bzw. unterliegt der Hersteller strengen Pflichten.
• Sanktionen: Die EU-KI-Verordnung sieht bei Verstößen drastische Bußgelder vor – bis zu 6% des weltweiten Jahresumsatzes oder 30 Millionen Euro (je nachdem, was höher ist) für schwerwiegende Verletzungen, laut den letzten Entwürfen. Damit übersteigen die möglichen Strafen sogar die Höchstgrenzen der DSGVO. Unternehmen müssen also mit einer doppelten Compliance rechnen: Parallel zu den Datenschutzbehörden wird es Kontrollen nach der KI-Verordnung geben.

Auswirkungen auf HR-Prozesse: Durch diese Regelungen müssen Personalabteilungen ihre KI-basierten Anwendungen anpassen oder überprüfen. Viele gängige HR-KI-Tools – z.B. Software für Lebenslauf-Screening, Video-Interview-Analysetools, interne Talent-Scoring-Systeme – werden unter das Hochrisiko-Regime fallen. Unternehmen müssen sicherstellen, dass solche Tools die geforderten Kriterien (z.B. Bias-Freiheit, Transparenzberichte, Human-in-the-Loop) erfüllen. Gegebenenfalls sind Verträge mit KI-Anbietern anzupassen, um etwa Dokumentationspflichten oder Audit-Rechte festzulegen. In der Recruiting-Praxis könnten zusätzliche Schritte nötig sein, z.B. Aufklärung der Bewerber, wenn ein KI-System zur Vorauswahl eingesetzt wurde, oder das Angebot eines alternativen Bewerbungswegs ohne KI-Filtern. Intern müssen Prozesse wie Mitarbeiterbeurteilungen oder Beförderungsentscheidungen so gestaltet sein, dass trotz KI-Auswertung immer eine unabhängige menschliche Bewertung erfolgt, die dokumentiert, warum man der KI folgt oder nicht.

Insgesamt bringt die EU-KI-Verordnung mehr Aufwand in Form von Compliance-Checks, Risikoanalysen und Reporting für die HR-Abteilung, bietet aber auch Chancen: Unternehmen, die frühzeitig konforme und faire KI-Systeme einsetzen, können Vertrauen bei Mitarbeitern und Bewerbern schaffen und sich als Vorreiter für ethische KI positionieren.

Bei der praktischen Einführung von KI im Personalwesen stellen sich einige rechtliche Schlüsselfragen: Wie weit darf automatisierte Entscheidungsfindung gehen? Was muss an Transparenz gewährleistet sein? Und welche Rechte haben Arbeitnehmer sowie der Betriebsrat dabei?

Automatisierte Entscheidungsfindung und rechtliche Grenzen

Sogenannte automatisierte Einzelentscheidungen (Art. 22 DSGVO) – also Entscheidungen, die ausschließlich durch ein automatisiertes System ohne menschliches Zutun getroffen werden und rechtliche oder ähnlich erhebliche Auswirkungen haben – sind im Personalbereich äußerst kritisch. Grundsätzlich dürfen Entscheidungen mit Rechtswirkung nicht vollautomatisch erfolgen, wie die Datenschutzkonferenz betont. Ein typisches Beispiel wäre ein KI-System, das Bewerbungen autonom bewertet und Absagen oder Einladungen verschickt, ohne dass ein Personaler dies noch prüft – ein solches Vorgehen verstößt gegen Art. 22 DSGVO.

Nach geltendem Recht hat eine betroffene Person das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, wenn diese ihr gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt (Art. 22 Abs. 1 DSGVO). Im Personalwesen fallen darunter etwa automatische Ablehnungen von Bewerbern, die Entscheidung über eine Beförderung oder Kündigung allein durch einen Algorithmus, oder die vollautomatische Verteilung von Boni. Solche finalen Entscheidungen müssen zumindest in letzter Instanz von einem Menschen getroffen oder überprüft werden.

Es gibt zwar enge Ausnahmen (etwa wenn die automatisierte Entscheidung für einen Vertragsabschluss erforderlich ist, gesetzlich erlaubt oder ausdrücklich eingewilligt wurde, Art. 22 Abs. 2 DSGVO). In der HR-Praxis sind diese Ausnahmen aber kaum einschlägig. Eine Einwilligung der Bewerber oder Mitarbeiter in vollautomatische Entscheidungen ist wegen der Freiwilligkeitsproblematik heikel und würde zudem zusätzliche Schutzmaßnahmen erfordern (etwa das Recht, binnen angemessener Frist eine menschliche Überprüfung der Entscheidung zu verlangen, Art. 22 Abs. 3 DSGVO). Faktisch schreibt somit bereits die DSGVO vor, dass wichtige Personalentscheidungen immer mit Human-in-the-Loop erfolgen müssen – was sich mit den Anforderungen der EU-KI-VO deckt.

Daher sollte KI im Personalwesen vor allem als Entscheidungsunterstützung dienen, nicht als Ersatz für personalverantwortliche Entscheidungsträger. Unternehmen müssen organisatorisch sicherstellen, dass KI-Vorschläge nicht ungeprüft übernommen werden. Dies bedeutet z.B.: Ein Recruiting-Algorithmus kann eine Rangliste von Kandidaten vorschlagen, aber die finale Auswahl trifft ein Recruiter, der Abweichungen vom KI-Vorschlag vornimmt, insbesondere wenn er Ungereimtheiten bemerkt. Auch Zeit- oder Kostendruck darf nicht dazu führen, dass der menschliche Part zur bloßen Formalie degradiert wird. Entscheider benötigen vielmehr einen echten Ermessens- und Bewertungsspielraum, um den individuellen Kontext zu berücksichtigen, den eine KI nicht erfassen kann.

Anforderungen an Transparenz und Erklärbarkeit von KI-Systemen

Transparenz ist ein zentrales Gebot sowohl im Datenschutzrecht als auch nach der neuen KI-Regulierung. Für Arbeitgeber bedeutet das zunächst, ihren Beschäftigten und Bewerbern offen zu kommunizieren, wenn KI-Tools in HR-Prozessen eingesetzt werden. Bereits die DSGVO verlangt umfassende Informationspflichten (Art. 13, 14 DSGVO): Bewerber müssen z.B. in der Datenschutzerklärung des Unternehmens darauf hingewiesen werden, dass ihre Daten durch automatisierte Systeme (wie ein Bewerbermanagement-KI) verarbeitet und ggf. profiliert werden. Sobald eine automatisierte Entscheidungsfindung im Einzelfall stattfindet, muss der Betroffene darüber informiert werden, einschließlich aussagekräftiger Informationen über die Logik und Tragweite der Verarbeitung. In der Praxis sollte eine Datenschutzinformation im HR daher z.B. angeben: „Wir nutzen ein Software-System zur Vorauswahl von Bewerbungen, das auf Basis Ihrer Angaben eine Eignungsbewertung vornimmt. Diese Bewertung fließt in unsere Entscheidung ein, wird aber von unseren HR-Mitarbeitern nochmals überprüft.“ Ebenso haben Mitarbeiter ein Auskunftsrecht (Art. 15 DSGVO), das auch die Verwendung von KI und deren Funktionsweise einschließt.

Über die bloße Pflicht zur Information hinaus fordern Aufsichtsbehörden verstärkt Erklärbarkeit von KI-Entscheidungen. Intransparente Black-Box-Modelle stoßen im Personalbereich auf Ablehnung, da Mitarbeiter nachvollziehen können müssen, nach welchen Kriterien sie bewertet werden. Für die Praxis heißt das: Unternehmen sollten KI-Systeme bevorzugen, die interpretiere Ergebnisse liefern oder zumindest Erklärungs-Module bereitstellen (z.B. Feature-Importance oder Entscheidungspfade bei algorithmischen Entscheidungen). Einige KI-Anwendungen ermöglichen etwa einen „Reason Code“, warum ein Kandidat als passend eingestuft wurde (z.B. bestimmte Qualifikationen). Solche Funktionen erleichtern es, gegenüber abgelehnten Bewerbern oder Mitarbeitern Gründe zu benennen – was aus Fairness-Gründen und zur Abwehr von Diskriminierungsvorwürfen ratsam ist.

Die EU-KI-Verordnung schreibt für Hochrisiko-Systeme ebenfalls Transparenzmaßnahmen vor: So müssen Nutzer geschult werden, die Limitierungen der KI zu verstehen, und ggf. sind den Aufsichtsbehörden detaillierte Informationen über die Entscheidungslogik bereitzustellen. Zwar muss nicht jeder Algorithmus öffentlich offengelegt werden; aber im Zweifel kann eine Behörde oder ein Gericht Einsicht verlangen, insbesondere bei Verdacht auf Benachteiligungen. Transparenz ist somit auch eine Voraussetzung, um Compliance nachzuweisen.

Arbeitnehmerrechte und Mitbestimmung beim KI-Einsatz

Der Einsatz von KI berührt verschiedene Rechte der Arbeitnehmer sowie Beteiligungsrechte der Betriebsräte (bei Unternehmen mit Mitbestimmung):

• Datenschutz- und Persönlichkeitsrechte der Mitarbeiter: Beschäftigte haben das Recht, dass ihre personenbezogenen Daten geschützt werden und nur rechtmäßig verarbeitet werden. Sie können gegenüber ihrem Arbeitgeber Auskunft über ihre gespeicherten Daten verlangen und ggf. Berichtigung oder Löschung fordern (Art. 15–17 DSGVO). Wird KI zur Leistungsbewertung oder Verhaltenskontrolle eingesetzt, tangiert dies das allgemeine Persönlichkeitsrecht der Mitarbeiter. In Deutschland ist anerkannt, dass exzessive Überwachung oder dauerhafte Profilbildung unzulässig ist – dies wird im Entwurf des Beschäftigtendatengesetzes nochmals ausdrücklich thematisiert. Der Entwurf sieht z.B. spezifische Transparenz- und Kennzeichnungspflichten vor, wenn KI am Arbeitsplatz eingesetzt wird, um die Belegschaft zu schützen. Außerdem sollen klare Regeln zum Profiling von Beschäftigten eingeführt werden. Arbeitnehmer hätten damit einen Anspruch, zu erfahren, wo KI im Arbeitsprozess verwendet wird (z.B. ein Hinweis „Dieses Gespräch kann durch Sprachanalyse-Software unterstützt werden“). Auch ohne neues Gesetz empfiehlt sich aber schon jetzt, aus Respekt vor den Mitarbeiterrechten, intern transparent über KI-Projekte zu informieren.
• Gleichbehandlung und Nichtdiskriminierung: Ein zentrales Arbeitnehmerrecht ist der Schutz vor Diskriminierung (Allgemeines Gleichbehandlungsgesetz, AGG). KI-Systeme müssen so ausgestaltet sein, dass sie keine unzulässige Ungleichbehandlung aufgrund von z.B. Geschlecht, Alter, Herkunft oder Behinderung verursachen. Sollte ein KI-Algorithmus etwa systematisch Frauen oder ältere Bewerber benachteiligen, verstößt das gegen geltendes Recht. Arbeitgeber haften für solche Diskriminierungen, auch wenn sie durch ein „Black Box“-Modell entstanden sind. Daher besteht ein faktisches Recht der Arbeitnehmer auf prüf- und nachweisbar diskriminierungsfreie KI. In der Praxis sollten Unternehmen vor Einsatz einer HR-KI sogenannte Bias-Tests durchführen und die Ergebnisse dokumentieren. Falls ein Mitarbeiter das Gefühl hat, durch eine KI ungerecht behandelt worden zu sein (z.B. unfaire Leistungsbeurteilung), kann er Beschwerde einlegen. Dann muss der Arbeitgeber darlegen können, dass das KI-System objektiv und rechtskonform funktioniert. Hier zahlt sich Erklärbarkeit erneut aus, um gegenüber dem Arbeitnehmer oder einem Gericht die Entscheidungsgrundlagen offenlegen zu können.
• Mitbestimmungsrechte des Betriebsrats: In deutschen Unternehmen mit Betriebsrat greifen beim Einsatz von KI betriebsverfassungsrechtliche Beteiligungsrechte. § 90 Abs. 1 Nr. 3 BetrVG verpflichtet den Arbeitgeber, den Betriebsrat frühzeitig über geplante technische Einrichtungen zur Überwachung von Mitarbeitern zu informieren. KI-Systeme, die Mitarbeiterdaten verarbeiten, fallen regelmäßig hierunter – z.B. eine neue Software, die das Arbeitsverhalten erfasst, muss in der Planungsphase angezeigt werden. Noch wichtiger: § 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein Mitbestimmungsrecht bei Einführung von technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Viele KI-Systeme erfüllen dieses Kriterium, da sie Leistungsdaten sammeln oder Kommunikationsmuster analysieren. Ohne Zustimmung des Betriebsrats oder eine entsprechende Betriebsvereinbarung darf der Arbeitgeber solche KI nicht einführen. Die Praxis bestätigt dies: Sobald der Arbeitgeber selbst eine KI-Lösung bereitstellt oder deren Nutzung anordnet, besteht Mitbestimmungspflicht. Lediglich wenn Mitarbeiter rein freiwillig und auf eigener Initiative ein KI-Tool nutzen (z.B. privat auf eigenen Accounts), greift das Mitbestimmungsrecht nicht zwingend – so entschied etwa das Arbeitsgericht Hamburg 2024 im Fall der Nutzung von ChatGPT durch Mitarbeiter auf freiwilliger Basis, da hier keine vom Arbeitgeber bereitgestellte Überwachungs-Technik vorlag.
• Rechte auf Weiterbildung und Beteiligung: Mit der Einführung von KI am Arbeitsplatz könnte auch ein Mitbestimmungsrecht bezüglich Schulungsmaßnahmen entstehen (BetrVG § 98), wenn neue Fähigkeiten im Umgang mit der Technik erforderlich sind. Arbeitnehmer haben ein Interesse daran, nicht von der Technik „überrollt“ zu werden – sie können verlangen, angemessen eingearbeitet oder umgeschult zu werden, falls KI ihre Arbeitsweise verändert. Zudem kann der Betriebsrat ggf. einen Sachverständigen hinzuziehen (§ 80 Abs. 3 BetrVG), um die KI-Systeme zu beurteilen. Insgesamt empfiehlt es sich, mit dem Betriebsrat frühzeitig eine Vereinbarung zum KI-Einsatz zu treffen. Oft werden Rahmen-Betriebsvereinbarungen geschlossen, die Grundsätze für jeglichen KI-Einsatz festlegen (Transparenz, Zweck, Mitspracherechte, Datenschutz), damit nicht für jedes neue Tool langwierig verhandelt werden muss. So eine Vereinbarung schafft beidseitig Klarheit.

Zusammenfassend genießen Arbeitnehmer beim KI-Einsatz umfassenden Schutz: Kein Arbeitnehmer darf einer undurchsichtigen, allein entscheidenden KI ausgeliefert sein, er hat Anspruch auf Information und Fairness, und die Belegschaftsvertretung hat ein gewichtiges Wort bei der Einführung von KI-Systemen mitzureden. Unternehmen sollten diese Rechte nicht als Hürde, sondern als wichtigen Input begreifen, um KI nachhaltig und akzeptiert einzusetzen.

Neue Urteile und regulatorische Leitlinien: Die Rechtsprechung und Behördenpraxis rund um KI im Arbeitsrecht entwickeln sich dynamisch. Ein Beispiel ist der Beschluss des Arbeitsgerichts Hamburg vom 16.01.2024 (ArbG Hamburg, Beschluss vom 16. Januar 2024 – 24 BVGa 1/24), der klargestellt hat, dass die bloße Erlaubnis an Mitarbeiter, ein KI-Tool wie ChatGPT auf freiwilliger Basis zu nutzen, nicht mitbestimmungspflichtig ist. Erst wenn der Arbeitgeber selbst ein KI-System einführt oder dessen Nutzung vorschreibt, wird der Betriebsrat zwingend beteiligt. Dieses Urteil unterstreicht, dass Unternehmen sorgfältig abgrenzen müssen, ob eine Technologie als „eigene“ betriebliche Einrichtung gilt oder nur eine freigestellte Nutzung betrifft.

Datenschutzaufsichtsbehörden haben ebenfalls Orientierungshilfen veröffentlicht. Die Datenschutzkonferenz (DSK) gab 2023/24 Hinweise zu KI und Datenschutz, die z.B. betonen, dass keine automatisierten Letztentscheidungen im Bewerbungsverfahren erfolgen dürfen und dass Verantwortliche detailliert über KI-Entscheidungslogiken informieren müssen. Auch eine mögliche Neufassung des Beschäftigtendatenschutzes in Deutschland (Entwurf eines Beschäftigtendatengesetzes, Stand Oktober 2024) greift aktuelle Entwicklungen im Bereich Künstlicher Intelligenz auf. Der Entwurf enthält unter anderem Vorschriften zur Nutzung von KI am Arbeitsplatz, wie Transparenzpflichten (Arbeitnehmer müssen informiert werden, wenn KI zur Entscheidungsfindung eingesetzt wird) und Regelungen zum Profiling. Ob und in welcher Form diese Regelungen umgesetzt werden, bleibt abzuwarten, doch die Diskussion zeigt eine klare Tendenz: Der KI-Einsatz in der Arbeitswelt soll stärker reguliert werden, um sowohl Innovation zu ermöglichen als auch Persönlichkeitsrechte zu schützen.

Handlungsempfehlungen für Unternehmen: Angesichts der beschriebenen Anforderungen sollten Unternehmen proaktiv Maßnahmen ergreifen, um KI im Personalwesen rechtskonform zu nutzen. Wichtige Empfehlungen sind:

• Einsatz prüfen und dokumentieren: Verschaffen Sie sich einen Überblick, wo bereits KI-Systeme in HR-Prozessen im Einsatz sind (oder geplant sind). Führen Sie für jedes System eine Compliance-Prüfung durch: Entspricht es den aktuellen Datenschutzregeln und den Vorgaben der KI-VO? Hochrisiko-KI sollte genau geprüft und ggfs. angepasst werden, falls die gesetzlichen Kriterien nicht erfüllt werden. Halten Sie die Ergebnisse dieser Prüfung schriftlich fest. Insbesondere sollte Ihre Datenschutz-Folgenabschätzung dokumentieren, warum der KI-Einsatz notwendig und verhältnismäßig ist.
• Transparenz sicherstellen: Entwickeln Sie eine Richtlinien für den transparenten Einsatz von KI in Ihrer Personalabteilung. Informieren Sie Bewerber bereits im Bewerbungsformular oder -portal darüber, wenn KI bei der Vorauswahl hilft. Intern sollten Mitarbeiter wissen, welche Tools genutzt werden dürfen und wie diese funktionieren. Achten Sie darauf, dass keine systematischen Benachteiligungen erfolgen – testen Sie Ihre Algorithmen auf unerwünschte Bias. Etablieren Sie bei wichtigen KI-Entscheidungen ein Vier-Augen-Prinzip (Mensch + KI). Diese Offenheit zahlt sich auch reputativ aus: Unternehmen, die KI nachvollziehbar einsetzen, stärken Vertrauen und damit ihr "Employer Branding".
• Mitarbeiter und HR-Team schulen: Der Kompetenzaufbau im Umgang mit KI für die Personalabteilung ist entscheidend. Schulen Sie Ihre HR-Verantwortlichen darin, wie KI-Systeme funktionieren, wo deren technische und rechtliche Grenzen liegen und wie man Ergebnisse interpretieren sollte. Nur wenn das HR-Team die KI versteht, kann es verantwortungsbewusst handeln, Fehlentscheidungen erkennen und den betroffenen Mitarbeitern ggf. Erklärungen liefern. Ebenso sollten Mitarbeiter allgemein sensibilisiert werden, was KI kann und wo Vorsicht geboten ist – z.B. dass sie keine vertraulichen Personaldaten ungeprüft in externe KI-Tools (Cloud-Dienste) eingeben, um Datenschutzverletzungen zu vermeiden.
• Frühzeitige Einbindung des Betriebsrats: Binden Sie – sofern vorhanden – den Betriebsrat früh in KI-Projekte ein. Spätestens bei der Planungsphase eines neuen HR-Tools, das KI enthält, sollte der Betriebsrat informiert werden (nach § 90 BetrVG). Erarbeiten Sie idealerweise gemeinsam eine Betriebsvereinbarung, die den Einsatz regelt (Zweck, Art der Daten, Auswertungsmaßstäbe, Zugriffsrechte, Dauer der Speicherung usw.). Dadurch wird Konflikten vorgebeugt. Die Mitbestimmung kann zudem dabei helfen, blinde Flecken (z.B. Akzeptanzprobleme in der Belegschaft) früh zu erkennen.
• Rechtsberatung und Monitoring: Da sich die Gesetzeslage weiterentwickelt, ist es ratsam, juristischen Rat einzuholen, insbesondere im Hinblick auf die KI-Verordnung. Eine individuelle Risikoanalyse durch Experten kann helfen, teure Fehler (und Bußgelder) zu vermeiden. Brancheninformationen von Verbänden (z.B. Bitkom-Leitfäden), können eine Orientierung bieten.
• KI-Richtlinien und Governance etablieren: Entwickeln Sie unternehmensinterne KI-Richtlinien oder einen Ethik-Kodex für den KI-Einsatz im Personalbereich. Legen Sie fest, welche Anwendungen erlaubt sind und welche tabu (z.B. ein Verbot von Gesichtserkennung zur Mitarbeiterüberwachung, sofern nicht gesetzlich erforderlich). Diese Richtlinien sollten auch Aspekte wie Datensicherheit, Zugriffsbeschränkungen und Verantwortlichkeiten abdecken. Wie das Beispiel ChatGPT zeigt, ist es sinnvoll, klare „Spielregeln“ aufzustellen, um Datenschutz- und Urheberrechtsverstöße durch unbedachte KI-Nutzung durch Mitarbeiter zu verhindern. Ein Governance-Team (inkl. Datenschutzbeauftragter, IT-Sicherheit, HR und Recht) kann regelmäßig überprüfen, ob KI-Anwendungen den Vorgaben entsprechen.

Der rechtskonforme Einsatz von KI im Personalwesen erfordert ein ausgewogenes Zusammenspiel von Datenschutz-, Arbeitsrechts- und KI-Compliance. Unternehmen sollten die gesetzlichen Entwicklungen – von der DSGVO über nationale Regelungen bis hin zur EU-KI-Verordnung – aufmerksam verfolgen. Die rechtlichen Anforderungen sind beherrschbar und sollten den Einsatz von KI nicht verhindern. Mit einer frühzeitigen Anpassung der Prozesse, transparenter Kommunikation und klaren Verantwortlichkeiten lassen sich die Chancen von KI nutzen, ohne Beschäftigte zu verunsichern oder rechtliche Risiken einzugehen.