KI Arbeitsrecht Kündigung Überwachung: Rechtliche Grenzen für Unternehmen

KI Arbeitsrecht, Kündigung und Überwachung bilden ein Spannungsfeld, das immer mehr Unternehmen betrifft. Leistungsüberwachung per Software, Verhaltensanalyse durch Algorithmen und KI-gestützte Kündigungsentscheidungen sind technisch längst möglich. Rechtlich bewegen sich Arbeitgeber damit auf einem schmalen Grat zwischen zulässiger Leistungsbewertung und unzulässiger Totalüberwachung.

Dieser Artikel zeigt, wo die rechtlichen Grenzen verlaufen, welche Gesetze relevant sind und wie Sie KI-Systeme im Personalbereich rechtskonform einsetzen.

Drei Gesetze im Zusammenspiel

DSGVO Art. 22

Art. 22 Abs. 1 DSGVO gibt jeder betroffenen Person das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Für den Arbeitskontext konkret: Eine Kündigung, die allein auf einem Algorithmus basiert, ist unzulässig. Das gilt auch für Abmahnungen, Versetzungen, Beförderungsentscheidungen und Gehaltsanpassungen.

Ausnahmen nach Art. 22 Abs. 2 DSGVO bestehen, wenn die automatisierte Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, durch eine Rechtsvorschrift der Union oder eines Mitgliedstaats zugelassen ist, oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

Im Beschäftigungskontext ist die Einwilligung als Rechtsgrundlage problematisch. Aufgrund des Abhängigkeitsverhältnisses zwischen Arbeitgeber und Arbeitnehmer wird die Freiwilligkeit einer Einwilligung regelmäßig angezweifelt. Datenschutzbehörden empfehlen, sich im Arbeitskontext nicht darauf zu stützen.

§ 26 BDSG

§ 26 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten, wenn dies für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Der Erforderlichkeitsgrundsatz verlangt eine Abwägung: Ist die KI-gestützte Überwachung das mildeste Mittel, um den legitimen Zweck zu erreichen? Eine permanente Bildschirmüberwachung wird regelmäßig unverhältnismäßig sein, wenn stichprobenartige Kontrollen ausreichen.

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten nach § 26 Abs. 1 Satz 2 BDSG nur verarbeitet werden, wenn tatsächliche Anhaltspunkte einen konkreten Verdacht begründen. Eine anlasslose Überwachung auf Verdacht ist unzulässig.

§ 87 Abs. 1 Nr. 6 BetrVG

Das stärkste Schutzinstrument für Arbeitnehmer ist das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Danach hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mitzubestimmen.

Entscheidend: Es kommt nicht auf die Absicht des Arbeitgebers an, sondern auf die objektive Eignung der technischen Einrichtung zur Überwachung. Auch wenn ein Unternehmen behauptet, die erfassten Daten nicht zur Leistungsbewertung nutzen zu wollen, besteht das Mitbestimmungsrecht, sobald die Software dazu technisch in der Lage ist.

KI-Systeme, die Produktivitätsdaten in Echtzeit erfassen, Verhaltensmuster analysieren oder Leistungsindikatoren erstellen, fallen damit regelmäßig unter § 87 Abs. 1 Nr. 6 BetrVG.

Typische KI-Anwendungen und ihre Zulässigkeit

Leistungsüberwachung

Beispiel: Software erfasst Tastatureingaben, Mausbewegungen, aktive Bildschirmzeit und Pausenzeiten von Mitarbeitern im Homeoffice.

Rechtliche Bewertung: Eine permanente Echtzeit-Überwachung ist regelmäßig unverhältnismäßig und damit unzulässig. Die Erfassung von Arbeitszeiten ist zulässig, die lückenlose Protokollierung aller Aktivitäten nicht. Das Bundesarbeitsgericht hat wiederholt bestätigt, dass eine Totalüberwachung das allgemeine Persönlichkeitsrecht verletzt.

Verhaltensanalyse

Beispiel: KI analysiert E-Mail-Kommunikation, Chatverläufe und Kalendereinträge, um Kündigungsabsichten oder mangelnde Motivation zu erkennen.

Rechtliche Bewertung: Die systematische Auswertung von Kommunikationsinhalten greift tief in das Persönlichkeitsrecht ein. Ohne konkreten Straftatenverdacht ist dies nach § 26 BDSG unzulässig. Auch der Betriebsrat muss zustimmen. Die Analyse privater Kommunikation am Arbeitsplatz ist grundsätzlich verboten, sofern der Arbeitgeber die private Nutzung gestattet hat.

KI-gestützte Bewerberauswahl

Beispiel: Algorithmus wertet Lebensläufe aus, analysiert Videointerviews auf Mimik und Stimme und trifft eine Vorauswahl.

Rechtliche Bewertung: Die automatisierte Vorsortierung von Bewerbungen ist grundsätzlich zulässig, sofern ein Mensch die finale Entscheidung trifft (Art. 22 DSGVO). Die Analyse von Mimik und Stimme ist hochproblematisch, da sie biometrische Daten nach Art. 9 DSGVO betrifft. Der EU AI Act stuft KI-Systeme für die Bewerberauswahl als Hochrisiko ein.

KI-gestützte Kündigung

Beispiel: Algorithmus identifiziert anhand von Leistungsdaten, Fehlzeiten und Kommunikationsmustern Mitarbeiter, die gekündigt werden sollen.

Rechtliche Bewertung: Eine vollautomatisierte Kündigungsentscheidung verstößt gegen Art. 22 DSGVO. Die KI darf Daten aufbereiten und Vorschläge machen. Die Entscheidung selbst muss ein zuständiger Mitarbeiter treffen, der die KI-Empfehlung tatsächlich inhaltlich prüft und gegebenenfalls überstimmt. Eine rein formale menschliche Bestätigung ohne echte Prüfung reicht nicht aus.

Das ist in der Praxis einer der meistunterschätzten Punkte. Viele Personaler denken, dass der Mensch-im-Loop schon automatisch durch das Unterschreiben einer vorformulierten Kündigung erfüllt ist. Ist er nicht. Wenn die Entscheidung de facto im System fällt und der Personaler nur noch bestätigt, ist die rechtliche Konstruktion wackelig und im Kündigungsschutzprozess meist nicht zu halten.

Der EU AI Act als zweite Ebene

Seit dem 2. Februar 2025 verbietet der EU AI Act bestimmte KI-Praktiken vollständig. Die Bußgeldvorschriften greifen ab August 2026. KI-Systeme im Beschäftigungskontext werden als Hochrisiko eingestuft. Das betrifft Systeme zur Einstellung und Auswahl von Bewerbern, Systeme für Beförderungs- und Kündigungsentscheidungen, Systeme zur Leistungsüberwachung und -bewertung, Systeme zur Aufgabenzuweisung auf Basis individueller Merkmale.

Für Hochrisiko-Systeme gelten besondere Pflichten: Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht, Dokumentation. Mehr dazu im Compliance-Bereich.

Praxisleitfaden

Schritt 1: Bestandsaufnahme. Erfassen Sie alle KI-Systeme und Software-Tools, die personenbezogene Daten von Mitarbeitern verarbeiten. Dazu gehören auch vermeintlich harmlose Tools wie Projektmanagement-Software, Zeiterfassung oder Kommunikationsplattformen.

Schritt 2: Datenschutz-Folgenabschätzung. Für KI-Systeme mit hohem Risiko für Rechte und Freiheiten der Beschäftigten ist nach Art. 35 DSGVO eine DSFA durchzuführen.

Schritt 3: Betriebsrat einbinden. Informieren Sie den Betriebsrat frühzeitig und schließen Sie eine Betriebsvereinbarung ab. Diese sollte Einsatzzweck, Umfang der Datenerhebung, Auswertungsmöglichkeiten und Löschfristen regeln.

Schritt 4: Human-in-the-Loop sicherstellen. Bei allen personalbezogenen Entscheidungen ist ein kompetenter Mensch einzubinden. Dieser muss Befugnis und Fähigkeit haben, die KI-Empfehlung zu hinterfragen und zu überstimmen.

Schritt 5: Transparenz herstellen. Informieren Sie Ihre Mitarbeiter darüber, welche KI-Systeme eingesetzt werden, welche Daten erhoben werden, zu welchem Zweck. Art. 13 und 14 DSGVO verpflichten dazu.

Schritt 6: Mitarbeiter qualifizieren. Schulen Sie die Personen, die KI-Systeme im Personalbereich nutzen, im Umgang mit den Ergebnissen. Wer blind den Empfehlungen eines Algorithmus folgt, handelt genauso, als würde kein Mensch entscheiden. Schulungsangebote finden Sie im KI-Schnupperkurs oder in der Weiterbildung zum Digitalisierungsmanager.

Rechtsprechung und Entwicklungen

Das Bundesarbeitsgericht hat in mehreren Entscheidungen bestätigt, dass auch die bloße Eignung einer Software zur Leistungsüberwachung das Mitbestimmungsrecht auslöst. Es kommt nicht darauf an, ob der Arbeitgeber die Überwachungsfunktion tatsächlich nutzt. Bereits die technische Möglichkeit reicht aus. In der Praxis: Selbst wenn ein Unternehmen ein Projektmanagement-Tool nur zur Aufgabenverteilung einsetzt, besteht das Mitbestimmungsrecht, sobald das Tool Bearbeitungszeiten, Login-Zeiten oder Aktivitätsprotokolle erfassen kann.

Eine Betriebsvereinbarung ist der rechtlich sicherste Rahmen. Sie ersetzt die Einwilligung als Rechtsgrundlage (§ 26 Abs. 4 BDSG) und schafft Rechtsklarheit. Die Vereinbarung sollte Einsatzzweck, Umfang der Datenerhebung, Auswertungsmöglichkeiten und Zugriffsrechte klar regeln.

Art. 82 DSGVO gibt betroffenen Personen einen Anspruch auf Schadenersatz bei DSGVO-Verstößen. Im Beschäftigungskontext können Arbeitnehmer neben materiellen Schäden (unrechtmäßige Kündigung) auch immaterielle Schäden geltend machen (Verletzung des Persönlichkeitsrechts durch rechtswidrige Überwachung). Gerichte in Deutschland haben in den letzten Jahren zunehmend höhere Beträge zugesprochen.

Dokumentationspflichten

Unternehmen sollten für jedes KI-System im Personalbereich ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen. Dazu eine interne Richtlinie zum KI-Einsatz, die diese Punkte abdeckt: welche KI-Systeme im Einsatz sind, welche Daten erhoben und verarbeitet werden, wie die menschliche Aufsicht gewährleistet ist, wie Mitarbeiter informiert werden, welche Maßnahmen gegen Diskriminierung existieren, wie der Betriebsrat eingebunden wird.

Häufige Fragen

Darf ein Algorithmus allein über eine Kündigung entscheiden?

Nein. Art. 22 Abs. 1 DSGVO verbietet Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung entfalten. Eine Kündigung hat zweifelsfrei rechtliche Wirkung. Die finale Entscheidung muss ein Mensch treffen, der die KI-Empfehlung inhaltlich geprüft hat.

Muss der Betriebsrat zustimmen, bevor KI-Software im Personalbereich eingesetzt wird?

Ja. § 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein zwingendes Mitbestimmungsrecht bei technischen Einrichtungen, die zur Verhaltens- oder Leistungsüberwachung geeignet sind. Die Einführung ohne Betriebsratszustimmung ist rechtswidrig.

Ist Leistungsüberwachung im Homeoffice erlaubt?

Die Erfassung von Arbeitszeiten und die Kontrolle der Arbeitsergebnisse sind grundsätzlich zulässig. Eine permanente Echtzeitüberwachung (Screenshots, Webcam, Tastaturprotokolle) ist hingegen regelmäßig unverhältnismäßig und damit unzulässig.

Welche Rolle spielt die Einwilligung der Mitarbeiter?

Im Beschäftigungsverhältnis ist die Einwilligung als Rechtsgrundlage problematisch, weil die Freiwilligkeit aufgrund des Abhängigkeitsverhältnisses regelmäßig angezweifelt wird. Datenschutzbehörden empfehlen, sich nicht darauf zu stützen, sondern auf § 26 BDSG oder eine Betriebsvereinbarung.

Was droht bei einem Verstoß?

Neben Bußgeldern nach der DSGVO (bis 20 Mio. EUR oder 4 Prozent des Jahresumsatzes) können betroffene Mitarbeiter Schadensersatzansprüche geltend machen. Die ohne Betriebsratszustimmung erhobenen Daten dürfen vor Gericht nicht als Beweis verwertet werden. Eine darauf gestützte Kündigung ist anfechtbar.

Gilt das auch für kleine Unternehmen ohne Betriebsrat?

Die Mitbestimmung nach § 87 BetrVG greift nur bei vorhandenem Betriebsrat. Die Pflichten nach DSGVO und BDSG gelten jedoch unabhängig davon. Auch kleine Unternehmen müssen Art. 22 DSGVO und § 26 BDSG beachten.