Regelung des Einsatzes Künstlicher Intelligenz in der Betriebsvereinbarung
Autor
Dr. Thomas Helbing
Veröffentlicht am
Das Wichtigste in Kürze
- Künstliche Intelligenz ist kein gewöhnliches IT-Projekt. KI-Systeme erzeugen fast zwangsläufig personenbezogene Daten der Beschäftigten und ermöglichen Rückschlüsse auf Arbeitsverhalten und Leistung. Schon deshalb berührt ihr Einsatz die betriebliche Mitbestimmung weit tiefer als klassische Software. Die Betriebsvereinbarung ist dabei das zentrale Instrument, um Technik, Organisation und Datenschutz in eine geordnete betriebliche Steuerung zu überführen.
- Drei Regelungswerke greifen ineinander. Das Betriebsverfassungsgesetz (BetrVG) sichert die soziale Mitbestimmung, die europäische KI-Verordnung (KI-VO) regelt technische Risiken und Pflichten von Anbietern und Betreibern, und das Datenschutzrecht (DSGVO, § 26 BDSG) schützt die personenbezogenen Beschäftigtendaten. Diese drei Säulen ergänzen sich, ersetzen einander aber nicht.
- Das maßgebliche Mitbestimmungsrecht ist § 87 Abs. 1 Nr. 6 BetrVG. Weil KI-Systeme regelmäßig objektiv geeignet sind, Verhalten oder Leistung zu überwachen, ist dieses Recht fast immer betroffen. Hinzu kommen das Unterrichtungs- und Beratungsrecht aus § 90 BetrVG, das erleichterte Sachverständigenrecht aus § 80 Abs. 3 BetrVG und das Zustimmungsrecht bei KI-gestützten Auswahlrichtlinien nach § 95 Abs. 2a BetrVG.
- Nicht jeder KI-Einsatz löst Mitbestimmung aus. Das Arbeitsgericht Hamburg hat 2024 entschieden, dass die bloße Freigabe von ChatGPT zur Nutzung über private Accounts kein Mitbestimmungsrecht auslöst, weil der Arbeitgeber dabei keinen Zugriff auf Nutzungsdaten hat. Anders liegt es bei arbeitgeberseitig verwalteten Konten und bei Hochrisiko-Anwendungen.
- Eine gute Betriebsvereinbarung ist gestuft und dynamisch. Bewährt hat sich eine Kombination aus einer übergeordneten Rahmenbetriebsvereinbarung mit Grundprinzipien und systemspezifischen Vereinbarungen für besonders eingriffsintensive Tools, ergänzt um ein Ampelsystem zur Risikoeinstufung und um klare Verfahren für Pilotbetrieb, Freigabe und regelmäßige Überprüfung.
- Eine Betriebsvereinbarung ersetzt nicht den Datenschutz. Nach der Rechtsprechung des EuGH dürfen auch bei Abschluss einer Betriebsvereinbarung personenbezogene Daten nur in dem Umfang verarbeitet werden, der nach der DSGVO ohnehin zulässig ist. Die Betriebsvereinbarung schafft also keine eigenständige Erlaubnis, sondern präzisiert und flankiert die gesetzlichen Vorgaben.
1. Warum der KI-Einsatz im Betrieb geregelt werden muss
a) Ein neuer Charakter der Technik
Der Einsatz von KI markiert einen der tiefgreifendsten Umbrüche der Arbeitswelt seit der Digitalisierung der Büroarbeit. Frühere Automatisierung beruhte auf festen, regelbasierten Abläufen: Eingabe und Ergebnis standen vorab fest. Moderne KI-Systeme dagegen erkennen Muster in großen Datenbeständen, treffen eigene Ableitungen und erzeugen Vorschläge oder Entscheidungen, die zuvor dem Menschen vorbehalten waren. Der eigentliche Unterschied liegt also nicht im "Mehr" an Datenverarbeitung, sondern in der neuen Qualität: KI erweitert den Entscheidungsspielraum der Maschine.
Für den Betrieb bedeutet das, dass KI zunehmend in operative und strategische Entscheidungen einfließt. Sie priorisiert E-Mails, erstellt Textentwürfe, schlägt Arbeitsergebnisse vor, bewertet Bewerberprofile oder berechnet Einsatzpläne. Dabei verarbeitet sie fast immer personenbezogene Daten, und zwar oft in einer Tiefe, die herkömmliche Software deutlich übersteigt. Schon die anfallenden Metadaten wie Nutzungsfrequenzen, Interaktionsmuster oder Zeitstempel erlauben Rückschlüsse auf Arbeitsverhalten, Kommunikationsstil und Leistungsintensität.
Aus meiner Beratersicht ist dies der entscheidende Punkt, den viele Unternehmen zunächst unterschätzen: Die mitbestimmungsrechtliche Relevanz entsteht nicht erst, wenn jemand die Ergebnisse der KI nutzt, sondern bereits aus der Struktur der Datenverarbeitung selbst.
b) Chancen und Risiken
Die Erwartungen an KI sind hoch. Ein erheblicher Teil der Unternehmen geht davon aus, dass KI das eigene Geschäft bis 2030 wesentlich verändern wird. Die Produktivitätsgewinne entstehen typischerweise in mehreren Wellen: zunächst durch Automatisierung von Aufgaben, dann durch Qualitätsverbesserung im Zusammenwirken von Mensch und Maschine, schließlich durch Aufgaben, die Menschen bislang gar nicht erledigen konnten.
Diesen Chancen stehen erhebliche Risiken gegenüber. Auf der tatsächlichen Ebene sind dies vor allem die Fehleranfälligkeit, der erhöhte Überwachungsdruck auf die Beschäftigten und die sogenannte Blackbox-Problematik: Häufig lässt sich nicht mehr nachvollziehen, welche Daten verwendet werden und wie ein Ergebnis zustande kommt. Selbst Fachleute können Entscheidungsprozesse oft nicht vollständig erklären.
Hinzu kommt die Gefahr der Verzerrung (Bias). Werden veraltete oder einseitige Trainingsdaten verwendet, schreibt die KI bestehende Ungleichgewichte fort. Beruht ein Bewerberpool etwa überwiegend auf männlichen Bewerbern, droht eine Benachteiligung anderer Gruppen. Auch eine scheinbar neutrale Ausgestaltung kann diskriminieren, etwa wenn für Beförderungen auf die durchschnittliche Arbeitszeit abgestellt wird und damit Teilzeitkräfte systematisch schlechter abschneiden. Aus diesen technischen Risiken werden schnell rechtliche: Datenschutzverstöße und Verstöße gegen das Allgemeine Gleichbehandlungsgesetz. Wegen der Beweislastumkehr nach § 22 AGG genügen dem Beschäftigten plausible Indizien, während dem Arbeitgeber der Gegenbeweis bei einer Blackbox kaum gelingt.
2. Der rechtliche Rahmen
a) Das Zusammenspiel der drei Säulen
Der rechtliche Rahmen für KI im Betrieb ergibt sich aus drei Regelungswerken, die unterschiedliche Zwecke verfolgen.
Regelungswerk | Hauptzweck | Rolle beim KI-Einsatz |
|---|---|---|
BetrVG | Schutz der Beschäftigten als Kollektiv | Mitbestimmung, Information, Beratung; Kern der KI-Steuerung im Betrieb |
KI-VO (AI Act) | Sicherheit und Zuverlässigkeit von KI-Systemen | technische Mindeststandards, Risikoklassen, Pflichten für Anbieter und Betreiber |
DSGVO / § 26 BDSG | Schutz personenbezogener Daten | Rechtsgrundlage, Zweckbindung, Transparenz, Grenzen automatisierter Entscheidungen |
Wichtig ist die richtige Einordnung dieser Rollen. Die KI-VO schafft kein Mitbestimmungsrecht. Sie enthält lediglich Informationspflichten gegenüber Beschäftigten und ihren Vertretungen, etwa über Funktionen, Risiken und Protokollierung bei Hochrisiko-Systemen. Die soziale Schutzfunktion bleibt dem nationalen Recht überlassen. Das BetrVG wird durch die KI-VO also nicht verdrängt. Die Informationspflichten der KI-VO können die Mitbestimmung aber erleichtern, weil sie den Arbeitgeber zwingen, technische Dokumentationen und Risikobewertungen offenzulegen, auf die der Betriebsrat über seine Informationsrechte zugreifen kann.
b) Was ist überhaupt "KI"?
Das BetrVG verwendet den Begriff KI, definiert ihn aber bewusst nicht, um der europäischen Harmonisierung durch die KI-VO nicht vorzugreifen. Für die Auslegung wird deshalb auf die Definition der KI-VO zurückgegriffen. Danach ist ein KI-System ein maschinengestütztes System, das mit unterschiedlichem Grad an Autonomie betrieben wird, nach der Betriebsaufnahme anpassungsfähig sein kann und aus Eingaben Ableitungen erzeugt, also etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen.
Der zentrale Begriff ist die Ableitung. Entscheidend ist, dass die KI aus vorhandenen Daten neue Informationen generiert. Damit grenzt sich KI von rein regelbasierter, deterministischer Software ab. Mein praktischer Hinweis dazu: Wer eine Betriebsvereinbarung oder Unternehmensrichtlinie formuliert, sollte ausdrücklich darauf achten, dass klassische IT- und Softwaresysteme nicht erfasst werden. Andernfalls wird der Anwendungsbereich unbeherrschbar weit, und auch ein einfaches Statistiktool fiele schon darunter.
Hilfreich ist die Abgrenzung zu verwandten Begriffen. Big Data liefert die großen Datenmengen, Algorithmen analysieren sie und erkennen Muster, und KI nutzt Algorithmen, um aus Mustern zu lernen und Vorhersagen oder Entscheidungen zu treffen.
c) Die Risikoklassen der KI-VO
Die KI-VO ist am 1.8.2024 in Kraft getreten und wird stufenweise wirksam. Sie folgt einem risikobasierten Ansatz: Je höher das Risiko für Gesundheit, Sicherheit und Grundrechte, desto strenger die Anforderungen.
Risikoklasse | Beispiele | Folgen |
|---|---|---|
Unvertretbares Risiko (verboten) | Social Scoring, Emotionserkennung am Arbeitsplatz, Verhaltensmanipulation | Einsatz untersagt |
Hohes Risiko | KI im Personalwesen (Auswahl, Beförderung, Kündigung, Leistungsbewertung), kritische Infrastruktur | strenge Pflichten zu Dokumentation, Transparenz, menschlicher Aufsicht |
Begrenztes Risiko (Transparenzrisiko) | Chatbots, Empfehlungssysteme, generierte Inhalte | Kennzeichnungs- und Informationspflichten |
Kein/minimales Risiko | Spamfilter, einfache Verwaltungstools | keine zusätzlichen Pflichten, freiwillige Verhaltenskodizes möglich |
Besonders praxisrelevant ist die Einstufung von KI im Personalbereich. KI-Systeme, die für Einstellung und Auswahl, für Entscheidungen über Bedingungen, Beförderung oder Kündigung, für die Aufgabenzuweisung nach individuellem Verhalten oder für die Beobachtung und Bewertung der Leistung eingesetzt werden, gelten grundsätzlich als Hochrisiko-Systeme. Führt das System ein Profiling durch, etwa bei einem KI-gestützten Eignungstest, ist es sogar stets als Hochrisiko-System anzusehen.
Ausdrücklich verboten ist nach Art. 5 Abs. 1 lit. f KI-VO der Einsatz von KI zur Ableitung von Emotionen am Arbeitsplatz, soweit dies nicht aus medizinischen oder Sicherheitsgründen geschieht. Systeme, die in Vorstellungsgesprächen die Gefühlslage von Bewerbern auswerten, sind damit unzulässig. International tätige Unternehmen müssen sicherstellen, dass solche Anwendungen auf das außereuropäische Ausland beschränkt bleiben.
Daneben verpflichtet die KI-VO Anbieter und Betreiber unabhängig von der Risikoklasse zum Aufbau von KI-Kompetenz beim Personal. Gemeint sind die Fähigkeiten und Kenntnisse, um KI sachkundig einzusetzen und sich der Chancen und Risiken bewusst zu sein.
d) Datenschutz und automatisierte Entscheidungen
KI-Anwendungen verarbeiten regelmäßig personenbezogene Daten, weshalb die DSGVO und, soweit noch anwendbar, § 26 BDSG zu beachten sind. Das Big-Data-Prinzip, möglichst viele Daten möglichst lange für möglichst viele Zwecke zu nutzen, steht dabei im Spannungsverhältnis zur datenschutzrechtlichen Zweckbindung und zur Datenminimierung.
Von besonderer Bedeutung ist Art. 22 DSGVO. Er verbietet, eine Person einer ausschließlich automatisierten Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung zu unterwerfen. Eine Personalentscheidung darf also nicht allein von der KI getroffen werden. Erlaubt ist der "Co-Pilot", bei dem die KI vorbereitet oder empfiehlt und ein Mensch endgültig entscheidet, nicht aber der "Autopilot".
Hier hat der EuGH die Anforderungen verschärft. Nach dem SCHUFA-Urteil kann auch eine vorbereitende automatisierte Bewertung schon unter Art. 22 DSGVO fallen, wenn sich die spätere menschliche Entscheidung "in aller Regel maßgeblich" auf sie stützt. Übertragen auf das Recruiting heißt das: Wenn ein Tool Bewerbungen vorsortiert und Recruiter regelmäßig nur die "Top-Kandidaten" einladen, kann darin bereits eine maßgebliche automatisierte Entscheidung liegen. Ich würde daher empfehlen, die von der KI erstellten Ranglisten stichprobenartig zu überprüfen, die Prüfung zu dokumentieren und gezielt auch einzelne nicht von der KI vorgeschlagene Bewerber einzuladen.
Ebenfalls wichtig ist ein weiteres EuGH-Urteil: Auch wenn eine Betriebsvereinbarung über die Erprobung eines IT-Systems geschlossen wird, dürfen Echtdaten nur in dem Umfang verwendet werden, der nach der DSGVO zulässig ist. Eine Betriebsvereinbarung ist also keine eigenständige datenschutzrechtliche Erlaubnisgrundlage. Für Probebetriebe sind deshalb möglichst anonymisierte oder pseudonymisierte Daten zu verwenden.
Zugleich eröffnet § 26 Abs. 4 BDSG ausdrücklich die Möglichkeit, Betriebsvereinbarungen als datenschutzrechtliche Grundlage heranzuziehen. Die Betriebsparteien können damit festlegen, welche Daten in Trainingsprozesse einfließen, wie lange gespeichert wird, welche Transparenzpflichten bestehen und welche Zwecke zulässig sind. Auch Art. 88 DSGVO und Art. 2 Abs. 10 KI-VO erlauben es, durch Kollektivvereinbarungen für die Beschäftigten vorteilhaftere Regelungen zu treffen, bis hin zu einem vollständigen Verbot der Emotionserkennung.
3. Die Mitbestimmungsrechte im Einzelnen
a) Unterrichtung und Beratung nach § 90 BetrVG
Nach § 90 Abs. 1 Nr. 3 BetrVG muss der Arbeitgeber den Betriebsrat über die Planung von Arbeitsverfahren und Arbeitsabläufen einschließlich des KI-Einsatzes unterrichten. Der Betriebsrat hat hier ein Beratungsrecht, das bereits in der Planungsphase greift. Wichtig ist die Reichweite: § 90 BetrVG gewährt nur Unterrichtungs- und Beratungsrechte, aber kein echtes Mitbestimmungsrecht. Allein daraus lässt sich ein Verbot oder ein Anspruch auf Unterlassen nicht ableiten.
b) Der KI-Sachverständige nach § 80 Abs. 3 BetrVG
Eine praktisch sehr bedeutsame Erleichterung enthält § 80 Abs. 3 S. 2 BetrVG. Muss der Betriebsrat die Einführung oder Anwendung von KI beurteilen, gilt die Hinzuziehung eines Sachverständigen als erforderlich. Der Betriebsrat muss die Notwendigkeit also nicht mehr begründen, und der Arbeitgeber kann sich nicht auf fehlende Erforderlichkeit berufen. Verhandelbar bleiben nur die Modalitäten, also Kosten, Zeitrahmen und die Person des Sachverständigen.
Nach meinen Erfahrungen ist gerade dieser Punkt ein häufiger Streitpunkt. Es empfiehlt sich, das "Ob" und den Umfang der Hinzuziehung schon vorab in einer freiwilligen KI-Betriebsvereinbarung zu regeln, etwa gekoppelt an ein Ampelsystem. Möglich ist auch die Bestellung eines ständigen Sachverständigen für KI-Fragen nach § 80 Abs. 3 S. 3 BetrVG, was bei fortlaufenden technischen Projekten sinnvoll ist.
c) Das zentrale Mitbestimmungsrecht: § 87 Abs. 1 Nr. 6 BetrVG
Der wichtigste operative Tatbestand ist § 87 Abs. 1 Nr. 6 BetrVG. Er gilt für technische Einrichtungen, die dazu bestimmt sind, Verhalten oder Leistung der Beschäftigten zu überwachen. Nach ständiger Rechtsprechung des Bundesarbeitsgerichts genügt dafür bereits die objektive Eignung zur Überwachung; auf eine Überwachungsabsicht kommt es nicht an. Da KI-Systeme strukturell personenbezogene Auswertungsdaten erzeugen, liegt diese Eignung in aller Regel vor.
Voraussetzung ist allerdings, dass sich das System einem bestimmten Beschäftigten oder einer bestimmbaren Gruppe zuordnen lässt. Wird KI ausschließlich im Bewerbermanagement zur Vorauswahl eingesetzt, ist die Einführung nicht automatisch mitbestimmungspflichtig, es sei denn, das System ist zugleich geeignet, auch die bedienenden Beschäftigten zu überwachen.
d) Weitere Mitbestimmungstatbestände
Je nach Funktion der KI können weitere Rechte hinzutreten:
Norm | Auslöser durch KI |
|---|---|
§ 87 Abs. 1 Nr. 1 | Ordnung des Betriebs und Verhalten der Beschäftigten |
§ 87 Abs. 1 Nr. 2/3 | algorithmische Schichtplanung, Taktvorgaben, Pausen- und Arbeitsrhythmus |
§ 87 Abs. 1 Nr. 6 | Überwachungseignung (Regelfall) |
§ 87 Abs. 1 Nr. 7 | KI im Arbeitsschutz, etwa Kamera- oder Sensoranalyse |
§ 87 Abs. 1 Nr. 10/11 | leistungsabhängige Vergütung, Boni, Zielvereinbarungen |
§ 95 Abs. 2a | KI-gestützte Auswahlrichtlinien |
§§ 111, 112 | Einführung von KI als Betriebsänderung |
Besonders hinzuweisen ist auf § 95 Abs. 2a BetrVG: Der Betriebsrat bestimmt auch dann mit, wenn Auswahlrichtlinien auf KI beruhen, sei es, dass die KI sie selbst aufstellt oder innerhalb eines vorgegebenen Rahmens anwendet.
Schließlich kann der KI-Einsatz eine Betriebsänderung nach §§ 111 f. BetrVG darstellen, wenn sich Betriebsorganisation, Betriebszweck oder Anlagen grundlegend ändern und ein erheblicher Teil der Belegschaft betroffen ist. Das gilt vor allem, wenn Arbeitsplätze wegfallen oder sich Arbeitsinhalte stark verändern. Mit zunehmend integriertem KI-Einsatz dürfte dieser Fall künftig häufiger eintreten und Interessenausgleich sowie Sozialplan auslösen.
e) Die Grenze: mitbestimmungsfreies Arbeitsverhalten
Wichtig für die Praxis ist die Entscheidung des Arbeitsgerichts Hamburg vom 16.1.2024 (24 BVGa 1/24). Dort hatte ein Konzernbetriebsrat verlangt, die Nutzung von ChatGPT und vergleichbaren Tools zu untersagen, solange keine Rahmenbetriebsvereinbarung bestehe. Das Gericht wies die Anträge zurück.
Die Begründung ist lehrreich. Der Arbeitgeber hatte die Tools nicht auf eigenen Systemen installiert; die Beschäftigten mussten private Accounts anlegen und etwaige Kosten selbst tragen. Der Arbeitgeber erhielt also keine Information darüber, wer das Tool wann und wofür nutzte. Daraus folgerte das Gericht:
- § 87 Abs. 1 Nr. 1 BetrVG ist nicht betroffen, weil Vorgaben zur Nutzung eines neuen Arbeitsmittels unter das mitbestimmungsfreie Arbeitsverhalten fallen.
- § 87 Abs. 1 Nr. 6 BetrVG ist nicht einschlägig, weil ein etwaiger Überwachungsdruck vom Hersteller der Software und nicht vom Arbeitgeber ausgeht. Entscheidend ist, dass der Arbeitgeber selbst keinen Zugriff auf die Daten hat. Das Gericht verglich die Lage mit der Nutzung einer Datenbank über einen privaten Account.
- § 90 BetrVG verschafft nur Unterrichtungs- und Beratungsrechte, kein Unterlassungsanspruch.
Das Gericht hat zugleich die Schwierigkeit aufgezeigt, den Begriff "KI" im BetrVG zu bestimmen. Ein Antrag, der allgemein "Anwendungen mit generativer KI" verbieten wollte, war zu unbestimmt und damit unzulässig.
Aus dem, was ich gesehen habe, ist die praktische Konsequenz klar: Sobald der Arbeitgeber dienstliche Accounts bereitstellt, etwa über Team- oder Enterprise-Lizenzen oder eine Programmierschnittstelle, ändert sich die Beurteilung. Dann erhält er Kenntnis über das "Ob" und "Wie" der Nutzung, eine Überwachung wird objektiv möglich, und das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG lebt auf. Datenschutzrechtlich empfiehlt sich in diesen Fällen regelmäßig eine Datenschutz-Folgenabschätzung.
4. Welche Inhalte eine KI-Betriebsvereinbarung haben sollte
a) Geltungsbereich und Begriffsbestimmung
Am Anfang steht die saubere Definition. Geregelt werden sollte der Begriff des KI-Systems, sinnvollerweise angelehnt an die Definition der KI-VO, damit klassische IT- und Softwaresysteme nicht versehentlich erfasst werden. Es lohnt sich, in der Vereinbarung ausdrücklich zu beschreiben, was im Betrieb unter KI verstanden wird und welche Systeme bewusst ausgenommen sind. Damit lassen sich spätere Auslegungsstreitigkeiten vermeiden, wie sie das Arbeitsgericht Hamburg mit dem unbestimmten Antrag bereits angedeutet hat.
b) Zweckbindung und Datenverarbeitung
Eine systemspezifische Betriebsvereinbarung sollte die folgenden Punkte konkret festlegen:
Regelungspunkt | Inhalt |
|---|---|
Beschreibung der KI | möglichst konkrete Darstellung des Systems und der grundlegenden Logik der Algorithmen |
Zweckbestimmung und Zweckbindung | klare Festlegung, wofür die Daten verarbeitet werden dürfen |
Schutz sensibler Daten | Schutzmechanismen bei der Verarbeitung besonders sensibler Daten |
Drittdaten und Zweckwechsel | Verbot, zu anderen Zwecken erhobene Daten oder Daten Dritter einzubeziehen |
Schranken der Nutzung | ausdrücklicher Ausschluss bestimmter Auswertungsformen, etwa Profiling und Persönlichkeitsprofile |
Kontrolle und Evaluation | Benennung der Kontroll- und Evaluationsmechanismen der KI |
Ich persönlich finde, dass gerade die Schranken der entscheidende Hebel sind. Wer den Ausschluss von Profiling, Leistungs- und Verhaltenskontrolle sowie Emotionserkennung klar und schriftlich verankert, schafft für beide Seiten Sicherheit und nimmt der Diskussion ihre Schärfe.
c) Transparenz und menschliche Letztentscheidung
Beschäftigte sollten wissen, wann und wie KI ihre Daten verarbeitet. Auch wenn die Blackbox-Problematik die vollständige Offenlegung des Algorithmus erschwert, bleibt der Arbeitgeber verpflichtet, über die eingespeisten Daten und deren Herkunft zu informieren und die Grundfunktion verständlich zu erläutern. Der Bundesgerichtshof hat im Zusammenhang mit dem SCHUFA-Score klargestellt, dass keine mathematischen Formeln offengelegt werden müssen, der Betroffene aber nachvollziehen können muss, welche Daten in die Bewertung einfließen.
Zwingend zu regeln ist außerdem, dass KI Entscheidungen nur vorbereitet und ein Mensch die endgültige Entscheidung trifft. Diese "menschliche Aufsicht" ist bei Hochrisiko-Systemen ohnehin vorgeschrieben und sollte als Prüfpunkt bei jedem System mitgedacht werden.
d) Schulung und KI-Kompetenz
Da die KI-VO den Aufbau von KI-Kompetenz verlangt, gehört auch ein Schulungskonzept in die betriebliche Steuerung. Bewährt hat sich eine gestufte "KI-Lernreise", die nach Vorkenntnissen und Rollen modular aufgebaut ist und mit Zertifikaten hinterlegt wird. Wichtig ist die Dokumentation, wann welche Beschäftigten geschult wurden, denn bei einem durch fehlerhafte Bedienung verursachten Schaden kann eine angemessene Schulung haftungsentlastend wirken.
5. Die praktische Umsetzung
a) Eine gestufte Regelungsarchitektur
Eine einzige, einmalige Betriebsvereinbarung wird der Dynamik von KI nicht gerecht. Bewährt hat sich eine mehrstufige Struktur:
Stufe | Inhalt |
|---|---|
Rahmenbetriebsvereinbarung KI | Grundprinzipien, Definitionen, ethische Leitlinien, Grundsätze der Datenverarbeitung, Verbote bestimmter Bewertungsformen, Freigabe- und Prüfverfahren, Verantwortlichkeiten |
Ergänzungsvereinbarung | für bestehende Systeme, die nachträglich KI-Funktionen erhalten, etwa eine bereits mitbestimmte Office-Umgebung |
Systemspezifische Betriebsvereinbarung | für besonders eingriffsintensive Tools wie HR-KI, Entscheidungs- oder Analysemodelle, Profiling oder Anomalie-Monitoring |
Die freiwillige Rahmenbetriebsvereinbarung nach § 88 BetrVG bildet das Dach. Sie stellt sicher, dass der KI-Einsatz transparent, ethisch und im Einklang mit den Interessen aller Beteiligten erfolgt, und sie regelt vor allem, wie mit der laufenden Weiterentwicklung von KI umgegangen wird. Nach meiner Erfahrung erleichtert ein solcher Rahmen die spätere Einführung einzelner Tools erheblich, weil die Grundsatzfragen bereits geklärt sind.
b) KI-Mapping als Grundlage
Vor jeder Regelung steht die Bestandsaufnahme. Ein KI-Mapping erfasst alle KI-Systeme im Betrieb, klassifiziert sie und ordnet sie nach Risiko. Es sollte mindestens drei Dimensionen abbilden: die Risikokategorie nach KI-VO, die mitbestimmungsrechtliche Relevanz nach BetrVG und die datenschutzrechtlichen Risikostufen, etwa Profiling oder automatisierte Entscheidungen. Sinnvoll ist die Verbindung mit dem Verarbeitungsverzeichnis nach Art. 30 DSGVO. Dieses Mapping schafft Transparenz und hilft zu priorisieren, welche Systeme sofort und welche später geregelt werden.
c) Das Ampelsystem
Für die laufende Praxis hat sich ein Ampelsystem zur Einstufung bewährt:
Ampel | Bedeutung | Verfahren |
|---|---|---|
Grün | unbedenkliche Systeme, kein oder geringes Risiko, keine personenbezogene Auswertung | Einführung nach Unterrichtung von Betriebsrat und Beschäftigten |
Gelb | begrenztes Risiko, einzelne Einstellungen und Prozesse müssen geregelt werden | vorherige Behandlung und Freigabe durch den Betriebsrat, ggf. per Checkliste |
Rot | hohes Risiko, negative Beschäftigungseffekte, Leistungs- oder Verhaltenskontrolle | umfangreiche Verhandlungen, meist mit Sachverständigem, oft zunächst Pilotbetrieb |
Ein praktischer Tipp aus der Beratung: Über die genaue Schwelle, ab der "klassische Verhandlungen" statt eines vereinfachten Verfahrens nötig werden, wird oft gestritten. Es hilft, das Ampelsystem zunächst als unverbindliche Orientierung zu vereinbaren, von der der Betriebsrat im Einzelfall abweichen kann. Das erleichtert es dem Gremium, sich überhaupt darauf einzulassen und Erfahrungen zu sammeln.
d) KI-Arbeitskreis und Review bestehender Vereinbarungen
Sinnvoll ist die Einrichtung eines dauerhaften gemeinsamen Gremiums, etwa eines KI-Arbeitskreises oder eines Unterausschusses nach § 28 BetrVG, in dem Betriebsrat, IT, Datenschutzbeauftragter, HR und Compliance vertreten sind. Es sichert die frühzeitige Beteiligung nach § 90 BetrVG und reduziert Konflikte in der Einführungsphase.
Zugleich sollten bestehende Betriebsvereinbarungen überprüft werden. Viele Regelungen, etwa zu einer Office-Umgebung, wurden vor der Verfügbarkeit generativer KI geschlossen und decken neue Datenverarbeitungen wie Prompts oder Vektor-Repräsentationen nicht ab. Hier ist zu klären, ob neue KI-Funktionen vom ursprünglichen Zweck erfasst sind, ob eine neue Überwachungseignung entsteht und ob eine Ergänzungsvereinbarung genügt oder eine vollständige Neufassung nötig ist. In der Praxis trägt häufig die Ergänzung der bestehenden Vereinbarung, solange die Grundstruktur stimmt.
e) Pilotbetrieb, Freigabe und laufende Kontrolle
Für die laufende Governance bietet sich ein klarer Ablauf an: eine Vorabprüfung mit technischer Beschreibung, Datenflüssen und Risiken; eine gemeinsame Risikoanalyse anhand des Mappings; ein Pilotbetrieb mit Freiwilligkeitsvorbehalt der Betroffenen, deaktivierter Protokollierung und Ausschluss der Leistungskontrolle; eine gemeinsame Freigabe mit Prüfprotokoll bei Hochrisiko-Systemen; sowie regelmäßige Audits, etwa jährlich, zu Bias-Effekten, Halluzinationen, Transparenz und Löschkonzepten. Da KI-Updates in der Regel wesentliche Änderungen darstellen, die erneut der Mitbestimmung unterfallen, sollte die Vereinbarung dynamische Anpassungsmechanismen enthalten.
f) Ethische Leitlinien
Ergänzend sollten ethische Grundsätze verankert werden. Eine vertrauenswürdige KI zeichnet sich durch Rechtmäßigkeit, Ethik und Robustheit aus. Inhaltlich lassen sich fünf Felder unterscheiden: Diskriminierungsfreiheit und Fairness, Transparenz und Erklärbarkeit, Verantwortlichkeit und Kontrolle, Datenschutz und Sicherheit sowie Verlässlichkeit und Schutz. Solche Leitlinien sind zwar nicht unmittelbar rechtlich verbindlich, können aber, wenn sie einen anerkannten Standard abbilden, haftungsentlastend wirken und das Vertrauen der Belegschaft stärken. Ich würde empfehlen, diese Grundsätze nicht nur mit dem Betriebsrat, sondern breit mit Stakeholdern und repräsentativen Beschäftigtengruppen zu diskutieren, damit sie im Unternehmen wirklich getragen werden.
6. Fazit
Der betriebliche Einsatz von KI stellt das Arbeits- und Datenschutzrecht vor neue Herausforderungen, ohne dass das bestehende Regelungssystem überfordert wäre. Das Zusammenspiel aus BetrVG, DSGVO mit § 26 BDSG und KI-VO ist grundsätzlich geeignet, KI rechtssicher und sozialverträglich zu gestalten. Entscheidend ist die richtige Einordnung der drei Normbereiche und eine vorausschauende Gestaltung.
Den stabilen Kern bildet das BetrVG, und das wichtigste Werkzeug bleibt die Betriebsvereinbarung. Sie überführt technische, organisatorische und datenschutzbezogene Anforderungen in eine konsistente betriebliche KI-Governance. Die spezifischen Risiken von KI, also Intransparenz, Bias, Dynamik, automatisierte Entscheidungen und Datenintensität, lassen sich nur durch detaillierte, dynamische und anpassungsfähige Regelwerke beherrschen. Die Betriebsvereinbarung wird damit zu einem lebendigen Dokument, das den KI-Einsatz rechtlich, organisatorisch und ethisch absichert. Wer rechtzeitig eine Rahmenvereinbarung, ein Mapping und ein klares Freigabeverfahren etabliert, gewinnt Geschwindigkeit und vermeidet die teuren Konflikte, die sonst regelmäßig erst bei der Einführung des ersten kritischen Tools entstehen.
Häufige Fragen aus der Praxis (FAQ)
Brauchen wir für jede KI-Anwendung eine Betriebsvereinbarung? Nein. Ob Mitbestimmung ausgelöst wird, hängt von der Funktion ab. Weil KI-Systeme aber regelmäßig objektiv zur Verhaltens- oder Leistungskontrolle geeignet sind, ist § 87 Abs. 1 Nr. 6 BetrVG in der Praxis fast immer betroffen. Sinnvoll ist eine gestufte Lösung: eine Rahmenbetriebsvereinbarung als Dach und systemspezifische Vereinbarungen nur für die eingriffsintensiven Tools.
Dürfen wir unseren Beschäftigten ChatGPT einfach zur Verfügung stellen? Wenn die Beschäftigten ausschließlich private Accounts nutzen, etwaige Kosten selbst tragen und der Arbeitgeber keinen Zugriff auf Nutzungsdaten hat, löst das nach der Entscheidung des Arbeitsgerichts Hamburg kein Mitbestimmungsrecht aus. Sobald Sie aber dienstliche Konten über Team-, Enterprise- oder Schnittstellenlizenzen bereitstellen, entsteht eine Überwachungsmöglichkeit, und die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG lebt auf. Unabhängig davon sollten Sie Nutzungsvorgaben machen, etwa keine Eingabe personenbezogener oder geschäftskritischer Daten.
Ersetzt eine Betriebsvereinbarung die datenschutzrechtliche Prüfung? Nein. Nach der Rechtsprechung des EuGH dürfen auch bei Abschluss einer Betriebsvereinbarung personenbezogene Daten nur in dem Umfang verarbeitet werden, der nach der DSGVO ohnehin zulässig ist. Die Betriebsvereinbarung präzisiert und flankiert die gesetzlichen Vorgaben, schafft aber keine eigenständige Erlaubnis. Für Probebetriebe sollten Sie möglichst anonymisierte oder pseudonymisierte Daten verwenden und eine Interessenabwägung dokumentieren.
Darf die KI eine Personalentscheidung allein treffen? Nein. Art. 22 DSGVO verbietet ausschließlich automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung. Die KI darf vorbereiten und empfehlen, die endgültige Entscheidung muss ein Mensch treffen. Nach dem SCHUFA-Urteil des EuGH kann schon eine vorbereitende Bewertung kritisch sein, wenn sich die spätere Entscheidung "in aller Regel maßgeblich" auf sie stützt. Achten Sie deshalb auf eine echte, dokumentierte menschliche Prüfung.
Können wir die Kosten für einen KI-Sachverständigen des Betriebsrats begrenzen? Die Hinzuziehung eines Sachverständigen gilt bei KI nach § 80 Abs. 3 S. 2 BetrVG als erforderlich; der Betriebsrat muss sie nicht begründen. Verhandelbar bleiben nur die Modalitäten, also Kosten, Zeitrahmen und Person. In der Praxis empfiehlt es sich, diese Fragen vorab in einer freiwilligen KI-Betriebsvereinbarung zu regeln, etwa gekoppelt an ein Ampelsystem, und einen Kostenrahmen abzustimmen.
Kann die Einführung von KI eine Betriebsänderung sein? Ja. Wenn sich durch KI die Betriebsorganisation, der Betriebszweck oder die Betriebsanlagen grundlegend ändern und ein erheblicher Teil der Belegschaft betroffen ist, kann eine interessenausgleichs- und sozialplanpflichtige Betriebsänderung nach §§ 111 f. BetrVG vorliegen. Das gilt vor allem, wenn Arbeitsplätze wegfallen oder sich Arbeitsinhalte deutlich verändern.
Was ist im Personalbereich besonders zu beachten? KI im Personalwesen, also bei Auswahl, Beförderung, Kündigung, Aufgabenzuweisung oder Leistungsbewertung, gilt nach der KI-VO grundsätzlich als Hochrisiko-System und unterliegt strengen Anforderungen. Führt das System ein Profiling durch, ist es stets Hochrisiko. Verboten ist die Emotionserkennung am Arbeitsplatz. Im Recruiting sollten Sie Ranglisten stichprobenartig prüfen, die Prüfung dokumentieren und auch nicht vorgeschlagene Bewerber berücksichtigen.
Wo fangen wir konkret an? Mit einer Bestandsaufnahme. Erstellen Sie ein KI-Mapping, das alle Systeme erfasst und nach Risiko einordnet, schließen Sie eine Rahmenbetriebsvereinbarung mit Grundprinzipien und Ampelsystem ab und richten Sie einen gemeinsamen KI-Arbeitskreis ein. So lassen sich unkritische Systeme schnell freigeben, während sich beide Seiten auf die wirklich risikoreichen Anwendungen konzentrieren können.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.