KI im Betrieb: Chance und Datenfalle zugleich

KI und Datenschutz

Künstliche Intelligenz hat den Betriebsalltag längst erreicht. Ob Chatbot im Kundendienst, KI-gestützte Personalauswahl oder automatisierte Auswertung von Schichtplänen – die Systeme arbeiten still und effizient. Doch was viele Arbeitgeber dabei übersehen: Wer KI einsetzt, betritt damit automatisch datenschutzrechtliches Terrain. Und seit 2025 auch regulatorisches. Warum das unter anderem auch Betriebsärztinnen und Betriebsärzte betrifft, erklärt DOKTUS.

Ein Gesetz mit Anlaufzeit

Der EU AI Act – die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz – ist seit dem 1. August 2024 schrittweise in Kraft getreten. Er funktioniert nicht als einmaliger Stichtag, sondern als gestuftes Pflichtenpaket, das sich über mehrere Jahre entfaltet. Der erste große Schritt kam im Februar 2025: Seither sind bestimmte KI-Praktiken mit unannehmbarem Risiko europaweit verboten. Für Betriebe bedeutet das zunächst: Einige Dinge, die technisch möglich wären, sind nun schlicht untersagt.

Was verboten ist – und warum das Betriebe direkt betrifft

Seit Februar 2025 dürfen KI-Systeme am Arbeitsplatz keine Emotionen aus Mimik, Stimme oder Körperhaltung ableiten. Auch Social Scoring – also das systematische Bewerten und Einordnen von Beschäftigten anhand ihres Verhaltens – ist untersagt. Das klingt nach Science-Fiction, ist aber in manchen Branchen bereits technisch realisierbar gewesen. Besonders brisant: Wer solche Systeme nicht aktiv einführt, aber externe Software nutzt, die sie im Hintergrund mitlaufen lässt, trägt trotzdem die Verantwortung. Das Gesetz kennt keine Unwissenheit als Entschuldigung.

Vorsorge Bildschirm G 37

KI-Kompetenz ist jetzt Rechtspflicht

Artikel 4 des AI Acts verpflichtet Arbeitgeber seit dem 2. Februar 2025 dazu, sicherzustellen, dass Beschäftigte, die KI-Systeme nutzen, über ausreichende Kenntnisse und Fähigkeiten für einen sachkundigen und verantwortungsvollen Einsatz verfügen. Das ist keine bloße Empfehlung, sondern eine rechtliche Organisationspflicht. Wer keinerlei Sensibilisierungsmaßnahmen ergreift und infolgedessen ein Schaden entsteht, riskiert, dass dies als Sorgfaltspflichtverletzung gewertet wird. Eine verpflichtende Zertifizierung ist nicht vorgesehen, wohl aber die Dokumentation: Wer wann geschult wurde, sollte festgehalten werden – schon mit Blick auf mögliche Haftungsfragen.
Was das für kleinere und mittlere Betriebe bedeutet: Zunächst sollte eine ehrliche Bestandsaufnahme stehen. Nutzen Mitarbeitende ChatGPT, Copilot oder ähnliche Tools – vielleicht informell, ohne dass dies offiziell eingeführt wurde? Dann läuft bereits KI im Betrieb, und damit gelten die Regeln des AI Acts. Verantwortliche sollten klären, welche Rolle die jeweiligen Beschäftigten dabei einnehmen, und entsprechende Schulungen anbieten.

DSGVO und AI Act: Zwei Regelwerke, ein Datenstrom

Der AI Act tritt nicht an die Stelle der Datenschutz-Grundverordnung, sondern ergänzt sie. Sobald KI-Systeme personenbezogene Daten verarbeiten – und das tun sie fast immer –, gelten beide Regelwerke parallel. Wer im Personalbereich eine KI-gestützte Software einsetzt, die Bewerbungen vorsortiert oder Leistungsdaten auswertet, bewegt sich in der Kategorie Hochrisiko-KI. Das zieht konkrete Pflichten nach sich: Technische und organisatorische Schutzmaßnahmen müssen implementiert sein, menschliche Aufsicht ist vorgeschrieben, und automatisch erzeugte Protokolle sind aufzubewahren. Zudem muss eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO durchgeführt werden.
Auch der Betriebsrat spielt eine Rolle: Beschäftigte müssen vor dem Einsatz eines Hochrisiko-KI-Systems informiert werden. Bestehende Mitbestimmungsrechte nach dem Betriebsverfassungsgesetz – etwa zu technischen Überwachungseinrichtungen oder Personalplanung – bleiben unberührt und gelten neben den neuen EU-Pflichten weiter.

Gesundheitsdaten: Die sensibelste Kategorie im Betrieb

Für Betriebsärztinnen und Betriebsärzte ist das Thema besonders heikel. Gesundheitsdaten gehören zur sensibelsten Kategorie personenbezogener Daten, die ein Unternehmen überhaupt verwaltet. Betriebsärztliche Untersuchungsergebnisse, Eignungsfeststellungen, G-Untersuchungen – all das ist unter strengsten Vertraulichkeitsbedingungen erhoben und darf nicht in allgemeine betriebliche KI-Systeme einfließen. Wer in seiner Belegschaft KI-Tools einführt, die auf Mitarbeiterdaten zugreifen, muss sicherstellen, dass der Zugriff auf arbeitsmedizinische Daten strikt ausgeschlossen bleibt.
Das ist kein theoretisches Problem. In der Praxis passiert es durchaus, dass Mitarbeitende arbeitsmedizinische Informationen in Kommunikationstools eingeben, die KI-gestützt ausgewertet werden – etwa bei Abwesenheitsmanagement-Systemen mit automatischer Mustererkennung. Betriebsärzte sollten ihre Arbeitgeber aktiv beraten, welche Datentypen welchen Schutz genießen und wo die Grenzen zulässiger KI-Nutzung verlaufen.

Was jetzt zu tun ist

Die nächsten regulatorischen Stufen sind bereits absehbar: Ab August 2026 greifen umfassende Transparenzpflichten. Dann muss klar erkennbar sein, wenn Beschäftigte oder Kunden mit einem KI-System interagieren. Im Personalwesen gelten KI-gestützte Entscheidungssysteme zu Einstellungen, Beförderungen oder Kündigungen ab diesem Zeitpunkt als Hochrisiko und unterliegen einer Konformitätsbewertung durch zertifizierte Prüforganisationen.
Betriebe, die jetzt handeln, sind im Vorteil. Die wichtigsten ersten Schritte sind: ein KI-Inventar anzulegen, also festzuhalten, welche KI-Anwendungen im Betrieb tatsächlich genutzt werden; Verantwortlichkeiten zu klären; und Beschäftigte, die KI einsetzen, gezielt zu informieren und zu sensibilisieren. Wer Hochrisiko-KI einsetzt, muss zudem prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist, und den Betriebsrat frühzeitig einbinden.
KI im Betrieb ist kein Zukunftsthema mehr. Die Technologie ist da, die Regulierung auch. Wer beides ignoriert, riskiert nicht nur Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes, sondern auch das Vertrauen seiner Belegschaft. Ein verantwortungsvoller Umgang mit KI – transparent, nachvollziehbar, datenschutzkonform – ist daher nicht nur eine rechtliche Pflicht, sondern auch ein Signal an die Mitarbeitenden: Ihre Daten sind sicher.

Peter S. Kaspar

Bildquelle: iStock, pcess609

KI und Datenschutz
Presbyopie
Fehlhaltung
Gehirnschmelze
Hitze