Arbeitsrechtliche Aspekte vor dem Hintergrund der EU-KI-Verordnung

Was bedeutet die KI-Verordnung für Ihr Unternehmen?

Stufenweise Einführung der KI-Verordnung

Die KI-Verordnung trat zwar bereits am 1. August 2024 offiziell in Kraft. Ihre Geltung erfolgt jedoch nicht einheitlich zu einem Stichtag, sondern erfolgt in mehreren Stufen: 

Seit dem 2. Februar 2025 regelt sie bereits zentrale Bestimmungen wie das Verbot bestimmter KI-Praktiken, die aufgrund ihrer Auswirkungen auf Menschen und Gesellschaft ein unannehmbares Risiko darstellen, sowie die Verpflichtung zur Sicherstellung von KI-Kompetenz im Unternehmen. 

Am 2. August 2025 traten mit der zweiten Stufe weitere Regelungen hinzu. Diese betreffen vor allem öffentliche Stellen und Anbieter von KI-Modellen mit allgemeinem Verwendungszweck wie Large Language Models. Zudem wurden Sanktions- und Bußgeldvorschriften eingeführt. Unternehmen, die gegen die KI-Verordnung verstoßen drohen Bußgelder von bis zu 15.000.000  Euro oder von bis zu 3 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Soweit es sich nicht um ein Softwareunternehmen handelt, gelten Unternehmen, die KI-Systeme nutzen – beispielsweise im HR-Bereich – oder deren Mitarbeitende KI-Systeme im Rahmen ihrer Tätigkeit einsetzen, nicht als Anbieter, sondern als Betreiber solcher Systeme. Für diese ist die ab 2. August 2026 geltende vorletzte Stufe relevant: Ab diesem Datum wird der Hauptteil der EU-KI-Verordnung anwendbar und er bringt neue Pflichten mit sich.

Bezüglich bestimmter KI-Systeme könnten sich die Pflichten aus der KI-Verordnung, die ab dem 2. August 2026 gelten sollen, auf den 2. Dezember 2027 verschieben. Diese Verschiebung ist zum Stand Anfang März 2026 politisch noch in Klärung und steht unter dem Vorbehalt des sogenannten Digital‑Omnibus‑Packages der Europäischen Kommission sowie des aktuell laufenden Gesetzgebungsverfahrens. Das Bundeskabinett hat am 11. Februar 2026 den Gesetzesentwurf zur Durchführung der europäischen KI-Verordnung beschlossen. Der Entwurf knüpft an den Referentenentwurf aus dem Jahr 2024 an und enthält erste Hinweise darauf, wie die zukünftige Aufsichtsstruktur und Behördenorganisation in Deutschland ausgestaltet werden könnte. Auch das Digital‑Omnibus‑Package ist bislang nur als Entwurf veröffentlicht und stellt daher derzeit lediglich einen Vorschlag der Europäischen Kommission dar.

Mit der letzten Stufe ab dem 2. August 2027 gilt - vorbehaltlich des Digital‑Omnibus‑Package - die KI-Verordnung vollumfänglich. Zu diesem Stichtag treten weitere Regelungen zur Einstufung bestimmter Hochrisikosysteme in Kraft.

Vor dem Hintergrund der KI-Verordnung ist aus Unternehmenssicht Folgendes zu beachten:

• Was nicht mehr erlaubt ist: Bestimmte KI-Anwendungen mit unannehmbarem Risiko sind vollständig verboten. Dazu gehören verbotene KI-Praktiken wie Social Scoring, Emotionserkennung am Arbeitsplatz und unterschwellige Beeinflussung von Mitarbeitenden.
  
  
• Neue Pflichten ab 2026: Mit dem Inkrafttreten des Hauptteils der KI-Verordnung am 2. August 2026 gelten insbesondere für Betreiber von KI-Systemen mit hohem Risiko besondere Pflichten. Aus arbeitsrechtlicher Sicht betrifft dies insbesondere KI-Anwendungen in der beruflichen Bildung – etwa zur Bewertung von Lernergebnissen oder zur Feststellung des Bildungsniveaus – sowie Systeme im Personalmanagement, die zur Bewerberauswahl (z. B. CV-Screening), zur Entscheidung über Einstellungen, Beförderungen oder Kündigungen und zur Leistungs- oder Verhaltensüberwachung am Arbeitsplatz eingesetzt werden. Diese Systeme gelten künftig als Hochrisiko-KI und unterliegen strengen Anforderungen an Transparenz, Dokumentation und Kontrolle. Unternehmen müssen sicherstellen, dass menschliche Aufsicht gewährleistet ist – also natürliche Personen, die Systemfunktionen wirksam kontrollieren, überwachen und bei Bedarf korrigierend eingreifen können – und betroffene Personen über den Einsatz informiert werden. 
  
  
• Haftung und Verantwortung: Fehler durch KI-Tools können zu echten Haftungsrisiken führen – sowohl für Unternehmen als auch für Mitarbeitende. Arbeitsfehler sind Arbeitspflichtverletzungen, aber wer haftet, wenn KI falsche Entscheidungen trifft? Was gilt, wenn Mitarbeitende KI-Tools „heimlich“ nutzen? Nicht selten nutzen Beschäftigte KI-Anwendungen eigeninitiativ und ohne Abstimmung mit dem Arbeitgeber. Fehlen klare Vorgaben, drohen Unternehmen erhebliche Compliance-Risiken – von Datenschutzverletzungen über den Verlust von Geschäftsgeheimnissen bis hin zu urheberrechtlichen Konflikten. Auch den Beschäftigten drohen erhebliche arbeitsrechtliche Konsequenzen: von Abmahnungen über Kündigungen bis hin zu Schadensersatzforderungen, insbesondere bei nachweisbaren Datenschutzverstößen oder Diskriminierungen. Eine Haftung von Beschäftigten kommt jedoch in der Regel nur bei grober Fahrlässigkeit oder vorsätzlichem Verhalten in Betracht. Bei leichter Fahrlässigkeit ist eine Haftung ausgeschlossen. Insbesondere wenn das KI-Tool vom Arbeitgeber bereitgestellt wird und keine ausreichenden Schulungen oder Richtlinien zur Nutzung existieren, wird bei Beschäftigten – vor allem bei Erstverstößen – allenfalls leichtes Verschulden anzunehmen sein. Unternehmen sollten daher nicht nur klare Vorgaben zur KI-Nutzung etablieren, sondern auch ihre Schulungspflichten gemäß Art. 4 der EU-KI-Verordnung erfüllen, welche unabhängig von der Risikoklasse des eingesetzten KI-Systems bereits seit dem 2. Februar 2025 besteht. Derzeit wird im Rahmen des Digital‑Omnibus‑Pakets diskutiert, diese Pflicht künftig stärker staatlich zu flankieren oder teilweise zu ersetzen und sie damit nicht mehr allein den Unternehmen aufzuerlegen.
  
  
• Automatisierte Entscheidungen: Automatisierte Entscheidungen ohne menschliche Beteiligung sind bereits durch Art. 22 der Datenschutzgrundverordnung (DSGVO), der unabhängig von der KI-Verordnung seit 2018 gilt, untersagt. Dies betrifft insbesondere vollständig automatisierte Bewerbungs- oder Kündigungsprozesse. Solche Verfahren sind grundsätzlich unzulässig, sofern keine ausdrückliche Einwilligung vorliegt oder eine gesetzliche Grundlage besteht. Bereits die automatisierte Vorbereitung von Entscheidungen unterliegt diesen strengen Regeln. Unternehmen müssen sicherstellen, dass immer ein echter menschlicher Entscheidungsspielraum bleibt („Human-in-the-Loop“) und die Entscheidungsverantwortung nicht faktisch auf die KI verlagert wird.

Welche Rechte hat der Betriebsrat? 

Der Betriebsrat hat im Zusammenhang mit dem Einsatz von KI im HR-Bereich umfassende Mitbestimmungs- und Informationsrechte. Im Juni 2021 wurde § 80 Abs. 3 S. 2 BetrVG entsprechend konkretisiert. Darüber hinaus hat der Betriebsrat seitdem ausdrücklich ein Recht auf Unterrichtung und Beratung über die Planung des KI-Einsatzes.

• Erzwingbares Mitbestimmungsrecht: Nach § 87 Abs. 1 Nr. 6 des Betriebsverfassungsgesetzes (BetrVG) hat der Betriebsrat bei der Einführung und Anwendung technischer Einrichtungen, die zur Überwachung geeignet sind, ein erzwingbares Mitbestimmungsrecht. Das gilt bereits dann, wenn eine Überwachungsfunktion technisch möglich wäre. Die Einführung von KI-Systemen ist daher regelmäßig mitbestimmungspflichtig, sodass ohne Einbindung des Betriebsrats erhebliche Verzögerungen und Konflikte drohen. Unternehmen sollten daher frühzeitig den Dialog mit Betriebsräten suchen und klare Regelungen treffen.
  
  
• Betriebsänderungen: Ergänzend ist zu beachten, dass die Einführung von KI-Systemen eine wesentliche Änderung der Arbeitsweise oder der technischen Prozesse darstellen kann, bis hin zu gravierenden Umstrukturierungen, etwa durch Automatisierung oder den Wegfall von Tätigkeiten. In solchen Fällen sind gegebenenfalls gemäß § 111 Satz 3 Nr. 4 und 5 BetrVG Verhandlungen über Interessenausgleich und Sozialplan mit dem Betriebsrat erforderlich. Zusätzlich kann der Betriebsrat externe Sachverständige hinzuziehen, um die Auswirkungen von KI-Systemen zu bewerten.
  
  
• Personelle Angelegenheiten: Daneben bestehen weitere Unterrichtungs- und Mitbestimmungsrechte des Betriebsrates in personellen Angelegenheiten gem. §§ 92 ff. BetrVG. Insbesondere wurde mit Einführung des § 95 Abs. 2a BetrVG die Mitbestimmung bei Auswahlrichtlinien zu Einstellungen, Versetzungen, Umgruppierungen und Kündigungen explizit auf KI-gestützte Verfahren erstreckt.
  
  
• Schulungsanspruch: Zudem besteht ein allgemeiner Schulungsanspruch für Mitglieder des Betriebsrats, der bei der Einführung komplexer technischer Systeme wie KI insbesondere durch die gesetzliche Verpflichtung zur Gewährleistung von KI-Kompetenz gemäß Artikel 4 der EU-KI-Verordnung eine besondere Bedeutung erlangt.

Was ist im Hinblick auf den Beschäftigtendatenschutz zu beachten?

Beim Einsatz von Künstlicher Intelligenz (KI) im Beschäftigungsverhältnis sind – unabhängig vom Bestehen eines Betriebsrats – die Vorgaben des § 26 Bundesdatenschutzgesetzes (BDSG) sowie die datenschutzrechtlichen Grundsätze der DSGVO zwingend zu beachten. KI‑Systeme können häufig tief in Persönlichkeitsrechte eingreifen, etwa wenn sie zur Überwachung, Leistungs‑ oder Verhaltensbewertung, Profilbildung oder zur Vorbereitung personeller Entscheidungen eingesetzt werden Das bedeutet, dass sichergestellt sein muss, dass KI nur in zulässiger Weise eingesetzt wird. Was zulässig ist und was nicht, hängt eng mit dem Zweck des Einsatzes der KI und der Datenverarbeitung zusammen. Die Datenverarbeitung ist dann zulässig, wenn sie insbesondere zur Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses oder zur Erfüllung gesetzlicher, tariflicher oder betrieblicher Pflichten erfolgt und erforderlich ist. Aber auch dann gilt es, genau hinzuschauen. Denn, wie bereits erwähnt, gibt z.B. Art. 22 DSGVO Beschäftigten das Recht, nicht ausschließlich einer auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die erhebliche Auswirkungen hat (z. B. KI-gestützte Kündigungen, Bewerberauswahl). Der Zweck der Datenverarbeitung für die Bewerberauswahl oder Kündigung ist zwar valide, jedoch ist bei Einsatz von KI zu diesen Zwecken zwingend sicherzustellen, dass eine abschließende menschliche Entscheidung in Bezug auf Einstellung und Kündigung („Human-in-the-Loop“) getroffen wird. Die Datenverarbeitung muss immer auf einer tragfähigen Rechtsgrundlage beruhen, etwa einer gesetzlichen Erlaubnisnorm, einer wirksamen Einwilligung oder einer kollektivrechtlichen Regelung wie einer Betriebsvereinbarung, und stets dem Grundsatz der Erforderlichkeit genügen.

Für Unternehmen kann insbesondere die Informationspflicht (Art. 12 ff. DSGVO, § 26 Abs. 2 BDSG) und die Umsetzung der Betroffenenrechte (Art. 12 ff. DSGVO) herausfordernd sein.  Beschäftigte sind umfassend, präzise, transparent und in verständlicher Sprache über Art, Umfang, Funktionsweise und mögliche Auswirkungen der Datenverarbeitung zu informieren Die häufig hohe Komplexität und begrenzte Nachvollziehbarkeit vieler KI‑Modelle erschwert es jedoch, die zugrunde liegende Logik sowie die Kriterien der Entscheidungsfindung in der nach der DSGVO erforderlichen Weise darzustellen. Hinzu kommt, dass Unternehmen die weitreichenden Rechte der Beschäftigten als Betroffene im Sinne der DSGVO auf Auskunft, Berichtigung, Löschung und Widerspruch effektiv gewährleisten müssen, was bei KI‑Systemen mit umfangreichen, heterogenen Datenbeständen und eingeschränkten Löschmöglichkeiten mit erheblichen technischen und organisatorischen Aufwänden verbunden sein kann. Vor diesem Hintergrund sind Unternehmen gehalten, ihre Informationsprozesse, Datenschutzmanagementsysteme sowie die eingesetzten technischen und organisatorischen Maßnahmen regelmäßig zu überprüfen und weiterzuentwickeln, um den Anforderungen der Aufsichtsbehörden und der Rechtsprechung gerecht zu werden.

Warum ist eine KI-Policy unverzichtbar?

Eine KI-Policy ist mehr als ein Compliance-Dokument. Sie ist ein strategisches Steuerungsinstrument für den verantwortungsvollen Einsatz von KI im Unternehmen. Während die EU-KI-Verordnung rechtliche Mindeststandards vorgibt, schafft eine interne Policy den nötigen Rahmen, um diese Vorgaben effizient und unternehmensspezifisch umzusetzen.

Eine KI‑Policy setzt die Leitplanken für den verantwortungsvollen KI‑Einsatz. Sie klärt Zuständigkeiten, Entscheidungswege sowie den Umgang mit neuen Tools und stellt sicher, dass die menschliche Kontrolle jederzeit erhalten bleibt. Damit wird die Policy zum Orientierungsinstrument im Alltag und reduziert Unsicherheiten, gerade dort, wo neue Technologien schnell und eigeninitiativ genutzt werden.

Darüber hinaus hat eine KI-Policy einen strategischen Wert: Sie schafft Vertrauen, unterstützt die Akzeptanz bei Mitarbeitenden und Betriebsrat und signalisiert nach außen, dass das Unternehmen KI verantwortungsvoll und zukunftsorientiert einsetzt. Sie hilft, Risiken wie Diskriminierung, Intransparenz oder unzulässige automatisierte Entscheidungen zu vermeiden. Die KI-Policy stärkt nicht nur die Compliance, sondern auch die Innovationskraft und Marktposition des Unternehmens.

KI sicher steuern: Mit klarer Policy zu mehr Rechtssicherheit und Vertrauen

Der verantwortungsvolle Einsatz von KI beginnt mit einer klaren Strategie – weit über gesetzliche Mindestanforderungen hinaus. Unternehmen sollten jetzt handeln: Mit einer klaren KI-Policy, gezielter Schulung und einem strukturierten Governance-Modell lassen sich rechtliche Risiken minimieren und eine solide Basis für den sicheren Einsatz von KI im Unternehmen schaffen. Dabei kann eine zentrale Koordinationsstelle dazu dienen, die Akzeptanz bei Mitarbeitenden sowie gegebenenfalls beim Betriebsrat nachhaltig zu stärken.

Wer jetzt die erforderlichen Weichen richtig stellt, kann KI-Tools sicher und effizient nutzen und sich Wettbewerbsvorteile sichern. Ob Sie bereits KI einsetzen oder den Einstieg planen, wir unterstützen Sie dabei, rechtssicher und praxisnah zu agieren.

Neben der arbeitsrechtlichen Beratung unterstützt Sie das interdisziplinäre Consulting-Team bei Grant Thornton in Deutschland gerne auch bei der praktischen Einführung von KI-Lösungen im Unternehmen. Wir begleiten Sie bei der Entwicklung und Implementierung passgenauer Prozesse, sorgen für die Einrichtung wirksamer Kontrollmechanismen und entwickeln gemeinsam mit Ihnen – abgestimmt auf Ihre individuellen Anforderungen – eine maßgeschneiderte KI-Policy. So stellen wir sicher, dass Ihr Unternehmen nicht nur rechtssicher, sondern auch effizient und zukunftsorientiert von den Chancen der KI profitiert.

Lassen Sie uns gemeinsam Ihre KI-Strategie entwickeln.