Künstliche Intelligenz hält in immer mehr Betrieben Einzug: vom KI-Assistenten im Kundenservice über automatisierte Bewerbervorauswahl bis zur Texterstellung mit ChatGPT. Was als Effizienzgewinn beginnt, kann für Arbeitgeber jedoch schnell zu einem rechtlichen Risiko werden. Wer KI einsetzt, ohne Datenschutz, Mitbestimmung und die neue EU-Regulierung im Blick zu haben, riskiert Bußgelder, Schadensersatzforderungen und Streit mit dem Betriebsrat.
Dieser Beitrag gibt Arbeitgebern einen praxisnahen Überblick über die wichtigsten rechtlichen Risiken beim Einsatz von KI im Unternehmen. Weiterführende Einordnungen rund um Digitalisierung und den sinnvollen KI-Einsatz im Mittelstand bietet etwa das Fachportal DigitalEngagiert.de – der folgende Text konzentriert sich gezielt auf die juristische Seite, die in vielen Unternehmen noch unterschätzt wird.
Die EU-KI-Verordnung: ein neuer Rechtsrahmen für Arbeitgeber
Mit der KI-Verordnung (AI Act) hat die EU erstmals einheitliche Regeln für den Einsatz künstlicher Intelligenz geschaffen, die schrittweise in Kraft treten. Für Arbeitgeber besonders relevant: Bereits seit dem 2. Februar 2025 gilt die Pflicht zur sogenannten KI-Kompetenz (Art. 4). Unternehmen müssen sicherstellen, dass alle Beschäftigten, die KI-Systeme einsetzen, ausreichend geschult sind und die Risiken verstehen.
Noch weitreichender sind die Pflichten für Hochrisiko-KI. Viele Werkzeuge zur Personalauswahl, zum Recruiting und zur Leistungsbewertung fallen unter Anhang III der Verordnung und gelten damit als Hochrisiko-Anwendungen. Die entsprechenden Anforderungen greifen gestaffelt ab 2026, einzelne Fristen reichen bis 2027. Arbeitgeber sollten frühzeitig prüfen, welche ihrer Systeme betroffen sind. Einen offiziellen Überblick liefert die EU-Kommission zum europäischen Rechtsrahmen für KI.
Datenschutz: Wenn KI personenbezogene Daten verarbeitet
Sobald ein KI-System personenbezogene Daten verarbeitet – etwa Bewerberunterlagen, Leistungsdaten oder Kundeninformationen – greift die Datenschutz-Grundverordnung (DSGVO). Arbeitgeber müssen eine Rechtsgrundlage nachweisen, die Betroffenen transparent informieren und bei risikoreichen Anwendungen eine Datenschutz-Folgenabschätzung durchführen. Im Beschäftigungskontext kommt zusätzlich der Beschäftigtendatenschutz nach § 26 BDSG hinzu.
Besonders heikel ist Art. 22 DSGVO: Vollautomatisierte Entscheidungen mit rechtlicher Wirkung – etwa eine reine KI-Absage im Bewerbungsverfahren ohne menschliche Prüfung – sind grundsätzlich unzulässig. Wer hier unsicher ist, sollte vor dem Produktivbetrieb eine anwaltliche Prüfung der Datenverarbeitung einholen, um Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes zu vermeiden.
Mitbestimmung: Der Betriebsrat entscheidet mit
Wo ein Betriebsrat besteht, ist die Einführung von KI selten allein Sache der Geschäftsführung. Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein zwingendes Mitbestimmungsrecht bei technischen Einrichtungen, die geeignet sind, Verhalten oder Leistung der Beschäftigten zu überwachen – und genau das trifft auf viele KI-Tools zu. Den genauen Wortlaut der Norm finden Sie in § 87 BetrVG.
Hinzu kommen die Unterrichtungs- und Beratungspflicht bei der Planung (§ 90 BetrVG), das Mitbestimmungsrecht bei Auswahlrichtlinien für KI-gestützte Personalauswahl (§ 95 Abs. 2a BetrVG) sowie das Recht des Betriebsrats, einen sachkundigen Berater hinzuzuziehen (§ 80 Abs. 3 BetrVG). Erste arbeitsgerichtliche Entscheidungen befassen sich bereits mit dem betrieblichen Einsatz von Tools wie ChatGPT. Wird die Mitbestimmung übergangen, drohen Unterlassungsansprüche und ein faktischer Einführungsstopp.
Diskriminierung: Wenn Algorithmen benachteiligen
KI-Systeme lernen aus historischen Daten – und übernehmen dabei oft bestehende Verzerrungen. Bevorzugt ein Recruiting-Algorithmus unbewusst bestimmte Gruppen oder benachteiligt er etwa Frauen, ältere Bewerber oder Menschen mit Behinderung, haftet der Arbeitgeber nach dem Allgemeinen Gleichbehandlungsgesetz (AGG). Betroffene können Entschädigung verlangen, ohne dem Unternehmen Vorsatz nachweisen zu müssen.
Der Verweis auf die Software entlastet nicht: Rechtlich verantwortlich bleibt das Unternehmen, das die KI einsetzt. Arbeitgeber sollten eingesetzte Systeme daher regelmäßig auf diskriminierende Effekte testen und die Ergebnisse dokumentieren. Bei konkreten Vorwürfen ist eine fachkundige arbeitsrechtliche Beratung ratsam, um Haftungsrisiken realistisch einzuschätzen.
Geschäftsgeheimnisse und Vertraulichkeit
Ein in der Praxis häufig unterschätztes Risiko: Mitarbeitende geben vertrauliche Inhalte – Verträge, Quellcode, Kundendaten oder Strategiepapiere – in öffentlich zugängliche KI-Tools ein. Damit können Geschäftsgeheimnisse den Schutz nach dem Geschäftsgeheimnisgesetz (GeschGehG) verlieren, weil keine „angemessenen Geheimhaltungsmaßnahmen“ mehr vorliegen. Auch vertragliche Vertraulichkeitspflichten gegenüber Kunden können verletzt werden.
Arbeitgeber sollten deshalb klar regeln, welche Daten in welche Tools eingegeben werden dürfen, und auf Lösungen mit vertraglich zugesicherter Datenverarbeitung setzen, statt auf frei verfügbare Consumer-Dienste.
Urheberrecht und Haftung für KI-Ergebnisse
KI-generierte Texte, Bilder oder Code werfen eigene Fragen auf. Rein maschinell erzeugte Werke genießen in der Regel keinen eigenen Urheberrechtsschutz, weil die nötige menschliche Schöpfungshöhe fehlt. Gleichzeitig kann die Nutzung von KI-Ausgaben fremde Rechte verletzen, wenn das Modell geschützte Inhalte reproduziert. Wer KI-Ergebnisse kommerziell verwendet, trägt das Verletzungsrisiko.
Hinzu kommt die allgemeine Sorgfaltspflicht: Verlässt sich ein Unternehmen ungeprüft auf fehlerhafte KI-Ausgaben, kann das zu Haftung gegenüber Kunden und im Innenverhältnis bis hin zur Geschäftsführerhaftung führen. Eine menschliche Endkontrolle bleibt rechtlich unverzichtbar.
So minimieren Arbeitgeber die rechtlichen Risiken
Die gute Nachricht: Mit klaren Regeln lassen sich die meisten Risiken beherrschen. Bewährt hat sich ein Bündel aus organisatorischen und rechtlichen Maßnahmen:
- Interne KI-Richtlinie: verbindlich festlegen, welche Tools erlaubt sind und welche Daten eingegeben werden dürfen.
- Schulungen: die Pflicht zur KI-Kompetenz aus dem AI Act ernst nehmen und Beschäftigte regelmäßig fortbilden.
- Betriebsrat früh einbinden: idealerweise eine Betriebsvereinbarung zum KI-Einsatz abschließen.
- Datenschutz absichern: Rechtsgrundlagen, Folgenabschätzung und menschliche Letztentscheidung dokumentieren.
- Verträge prüfen: Auftragsverarbeitung, Vertraulichkeit und Haftung mit den KI-Anbietern klar regeln.
Weil die Rechtslage komplex ist und sich mit dem AI Act weiter entwickelt, lohnt sich für die rechtssichere Gestaltung eine spezialisierte rechtliche Begleitung. So nutzen Arbeitgeber die Chancen der KI, ohne in vermeidbare Haftungsfallen zu geraten.
Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung im Einzelfall.
- KI im Unternehmen: Welche rechtlichen Risiken Arbeitgeber kennen müssen - 19. Juni 2026
- 7 rechtliche Fallstricke beim privaten Immobilienverkauf - 17. Juni 2026
- Sparpotenzial und Fallstricke: Ein Leitfaden für Fastfood Gutscheine - 15. Juni 2026
Verwandte Posts:
Abmahnung im Arbeitsverhältnis: Typische Fehler und angemessene Reaktionen
DSGVO-Entwicklung 2026: Was sich für Newsletter und E-Mail-Marketing ändert
Digitale Begriffe im Recht: Warum Verbraucher Datenschutz, Tracking und Targeting verstehen sollten
DSGVO-konformes Praxismarketing: Was Ärzte beim Online-Marketing rechtlich beachten müssen
