Die jüngsten Innovationen im Bereich der generativen Künstlichen Intelligenz (“generative AI”) veranlassen zahlreiche Unternehmen dazu, eigene KI-Strategien aufzusetzen und zu implementieren. KI ist insoweit ein Arbeitswerkzeug, das zahlreiche arbeitsrechtliche Implikationen aufweist. Jedes Unternehmen sollte aus Gründen präventiver Compliance mit Fokus von Schutz personenbezogener oder geschäftsbezognener Daten grundlegende Richtlinien für den Einsatz von KI formulieren.
Angesichts vieler kostenlos verfügbaren KI-Anwendungen wie Perplexity, Chat-GPT, Midjourney, DeepL oder Copilot sollten auch skeptische Arbeitgeber nicht die Augen davor verschließen, dass Mitarbeiter – besonders für einfache oder kreative Tätigkeiten – vielfach bereits auf KI-Lösungen zurückgreifen. Hierzu sind sie grundsätzlich auch berechtigt, sofern es im Betrieb keine anderslautenden Regelungen oder Anweisungen gibt. Eine Pflicht zur Offenlegung aus § 241 Abs. 2 BGB trifft Arbeitnehmer nur, wenn dem Unternehmen aus der konkreten Nutzung ein Schaden entstehen könnte – und dies für den Arbeitnehmer auch erkennbar ist. Voraussetzung hierfür ist in der Regel eine Sensibilisierung der Belegschaft über die technischen und rechtlichen Grenzen des Einsatzes von künstlicher Intelligenz. Arbeitgeber sollten daher proaktiv tätig werden. Mögliche Risiken der KI-Nutzung durch Arbeitnehmer Sicherheit von Unternehmensdaten. Zu den größten, aber auch unbekanntesten Risiken im Zusammenhang mit der Nutzung von KI-Anwendungen zählt die Preisgabe von wertvollen oder geheim zu haltenden Unternehmensdaten durch Eingabe in ein KI-System. Besonders bei kostenlosen KI-Versionen wird mit Daten „bezahlt“. Die Leistungsfähigkeit der aktuellen Large Language Models (LLMs) generativer KI-Anwendungen hängt davon ab, dass sie mit Daten trainiert werden, die von einer menschlichen Intelligenz erschaffen wurden. Der im Internet verfügbare Bestand öffentlicher Informationen ist bereits weitgehend ausgeschöpft. Das ist insbesondere für Unternehmen mit Geschäftsgeheimnissen und anderen sensiblen Datenbeständen von besonderer Relevanz.
Auch der Umgang mit personenbezogenen Daten im Zusammenhang mit künstlicher Intelligenz kann problematisch sein. Werden diese in eine KI eingegeben, muss hierfür eine datenschutzrechtliche Rechtsgrundlage,beispielsweise eine Einwilligung, vorliegen. Der von der
Datenverarbeitung Betroffene ist zudem über die Datenverarbeitung zu informieren. Bei außereuropäischen Datenverarbeitern ist des Weiteren ein sicherer Drittstaatentransfer gem. Art. 44 ff. DSGVO sicherzustellen. Diese Voraussetzungen sind regelmäßig nicht erfüllt, wenn ein Arbeitnehmer eigenverantwortlich seinen privaten KI-Account einsetzt, um seine Arbeit zu erledigen. Ebenso wenig kann davon ausgegangen werden, dass Mitarbeitern die komplexen datenschutzrechtlichen Probleme bekannt sind, sodass sie ein Störgefühl entwickeln und von einem solchen Verhalten absehen oder es dem Arbeitgeber offenlegen.
Nach Art. 22 Abs. 1 DSGVO dürfen Personen grundsätzlich nicht Entscheidungen unterworfen werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen, wenn diese ihnen gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.
Unzulässig wären damit beispielsweise der Einsatz von KI in der Personalabteilung, um Bewerbungen anhand bestimmter (ggf. von der KI festgelegter) Merkmale automatisiert auszusortieren. Aber auch Entscheidungen, welche die Interessen von Kunden berühren, sind von Art. 22 DSGVO reguliert. Unproblematisch ist es mit Blick auf Art. 22 DSGVO dagegen, durch die KI Daten zu sammeln und au fzubereiten, wenn auf dieser Grundlage letztlich der Mensch eine abschließende Entscheidung trifft. Zu beachten ist allerdings, dass HR-Anwendungen (Einstellungen, Kündigungen, Beförderungen) nach dem risikobasierten Ansatz der KI- VO als Hochrisikosysteme einzustufen sind. Anbieter solcher künstlichen Intelligenz unterliegen daher besonderen Risikomanagement- und Transparenzpflichten.
Risiken der Nutzung von KI-Anwendungen bestehen darüber hinaus insbesondere im Zusammenhang mit dem Urheberrecht. Erstens ist zu berücksichtigen, dass rein KI-generierte Arbeitsergebnisse mangels „persönlicher geistiger Schöpfung“ gem. § 2 Abs. 2 UrhG grds. nicht urheberrechtlich geschützt sind. Zweitens bestehen Haftungsrisiken, wenn die von der KI hergestellten Arbeitsergebnisse – auch unbemerkt – das Urheberrecht Dritter verletzen.
Absolutes Verbot der Nutzung
Im Rahmen ihres allgemeinen arbeitsrechtlichen Direktionsrechts aus § 106 GewO sind Arbeitgeber berechtigt, ihren Arbeitnehmern die Nutzung von KI-Anwendungen im Rahmen ihrer Arbeitstätigkeit zu verbieten.
Die bestehenden Risiken können durch ein absolutes Verbot jedoch nicht rechtssicher ausgeschlossen werden. Arbeitnehmer können sich über das Verbot hinwegsetzen und dadurch Schaden für das Unternehmen verursachen. Auch die Verletzung von Rechten Dritter ist nicht ausgeschlossen.
Zudem kann es ratsam sein, sich der neuen Technologie bereits deshalb nicht völlig zu verschließen, weil die tatsächliche Befassung mit KI-Anwendungen Kompetenzen bei den Mitarbeitern aufbaut, die sich in Zukunft aller Wahrscheinlichkeit nach auszahlen werden.
Unternehmensrichtlinien bzw. Guidelines für die Nutzung arbeitnehmereigener KI-Accounts. Oft haben Unternehmen noch keine eigene KI-Infrastruktur eingeführt. Sie können dann den Mitarbeitern die Nutzung ihres persönlichen KI-Accounts gestatten und zugleich mit Blick auf die unten dargestellten Risiken Richtlinien bzw. Guidelines für die Nutzung aufstellen.
Mitarbeiter können so für Risiken sensibilisiert und in die Lage versetzt werden, Erfahrungen im Umgang mit KI-Systemen zu erwerben. Bei der Einführung solcher KI-Richtlinien bzw. -Guidelines ist es wichtig, zunächst die eigene unternehmensspezifische Risikolage zu kennen und diese sodann bei der Aufstellung der Regeln zu berücksichtigen. Es bietet sich an, Arbeitnehmer zudem über die Funktionsweise der Systeme zu informieren und ggf. in die Technik des Promptens (also der Gestaltung von Befehlen an die KI) einzu führen.
In manchen Unternehmen kann es angebracht sein, auch abteilungsspezifische unterschiedliche Risikolagen in die Sensibilisierung und Anleitung der Arbeitnehmer einfließen zu lassen. In der Marketingabteilung wird es beispielsweise besonders wichtig sein, die urheberrechtliche Schutzfähigkeit von Ergebnissen sicherzustellen und dafür zu sensibilisieren, dass KI-Anwendungen zu weilen dazu neigen, diskriminierende Ergebnisse zu produzieren. Implementierung nach § 106 GewO Arbeitgeber können KI-Richtlinien durch eine Weisung gem. § 106 GewO implementieren. Dazu ist es erforderlich, den Arbeitnehmern das Regelwerk zugänglich zu machen und sie über die Verbindlichkeit der Regeln zu informieren. Der Zugangsnachweis ist zu dokumentieren.
Mitbestimmungsrechte des Betriebsrats bestehen nicht, sofern das Unternehmen keine eigenen KI-Systeme einführt. Solange Arbeitnehmer also ihre eigenen, persönlichen KI-Accounts benutzen, kann von einer Regelung durch Betriebsvereinbarung abgesehen werden. Insbesondere löst die KI-Anwendung kein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG aus, wenn der Arbeitgeber keine zur Überwachung geeigneten Informationen erhält. Dies folgt aus einer aktuellen Entscheidung des Arbeitsgerichts Hamburg.
Der Betriebsrat ist allerdings gem. § 90 Abs. 1 Nr. 3 BetrVG unter Vorlage der erforderlichen Unterlagen rechtzeitig zu unterrichten, da durch den Einsatz von KI Arbeitsverfahren und Arbeitsabläufe geregelt werden.
Gemäß § 80 Abs. 3 Satz 2 und 3 BetrVG kann der Betriebsrat (auf Kosten des Arbeitgebers) stets einen Sachverständigen hinzuziehen, wenn er zur Durchführung seiner Aufgaben die Einführung oder Anwendung von Künstlicher Intelligenz beurteilen muss.
Ein wirksames Risikomanagement hinsichtlich Datenschutz und Schutz von Unternehmensgeheimnissen ist nur möglich, wenn eine eigene interne KI-Lösung eingeführt wird. Microsoft 365 bietet dazu beispielsweise als relativ einfach zu erreichende Nutzungsmöglichkeit den „Copilot“ als „täglichen KI-Begleiter“ an. Für Unternehmen mit umfangreichen Datenbeständen kann es interessant sein, eigene Datenbanken mittels einer sicheren KI-Lösung aufbereiten und verarbeiten zu lassen.
Risiken, die im Zusammenhang mit dem Urheberrecht und dem sonstigen Recht des geistigen Eigentums bestehen, lassen sich allerdings auch durch unternehmenseigene KI-Lösungen nur eingeschränkt verringern. Sofern Daten über die Nutzung anfallen und diese dem Arbeitgeber die (abstrakte) Möglichkeit einer Überwachung von Leistung und/oder Verhalten der Mitarbeiter erlauben, ist das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG berührt. Dies wird in den meisten Fällen aufgrund der derzeit am Markt verfügbaren KI-Lösungen nicht zu vermeiden sein. Daneben kommt ein Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 1 BetrVG in Betracht, wenn das Ordnungsverhalten im Betrieb – im Sinne des „betrieblichen Miteinanders“ – geregelt wird.
Das ArbG Hamburg hat dazu zutreffend ausgeführt, dass die Vorgaben zur Nutzung von ChatGPT und vergleichbaren Tools nicht unter das mitbestimmungspflichtige Ordnungsverhalten fallen. Es handelt sich letztlich nur um ein neues Arbeitsmittel – betroffen ist also das mitbestimmungsfreie Arbeitsverhalten.
Bei Vorliegen konkreter Gefährdungen für die Gesundheit von Arbeitnehmern kommt auch ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 7 BetrVG – verbunden mit einer Gefährdungsbeurteilung nach § 3 BetrSichV und § 5 Abs. 3 Nr. 6 ArbSchG – in Betracht.
Alle unternehmensintern KI-Lösungen werden zudem zukünftig durch die KI-VO reguliert werden. Unabhängig von ihrer Risikoeinstufung müssen diese KI-Systeme dann den Informationspflichten des § 50 KI-VO genügen. Arbeitnehmer müssen stets erkennen können, dass sie es mit einer KI zu tun haben, sofern dies nicht offensichtlich ist. Systeme mit hohem Risiko – insbesondere Anwendungen im Personalbereich im Zusammenhang mit Einstellungen, Kündigungen, Beförderung oder sonstigen individuellen Überwachungen und Bewertungen von Arbeitnehmern – unterliegen zudem besondere Anbieter- und Betreiberpflichten. Der Arbeitgeber als Betreiber eines Systems hat dabei vor allem eine sichere Organisation und ordnungsgemäße Beaufsichtigung des Systems sicherzustellen.
Nutzen Mitarbeiter externe KI-Anbieter, um ihre Arbeitsleistung zu erbringen, geht dies mit erheblichen tatsächlichen und rechtlichen Risiken einher. Ein absolutes KI-Verbot hilft allerdings nur bedingt und ist vor allem für Hochrisikobereiche zu empfehlen. Alle anderen sollten ihre Arbeitnehmer für KI-Risiken sensibilisieren und ihnen entsprechende, verbindliche Regeln an die Hand geben. Einmal eingeführte KI-Richtlinien sollten in regelmäßigen Abständen auf ihre Konformität mit der technischen Entwicklung und ggf. veränderten rechtlichen Rahmenbedingungen überprüft werden. Die Einführung von KI-Guidelines ist daher als Sofortmaßnahme allen Arbeitgebern zu empfehlen, die die Nutzung von KI nicht vollständig verbieten wollen. Auch in Betrieben mit Betriebsrat ist die Einführung in der Regel durch „einfache“ Weisung nach § 106 GewO ohne Mitbestimmung möglich. Wird zugleich eine unternehmensinterne KI-Technik eingeführt, ist hierfür allerdings in der Regel § 87 Abs. 1 Nr. 6 BetrVG zu beachten. Zukünftig werden vermehrt auch maßgeschneiderte, anwendungsspezifische KI-Systeme in Unternehmen eingesetzt werden. Sobald die wesentlichen Vorschriften der KI-VO in Kraft treten, gelten hierfür strenge Regulierungen durch die Europäische Union. Handelt es sich um Hochrisikosysteme (so etwa im HR-Bereich), so gilt insbesondere für die Anbieter dieser KIs eine hohe Regulierungsdichte.
Auch die Unternehmen, in denen diese KI-Lösungen eingesetzt werden, sind allerdings als Betreiber dieser KI von erheblichen Pflichten betroffen. Angesichts der in diesem Jahr am 1. August in Kraft getretenen KI-VO sollte mit der betrieblichen Umsetzung begonnen werden, um diese innerhalb der zweijährigen Umsetzungsfrist bis zum Eingreifen der regulierenden Vorschriften abgeschlossen zu haben. Für alle Fragen rund um den rechtssicheren Einsatz von KI- Anwendungen aus arbeitsrechtlicher Sicht stehen wir Ihnen gerne zur Verfügung.
Mo-Sa: 10:00 – 13:00 Uhr
Mo-Fr: 14:00 – 20:00 Uhr
und nach telefonischer Vereinbarung
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Jotform. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen
German 
English 
Italian