KI-Compliance ab August: Neue Regeln für Hochrisiko-Systeme
Veröffentlicht: 07.07.2026 um 19:16 Uhr, Redaktion boerse-global.de
Time Doctor, Hubstaff, Teramind oder ActivTrak – die Liste der Software zur Mitarbeiter-Überwachung wird länger. Anbieter versprechen mehr Effizienz. Doch Arbeitsrechtler schlagen Alarm: In ihren Standard-Konfigurationen verletzen viele Tools deutsches Recht.
Der Haken liegt im Detail. Die Systeme erfassen nicht nur Arbeitszeiten, sondern auch Verhalten und Leistung. Genau das ist in Deutschland ohne Zustimmung des Betriebsrats tabu.
Wo der Betriebsrat mitreden muss
Paragraph 87 Abs. 1 Nr. 6 BetrVG ist eindeutig: Technische Einrichtungen zur Überwachung von Verhalten oder Leistung unterliegen der Mitbestimmung. Das Bundesarbeitsgericht stellt hohe Hürden auf.
Eine anlasslose Totalüberwachung? Nicht erlaubt. Die Rechtsprechung fordert einen konkreten Anlass.
Parallel dazu wächst der Druck durch die elektronische Arbeitszeiterfassung. Seit September 2022 sind Arbeitgeber verpflichtet, Beginn, Ende und Dauer der täglichen Arbeitszeit zu erfassen. Ein Referentenentwurf zur Änderung des Arbeitszeitgesetzes sieht vor: Künftig muss das elektronisch passieren.
Das BAG-Urteil zur Arbeitszeiterfassung stellt viele Unternehmen vor dringenden Handlungsbedarf, um teure Bußgelder zu vermeiden. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie die gesetzlichen Vorgaben schnell und rechtssicher umsetzen. In 10 Minuten zur gesetzeskonformen Arbeitszeiterfassung
Vertrauensarbeit bleibt möglich – die Dokumentationspflicht gilt trotzdem. Die Übergangsfristen liegen je nach Betriebsgröße zwischen einem und fünf Jahren.
KI bringt neue Risiken
Künstliche Intelligenz verändert die Spielregeln. KI-Agenten übernehmen zunehmend Aufgaben autonom – und können zur Leistungsbewertung herangezogen werden.
Der Verband deutscher ArbeitsrechtsAnwälte stellt klar: Sobald diese Systeme personenbezogene Daten verarbeiten, die eine Kontrolle ermöglichen, greift die Mitbestimmungspflicht.
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) verschärft die Lage. Zum 2. August 2026 treten zentrale Vorgaben für Hochrisiko-KI in Kraft. Dazu zählen Systeme zur Bewerberauswahl oder Leistungsbewertung.
Mit dem Inkrafttreten der EU-KI-Verordnung kommen neue Kennzeichnungs- und Dokumentationspflichten auf Betriebe zu, die KI-Systeme einsetzen. Ein kostenloser Umsetzungsleitfaden verschafft Ihnen jetzt den nötigen Überblick über alle relevanten Fristen und Risikoklassen. EU AI Act in 5 Schritten verstehen
Unternehmen müssen ihre KI-Nutzung prüfen, interne Richtlinien erstellen und Transparenz gegenüber Beschäftigten gewährleisten.
Transparenz? Fehlanzeige
Die Realität sieht anders aus. Eine Studie von techconsult im Auftrag von CANCOM und ServiceNow zeigt: 76 Prozent der mittelständischen Unternehmen setzen KI produktiv ein. Aber nur 26 Prozent haben sie vollständig in Kernprozesse integriert.
Rund 16 Prozent nutzen unkontrollierte „Schatten-KI“. Die Risiken für die Datensicherheit sind enorm.
Bitdefender kommt zu ähnlichen Ergebnissen. 47,4 Prozent der befragten IT-Profis haben nur teilweise Sichtbarkeit über die KI-Nutzung in ihrer Organisation. 45 Prozent sind besorgt über die Sicherheit interner KI-Systeme.
Diese Intransparenz erschwert die Einhaltung der DSGVO und erhöht die Gefahr von Sicherheitsvorfällen.
Was bei Verstößen droht
Die Strafen sind happig. Bei DSGVO-Verstößen drohen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
Hinzu kommen strikte Meldepflichten. Die DSGVO verlangt eine Meldung an die Aufsichtsbehörde binnen 72 Stunden. Das IT-Sicherheitsgesetz (BSIG) fordert in bestimmten Fällen eine Erstmeldung ans BSI bereits innerhalb von 24 Stunden.
Die rechtssicheren Alternativen
Experten raten zum Verzicht auf umfassende Monitoring-Lösungen. Besser: punktuelle Werkzeuge einsetzen.
Reine Zeiterfassungssysteme wie Clockodo oder Timly sowie Projekt-Tracking-Tools wie Harvest oder Toggl gelten als rechtskonforme Alternativen. Sie dokumentieren die geleistete Arbeit, ohne in Persönlichkeitsrechte einzugreifen.
Zwei Schritte sollten Unternehmen sofort umsetzen: Ein Verzeichnis aller genutzten KI-Anwendungen erstellen und Verträge mit Softwareanbietern auf europäische Datenschutzstandards prüfen.
