Leistungs- und Verhaltensbewertung von Mitarbeitenden: Risikoklasse und Pflichten im EU-KI-Recht
KI-Systeme zur Überwachung und Bewertung der Leistungen und des Verhaltens von Beschäftigten (Produktivitäts-Scoring, Aktivitäts-Tracking, Leistungsranking) sind nach Anhang III Nr. 4 AI Act HOCHRISKANT. Sie unterliegen spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem Pflichtenbündel aus Art. 8–15 mit Schwerpunkt Daten-Governance/Bias-Prüfung (Art. 10) und menschlicher Aufsicht (Art. 14). Arbeitgeber als Betreiber müssen Betriebsrat und Beschäftigte vor Inbetriebnahme informieren (Art. 26 Abs. 8). Überlagert: DSGVO Art. 22 (automatisierte Entscheidungen), Art. 88 (Beschäftigtendatenschutz), § 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung bei technischen Überwachungseinrichtungen). Emotionserkennung am Arbeitsplatz ist verboten (Art. 5 Abs. 1 lit. f).
Steve Baka
Hochrisiko nach Anhang III Nr. 4
Anhang III Nr. 4 erfasst KI „zur Überwachung und Bewertung der formalen und informellen Leistungen und des Verhaltens von Personen in den in den Buchstaben a) bis f) genannten Beziehungen" (Beschäftigungsverhältnisse). Beispiele: Produktivitäts-Scores (Anzahl bearbeiteter Tickets/Stück), Aktivitäts-Tracking (Tastaturanschläge, Mausbewegungen, Bildschirmzeit), Leistungsrankings, Verhaltensauswertung (Kommunikationsmuster). Grund der Einstufung: Eingriff in informationelle Selbstbestimmung, Recht auf Arbeit, Menschenwürde am Arbeitsplatz, hohes Diskriminierungsrisiko. Volles Pflichtenbündel aus Art. 8–15 spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026).
Pflichten und Mitbestimmung
Anbieter: Risikomanagement (Art. 9), Daten-Governance mit Bias-Prüfung (Art. 10 — Trainingsdaten repräsentativ und verzerrungsfrei), technische Dokumentation (Art. 11), Aufzeichnung (Art. 12), menschliche Aufsicht mit echten Eingriffsbefugnissen (Art. 14), Genauigkeit/Robustheit/Cybersecurity (Art. 15), QMS (Art. 17), Konformitätsbewertung (Selbstzertifizierung Art. 43 Abs. 2), Registrierung. Arbeitgeber als Betreiber: Schulung, Monitoring, Vorfallsmeldung (Art. 26). Transparenz: Betriebsrat und Beschäftigte müssen vor Inbetriebnahme informiert werden (Art. 26 Abs. 8). § 87 Abs. 1 Nr. 6 BetrVG verlangt zwingend Mitbestimmung bei technischen Überwachungseinrichtungen — ohne Betriebsratszustimmung ist die Einführung unwirksam.
Grenzen: Emotionserkennung und DSGVO Art. 22
Zwei harte Grenzen: (1) Emotionserkennung am Arbeitsplatz ist nach Art. 5 Abs. 1 lit. f VERBOTEN (seit 2. Feb. 2025) — Mimik-/Stimmungs-/Stressanalyse zur Leistungsbeurteilung unzulässig. (2) Art. 22 DSGVO: Betroffene haben das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die rechtliche oder ähnlich weitreichende Wirkung hat — mit Ausnahmen (Vertrag, Gesetz, Einwilligung) und menschlicher Eingriffsmöglichkeit. Eine KI-basierte Kündigung/Abmahnung/Bonusverweigerung ohne menschliche Prüfung ist datenschutzrechtlich problematisch. Praktisch: menschliche Letztverantwortung, Transparenz über Bewertungsgrundlagen, Widerspruchsmöglichkeit und Dokumentation der Fairness-Tests.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Ist Mitarbeiter-Monitoring hochriskant?
Ja. Anhang III Nr. 4 erfasst Leistungs-/Verhaltensbewertung von Beschäftigten. Volles Pflichtenbündel aus Art. 8–15 ab 2. Aug. 2026.
Muss der Betriebsrat zustimmen?
Ja. § 87 Abs. 1 Nr. 6 BetrVG verlangt Mitbestimmung bei technischen Überwachungseinrichtungen. Ohne Zustimmung ist die Einführung unwirksam. Art. 26 Abs. 8 AI Act verlangt Information.
Ist Stressanalyse von Mitarbeitern erlaubt?
Nein. Emotionserkennung am Arbeitsplatz ist verboten (Art. 5 Abs. 1 lit. f). Leistungsbezogene Stimmungs-/Stressanalyse unzulässig.
Rechtskonforme Umsetzung für Leistungs- und Verhaltensbewertung von Mitarbeitenden?
Wenn du Leistungs- und Verhaltensbewertung von Mitarbeitenden rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.