EU AI Act: Hochrisiko-KI muss ab August konform sein

Immer mehr Unternehmen analysieren, wie ihre Mitarbeiter mit Künstlicher Intelligenz arbeiten. Datenschützer schlagen Alarm – und die rechtlichen Hürden sind hoch.

Der Einsatz von KI-Tools am Arbeitsplatz boomt. Doch während Firmen nach Effizienzsteigerung und besseren Trainingsdaten für ihre Systeme streben, wächst der Konflikt mit Arbeitnehmerrechten. Immer häufiger geht es nicht mehr nur um allgemeine Software-Erfassung, sondern um die detaillierte Analyse einzelner KI-Interaktionen. Juristen und Datenschutzbehörden warnen vor einer neuen Form der digitalen Überwachung.

Der Einsatz von KI am Arbeitsplatz bietet enorme Chancen, bringt aber komplexe rechtliche Verpflichtungen mit sich. Dieser kostenlose Umsetzungsleitfaden hilft Unternehmen, den EU AI Act in 5 Schritten zu verstehen und Fristen sowie Pflichten rechtssicher zu meistern. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Individuelle Leistungskontrolle ist tabu

In einer aktuellen Analyse hat der Rechtsanwalt Ferner die strengen Regeln für die KI-Überwachung am Arbeitsplatz präzisiert. Die gute Nachricht für Arbeitgeber: Die Erfassung aggregierter Daten zur Kostenkontrolle ist grundsätzlich erlaubt. Doch sobald es um die individuelle Leistungsmessung geht, wird es juristisch heikel. Eine dauerhafte, umfassende Überwachung der digitalen Aktivitäten eines Mitarbeiters ist laut einem Urteil des Bundesarbeitsgerichts (BAG) vom 27. Juli 2017 unzulässig – damals ging es um den Einsatz von Keyloggern.

Ein besonders brisantes Phänomen ist das sogenannte „Tokenmaxxing". Dabei blähen Mitarbeiter ihre KI-Nutzung künstlich auf, um produktiver zu wirken. Die Rechtsexperten sind sich einig: Dies kann als schwerwiegende Pflichtverletzung mit Täuschungscharakter gewertet werden. Umgekehrt dürfen Arbeitgeber den Token-Verbrauch nicht einfach als Leistungsindikator nutzen. Amazon etwa stoppte Berichten zufolge ein internes KI-Ranking-System, nachdem Kritik laut wurde, dass die Metrik völlig falsche Anreize setze.

Und es gibt noch eine wichtige hürde: Nach § 87 des Betriebsverfassungsgesetzes (BetrVG) haben Betriebsräte ein zwingendes Mitbestimmungsrecht, wenn technische Einrichtungen eingeführt werden, die das Verhalten oder die Leistung von Arbeitnehmern überwachen können.

Meta in der Kritik: Mausbewegungen als Leistungsmesser

Der Facebook-Konzern Meta steht derzeit massiv in der Kritik. Grund ist die „Capacity Modeling Initiative" (MCI), ein Überwachungstool, das im April 2026 eingeführt wurde. Es zeichnet die Computer-Nutzung von US-Angestellten auf – inklusive Mausbewegungen, Klicks und der Navigation durch mehr als 200 Anwendungen und Websites. Meta begründet die Datensammlung mit dem Ziel, KI-Agenten für Büroaufgaben zu entwickeln.

Doch die Datenschutzorganisation NOYB hat das Tool ins Visier genommen. Interne Analysen deuten darauf hin, dass MCI auch Zwischenablage-Inhalte, Code-Änderungen und URLs erfasst – und dabei möglicherweise auch Kommunikation von Mitarbeitern außerhalb der USA aufzeichnet. „Selbst die versehentliche Erfassung von EU-Daten könnte gegen den Grundsatz der Zweckbindung der DSGVO verstoßen", warnt Kleanthi Sardeli von NOYB. Die irische Datenschutzkommission (DPC) wurde zwar über das Tool informiert, eine formelle Bewertung steht aber noch aus.

„Shadow AI": Die heimliche Nutzung als Sicherheitsrisiko

Während Unternehmen versuchen, die KI-Nutzung zu formalisieren, umgehen viele Mitarbeiter die offiziellen Wege. Eine Studie von Okta zeigt: Mehr als die Hälfte aller Büroangestellten nutzt KI-Anwendungen, die vom Arbeitgeber nicht genehmigt wurden. Der Check Point Cloud Security Report geht sogar davon aus, dass in den USA zwei Drittel der Wissensarbeiter auf nicht autorisierte Programme zurückgreifen.

Dieser trend, oft als „Shadow AI" bezeichnet, birgt erhebliche Sicherheitsrisiken. Mitarbeiter laden regelmäßig vertrauliche Unterlagen – darunter Verträge, Personalakten, Quellcode und Finanzdaten – auf private KI-Konten hoch. Nur jedes vierte Unternehmen setzt derzeit seine eigenen Sicherheitsrichtlinien zur KI-Nutzung konsequent durch. Dabei berichten mehr als die Hälfte der befragten Firmen von sicherheitsrelevanten Vorfällen im Zusammenhang mit KI.

Die Bedrohungslage entwickelt sich rasant weiter. Ein Bericht der Google Threat Intelligence Group (GTIG) vom Mai 2026 liefert den ersten bekannten Beleg dafür, dass Angreifer mithilfe von KI erfolgreich eine Zero-Day-Sicherheitslücke aufgespürt haben. Die Marktdaten vom Jahresanfang 2026 zeigen: Täglich werden 184 neue Sicherheitslücken (CVEs) identifiziert – mehr als doppelt so viele wie im Durchschnitt der Jahre 2020 bis 2025.

Neben rechtlichen Fragen stellt die unkontrollierte KI-Nutzung Unternehmen vor völlig neue Cyberrisiken durch "Shadow AI". Erfahren Sie in diesem kostenlosen Report, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit zukunftssicher aufzustellen. Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu?

EU AI Act: Strengere Regeln ab August 2026

Der rechtliche Rahmen für KI am Arbeitsplatz wird durch den EU AI Act enger. Das Gesetz trat am 1. August 2024 in Kraft, die gestaffelte Umsetzung begann am 2. Februar 2025. Hochrisiko-KI-Systeme – dazu gehören auch solche für Personalentscheidungen – müssen bis August 2026 vollständig konform sein.

Die Verordnung unterscheidet vier Risikoklassen. Verboten sind unter anderem Praktiken wie Social Scoring. Für Systeme mit begrenztem Risiko gelten Transparenzpflichten. Unternehmen, die gegen die Regeln verstoßen, drohen Strafen von bis zu 35 Millionen Euro oder 7 Prozent des gesamten weltweiten Jahresumsatzes. Artikel 4 des Gesetzes verpflichtet zudem alle Unternehmen zur KI-Kompetenz ihrer Mitarbeiter. In Deutschland ist die Bundesnetzagentur (BNetzA) als zuständige Aufsichtsbehörde benannt.

de | wirtschaft | 69458265 |