EU AI Act Mitarbeiterüberwachung: DSGVO, Betriebsrat & 2026 Leitfaden

Kurzantwort

EU AI Act Mitarbeiterüberwachung in Deutschland ist nicht automatisch zulässig. Arbeitgeber dürfen KI nur in engen, verhältnismäßigen Konstellationen einsetzen; Emotionserkennung am Arbeitsplatz ist seit dem 2. Februar 2025 verboten, und bei arbeitsrelevanten KI-Systemen müssen Datenschutz, Mitbestimmung und Betreiberpflichten gemeinsam geprüft werden.

• Emotionserkennung am Arbeitsplatz ist seit dem 2. Februar 2025 grundsätzlich verboten.
• Vendor-Compliance ersetzt nicht die eigene Betreiber-, DSGVO- und Betriebsratsprüfung des Arbeitgebers.
• Unternehmen sollten 2026 als spätesten Readiness-Zeitpunkt behandeln und zugleich die Kommissionslinie zum 2. Dezember 2027 verfolgen.

EU AI Act Mitarbeiterüberwachung in Deutschland ist nicht automatisch zulässig. Arbeitgeber dürfen KI nur in engen, verhältnismäßigen Konstellationen einsetzen. Emotionserkennung am Arbeitsplatz ist seit 2. Februar 2025 verboten, und jede KI, die Personalentscheidungen wesentlich vorbereitet oder beeinflusst, braucht eine eigene Prüfung nach DSGVO, § 26 BDSG, BetrVG und den Betreiberpflichten des EU AI Act.

Wenn Sie die Kurzfassung vor Einkauf oder Pilot brauchen, ist sie diese:

• Keine Emotionserkennung einführen und keine Tools, die Stress, Ehrlichkeit, Motivation oder Engagement aus biometrischen Signalen ableiten sollen.
• Vendor-Compliance nie mit Arbeitgeber-Compliance verwechseln. Der Anbieter entlastet Sie nicht von Ihren eigenen Pflichten.
• Use Case vor dem Rollout sauber klassifizieren: Security-Logging, Analytics, HR-Decision-Support und biometrische Überwachung sind rechtlich unterschiedliche Kategorien.
• Datenschutz und Mitbestimmung parallel steuern: DSGVO, § 26 BDSG, Löschfristen, Zugriffsrechte und § 87 Abs. 1 Nr. 6 BetrVG gehören in dasselbe Projekt.
• 2026 als spätesten Readiness-Zeitpunkt behandeln, auch wenn die Kommission für Beschäftigungs-Hochrisiko-KI inzwischen auf 2. Dezember 2027 verweist.

2. August 2026 oder 2. Dezember 2027? Welche Frist Arbeitgeber verfolgen sollten

Gerade beim Thema Mitarbeitermonitoring kursieren noch viele veraltete Zeitachsen. Die AI-Act-FAQ der Europäischen Kommission beschreibt weiterhin den 2. August 2026 als Stichtag für Annex-III-Hochrisiko-Pflichten und Transparenzpflichten nach Art. 50. Die zentrale AI-Act-Policy-Seite der Kommission wurde nach der politischen Einigung vom 7. Mai 2026 aber bereits angepasst und nennt für Hochrisiko-Bereiche einschließlich Beschäftigung den 2. Dezember 2027.

Für deutsche Arbeitgeber folgt daraus kein Anlass zum Abwarten, sondern eher das Gegenteil:

1. Verbote gelten schon jetzt, insbesondere seit 2. Februar 2025.
2. Governance für Beschäftigungs-KI muss vor dem Einsatz stehen, nicht erst bei behördlicher Nachfrage.
3. 2026 bleibt der späteste sinnvolle interne Vorbereitungszeitpunkt, selbst wenn die finale Annex-III-Anwendung für Beschäftigung auf 2. Dezember 2027 rutscht.

Denn auch vor der vollen Hochrisiko-Anwendung können datenschutzrechtliche, mitbestimmungsrechtliche und reputationsbezogene Risiken sofort eintreten.

Warum „der Anbieter ist compliant“ rechtlich nicht reicht

Ein häufiger Fehler in Projekten zur Mitarbeiterüberwachung ist die Annahme, die rechtliche Einordnung ließe sich an den SaaS-Anbieter delegieren. So funktioniert die Risikoverteilung praktisch nicht.

Der Anbieter kann Provider des Systems sein. Der Arbeitgeber ist regelmäßig aber der Deployer des konkreten betrieblichen Einsatzes. Der Arbeitgeber legt fest:

• welche Teams oder Rollen betroffen sind
• welche Datenpunkte erhoben werden
• wer Dashboards, Alerts oder Rankings sehen darf
• ob Outputs in Vergütung, Bewertung, Disziplinarmaßnahmen oder Kündigungen einfließen
• ob der Rollout vor Abschluss der Mitbestimmung startet

Damit beantwortet ein DPA, ein Security-Paper oder eine AI-Act-Selbstdarstellung des Anbieters noch nicht die entscheidenden deutschen Rechtsfragen. Sie müssen weiterhin Erforderlichkeit nach § 26 BDSG, Transparenz nach Art. 13 und 14 DSGVO, mögliche Art.-22-DSGVO-Risiken, Löschfristen, interne Berechtigungskonzepte und die Mitbestimmung nach BetrVG prüfen.

Wenn intern gesagt wird „der Vendor ist AI-Act-compliant“, sollte die Anschlussfrage immer lauten: Für welchen intended use und unter wessen Governance?

Welche Formen der Mitarbeiterüberwachung verboten, hochriskant oder eher vertretbar sind

Nicht jedes Workplace-AI-Feature gehört in dieselbe rechtliche Schublade. Für die Praxis hilft diese Trennung:

Anwendungsfall	Praktische Einordnung	Hauptproblem
Enge Security-Logs, Fraud-Alerts oder Zutrittsanalytik mit kurzer Speicherdauer	Häufig vertretbar mit Kontrollen	Verhältnismäßigkeit, Information, Löschung, Zugriffsbeschränkung
Produktivitätsanalysen, Workflow-Scoring, Manager-Dashboards oder Queue-Priorisierung	Erhöhtes Risiko	Erforderlichkeit nach § 26 BDSG, Mitbestimmung, verdeckte HR-Nutzung
KI mit Einfluss auf Bewertung, Einsatzplanung, Beförderung, Sanktion oder Kündigung	Hohe Prüfungsdichte	Beschäftigungs-Hochrisiko, Profiling, menschliche Aufsicht, Dokumentation
Emotionserkennung, biometrische Stimmungsanalyse oder Ehrlichkeits-/Engagement-Scoring	Regelmäßig verboten oder zu vermeiden	Art. 5 AI Act, Art. 9 DSGVO, massives arbeitsrechtliches Risiko
Gesichtserkennung für Zeiterfassung oder dauerhafte Identitätsverfolgung	Sehr schwer zu rechtfertigen	Besondere Kategorien personenbezogener Daten, DSFA, Widerstand des Betriebsrats

Für angrenzende Themen siehe auch KI-Hiring-Tools, KI-Recruitment-Screening und KI-Gesichtserkennung.

Die klare Verbotslinie: Emotionserkennung ist bereits raus

Hier ist die Rechtslage derzeit am eindeutigsten. Die Europäische Kommission nennt Emotionserkennung in Arbeitsumgebungen ausdrücklich als verbotene KI-Praxis. Diese Verbote gelten seit 2. Februar 2025.

Für Arbeitgeber heißt das: Tools, die aus Stimme, Mimik, Webcam-Signalen, Tippverhalten oder ähnlichen Proxys Stress, Motivation, Müdigkeit, Ehrlichkeit oder „Einstellung“ ableiten sollen, gehören in aller Regel nicht in den Betrieb, sofern keine enge medizinische oder sicherheitsbezogene Ausnahme vorliegt.

Es hilft rechtlich nicht, wenn der Anbieter dieselbe Funktion als „Wellbeing“, „Engagement Intelligence“ oder „Meeting Quality“ vermarktet. Maßgeblich ist, was das System tatsächlich über Beschäftigte inferiert.

DSGVO, § 26 BDSG und Art. 22 DSGVO bleiben der Kern

Auch wenn ein Einsatz nicht verboten ist, bleibt die eigenständige Beschäftigtendatenschutz-Prüfung zentral. In der Praxis ist vor allem diese Normenkette relevant:

• Art. 5 DSGVO für Zweckbindung, Datenminimierung, Speicherbegrenzung und Transparenz
• Art. 6 DSGVO für die allgemeine Rechtsgrundlage
• § 26 BDSG für die arbeitsbezogene Erforderlichkeit
• Art. 9 DSGVO bei biometrischen oder sonstigen besonderen Kategorien personenbezogener Daten
• Art. 22 DSGVO bei ausschließlich automatisierten Entscheidungen mit erheblicher Wirkung
• Art. 35 DSGVO für die Datenschutz-Folgenabschätzung

Eine Einwilligung der Beschäftigten ist meist keine belastbare Hauptgrundlage. Praktisch entscheidend ist vielmehr, ob Sie die Maßnahme als erforderlich, verhältnismäßig und eng begrenzt begründen können.

Vor dem Rollout sollten mindestens diese fünf Fragen schriftlich beantwortet sein:

1. Welches konkrete Problem soll das System lösen?
2. Warum ist dafür gerade KI erforderlich und kein milderes Mittel ausreichend?
3. Welche Beschäftigtendaten werden verarbeitet und wie lange?
4. Fließen Outputs in Bewertung, Einsatzplanung, HR-Maßnahmen oder Kündigungen ein?
5. Welcher menschliche Review- und Eskalationspfad greift bei Fehlalarmen, Bias oder Übermaß?

Wenn diese Antworten unklar bleiben, ist das Projekt noch nicht go-live-fähig.

Mitbestimmung muss vor Einkauf und Pilot geklärt werden

Viele Projekte scheitern nicht an der Technik, sondern an der falschen Reihenfolge. § 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat Mitbestimmungsrechte bei technischen Einrichtungen, die Verhalten oder Leistung von Arbeitnehmern überwachen können. Diese Schwelle ist weit.

Erfasst werden damit nicht nur klassische Überwachungsprodukte. Auch Manager-Dashboards, Produktivitätswerte, Insider-Risk-Alerts, Quality-Scoring, Aktivitätslogs und KI-gestützte Workforce-Analytics können darunter fallen, wenn sie zur Leistungs- oder Verhaltensbeobachtung eingesetzt werden können.

Für die Praxis heißt das:

• Vendor nicht unterschreiben, bevor der Use Case eingegrenzt ist
• Pilot nicht starten, bevor der Mitbestimmungspfad steht
• keine granularen Manager-Zugriffe zusagen, bevor die Betriebsvereinbarung vorbereitet ist

Das betrifft auch Enterprise-Search-Rollouts: Wenn Microsoft 365, Google Workspace oder Confluence KI-gestützt über Mitarbeiterdokumente, E-Mails und Chats suchen, können Query Logs, Sichtbarkeiten und Snippets denselben Mitbestimmungstatbestand auslösen. Den Vollrahmen dazu behandeln wir in unserem Leitfaden zu Enterprise Search und DSGVO.

Eine belastbare Betriebsvereinbarung für KI-Monitoring regelt typischerweise:

• den genauen Zweck des Tools
• die betroffenen Beschäftigtengruppen
• erhobene und ausgeschlossene Datenkategorien
• Zugriffsrechte von Führungskräften, HR, Compliance und Anbietern
• Löschfristen und Archivierungsgrenzen
• die Nutzung oder Nichtnutzung für Disziplinarmaßnahmen
• menschliche Review- und Eskalationsschritte
• Audit-, Test- und Change-Management-Pflichten

Brauchen private Arbeitgeber eine Pflicht-Analyse nach Art. 27 AI Act?

Nicht automatisch. Dieser Punkt wird in vielen Sekundärquellen zu pauschal dargestellt.

Die AI Act Service Desk-Erläuterung der Kommission beschreibt Art. 27 als Pflicht zur Fundamental Rights Impact Assessment vor dem Einsatz für öffentliche Stellen, private Unternehmen mit öffentlichen Dienstleistungen und bestimmte weitere Annex-III-Fälle. Für den typischen privaten Arbeitgeber stehen deshalb meist zuerst diese Bausteine im Vordergrund:

• Systemklassifizierung und intended use
• Betreiberanweisungen und menschliche Aufsicht
• Provider-Dokumentation und Einsatzgrenzen
• DSGVO-Dokumentation und gegebenenfalls DSFA
• Mitbestimmung und interne Nutzungsrichtlinien

Das ändert nichts daran, dass eine strukturierte Grundrechts- oder Risikoanalyse sinnvoll sein kann, wenn ein Tool spürbar in Rechte von Beschäftigten eingreift. Es ist nur nicht automatisch dieselbe formale Pflicht für jeden privaten Arbeitgeber.

Praktische Rollout-Checkliste für Arbeitgeber in Deutschland

Vor jedem Einsatz von AI Employee Monitoring in Deutschland sollten Arbeitgeber typischerweise diese Reihenfolge abarbeiten:

1. Use Case präzise mappen. Trennen Sie IT-Sicherheit, Workflow-Analytik, HR-Decision-Support und biometrische Überwachung.
2. Verbotene Features zuerst streichen. Entfernen Sie Emotionserkennung, pseudo-psychologische Scores und ähnliche Inferenzfunktionen.
3. Rechtsrisiko gemeinsam klassifizieren. Prüfen Sie DSGVO, § 26 BDSG, Art. 22 DSGVO, Mitbestimmung und mögliche AI-Act-Relevanz zusammen.
4. Vendor-Modell vertraglich und technisch absichern. Klären Sie Hosting, Unterauftragsverarbeiter, Löschung, Trainingsausschlüsse, Audit-Logs und intended-use-Grenzen.
5. Dokumentationspaket vorbereiten. Aktualisieren Sie Datenschutzhinweise, Verzeichnisse, Löschregeln, Zugriffskonzepte und DSFA-Unterlagen.
6. Betriebsrat früh einbinden. Besteht ein Betriebsrat, muss die Abstimmung vor Pilot und Rollout beginnen.
7. Manager-Nutzung begrenzen. Experimentelle Scores dürfen nicht nebenbei Vergütung, Sanktionen oder Beförderungen steuern.
8. Interne Nutzer schulen. Die KI-Kompetenzpflicht gilt seit 2. Februar 2025; HR, IT, Compliance und Führungskräfte müssen das System und seine Grenzen verstehen.

Für die allgemeine Fristenlage siehe unsere EU AI Act August 2026 Frist-Checkliste sowie den Leitfaden zu AI Scheduling Optimization.

FAQ

Dürfen Arbeitgeber KI zur Mitarbeiterüberwachung einsetzen?

Ja, aber nur in begrenzten und verhältnismäßigen Fällen. Arbeitgeber brauchen eine belastbare Rechtsgrundlage, eine dokumentierte Erforderlichkeit und häufig die Beteiligung des Betriebsrats.

Ersetzt Vendor-Compliance die Pflichten des Arbeitgebers?

Nein. Der Anbieter kann mit Dokumentation und technischen Kontrollen helfen, aber der Arbeitgeber bleibt für Zweckbindung, Löschung, Managerzugriffe und den Einsatz der Outputs im Beschäftigungsverhältnis verantwortlich.

Ist Emotionserkennung am Arbeitsplatz erlaubt?

Nein, abgesehen von engen medizinischen oder sicherheitsbezogenen Ausnahmen. Die Kommission behandelt Emotionserkennung im Arbeitsumfeld seit 2. Februar 2025 als verbotene KI-Praxis.

Ist KI-Mitarbeiterüberwachung immer Hochrisiko?

Nein. Enge Security- oder Zutrittsfunktionen sind nicht automatisch Hochrisiko. Sobald ein System aber Bewertung, Einsatzplanung, Beförderung, Disziplinarmaßnahmen oder Kündigungen wesentlich beeinflusst, steigt die Prüfungsdichte erheblich.

Brauchen private Arbeitgeber immer eine Fundamental Rights Impact Assessment?

Nein. Art. 27 ist keine pauschale Pflicht für jeden privaten Arbeitgeber. Häufig stehen zunächst DSFA, interne Risikoanalyse und belastbare Governance im Vordergrund.

Muss der Betriebsrat KI-Monitoring-Tools zustimmen?

In vielen Fällen ja. § 87 Abs. 1 Nr. 6 BetrVG erfasst viele technische Systeme, die Verhalten oder Leistung von Arbeitnehmern überwachen können, auch wenn sie als Analytics- oder Produktivitätstools verkauft werden.

Kontakt zu Compound Law

Wenn Ihr Unternehmen Produktivitätsanalytik, Insider-Risk-Tools, AI Scheduling, HR-Dashboards oder biometrische Workplace-Kontrollen prüft, lautet die eigentliche Rechtsfrage nicht, ob die Software ein AI-Label trägt. Entscheidend ist, ob der konkrete Rollout unter DSGVO, § 26 BDSG, BetrVG und der sich entwickelnden EU-AI-Act-Zeitachse belastbar ist.

Compound Law berät Arbeitgeber, Gründer und Legal Teams zu EU AI Act Mitarbeiterüberwachung in Deutschland, einschließlich Vendor Review, DSFA, Betriebsvereinbarung und Rollout-Governance. Für eine projektspezifische Einschätzung kontaktieren Sie unser Team. Diese Seite enthält nur allgemeine Informationen und ersetzt keine Rechtsberatung im Einzelfall.