Anwaltskanzlei Lutz Färber
Switch to English

Einordnung

KI-Nutzung durch Mitarbeitende: Welche Regeln Arbeitgeber intern schaffen sollten

KI wird in Unternehmen selten nur durch Strategie eingeführt. Häufig beginnt sie viel leiser: Ein Mitarbeiter lässt eine E-Mail formulieren. HR überarbeitet eine Stellenanzeige. Vertrieb fasst Kundennotizen zusammen. Marketing erzeugt Texte. Eine Führungskraft lässt eine schwierige Nachricht vorbereiten. Das ist praktisch. Aber ohne Regeln entsteht keine Innovation. Es entsteht Schatten-KI.

Diese Einordnung richtet sich an Arbeitgeber, Geschäftsführer und HR. Sie zeigt, warum Unternehmen die KI-Nutzung durch Mitarbeitende nicht einfach laufen lassen sollten und welche rechtlichen Fragen vor einer internen Regelung zu prüfen sind.

Arbeitgeber-ArbeitsrechtLesezeit: ca. 13 MinutenFür Arbeitgeber, Geschäftsführer und HR
Erstgespräch anfragenMehr zum Senior Legal Advisor
KI-Nutzung durch Mitarbeitende - Digitales Netzwerk und künstliche Intelligenz

Einordnung ersetzt keine Rechtsberatung

Diese Einordnung zeigt typische rechtliche Fragen bei KI-Nutzung durch Mitarbeitende. Sie ersetzt keine Prüfung des Einzelfalls. Ob Datenschutz, Betriebsrat, Geschäftsgeheimnisse, Urheberrecht, Auftragsverarbeitung, AI Act oder Haftungsfragen konkret relevant sind, hängt von Tool, Zweck, Datenkategorien, Beschäftigtenbezug, Betriebsratsstruktur, Anbieterbedingungen und tatsächlicher Nutzung ab.

Worum es in dieser Einordnung geht

KI-Nutzung durch Mitarbeitende ist kein Randthema der IT. Arbeitgeber müssen klären, welche Tools genutzt werden dürfen, welche Daten ausgeschlossen sind, wer Ergebnisse prüft, wann der Betriebsrat einzubeziehen ist, wie Geschäftsgeheimnisse geschützt werden und welche Schulung erforderlich ist.

  • Viele Unternehmen haben KI-Nutzung im Alltag, bevor sie eine KI-Regelung haben.
  • Arbeitgeber sollten erlaubte und verbotene KI-Anwendungen klar unterscheiden.
  • Personenbezogene Daten, Beschäftigtendaten, Kundendaten und Geschäftsgeheimnisse brauchen besondere Schutzregeln.
  • Besteht ein Betriebsrat, können Mitbestimmungsrechte je nach Tool und Nutzung relevant werden.
  • AI Literacy nach Art. 4 AI Act ist ein wichtiger Bezugspunkt für Schulung und Sensibilisierung.
  • KI-Ergebnisse sollten nicht ungeprüft für Kunden, Bewerbungen, Personalentscheidungen, Verträge oder Fachtexte genutzt werden.
  • Der Beitrag bietet eine allgemeine Einordnung und ersetzt keine Prüfung des Einzelfalls.

Warum KI-Nutzung für Lutz Färber keine Frage von Erlauben oder Verbieten ist

Lutz Färber begleitet Arbeitgeber, Geschäftsführer und Leitungsorgane dort, wo neue Arbeitsmittel in bestehende Verantwortung hineinwachsen.

KI ist ein gutes Beispiel.

Sie kommt nicht immer mit Projektplan, Budget und Vorstandsbeschluss ins Unternehmen. Sie kommt durch den Alltag. Durch Neugier. Durch Zeitdruck. Durch Mitarbeitende, die Arbeit schneller machen wollen. Durch Führungskräfte, die eine Formulierung brauchen. Durch HR, Marketing, Vertrieb, Controlling oder IT.

Das ist nicht automatisch falsch.

Aber ohne Regeln wird es zufällig.

Aus Lutz' Sicht lautet die entscheidende Frage deshalb nicht: Dürfen Mitarbeitende KI nutzen oder nicht?

Die bessere Frage lautet: Unter welchen Bedingungen darf KI so genutzt werden, dass Daten, Rechte, Geschäftsgeheimnisse, Menschen und Unternehmensverantwortung geschützt bleiben?

Warum Schatten-KI im Unternehmen entsteht

Schatten-KI entsteht selten aus böser Absicht.

Meist entsteht sie, weil Mitarbeitende ein Problem lösen wollen. Eine E-Mail muss besser klingen. Ein Angebot soll schneller geschrieben werden. Eine Tabelle soll verständlicher werden. Eine Präsentation braucht Struktur. Eine Bewerbung soll zusammengefasst werden. Ein Protokoll soll lesbar werden.

KI hilft.

Aber sie hilft oft schneller, als das Unternehmen Regeln formuliert.

Dann entscheidet jeder selbst: welches Tool genutzt wird, welche Daten eingegeben werden, welche Ergebnisse übernommen werden, welche Quellen geprüft werden und was vertraulich bleibt.

Das ist der kritische Punkt.

Nicht die Nutzung von KI ist das eigentliche Problem. Das Problem ist ungeregelte Nutzung.

1. KI-Nutzung ist ein Arbeitgeberthema

KI-Nutzung durch Mitarbeitende ist nicht nur IT.

Sie betrifft Arbeitgeberpflichten, Arbeitsorganisation, Datenschutz, Geschäftsgeheimnisse, Betriebsrat, Urheberrecht, Kundenschutz, Haftung und Führung.

Zu klären sind insbesondere:

  • -Welche KI-Tools werden bereits genutzt?
  • -Welche Abteilungen nutzen KI?
  • -Welche Zwecke sind erlaubt?
  • -Welche Zwecke sind verboten?
  • -Welche Daten dürfen eingegeben werden?
  • -Welche Daten dürfen nie eingegeben werden?
  • -Wer prüft Ergebnisse?
  • -Wer haftet für Arbeitsergebnisse?
  • -Welche Freigaben sind erforderlich?
  • -Wer dokumentiert Tool-Nutzung und Entscheidungen?
  • -Wer schult Mitarbeitende?

Arbeitgeber müssen KI nicht erst dann ordnen, wenn ein Fehler passiert.

Dann ist aus Regelungsbedarf meistens schon Schadensbegrenzung geworden.

2. Erlaubte und verbotene Anwendungsfälle

Eine gute interne KI-Regel unterscheidet nicht nur zwischen erlaubt und verboten. Sie unterscheidet nach Risiko.

Bestimmte Anwendungen können unproblematischer sein, etwa allgemeine Formulierungshilfe ohne vertrauliche Informationen. Andere Anwendungen können riskant sein, etwa die Eingabe von Kundendaten, Beschäftigtendaten, Geschäftsgeheimnissen, Vertragsentwürfen, Kalkulationen, Gesundheitsdaten oder personenbezogenen Leistungsinformationen.

Zu regeln sind insbesondere:

  • -Welche Tools sind freigegeben?
  • -Welche Tools sind verboten?
  • -Welche Zwecke sind erlaubt?
  • -Welche Zwecke brauchen vorherige Freigabe?
  • -Welche Zwecke sind ausgeschlossen?
  • -Welche Datenklassen gibt es?
  • -Welche Inhalte dürfen nicht eingegeben werden?
  • -Welche Ergebnisse müssen fachlich geprüft werden?
  • -Welche Ergebnisse dürfen nicht automatisiert übernommen werden?
  • -Welche Anwendungen sind nur nach Datenschutz-, IT- oder Rechtsprüfung zulässig?

Eine KI-Regel, die alles verbietet, wird im Alltag umgangen.

Eine KI-Regel, die alles erlaubt, ist keine Regel.

Die Kunst liegt in der brauchbaren Grenze.

3. Datenschutz und Beschäftigtendaten

KI-Nutzung kann Datenschutzfragen auslösen, wenn personenbezogene Daten verarbeitet werden.

Das betrifft nicht nur Kundendaten. Auch Beschäftigtendaten können betroffen sein: Bewerbungsunterlagen, Krankheitsdaten, Leistungsnotizen, Gesprächsprotokolle, Zielerreichung, Arbeitszeit, Personalakten, Feedback, E-Mails oder interne Konflikte.

Je nach Verarbeitung können DSGVO, Art. 88 DSGVO und Paragraph 26 BDSG relevant werden. Paragraph 26 BDSG regelt Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Art. 28 DSGVO kann bei Auftragsverarbeitung relevant werden. Art. 32 DSGVO betrifft die Sicherheit der Verarbeitung.

Zu prüfen sind insbesondere:

  • -Welche personenbezogenen Daten werden eingegeben?
  • -Sind Beschäftigtendaten betroffen?
  • -Zu welchem Zweck erfolgt die Verarbeitung?
  • -Besteht eine Rechtsgrundlage?
  • -Ist Datenminimierung gewahrt?
  • -Wer ist Verantwortlicher?
  • -Liegt Auftragsverarbeitung vor?
  • -Gibt es Drittlandtransfers?
  • -Welche technischen und organisatorischen Maßnahmen bestehen?
  • -Wie werden Eingaben und Ergebnisse gelöscht?
  • -Welche Mitarbeitenden müssen informiert werden?

Der Satz "Ich habe nur schnell etwas in die KI kopiert" ist datenschutzrechtlich selten eine gute Verteidigung.

Schnell ist kein Zweck. Praktisch ist keine Rechtsgrundlage.

Quellen: DSGVO, Art. 28 DSGVO, Art. 32 DSGVO, Art. 88 DSGVO, Paragraph 26 BDSG

4. Geschäftsgeheimnisse und vertrauliche Informationen

KI-Tools werden besonders gern mit Informationen gefüttert, die eigentlich besonders geschützt werden müssten.

Kalkulationen. Kundenlisten. Strategiepapiere. Vertragsentwürfe. Produktideen. Technische Dokumentationen. Quellcode. M&A-Unterlagen. Bewerberprofile. Interne Konfliktvermerke. Angebote. Preislisten. Prozesswissen.

Paragraph 2 GeschGehG definiert Geschäftsgeheimnisse unter anderem als Informationen, die geheim sind, von wirtschaftlichem Wert sind, Gegenstand angemessener Geheimhaltungsmaßnahmen sind und bei denen ein berechtigtes Interesse an Geheimhaltung besteht.

Für Arbeitgeber bedeutet das: Interne KI-Regeln können Teil angemessener Schutzmaßnahmen sein. Ohne klare Vorgaben wird es schwieriger zu erklären, wie vertrauliche Informationen geschützt werden.

  • -Welche Informationen gelten als vertraulich?
  • -Welche Informationen sind Geschäftsgeheimnisse?
  • -Welche Informationen dürfen niemals in externe KI-Tools eingegeben werden?
  • -Welche Tools sind für vertrauliche Inhalte freigegeben?
  • -Welche Vertraulichkeitspflichten gelten für Mitarbeitende?
  • -Wie werden Mitarbeitende geschult?
  • -Wie wird der Zugriff kontrolliert?
  • -Wie werden Verstöße dokumentiert und behandelt?

Geschäftsgeheimnisse verlieren ihren Schutz nicht erst, wenn jemand sie verkauft.

Manchmal beginnt das Problem mit einem gut gemeinten Prompt.

Quelle: Paragraph 2 GeschGehG

5. Urheberrecht, Quellen und Arbeitsergebnisse

KI wird häufig für Texte, Bilder, Präsentationen, Code, Übersetzungen, Konzepte, Marketingmaterial, Schulungsunterlagen oder Kundenkommunikation genutzt.

Dabei können urheberrechtliche und nutzungsrechtliche Fragen entstehen.

Zu prüfen sind insbesondere:

  • -Welche Inhalte werden in ein KI-Tool eingegeben?
  • -Bestehen Rechte Dritter an diesen Inhalten?
  • -Dürfen Mitarbeitende diese Inhalte verarbeiten lassen?
  • -Welche Rechte gelten an KI-generierten Ergebnissen?
  • -Dürfen Ergebnisse für Kunden oder Öffentlichkeit genutzt werden?
  • -Müssen Quellen geprüft werden?
  • -Besteht Risiko falscher Zitate oder erfundener Inhalte?
  • -Wer gibt Inhalte frei?
  • -Welche Regeln gelten für Code, Bilder, Marken, Claims und Fachtexte?

Ein KI-Ergebnis kann überzeugend klingen und trotzdem falsch, ungeprüft oder rechtlich riskant sein.

Schöne Sprache ist keine Rechteklärung.

6. Betriebsrat und Mitbestimmung

Besteht ein Betriebsrat, sollten Mitbestimmungsrechte früh geprüft werden.

Paragraph 87 Abs. 1 Nr. 6 BetrVG kann relevant werden, wenn technische Einrichtungen eingeführt oder angewendet werden, die dazu bestimmt sind, Verhalten oder Leistung der Arbeitnehmer zu überwachen. Je nach Tool können auch weitere Mitbestimmungstatbestände betroffen sein, etwa Ordnung des Betriebs oder Arbeitszeitfragen.

Das bedeutet nicht, dass jede KI-Nutzung automatisch mitbestimmungspflichtig ist. Es bedeutet: Unternehmen sollten die konkrete Nutzung prüfen.

Zu klären sind insbesondere:

  • -Besteht ein Betriebsrat?
  • -Welches KI-Tool soll genutzt werden?
  • -Wer nutzt das Tool?
  • -Welche Daten werden verarbeitet?
  • -Kann Verhalten oder Leistung ausgewertet werden?
  • -Werden Protokolle, Prompts oder Ergebnisse gespeichert?
  • -Gibt es Nutzungsstatistiken?
  • -Ist eine Betriebsvereinbarung erforderlich?
  • -Wie wird der Betriebsrat rechtzeitig eingebunden?

Der Betriebsrat wird nicht dadurch unzuständig, dass ein Tool modern aussieht.

Modernität ersetzt keine Mitbestimmungsprüfung.

Quelle: Paragraph 87 BetrVG

7. AI Literacy, Schulung und Sensibilisierung

Art. 4 AI Act zur KI-Kompetenz gilt nach Angaben der EU-Kommission seit 2. Februar 2025. Anbieter und Betreiber von KI-Systemen müssen danach nach besten Kräften für ein ausreichendes Maß an KI-Kompetenz ihres Personals und anderer Personen sorgen, die in ihrem Auftrag mit KI-Systemen umgehen. Die EU-Kommission weist außerdem darauf hin, dass Aufsichts- und Durchsetzungsregeln hierzu ab 3. August 2026 gelten.

Für Arbeitgeber bedeutet das: Schulung ist nicht nur ein netter Begleiter der KI-Einführung. Sie ist ein zentraler Baustein verantwortlicher Nutzung.

Zu klären sind insbesondere:

  • -Welche Mitarbeitenden nutzen KI?
  • -Für welche Aufgaben wird KI genutzt?
  • -Welches Wissen brauchen Mitarbeitende?
  • -Welche Risiken müssen verstanden werden?
  • -Welche Daten dürfen nicht eingegeben werden?
  • -Wie werden KI-Ergebnisse geprüft?
  • -Wie wird Halluzination oder Fehleranfälligkeit erklärt?
  • -Wie wird Schulung dokumentiert?
  • -Wie wird Wissen aktuell gehalten?
  • -Wie werden Führungskräfte eingebunden?

KI-Kompetenz bedeutet nicht, dass alle Prompt-Künstler werden.

Sie bedeutet, dass Mitarbeitende verstehen, wann KI hilft, wann sie irrt und wann sie gefährlich praktisch wird.

Quelle: Art. 4 AI Act, EU-Kommission zu AI Literacy

8. Kontrolle, Verantwortung und Haftung

KI erstellt Ergebnisse. Verantwortlich bleibt das Unternehmen.

Wenn Mitarbeitende KI-Ergebnisse ungeprüft verwenden, können Fehler in Kundenkommunikation, Fachtexten, Verträgen, Angeboten, Personalentscheidungen, Datenanalysen oder internen Prozessen entstehen.

Zu klären sind insbesondere:

  • -Welche KI-Ergebnisse dürfen nur nach Prüfung genutzt werden?
  • -Wer prüft fachliche Richtigkeit?
  • -Wer prüft rechtliche Risiken?
  • -Wer gibt Kundenkommunikation frei?
  • -Darf KI bei Personalentscheidungen eingesetzt werden?
  • -Welche Ergebnisse dürfen nicht automatisiert übernommen werden?
  • -Wie werden Fehler gemeldet?
  • -Wie werden Prompts und Ergebnisse dokumentiert?
  • -Wer trägt Verantwortung im Prozess?
  • -Wann muss die Geschäftsführung informiert werden?

KI haftet nicht.

Sie formuliert vielleicht überzeugend. Sie entschuldigt sich gelegentlich sehr höflich. Aber sie sitzt nicht im Gerichtssaal und erklärt, warum ein Unternehmen ein falsches Ergebnis übernommen hat.

9. Arbeitsanweisung, Richtlinie und Sanktionen

Arbeitgeber können die Nutzung von Arbeitsmitteln grundsätzlich über Arbeitsanweisungen und interne Richtlinien ordnen. Paragraph 106 GewO kann als Ausgangspunkt für das Weisungsrecht des Arbeitgebers relevant werden.

Eine KI-Richtlinie sollte aber nicht nur verbieten. Sie muss im Alltag verständlich sein.

Zu regeln sind insbesondere:

  • -Geltungsbereich
  • -Erlaubte Tools
  • -Verbotene Tools
  • -Erlaubte Anwendungsfälle
  • -Verbotene Anwendungsfälle
  • -Datenklassen
  • -Freigabeprozesse
  • -Prüfungspflichten
  • -Kennzeichnungspflichten
  • -Dokumentation
  • -Schulung
  • -Betriebsratsfragen
  • -Umgang mit Verstößen
  • -Aktualisierung

Eine interne KI-Regel muss nicht dick sein.

Sie muss nur so klar sein, dass niemand behaupten kann, er habe sie ernsthaft missverstanden.

Quelle: Paragraph 106 GewO

10. Tool-Auswahl und Anbieterbedingungen

Nicht jedes KI-Tool eignet sich für Unternehmensnutzung.

Arbeitgeber sollten prüfen, welche Anbieterbedingungen gelten, ob Eingaben zum Training genutzt werden, wo Daten verarbeitet werden, welche Sicherheitsstandards bestehen, ob Unterauftragnehmer eingebunden sind und welche Rechte an Ergebnissen eingeräumt werden.

Zu prüfen sind insbesondere:

  • -Wer ist Anbieter des Tools?
  • -Für welche Zwecke ist das Tool freigegeben?
  • -Welche Daten werden verarbeitet?
  • -Werden Eingaben zum Training genutzt?
  • -Wo werden Daten gespeichert?
  • -Gibt es Drittlandtransfers?
  • -Ist Auftragsverarbeitung relevant?
  • -Welche Unterauftragnehmer gibt es?
  • -Welche Löschfristen gelten?
  • -Welche Nutzungsrechte an Ergebnissen bestehen?
  • -Welche Haftungsbegrenzungen gelten?
  • -Wer prüft Anbieterbedingungen regelmäßig?

Ein Tool ist nicht deshalb geeignet, weil es schnell gute Antworten liefert.

Geeignet ist es erst, wenn Leistung, Vertrag, Daten und Verantwortung zusammenpassen.

11. Typische Fehler bei KI-Nutzung durch Mitarbeitende

Aus anwaltlicher Sicht wiederholen sich bestimmte Muster.

1

Mitarbeitende nutzen KI längst, aber das Unternehmen hat keine Regel.

2

KI wird als IT-Thema behandelt, nicht als Arbeitgeberthema.

3

Personenbezogene Daten werden in nicht freigegebene Tools eingegeben.

4

Geschäftsgeheimnisse werden nicht von KI-Eingaben ausgeschlossen.

5

Der Betriebsrat wird zu spät eingebunden.

6

KI-Ergebnisse werden ungeprüft übernommen.

7

Urheberrecht und Quellenprüfung werden unterschätzt.

8

Schulung und AI Literacy werden nur als Formalie behandelt.

9

Tool-Bedingungen werden nicht geprüft.

10

Richtlinien sind zu abstrakt, zu lang oder praktisch unbrauchbar.

11

Führungskräfte wissen nicht, wie sie KI-Nutzung kontrollieren sollen.

12

Das Unternehmen verwechselt Nutzung mit Steuerung.

Der letzte Fehler ist der entscheidende.

Nur weil alle KI nutzen, hat das Unternehmen noch keine KI-Praxis. Es hat erst einmal nur viele Einzelentscheidungen mit gemeinsamem Risiko.

Einordnung von Lutz Färber

Aus meiner Sicht wird KI in Unternehmen häufig falsch gerahmt.

Die einen behandeln sie wie Magie. Die anderen wie Gefahrgut.

Beides hilft nicht.

KI ist ein Arbeitsmittel mit besonderen Risiken. Mehr nicht. Aber auch nicht weniger.

Wenn Mitarbeitende KI nutzen, entsteht Verantwortung. Für Daten. Für Ergebnisse. Für Geheimnisse. Für Rechte. Für Entscheidungen. Für die Frage, ob ein Tool im Unternehmen nur benutzt oder tatsächlich gesteuert wird.

Ich halte wenig von Regeln, die nur aus Angst entstehen. Solche Regeln werden im Alltag umgangen. Ich halte aber ebenso wenig von Unternehmen, die KI einfach laufen lassen, weil es gerade modern wirkt.

Die Aufgabe des Arbeitgebers ist nicht, jede Nutzung zu verhindern.

Die Aufgabe ist, eine Ordnung zu schaffen: Was ist erlaubt? Was ist verboten? Was braucht Freigabe? Welche Daten bleiben draußen? Wer prüft Ergebnisse? Wer wird geschult? Wann ist der Betriebsrat beteiligt? Und wann ist eine Nutzung für das Unternehmen schlicht zu riskant?

KI braucht keine Romantik.

KI braucht Verantwortung, die im Arbeitsalltag funktioniert.

Checkliste für Arbeitgeber, Geschäftsführer und HR

Welche KI-Tools werden im Unternehmen bereits genutzt?
Welche Abteilungen nutzen KI?
Welche Anwendungsfälle sind erlaubt?
Welche Anwendungsfälle sind verboten?
Welche Tools sind freigegeben?
Welche Tools sind ausgeschlossen?
Welche Daten dürfen eingegeben werden?
Welche Daten dürfen niemals eingegeben werden?
Sind Beschäftigtendaten betroffen?
Sind Kundendaten betroffen?
Sind Geschäftsgeheimnisse betroffen?
Ist Auftragsverarbeitung zu prüfen?
Gibt es Drittlandtransfers?
Besteht ein Betriebsrat?
Kann Paragraph 87 BetrVG relevant werden?
Sind Mitarbeitende geschult?
Ist AI Literacy dokumentiert?
Wer prüft KI-Ergebnisse?
Wer gibt Inhalte frei?
Wie werden Fehler gemeldet?
Gibt es eine KI-Richtlinie?
Ist die Richtlinie verständlich und alltagstauglich?
Welche Sanktionen gelten bei Verstößen?
Wer überprüft die Richtlinie regelmäßig?

Wann rechtliche Begleitung sinnvoll ist

Rechtliche Begleitung ist besonders sinnvoll, wenn KI-Nutzung nicht nur punktuell getestet wird, sondern Teil der Arbeitsorganisation wird.

-Einführung von KI-Tools
-Nutzung von ChatGPT, Copilot, Gemini, Claude oder vergleichbaren Tools
-KI-Nutzung durch HR
-KI-Nutzung im Recruiting
-KI-Nutzung im Vertrieb
-KI-Nutzung im Marketing
-KI-Nutzung in Kundenkommunikation
-KI-Nutzung mit personenbezogenen Daten
-KI-Nutzung mit Beschäftigtendaten
-KI-Nutzung mit Geschäftsgeheimnissen
-KI-Nutzung mit Vertragsdaten
-Betriebsrat und Mitbestimmung
-Interne KI-Richtlinie
-Tool-Freigabeprozess
-AI Literacy und Schulung
-Auftragsverarbeitung
-Urheberrecht und Inhalte
-Haftung und Kontrolle

Der bessere Zeitpunkt für rechtliche Begleitung ist nicht der Moment, in dem ein KI-Fehler bereits passiert ist.

Der bessere Zeitpunkt ist davor. Dann, wenn Nutzung, Daten, Tool-Auswahl, Betriebsrat, Schulung und Verantwortung noch geordnet werden können.

Fazit

KI-Nutzung durch Mitarbeitende ist längst Realität.

Die Frage ist nicht, ob Unternehmen diese Entwicklung mögen. Die Frage ist, ob sie sie ordnen.

Aus anwaltlicher Sicht lautet die entscheidende Frage deshalb nicht: Dürfen Mitarbeitende KI nutzen?

Die bessere Frage lautet: Welche Regeln braucht das Unternehmen, damit KI-Nutzung im Arbeitsalltag rechtlich, organisatorisch und menschlich tragfähig bleibt?

Dafür müssen Tools, Daten, Geschäftsgeheimnisse, Betriebsrat, Datenschutz, Urheberrecht, Schulung, Kontrolle und Verantwortung früh geklärt werden.

KI muss nicht dramatisiert werden.

Aber sie sollte auch nicht unbeaufsichtigt durch die Personalakte, den Kundenvertrag und die Kalkulation spazieren.

Häufige Fragen

Dürfen Mitarbeitende KI-Tools wie ChatGPT im Unternehmen nutzen?

Das hängt von den internen Regeln des Arbeitgebers, dem Tool, dem Zweck und den eingegebenen Daten ab. Arbeitgeber sollten festlegen, welche KI-Tools erlaubt sind, welche Daten nicht eingegeben werden dürfen, welche Ergebnisse geprüft werden müssen und wann Freigaben erforderlich sind.

Warum braucht ein Arbeitgeber Regeln für KI-Nutzung?

Regeln zur KI-Nutzung helfen, Datenschutz, Geschäftsgeheimnisse, Urheberrecht, Betriebsrat, Haftung, Tool-Auswahl, Schulung und Ergebnisprüfung zu ordnen. Ohne solche Regeln entsteht schnell Schatten-KI, bei der Mitarbeitende selbst entscheiden, welche Tools und Daten sie nutzen.

Welche Daten dürfen Mitarbeitende nicht in KI-Tools eingeben?

Besonders sensibel sind personenbezogene Daten, Beschäftigtendaten, Kundendaten, Gesundheitsdaten, Vertragsdaten, Geschäftsgeheimnisse, interne Kalkulationen, Quellcode, Strategiepapiere und unveröffentlichte Unterlagen. Welche Daten konkret ausgeschlossen sind, sollte die interne KI-Richtlinie regeln.

Muss der Betriebsrat bei KI-Tools beteiligt werden?

Besteht ein Betriebsrat, können Mitbestimmungsrechte relevant werden. Das gilt insbesondere, wenn technische Einrichtungen eingeführt oder angewendet werden, die Verhalten oder Leistung der Arbeitnehmer überwachen können. Ob dies im Einzelfall gilt, hängt vom konkreten Tool und seiner Nutzung ab.

Was bedeutet AI Literacy für Arbeitgeber?

Art. 4 AI Act verlangt von Anbietern und Betreibern von KI-Systemen ein ausreichendes Maß an KI-Kompetenz für Personal und andere Personen, die in ihrem Auftrag mit KI-Systemen umgehen. Arbeitgeber sollten deshalb prüfen, welche Schulung und Sensibilisierung für Mitarbeitende erforderlich ist.

Wer haftet, wenn Mitarbeitende KI-Ergebnisse falsch verwenden?

KI haftet nicht selbst. Das Unternehmen bleibt für Arbeitsergebnisse, Kundenkommunikation, Personalentscheidungen, Inhalte und Prozesse verantwortlich. Je nach Sachverhalt können arbeitsrechtliche, datenschutzrechtliche, vertragliche oder haftungsrechtliche Fragen relevant werden.

Darf KI für Personalentscheidungen genutzt werden?

KI in Personalprozessen ist besonders sensibel. Zu prüfen sind Datenschutz, Diskriminierungsrisiken, Transparenz, Betriebsrat, AI Act, menschliche Kontrolle und interne Freigabe. Eine pauschale Antwort ist nicht möglich. Personalentscheidungen sollten nicht ungeprüft automatisiert werden.

Reicht eine kurze KI-Policy aus?

Eine kurze KI-Policy kann sinnvoll sein, wenn sie konkret und verständlich ist. Entscheidend ist nicht die Länge, sondern ob sie erlaubte Tools, verbotene Daten, Freigaben, Prüfungspflichten, Betriebsrat, Schulung, Dokumentation und Sanktionen alltagstauglich regelt.

Was ist Schatten-KI?

Schatten-KI beschreibt die Nutzung von KI-Tools durch Mitarbeitende ohne offizielle Freigabe, Regelung oder Kontrolle durch das Unternehmen. Sie entsteht oft aus Pragmatismus, kann aber Datenschutz, Geschäftsgeheimnisse, Urheberrecht und Verantwortlichkeit berühren.

Wann sollte ein Anwalt eingebunden werden?

Anwaltliche Begleitung ist sinnvoll, wenn KI-Nutzung durch Mitarbeitende geregelt werden soll, insbesondere bei personenbezogenen Daten, Beschäftigtendaten, Geschäftsgeheimnissen, Betriebsrat, Tool-Verträgen, Auftragsverarbeitung, AI Act, interner KI-Richtlinie oder risikoreichen Anwendungsfällen.

Über den Autor

Lutz Färber - Rechtsanwalt und Senior Legal Advisor

Lutz Färber

Rechtsanwalt und Senior Legal Advisor

Lutz Färber begleitet Unternehmer, Unternehmen, Gesellschafter, Geschäftsführer und Leitungsorgane in rechtlichen und strategischen Fragen. Sein Schwerpunkt liegt an der Schnittstelle von Wirtschaftsrecht, Arbeitgeber-Arbeitsrecht, KI, Compliance und unternehmerischer Verantwortung.

WirtschaftsrechtSenior Legal AdvisorArbeitgeber-ArbeitsrechtKI-NutzungKI-RichtlinieAI ActAI LiteracyBetriebsratBeschäftigtendatenschutzGeschäftsgeheimnisse

KI-Nutzung durch Mitarbeitende rechtlich ordnen

Wenn Mitarbeitende KI-Tools nutzen oder eine interne KI-Regelung entstehen soll, sollte rechtliche Begleitung nicht erst beginnen, wenn Daten, Ergebnisse oder Mitbestimmung bereits problematisch geworden sind.

Erstgespräch anfragenMehr zum Senior Legal Advisor

Weitere Einordnungen und Leistungen

KI im Unternehmen: Warum eine interne KI-Richtlinie Chefsache istArbeitgeber-Arbeitsrecht 2026Leitungsorgane und ArbeitgeberpflichtenPersonalkosten steigenPersonalabbau in RestrukturierungsphasenGeschäftsführerhaftung in RestrukturierungsphasenSenior Legal AdvisorRechtsberatungKontakt