Generative KI-Tools wie ChatGPT, Copilot, Gemini oder vergleichbare Large-Language-Model-Anwendungen sind in vielen Unternehmen bereits im Einsatz – häufig als informelle Nutzung durch einzelne Mitarbeiter, ohne klare Unternehmensrichtlinie und ohne Einbeziehung des Betriebsrats. Das birgt erhebliche rechtliche Risiken: datenschutzrechtliche Verstöße, unkontrollierter Abfluss vertraulicher Informationen und nicht zuletzt die Frage, ob der Betriebsrat an der Einführung dieser Tools zu beteiligen ist.
In diesem Artikel erläutern wir, ob und wie der Betriebsrat bei generativer KI mitzubestimmen hat (dazu unter 1.), was eine Betriebsvereinbarung ChatGPT regeln muss (dazu unter 2.), welche Datenschutzfragen zu klären sind (dazu unter 3.), wie die Haftungsfragen bei KI-generierten Inhalten zu behandeln sind (dazu unter 4.) sowie häufige Fragen aus der Praxis (dazu unter 5.).
Mitbestimmungsrecht des Betriebsrats bei generativer KI
Ob der Betriebsrat bei der Einführung von ChatGPT oder vergleichbaren generativen KI-Tools ein Mitbestimmungsrecht hat, hängt davon ab, wie das Tool konkret eingesetzt wird. Grundsätzlich kommen mehrere Tatbestände des § 87 BetrVG in Betracht.
a) § 87 Abs. 1 Nr. 6 BetrVG: Überwachungseignung
Wenn ein generatives KI-Tool so konfiguriert ist oder eingesetzt wird, dass es Rückschlüsse auf das Verhalten oder die Leistung einzelner Mitarbeiter zulässt – etwa durch die Protokollierung von Nutzungshäufigkeit, verarbeiteten Dokumenten oder eingegangenen Anfragen –, ist das erzwingbare Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG berührt. Dies gilt unabhängig davon, ob der Arbeitgeber eine Überwachungsabsicht hatte. Die objektive Eignung zur Überwachung genügt.
b) § 87 Abs. 1 Nr. 1 BetrVG: Ordnung des Betriebs
Wenn der Arbeitgeber eine Nutzungsrichtlinie für generative KI aufstellen will – also Regeln darüber, welche Tools erlaubt sind, welche Daten eingespeist werden dürfen und wie mit KI-generierten Inhalten umzugehen ist –, ist § 87 Abs. 1 Nr. 1 BetrVG einschlägig. Nutzungsrichtlinien für IT-Systeme, die das Verhalten der Mitarbeiter im Betrieb regeln, bedürfen der Mitbestimmung.
c) Praktische Konsequenz: Betriebsvereinbarung vor dem Rollout
Unternehmen, die generative KI-Tools unternehmensweit einführen oder deren Nutzung durch Mitarbeiter fördern, sollten vor dem Rollout eine Betriebsvereinbarung abschließen. Eine nachträgliche Regelung ist möglich, aber deutlich aufwendiger und birgt das Risiko, dass der Betriebsrat den weiteren Einsatz des Tools bis zur Einigung blockiert.
Wichtig: Der bloße private Zugriff von Mitarbeitern auf öffentliche KI-Tools über private Geräte unterliegt grundsätzlich nicht der Mitbestimmung. Sobald der Arbeitgeber aber den Einsatz fördert, eine Unternehmensinstanz bereitstellt oder Zugang über Firmenhardware ermöglicht, ändert sich die Beurteilung.
Inhalte der Betriebsvereinbarung: Was muss geregelt werden?
Eine praxistaugliche Betriebsvereinbarung zu generativer KI sollte folgende Kernpunkte adressieren:
a) Zulässige Tools und Nutzungszwecke
Welche KI-Tools dürfen von Mitarbeitern genutzt werden? Gilt dies für alle Mitarbeiter oder nur für bestimmte Gruppen? Welche konkreten Anwendungsfälle sind erlaubt – Textentwürfe, Code-Generierung, Recherche, Zusammenfassung – und welche sind verboten? Eine positive Liste zulässiger Anwendungsfälle schafft Klarheit für beide Seiten.
b) Verbotene Daten und Geheimhaltung
Welche Kategorien von Daten dürfen nicht in KI-Tools eingespeist werden? Hierzu zählen typischerweise: personenbezogene Daten von Mitarbeitern und Kunden, Betriebs- und Geschäftsgeheimnisse, vertrauliche Vertragsunterlagen, Finanz- und Strategiedaten sowie nicht öffentliche technische Informationen. Die Betriebsvereinbarung sollte diese Kategorien konkret benennen und klarstellen, dass Verstöße arbeitsrechtliche Konsequenzen haben können.
c) Kennzeichnungspflicht für KI-generierte Inhalte
Wenn Mitarbeiter KI-generierte Inhalte – Texte, Präsentationen, Analysen – in ihrer beruflichen Tätigkeit verwenden, sollte die Betriebsvereinbarung eine Kennzeichnungspflicht vorsehen. Dies dient der Qualitätssicherung, verhindert eine unkontrollierte Übernahme von Fehlern oder Halluzinationen und stellt die Verantwortung für den Inhalt klar beim menschlichen Bearbeiter.
d) Protokollierung und Auswertung von Nutzungsdaten
Wenn der Arbeitgeber Nutzungsdaten des KI-Tools erhebt – etwa zur Lizenzkontrolle oder Systemoptimierung –, muss die Betriebsvereinbarung regeln, in welchem Umfang dies zulässig ist, wie lange die Daten gespeichert werden und ob und wie sie ausgewertet werden dürfen. Eine Auswertung auf Einzelmitarbeiterebene bedarf besonderer Rechtfertigung und ist im Zweifel unzulässig.
Datenschutz beim Einsatz generativer KI-Tools
Generative KI-Tools verarbeiten alle ihnen eingespeisten Informationen – und bei kommerziellen Cloud-Diensten werden diese Daten an Serverinfrastrukturen in der Regel außerhalb des Unternehmens übertragen. Dies hat erhebliche datenschutzrechtliche Konsequenzen nach der DSGVO.
a) Auftragsverarbeitung und Standardvertragsklauseln
Wenn Mitarbeiterdaten oder Kundendaten in ein KI-Tool eingespeist werden, das von einem externen Anbieter betrieben wird, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Bei Anbietern mit Serverstandorten außerhalb der EU sind zusätzlich die Vorgaben für Drittlandtransfers zu beachten (Art. 44 ff. DSGVO). Viele Standardversionen populärer KI-Tools erfüllen diese Anforderungen nicht ohne weiteres; Unternehmensversionen mit eigenen Datenschutzvereinbarungen sind datenschutzrechtlich vorzuziehen.
b) Training mit Unternehmensdata
Bei einigen KI-Diensten werden eingegebene Daten für das Training des Modells genutzt. Das bedeutet: Vertrauliche Unternehmensinformationen, die einmal in ein solches Tool eingespeist wurden, können dauerhaft im Modell enthalten sein und potenziell durch andere Nutzer abrufbar werden. Unternehmensversionen schließen dieses Risiko üblicherweise vertraglich aus – diesen Punkt sollte der Datenschutzbeauftragte vor dem Rollout prüfen.
Haftung für KI-generierte Inhalte
Generative KI-Modelle produzieren gelegentlich fehlerhafte, veraltete oder schlicht falsche Informationen – sogenannte „Halluzinationen“. Wenn solche Inhalte ungeprüft in berufliche Kontexte übernommen werden, stellt sich die Frage der Haftung.
Grundsätzlich gilt: Der Mitarbeiter, der einen KI-generierten Inhalt übernimmt und als eigene Arbeit ausgibt, übernimmt damit die Verantwortung für dessen Richtigkeit. Die Kennzeichnungspflicht in der Betriebsvereinbarung schützt nicht vor dieser Verantwortung, sondern macht sie nur transparenter. Arbeitgeber sollten im Rahmen der Betriebsvereinbarung eine ausdrückliche Pflicht zur inhaltlichen Überprüfung von KI-generierten Inhalten vor ihrer Verwendung festschreiben.
Häufige Fragen zur Betriebsvereinbarung generative KI
a) Können wir ChatGPT über ein Unternehmensaccount anbieten, ohne den Betriebsrat zu involvieren?
Nein, wenn das Tool auf Unternehmenshardware oder über Unternehmensinfrastruktur bereitgestellt wird und dabei Nutzungsdaten anfallen oder die Möglichkeit zur Verhaltensüberwachung besteht. In diesem Fall greift das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG. Auch die Einführung einer Nutzungsrichtlinie ist nach § 87 Abs. 1 Nr. 1 BetrVG mitbestimmungspflichtig.
b) Darf der Betriebsrat verlangen, dass bestimmte KI-Tools verboten werden?
Der Betriebsrat kann die Einigung über eine Betriebsvereinbarung verweigern oder auf den Abschluss einer Betriebsvereinbarung bestehen, die den Einsatz bestimmter Tools ausschließt oder stark einschränkt. Ein einseitiges Vetorecht hat er nicht. Kommt keine Einigung zustande, entscheidet auf Antrag einer Seite die Einigungsstelle – allerdings nur bei Tatbeständen, bei denen der Betriebsrat ein erzwingbares Mitbestimmungsrecht hat.
c) Wie gehe ich vor, wenn Mitarbeiter bereits jetzt inoffiziell KI-Tools nutzen?
Reagieren Sie proaktiv: Erstellen Sie zunächst eine Interimslösung in Form einer klaren Nutzungsrichtlinie, die Sie mit dem Betriebsrat abstimmen, und nehmen Sie parallel die Verhandlung einer vollständigen Betriebsvereinbarung auf. Eine informelle, unkontrollierte Nutzung birgt sowohl datenschutzrechtliche als auch haftungsrechtliche Risiken, die durch klare Regeln eingedämmt werden können.
Sie möchten den Einsatz von ChatGPT oder anderen generativen KI-Tools in Ihrem Unternehmen rechtssicher regeln? Ich berate Arbeitgeber und Betriebsräte zur Gestaltung von KI-Betriebsvereinbarungen.
