Zum Hauptmenü Zum Inhalt
Digitalisierung | Haslinger / Nagele, Illustration: Karlheinz Wasserbacher

Watch your back – wenn die KI bei der Mitarbeiterbewertung mitredet

Autor:innen: Markus Gaderer, Sabrina Hochradl

Die Bewertung von Mitarbeitenden zählt zu den sensibelsten Aufgaben in einem Unternehmen, denn schließlich sind Karrierechancen, Entwicklungsmöglichkeiten oder sogar der Verbleib im Unternehmen davon abhängig. KI verspricht dabei mehr Objektivität und Effizienz: Sie analysiert Daten, erkennt Leistungsmuster und liefert auf Knopfdruck Entscheidungshilfen. Doch was passiert, wenn eine KI darüber entscheidet, wer als leistungsstark gilt und wer nicht?

Darf ein solches System Mitarbeitende überhaupt bewerten? Und wo verlaufen die rechtlichen Grenzen zwischen technologischem Fortschritt und unzulässiger Kontrolle?

Den Einsatz von KI reglementiert primär die so genannte KI-Verordnung (auch “AI-Act“) und die verfolgt einen risikobasierten Ansatz. Für den Bereich der Mitarbeiterbewertung sind insbesondere zwei Regelungskomplexe von Bedeutung: das Verbot bestimmter KI-Praktiken[1] und die Einstufung als „Hochrisiko-KI[2]. Unzulässig ist insbesondere der Einsatz von KI für sogenanntes „Social Scoring“, also die Bewertung von Mitarbeitenden anhand ihres sozialen Verhaltens oder persönlicher Eigenschaften, sofern dies zu einer Benachteiligung führt. Ebenso verboten ist der Einsatz zur Emotionserkennung am Arbeitsplatz auf Basis biometrischer Daten, etwa durch Mimik- oder Stimmerkennung.

KI-Systeme, die bei Entscheidungen über Beförderungen, Kündigungen, Aufgabenverteilungen oder Leistungsbeurteilungen zum Einsatz kommen, gelten als „Hochrisiko-Systeme“.[3] Solche Systeme dürfen nur unter strengen Vorgaben eingesetzt werden. Dazu zählen die zweckmäßige Nutzung, die Aufsicht durch qualifizierte Personen, eine laufende Überwachung, die Information der Mitarbeitenden über den Einsatz, eine Datenschutzfolgeabschätzung[4] sowie eine Registrierungspflicht[5].[6]

Die KI-VO enthält zwar Ausnahmen von der Hochrisikoklassifizierung, diese gelten jedoch nicht, wenn das System für „Profiling“ eingesetzt wird.[7] Darunter versteht man jede Form automatisierter Verarbeitung personenbezogener Daten, die dazu dient, bestimmte persönliche Aspekte, etwa die Arbeitsleistung, zu bewerten oder vorherzusagen.[8] Da Mitarbeiterbewertungen typischerweise auf solchen Mechanismen beruhen, ist in den meisten Fällen von einer Hochrisiko-Klassifizierung auszugehen.

Unabhängig von der KI-VO setzt auch die DSGVO Grenzen. Nach Art 22 DSGVO[9] dürfen betroffene Personen keiner ausschließlich automatisierten Entscheidung unterworfen werden, die sie rechtlich oder erheblich beeinträchtigt. Dieses Verbot gilt allerdings nur für vollautomatisierte Entscheidungen. Das bedeutet: Wenn die KI ausschließlich für automatisierte Bewertungen verwendet wird, die beispielsweise zur Kündigung führen, ist dies unzulässig. Anders verhält es sich, wenn eine menschliche Person die Entscheidung trifft, die Empfehlung der KI prüft, zusätzliche Informationen einbezieht und gegebenenfalls von der KI-Einschätzung abweicht. In diesem Fall liegt keine vollautomatisierte Entscheidung im Sinne der DSGVO vor.[10]

Das österreichische Arbeitsrecht schreibt für die Einführung technischer Systeme zur Arbeitnehmerkontrolle, welche die Menschenwürde berühren, die Zustimmung des Betriebsrats[11] vor. Dazu zählen insbesondere Eingriffe in die Privatsphäre und das Recht auf Datenschutz. Je nach Art, Dauer, Umfang und Intensität der Datenverarbeitung durch das KI-System kann eine solche Beeinträchtigung vorliegen, sodass es sich um ein zustimmungspflichtiges Kontrollsystem handelt.[12]  Ist kein Betriebsrat vorhanden ist eine Individualvereinbarung mit den betroffenen Mitarbeitenden[13] erforderlich.

Fazit:

Der Einsatz von KI-Systemen zur Bewertung von Mitarbeitenden ist nur unter engen rechtlichen Voraussetzungen zulässig. Systeme, die auf „Social Scoring“ oder Emotionserkennung basieren, sind grundsätzlich unzulässig. In den meisten Fällen handelt es sich bei KI zur Mitarbeiterbewertung um „Hochrisiko-Systeme“, deren Einsatz strengen Anforderungen unterliegt. Neben den Vorgaben der KI-VO sind auch die Regelungen der DSGVO und des nationalen Arbeitsrechts zu berücksichtigen. Unternehmen sollten daher vor der Einführung solcher Systeme unbedingt eine rechtliche Prüfung vornehmen, den Betriebsrat einbeziehen oder individuelle Vereinbarungen abschließen und sicherstellen, dass menschliche Entscheidungsträger in den Bewertungsprozess eingebunden sind.

Disclaimer

Dieser Beitrag stellt lediglich eine allgemeine Information dar und ersetzt keine Rechtsberatung. Die Haslinger / Nagele Rechtsanwälte GmbH übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieses Beitrages.

[1] Art 5 KI-VO.

[2] Art 6 KI-VO iVm Anhang III.

[3] Anhang III Z 4 lit b KI-VO.

[4] Art 35 DSGVO.

[5] Art 49 KI-VO.

[6] Art 26 KI-VO.

[7] Art 6 Abs 3 KI-VO.

[8] Art 4 Z 4 DSGVO.

[9] Art 22 DSGVO.

[10] Wolfgang Goricnik/Jens Winter, Kohärente oder inkohärente Anwendung des datenschutzrechtlichen Verbots automatisierter Entscheidungen und der Risiko-Klassifizierung der KI-VO?, Dako 2025/13.

[11] §96 Abs 1 Z 3 ArbVG.

[12] Susanne Auer-Mayer, Dürfen Arbeitnehmer*innen im „Home-Office“ überwacht werden?, CuRe 2020/88.

[13] §10 Abs 1 AVRAG.

Autor

Gaderer Markus | Haslinger / Nagele, Portrait

Markus Gaderer

Partner

Weitere Informationen zum Rechtsgebiet:

Datenschutz und Telekommunikation | Haslinger / Nagele, Illustration: Karl-Heinz Wasserbacher

Datenschutz, Telekommunikation und Digitalisierung

 

1. Juli 2025

 
Zurück zur Übersicht
  • Referenz | Haslinger / Nagele, Logo: JUVE Awards
  • JUVE Top 20 Wirtschaftskanzlei-Oesterreich
  • Promoting the best. Women in Law Award