Skip to main content

Rechtlicher Rahmen

GEALAN Fenster-Systeme GmbH
Stand: 15.02.2026
Version: 3.1

Überblick

Der Einsatz von KI-Anwendungen bei GEALAN ist durch ein mehrschichtiges rechtliches Regelwerk abgesichert. Der E2E KI-Check stellt sicher, dass alle relevanten Vorschriften eingehalten werden.

Zentrale Regelwerke:

  1. EU AI Act (Verordnung (EU) 2024/1689) – Europäische KI-Verordnung
  2. DSGVO (Datenschutz-Grundverordnung) – Schutz personenbezogener Daten
  3. BetrVG (Betriebsverfassungsgesetz) – Mitbestimmungsrechte des Betriebsrats
  4. KI-RBV (KI-Rahmenbetriebsvereinbarung bei GEALAN) – Interne Verbote & Auflagen

EU AI Act (Verordnung (EU) 2024/1689)

Zweck & Geltungsbereich

Der EU AI Act ist die weltweit erste umfassende Regulierung für künstliche Intelligenz. Er trat am 1. August 2024 in Kraft und wird schrittweise bis 2026-2027 vollständig wirksam.

Ziele:

  • Schutz von Grundrechten & Sicherheit
  • Vertrauen in KI-Systeme fördern
  • Rechtssicherheit für Unternehmen schaffen
  • Risikobasierter Ansatz (je höher das Risiko, desto strenger die Anforderungen)

Risikoklassen im EU AI Act

Der AI Act unterscheidet 4 Risikoklassen:

RisikoklasseBeschreibungAnforderungenBeispiele
Unzulässige KIInakzeptables Risiko❌ Verbot (Art. 5)Social Scoring, Emotion Recognition (Workplace), Subliminal Manipulation
Hochrisiko-KIHohes Risiko für Rechte & Sicherheit⚠️ Strenge Auflagen (Art. 6 + Anhang III)HR-Recruiting, Leistungsbewertung, Kreditscoring, biometrische Identifikation
Begrenzte Risiko-KITransparenzpflichtenℹ️ Kennzeichnung & InformationChatbots, generative KI (User muss wissen, dass es KI ist)
Minimales RisikoGeringes/kein Risiko✅ Keine speziellen PflichtenSpam-Filter, KI-gestützte Videospiele

Art. 5 – Verbotene KI-Praktiken

Diese KI-Systeme sind in der EU generell verboten:

  1. Social Scoring (Art. 5 Abs. 1 lit. c)
    Bewertung oder Klassifizierung von Personen basierend auf ihrem Sozialverhalten, das zu ungerechtfertigter Benachteiligung führt.

  2. Emotion Recognition am Arbeitsplatz (Art. 5 Abs. 1 lit. f)
    Erkennung von Emotionen in Beschäftigungs- oder Bildungskontexten (außer medizinische/Sicherheitsgründe).

  3. Subliminal Manipulation (Art. 5 Abs. 1 lit. a)
    Manipulation des Verhaltens durch unterschwellige Techniken außerhalb des Bewusstseins.

  4. Ausnutzung von Vulnerabilitäten (Art. 5 Abs. 1 lit. b)
    Ausnutzung von Schwächen spezifischer Gruppen (Alter, Behinderung, soziale/wirtschaftliche Lage).

⚠️ Konsequenz: Bei Verstoß gegen Art. 5 → Bußgeld bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.

Art. 6 + Anhang III – Hochrisiko-KI-Systeme

Hochrisiko-KI liegt vor bei:

1. Beschäftigung & HR (Anhang III Nr. 4)

  • Rekrutierung & Personalauswahl
  • Beförderungsentscheidungen
  • Leistungs- & Verhaltensbeurteilung von Beschäftigten
  • Aufgabenzuweisung
  • Überwachung & Bewertung von Arbeitsleistung

2. Zugang zu Bildung & Berufsausbildung (Anhang III Nr. 3)

  • Bewertung von Lernenden
  • Zulassungsentscheidungen

3. Kreditwürdigkeit & Kreditscoring (Anhang III Nr. 5b)

  • Bonitätsprüfung
  • Kreditvergabeentscheidungen

4. Strafverfolgung & Justiz (Anhang III Nr. 6)

  • Risikobewertung von Personen
  • Vorhersage von Straftaten

5. Biometrische Identifikation (Anhang III Nr. 1)

  • Gesichtserkennung
  • Fernidentifikation in öffentlich zugänglichen Räumen

6. Kritische Infrastruktur (Anhang III Nr. 2)

  • Wasser-, Strom-, Gasversorgung
  • Verkehrskontrollsysteme

Pflichten bei Hochrisiko-KI:

  • Risikomanagementsystem (Art. 9)
  • Datenqualität & Governance (Art. 10)
  • Technische Dokumentation (Art. 11)
  • Transparenz & Information (Art. 13)
  • Human Oversight (Art. 14)
  • Genauigkeit, Robustheit, Cybersecurity (Art. 15)
  • Konformitätsbewertung (Art. 43)
  • ggf. Notified Body (unabhängige Prüfstelle)

⚠️ Konsequenz: Bei Verstoß gegen Hochrisiko-Auflagen → Bußgeld bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes.

DSGVO (Datenschutz-Grundverordnung)

Relevante Artikel für KI-Einsatz

Art. 5 – Grundsätze der Datenverarbeitung

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  2. Zweckbindung – Datenverarbeitung nur für festgelegte, eindeutige und legitime Zwecke
  3. Datenminimierung – Nur die notwendigen Daten verarbeiten
  4. Richtigkeit – Daten müssen sachlich richtig und aktuell sein
  5. Speicherbegrenzung – Löschung, wenn Zweck erfüllt
  6. Integrität & Vertraulichkeit – Technische & organisatorische Maßnahmen (TOMs)
  7. Rechenschaftspflicht – Nachweisbarkeit der Einhaltung

Art. 6 – Rechtsgrundlagen

Personenbezogene Daten dürfen nur verarbeitet werden, wenn mindestens eine Rechtsgrundlage vorliegt:

RechtsgrundlageAnwendungsfallBeispiel KI-Einsatz
Art. 6 Abs. 1 lit. a – EinwilligungFreiwillig, informiert, widerrufbarMitarbeiter willigt in KI-gestütztes Coaching ein
Art. 6 Abs. 1 lit. b – VertragserfüllungErforderlich zur VertragserfüllungKI-Tool zur Bearbeitung von Kundenanfragen
Art. 6 Abs. 1 lit. c – Rechtliche VerpflichtungGesetzliche PflichtCompliance-Monitoring (AML, KYC)
Art. 6 Abs. 1 lit. f – Berechtigtes InteresseAbwägung Unternehmensinteresse vs. BetroffenenrechteInterne Prozessoptimierung (keine Profiling-Wirkung)
§ 26 BDSG – BeschäftigtendatenschutzErforderlich für BeschäftigungsverhältnisZeiterfassung, Urlaubsverwaltung

⚠️ Wichtig: Bei besonderen Kategorien (Art. 9 DSGVO: Gesundheit, biometrische Daten, rassische/ethnische Herkunft, Religion, politische Meinung, Gewerkschaftszugehörigkeit, sexuelle Orientierung) ist eine zusätzliche Rechtsgrundlage aus Art. 9 Abs. 2 erforderlich.

Art. 22 – Automatisierte Einzelentscheidungen (inkl. Profiling)

Verbot automatisierter Entscheidungen mit Rechtswirkung, außer:

  • Ausdrückliche Einwilligung (Art. 22 Abs. 2 lit. c)
  • Vertragserfüllung (Art. 22 Abs. 2 lit. a)
  • Gesetzliche Erlaubnis mit angemessenen Schutzmaßnahmen (Art. 22 Abs. 2 lit. b)

Pflichten:

  • Information über das Vorliegen einer automatisierten Entscheidung (Art. 13 Abs. 2 lit. f)
  • Widerspruchsrecht (Art. 21)
  • Recht auf menschliche Überprüfung (Human-in-the-Loop)

Profiling-Definition (Art. 4 Nr. 4):
Automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte (Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort).

Art. 35 – Datenschutz-Folgenabschätzung (DSFA)

DSFA ist erforderlich bei:

  • Systematischer Bewertung persönlicher Aspekte (Profiling mit Rechtswirkung)
  • Umfangreicher Verarbeitung besonderer Kategorien (Art. 9)
  • Systematischer Überwachung öffentlich zugänglicher Bereiche
  • Blacklist der Datenschutzkonferenz (DSK)

Ablauf:

  1. Beschreibung der Verarbeitungsvorgänge
  2. Bewertung der Notwendigkeit & Verhältnismäßigkeit
  3. Risikoanalyse (Eintrittswahrscheinlichkeit × Schwere)
  4. Abhilfemaßnahmen (TOMs)
  5. Dokumentation im DSFA-Bericht

BetrVG (Betriebsverfassungsgesetz)

Mitbestimmungsrechte bei KI-Einsatz

Der Betriebsrat hat bei bestimmten KI-Anwendungen zwingende Mitbestimmungsrechte:

§ 87 Abs. 1 Nr. 6 – Überwachung & technische Einrichtungen

Mitbestimmungspflichtig, wenn:

  • Überwachung von Verhalten oder Leistung der Arbeitnehmer
  • Technische Einrichtungen, die dazu objektiv geeignet sind

Beispiele:

  • Zeiterfassungssysteme mit KI-Auswertung
  • KI-gestützte Monitoring-Tools (E-Mail, Browsing, Standort)
  • Profiling von Mitarbeiterdaten

Folge: Ohne Betriebsrat-Zustimmung oder Einigungsstelle ist der Einsatz rechtswidrig.

§ 94 – Personalfragebogen, Beurteilungsgrundsätze

Mitbestimmungspflichtig bei:

  • Erstellung/Änderung von Personalfragebögen
  • Beurteilungsgrundsätzen
  • Persönlichen Angaben in digitalen Datenerhebungssystemen

Relevanz für KI: Wenn KI Personalfragebogen auswertet oder Beurteilungen erstellt, muss der BR zustimmen.

§ 95 – Auswahlrichtlinien (Einstellung, Versetzung, Umgruppierung, Kündigung)

Mitbestimmungspflichtig bei:

  • Festlegung von Auswahlrichtlinien
  • Ein-/Umgruppierung
  • Versetzung
  • Kündigung

Relevanz für KI: CV-Screening, Bewerbungs-Scoring, automatisierte Vorschlagslisten für Beförderungen.

KI-Rahmenbetriebsvereinbarung (RBV) bei GEALAN

Abschnitt 3 – Verbote & Hochrisiko-Fälle

Die KI-RBV regelt den Umgang mit KI-Systemen intern und enthält strikte Verbote für Hochrisiko-Anwendungen (gem. Anhang III EU AI Act).

Zentrale Regelung:

„Hochrisiko-KI-Systeme gem. Anhang III AI Act sind bei GEALAN generell nicht zulässig."

Konkret verboten:

  • HR-Recruiting mit automatisierter Vorauswahl
  • Leistungs-/Verhaltensbeurteilung von Mitarbeitern durch KI
  • Automatisierte Entscheidungen über Beförderung, Versetzung, Kündigung
  • Profiling mit Rechtswirkung für Mitarbeiter
  • Emotion Recognition am Arbeitsplatz
  • Social Scoring
  • Biometrische Identifikation ohne ausdrückliche Genehmigung

Transparenzpflichten (RBV):

  • Information der Mitarbeiter über KI-Einsatz
  • Betriebsrat-Freigabe bei HR-Kontext, Profiling, Überwachung
  • Einzelanlage zur RBV für jeden freigegebenen Use Case (mit BR-Trigger)

Verfahren für Einzelanlagen:

  1. Use-Case wird durch E2E KI-Check geprüft (Schritte 1-6)
  2. Bei BR-Trigger: KI Check - Einzelanlage zur KI-RBV erstellen
  3. BR prüft & entscheidet (Freigabe / Freigabe mit Auflagen / Ablehnung)
  4. Bei Freigabe: Einzelanlage wird Teil der RBV

Zusammenspiel der Regelwerke im E2E KI-Check

Rechtliche Konsequenzen bei Verstößen

VerstoßRechtsgrundlageMax. Bußgeld / Strafe
Art. 5 AI Act (Verbotene Praktiken)EU AI Act35 Mio. € oder 7 % Jahresumsatz
Hochrisiko-Auflagen verletztEU AI Act Art. 6ff15 Mio. € oder 3 % Jahresumsatz
DSGVO-Verstoß (Art. 6, 9, 22, 35)DSGVO20 Mio. € oder 4 % Jahresumsatz
BetrVG-Verstoß (fehlende BR-Zustimmung)BetrVG § 87ffEinsatz rechtswidrig, Unterlassung, ggf. Schadensersatz
RBV-Verstoß (Hochrisiko trotz Verbot)ArbeitsrechtArbeitsrechtliche Konsequenzen, Vertrauensverlust BR

Weiterführende Links & Quellen

rechtlicher