Der Einsatz von künstlicher Intelligenz (KI) in Hinweisgebersystemen verspricht Effizienz, wirft aber auch arbeits- und datenschutzrechtliche Fragen auf. Unternehmen müssen genau abwägen, wo KI unterstützen darf – und wo menschliche Kontrolle unverzichtbar bleibt.
KI im Hinweisgebersystem: Potentiale nutzen, Risiken vermeiden
Seit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) trifft Unternehmen mit mindestens 50 Beschäftigten die Verpflichtung, ein internes Hinweisgebersystem bereitzustellen. Als unternehmensinterne Einrichtung oder interne digitale Plattform bietet ein solches System Arbeitnehmern und Arbeitnehmerinnen die Möglichkeit, vertraulich und geschützt auf mögliche Missstände, Regelverstöße oder rechtswidriges Verhalten innerhalb der Organisation aufmerksam zu machen. Um die Bearbeitung effizienter zu gestalten, greifen Arbeitgeber immer mehr auf den Einsatz von KI zurück. Dabei dürfen arbeitsrechtliche Implikationen nicht unterschätzt werden: Der Umgang mit sensiblen Beschäftigtendaten, die Beteiligungsrechte des Betriebsrats sowie die Grenzen automatisierter Entscheidungsprozesse stellen zentrale rechtliche Herausforderungen dar.
Rechtssichere Handhabung der Beschäftigtendaten bei Einsatz von KI
Nach dem Eingang eines Hinweises analysiert die KI automatisch den Inhalt, erkennt relevante Themen und ordnet die Meldung passenden Kategorien zu. Durch die Auswertung von Schlüsselbegriffen und Mustern kann das System die Dringlichkeit und das potentielle Risiko eines Falls einschätzen, so dass kritische Hinweise priorisiert und schneller an die zuständigen Stellen weitergeleitet werden. Darüber hinaus unterstützt die KI die interne Meldestelle, indem sie ähnliche Fälle vorschlägt, Zusammenfassungen erstellt oder auf mögliche Zusammenhänge hinweist. Das klingt verlockend, gerade bei einem hohen Meldeaufkommen – ist aber nicht risikofrei.
Im Rahmen der Verarbeitung der Hinweise durch künstliche Intelligenz werden personenbezogene Daten verarbeitet. Ein KI-gestütztes Hinweisgebersystem muss daher gewährleisten, dass die Daten sowohl der hinweisgebenden als auch der betroffenen Personen geschützt und nur im Rahmen der gesetzlichen Vorgaben verarbeitet werden. Zu beachten sind die Regeln der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG): Eine interne Meldestelle darf personenbezogene Daten nur aufgrund einer tauglichen Ermächtigungsgrundlage verarbeiten. Als solche kommt regelmäßig Art. 6 Abs. 1 lit. c DSGVO i.V.m. §§ 10, 12 HinSchG in Betracht. Darüber hinaus gestattet § 26 Abs. 1 BDSG im laufenden Arbeitsverhältnis die Verarbeitung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses – etwa zur Aufklärung von Verstößen –, sofern ein plausibler, dokumentierter Verdacht besteht und die Maßnahme verhältnismäßig ist. Liegen tatsächliche Anhaltspunkte für das Begehen einer Straftat durch einen Arbeitnehmer vor, erfordert § 26 Abs. 1 Satz 2 BDSG eine Interessenabwägung und eine Verhältnismäßigkeitsprüfung.
Solche komplexen Bewertungen lassen sich kaum vollständig durch die KI automatisieren, zumal § 22 DSGVO zu beachten ist: Eine vollautomatisierte Entscheidung im Einzelfall, die gegenüber einer Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, ist (mit wenigen Ausnahmen) unzulässig.
Unternehmen mit mindestens 20 Beschäftigten sind (unter bestimmten Voraussetzungen) zudem gemäß § 38 BDSG verpflichtet, einen Datenschutzbeauftragten zu benennen. Dieser überwacht die Einhaltung der datenschutzrechtlichen Vorschriften und berät das Unternehmen bei Datenschutzfragen. Bei der Implementierung eines KI-gestützten Hinweisgebersystems sollte der Datenschutzbeauftragte des Unternehmens daher frühzeitig einbezogen werden.
Vertraulichkeit und Datenminimierung
Das HinSchG verpflichtet Unternehmen dazu, die Identität sowohl der hinweisgebenden Person als auch der im Hinweis genannten Person zu schützen. Daraus ergibt sich die Anforderung, dass auch KI-gestützte Systeme so ausgestaltet sein müssen, dass unbefugte Zugriffe auf sensible Informationen ausgeschlossen sind und personenbezogene Daten nur im minimalen Umfang aus den Meldungen preisgegeben werden. Insofern ist eine automatisierte Anonymisierung sinnvoll: Moderne KI-Tools lassen sich so konfigurieren, dass Namen oder Identifikationsmerkmale in Meldungstexten automatisch ausgeblendet oder pseudonymisiert werden. Ebenso wichtig ist die Einhaltung gesetzlicher Löschfristen, § 11 Abs. 5 HinSchG verlangt etwa eine Löschung der Meldedaten nach spätestens drei Jahren, sofern keine besonderen Gründe zur längeren Aufbewahrung bestehen. Auch diese Prozesse lassen sich durch zeitgesteuerte Löschroutinen oder intelligente Speicherverwaltung durch die KI automatisieren.
Mitbestimmung bei KI-gestützten Meldesystemen
Die Einführung eines KI-gestützten Hinweisgebersystems kann auch mitbestimmungsrechtliche Fragen aufwerfen. § 12 HinSchG verpflichtet Unternehmen ab 50 Arbeitnehmern zur Einrichtung eines internen Systems, so dass über das „Ob“ der Einführung in der Regel kein
Mitbestimmungsrecht des Betriebsrats besteht. Dennoch sollte der Betriebsrat nach Maßgabe von § 80 Abs. 2 Betriebsverfassungsgesetz (BetrVG) frühzeitig über die geplante Einführung des Hinweisgebersystems unterrichtet werden.
Kommt dabei eine technische Einrichtung zum Einsatz, die objektiv geeignet ist, das Verhalten oder die Leistung der Beschäftigten zu überwachen, greift das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG.
Gerade digitale Hinweisgebersysteme mit KI-Komponenten können solche Überwachungseffekte haben – etwa, weil sie Meldungen auswerten, die sich auf das Verhalten einzelner Mitarbeitender bezieht. Die konkrete Einführung ist daher häufig zustimmungspflichtig. Arbeitgeber sind insofern gut beraten, den Betriebsrat frühzeitig einzubinden und auf eine Betriebsvereinbarung hinzuwirken, die den Einsatz der KI im Meldesystem genau regelt.
Die Mitbestimmungspflicht kann auch eröffnet sein, wenn externe Anbieter oder Dienstleister mit der technischen Umsetzung und der Regulierung des Whistleblowings beauftragt werden. Aufgepasst: Auch in diesen Fällen bleibt der Arbeitgeber datenschutzrechtlich verantwortlich im Sinne der DSGVO.
Automatisierte Verdachtsprüfung: KI als Helfer, nicht als Richter
Moderne Hinweisgebersoftware verspricht eine Priorisierung und Bewertung der Verdachtsfälle. Vor allem aus arbeitsrechtlicher Sicht wirft eine durch künstliche Intelligenz vorgenommene Verdachtsprüfung aber mehrere Fragen auf: Darf eine KI eigenständig entscheiden, welche Meldungen ernst zu nehmen sind und welche als „ungefährlich“ eingestuft werden? Und kann auf Grundlage der KI-Einstufung unmittelbar eine arbeitsrechtliche Maßnahme gegenüber einem beschuldigten Beschäftigten ergriffen werden? Die klare Antwort aus rechtlicher Sicht: Vollautomatisierte Entscheidungen sind tabu, unterstützend kann eine KI aber sinnvoll eingesetzt werden.
Art. 22 DSGVO eröffnet Arbeitnehmern das Recht, keinen Entscheidungen unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruhen und die ihnen gegenüber rechtliche Wirkungen entfalten oder sie erheblich beeinträchtigen. § 15 Abs. 2 HinSchG schreibt vor, dass der Arbeitgeber dafür Sorge zu tragen hat, dass die mit den Aufgaben einer internen Meldestelle beauftragte Person über die notwendige Fachkunde verfügt. Die menschliche Fachkunde bleibt essentiell, um Ergebnisse der KI einzuordnen oder Abwägungen vorzunehmen.
Ein KI-System darf also nicht zum alleinigen Richter über Schicksale im Betrieb werden. Aus arbeitsrechtlicher Perspektive ist vielmehr sicherzustellen, dass jede relevante Maßnahme gegenüber einem Arbeitnehmer (Abmahnung, Kündigung etc.) nicht allein durch einen Algorithmus ausgelöst oder beschlossen wird, sondern einer vorgelagerten menschlichen Kontrolle unterliegt. KI-Tools sollten daher lediglich als Filter- und Frühwarnsystem dienen: Sie können die Hinweise von Beschäftigten vorsortieren, auf Schwerpunkte hinweisen, priorisieren – die abschließende Bewertung ist dann aber zwingend durch die jeweiligen Entscheider vorzunehmen. Arbeitgeber sollten eine Hinweisgeber-KI ausschließlich als Assistenzsystem begreifen, nicht als Autopiloten.
Praxishinweise für Arbeitgeber
- KI kann auch beim Thema Whistleblowing nützlich und hilfreich sein.
- Aber: Keine Umsetzung der KI-Entscheidung ohne eine vorherige menschliche Prüfung!
- Nachvollziehbare Dokumentation, wie die KI zu ihren Einschätzungen kommt (zumindest in groben Zügen) und Überwachung der Ergebnisse der KI.
- Schulung der Arbeitnehmer im Umgang mit KI-Ergebnissen.
- Einbeziehung von Datenschutzbeauftragtem und Betriebsrat.
- Erstellen einer internen Richtlinie oder Betriebsvereinbarung, die den KI-Einsatz begrenzen, regeln und für transparente Abläufe mit menschlicher Aufsicht sorgen.
