Suche 
Seit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) sind Unternehmen mit mindestens 50 Beschäftigten verpflichtet, interne Hinweisgebersysteme einzurichten. Immer mehr Arbeitgeber setzen dabei auf Künstliche Intelligenz (KI), um die Bearbeitung von Meldungen zu beschleunigen und effizienter zu gestalten. Doch Vorsicht! Beim KI-gestützten Whistleblowing spielen arbeitsrechtliche Fragen eine wichtige Rolle: vom Beschäftigtendatenschutz über die Mitbestimmungsrechte des Betriebsrats bis hin zu den Grenzen zulässiger Automatisierung.
Datenschutz: KI und Beschäftigtendaten rechtssicher handhaben
Die Verarbeitung von Hinweisen durch KI bedeutet immer auch die Verarbeitung personenbezogener Daten; die betrifft sowohl die Daten der Hinweisgeber als auch der beschuldigten Beschäftigten. Daher sind die Regeln der DSGVO und des BDSG zu beachten: Eine interne Meldestelle darf personenbezogene Daten nur auf tauglicher Ermächtigungsgrundlage verarbeiten. In der Regel ergibt sich diese aus Art. 6 Abs. 1 lit. c DSGVO i.V.m. §§ 10, 12 HinSchG. Darüber hinaus erlaubt § 26 Abs. 1 BDSG die Verarbeitung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses – etwa zur Aufklärung von Verstößen – sofern ein plausibler, dokumentierter Verdacht besteht und die Maßnahme verhältnismäßig ist. Stehen tatsächliche Anhaltspunkte für Straftaten im Raum, ist gemäß § 26 Abs. 1 S. 2 BDSG eine Interessenabwägung und eine Verhältnismäßigkeitsprüfung vorzunehmen. Diese wird man nur schwerlich rein der KI übertragen können; zumal dann auch der Tatbestand der automatisierten Entscheidung nach Art. 22 DSGVO eröffnet sein kann. Diese ist (mit wenigen Ausnahmen) unzulässig.
Vertraulichkeit und Datenminimierung
Das HinSchG schreibt vor, dass die Identität von Hinweisgebern und genannten Personen zu schützen ist. Daher muss auch eine KI-Anwendung so konfiguriert sein, dass keine unbefugten Zugriffe erfolgen und möglichst wenig personenbezogene Daten aus den Meldungen preisgegeben werden. Sinnvoll ist daher eine automatisierte Anonymisierung: Moderne KI-Tools können so eingestellt werden, dass Namen und Identifikationsmerkmale in Meldungstexten ausgeblendet oder pseudonymisiert werden. Wichtig ist außerdem, die Speicherfristen einzuhalten; das HinSchG verlangt etwa die Löschung von Meldedaten nach spätestens drei Jahren, sofern kein spezieller Aufbewahrungsgrund besteht. An diesen Stellen kann KI helfen, indem sie Automatisierung und Löschung übernimmt.
Mitbestimmung bei KI-gestützten Meldesystemen
Bei der Einführung eines KI-gestützten Hinweisgebersystems können auch Mitbestimmungsrechte tangiert sein. Weil das HinSchG Unternehmen verpflichtet, ein Meldesystem bereitzustellen, ist die Frage des „Ob“ der Einführung in der Regel kein Betriebsratsthema – wenngleich gemäß § 80 Abs. 2 BetrVG ein Anspruch auf Unterrichtung vor der geplanten Einrichtung eines Hinweisgebersystems bestehen kann.
Sofern technische Einrichtungen eingesetzt werden, die objektiv geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen, greift das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Ein digitales Hinweisgeber-Tool mit KI-Komponente kann solche Überwachungseffekte haben; z.B., weil darüber Vorwürfe zum Verhalten von Mitarbeitenden gemeldet und analysiert werden. Die konkrete Einführung ist daher häufig zustimmungspflichtig. Arbeitgeber sollten deshalb von Anfang an den Betriebsrat klug einbinden und auf eine Betriebsvereinbarung hinwirken, die den Einsatz der KI im Meldesystem genau regelt.
Die Mitbestimmungspflicht kann auch dann eröffnet sein, wenn ein externer Dienstleister oder KI-Anbieter eingeschaltet und mit der Regulierung des Whistleblowings beauftragt wird. Der Arbeitgeber bleibt auch in diesen Fällen regelmäßig Verantwortlicher im Sinne der DSGVO.
Automatisierte Verdachtsprüfung: KI als Helfer, nicht als Richter
Moderne Hinweisgeber-Software verspricht, Meldungen automatisch zu priorisieren und Verdachtsfälle zu bewerten. KI-Modelle können z.B. anhand von Schlagworten oder Mustern einschätzen, wie dringlich oder riskant ein Hinweis ist. Das klingt verlockend, gerade wenn viele Hinweise eingehen. Allerdings wirft eine solche automatisierte Verdachtsprüfung gleich mehrere arbeitsrechtlich relevante Fragen auf. Darf eine KI eigenständig entscheiden, welche Meldung ernst zu nehmen ist und welche als „ungefährlich“ abgeheftet wird? Und kann man auf Basis einer KI-Einstufung direkt arbeitsrechtliche Maßnahmen gegenüber einem beschuldigten Mitarbeiter ergreifen?
Die klare Antwort aus rechtlicher Sicht: vollautomatische Entscheidungen sind tabu, unterstützend kann KI aber sinnvoll eingesetzt werden. Arbeitnehmer haben gemäß Art. 22 DSGVO das Recht, nicht Entscheidungen unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruhen und ihnen gegenüber rechtliche Wirkungen entfalten oder sie erheblich beeinträchtigen. Ein KI-System darf also nicht zum alleinigen Richter über Schicksale im Betrieb werden.
Insbesondere arbeitsrechtlich relevante Maßnahmen (Abmahnung, Kündigung, etc.) dürfen nicht allein durch einen Algorithmus ausgelöst oder beschlossen werden. Hier ist immer eine menschliche Prüfung vorgeschaltet. Daher sollten KI-Tools lediglich als Filter und Frühwarnsystem dienen: Sie können Hinweise vorsortieren und auf mögliche Schwerpunkte hinweisen. Die abschließende Bewertung ist dann aber zwingend durch die jeweiligen Entscheider vorzunehmen. Unternehmen sollten KI daher ausschließlich als Assistenzsystem begreifen, nicht als Autopiloten.
Praxishinweis
Best Practices für Unternehmen:
- KI kann auch beim Thema Whistleblowing nützlich & hilfreich sein.
- Aber: Keine Umsetzung der KI-Entscheidung ohne menschliche Überprüfung!
- Nachvollziehbare Dokumentation, wie die KI zu ihren Einschätzungen kommt (zumindest in groben Zügen) und Überwachung der Ergebnisse der KI.
- Schulung der Mitarbeiter im Umgang mit KI-Ergebnissen.
- Einbeziehung von Datenschutzbeauftragtem und – falls vorhanden – des Betriebsrats.
- Erstellung interner Richtlinien oder Betriebsvereinbarungen, die den KI-Einsatz begrenzen, regeln und für transparente Abläufe mit menschlicher Aufsicht sorgen.
