People-Analytics: heimliches Mitarbeiter-Profiling per KI
KI, die alle Team-Chats und Kalender auswertet, um Mitarbeiter zu bewerten, ist kein Produktivitäts-Feature. Warum Mitbestimmung und Datenschutz das stoppen.
Kurz gesagt
Eine KI, die heimlich alle Team-Chats, Kalender und Nachrichten auswertet, um Mitarbeiter zu bewerten, ist kein harmloses Analyse-Feature. Sie ist nach § 87 BetrVG mitbestimmungspflichtig, an strenge Vorgaben des Beschäftigtendatenschutzes gebunden und darf Gefühle am Arbeitsplatz gar nicht erst per KI ableiten. Bequem heißt nicht erlaubt.
Mir wird auf Messen und in Pitches immer wieder dasselbe Werkzeug vorgeführt, nur unter wechselnden Namen. Es liest alle Team-Chats mit, wertet Kalender aus, misst wer wann mit wem schreibt und macht daraus ein Dashboard: Wer ist ausgelastet, wer wirkt unmotiviert, wer redet mit wem, wer ist ein Kündigungsrisiko. Verkauft wird das als Team-Health, als Produktivitäts-Analyse, gern sogar als Fürsorge. Ich nenne es beim Namen: Das ist heimliche Mitarbeiterüberwachung mit einem Analyse-Anstrich. Und der Satz, der solche Tools begleitet, ist fast immer derselbe: Ist doch praktisch, läuft einfach im Hintergrund. Genau da liegt das Problem. Praktisch und erlaubt sind zwei verschiedene Dinge. Das ist meine fachliche Einordnung als Auditor, keine Rechtsberatung.
Der Werksmeister mit dem Notizbuch hinter jedem Rücken
Ich komme aus der Werkstatt und übersetze so etwas gern ins Analoge. Stellen Sie sich einen Werksmeister vor, der hinter jeder Werkbank steht, jedes Gespräch in der Kaffeeküche mitschreibt, notiert wer wie lange telefoniert, und daraus eine Rangliste bastelt. Niemand im Betrieb würde das dulden. Man würde es sofort als das erkennen, was es ist: lückenlose Überwachung. Als Software im Hintergrund, hübsch als Dashboard aufbereitet, rutscht genau dasselbe durch, weil man die Kamera nicht sieht. Der Unterschied ist die Sichtbarkeit, nicht der Eingriff. Der Eingriff ist derselbe, oft sogar tiefer, denn die Software vergisst nichts und wertet rückwirkend aus.
Was hier wirklich passiert: Verhaltens- und Leistungskontrolle
Ein System, das Chats, Nachrichten und Kalender systematisch auswertet, um Aussagen über einzelne Beschäftigte zu treffen, ist juristisch keine harmlose Statistik. Es ist eine Verarbeitung personenbezogener Daten zur Kontrolle von Verhalten und Leistung. Dafür gelten in Deutschland gleich mehrere Schranken parallel: das Beschäftigtendatenschutzrecht, die DSGVO und das Betriebsverfassungsrecht. Keine davon ist optional, und keine lässt sich mit dem Argument der Bequemlichkeit aushebeln. Wer ein solches Tool einführt, muss alle drei gleichzeitig erfüllen, nicht sich eine aussuchen.
Oft kommt so ein Werkzeug obendrein als externe Cloud-Lösung ins Haus. Das heißt: Die Kommunikation der gesamten Belegschaft, teils mit Kundennamen, Vertragsdetails und internen Absprachen, wandert zur Auswertung an einen Anbieter, den niemand geprüft hat. Damit ist es nicht mehr nur ein Thema des Beschäftigtendatenschutzes, sondern zusätzlich eine Frage der Informationssicherheit und der Auftragsverarbeitung nach Artikel 28 DSGVO. Ein einziges Tool reißt so gleich mehrere Baustellen auf, und keine davon war vorher geplant.
Der Betriebsrat sitzt zwingend mit am Tisch
Wo es einen Betriebsrat gibt, ist die wichtigste Hürde oft die erste, die vergessen wird. § 87 Absatz 1 Nummer 6 Betriebsverfassungsgesetz gibt dem Betriebsrat ein erzwingbares Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Die Rechtsprechung legt das weit aus: Es genügt, dass die Einrichtung zur Überwachung objektiv geeignet ist. Sie muss dafür nicht einmal gebaut worden sein.
Ein Tool, das alle Chats und Kalender auswertet, ist der Musterfall. Ohne Zustimmung des Betriebsrats, in der Regel in Form einer Betriebsvereinbarung, darf ein solches System nicht eingeführt und nicht genutzt werden. Wird es trotzdem eingeschaltet, ist das nicht nur ein formaler Fehler. Der Betriebsrat kann die Nutzung stoppen, und die heimlich gewonnenen Auswertungen sind im Streitfall oft nicht verwertbar. Wer das Tool erst installiert und den Betriebsrat später informiert, hat die Reihenfolge falsch herum.
Beschäftigtendatenschutz: enge Grenzen statt Freibrief
Auch ohne Betriebsrat ist so ein System nicht frei. Für die Verarbeitung von Beschäftigtendaten braucht es eine Rechtsgrundlage. In Deutschland ist das bislang § 26 Bundesdatenschutzgesetz, eingebettet in die DSGVO. Wichtig: Der Europäische Gerichtshof hat der deutschen Regelung 2023 enge Grenzen gesetzt, eine pauschale Berufung auf diese Norm trägt nicht mehr blind. Umso mehr zählen die Grundprinzipien der DSGVO, und die stehen einer Rundum-Auswertung im Weg.
- Zweckbindung (Artikel 5 Absatz 1 b): Daten dürfen nur für den festgelegten, eindeutigen Zweck genutzt werden. Chats, die für die Zusammenarbeit gedacht sind, nachträglich zur Leistungsbewertung auszuwerten, ist eine Zweckänderung, die gesondert gerechtfertigt werden muss.
- Datenminimierung (Artikel 5 Absatz 1 c): Erlaubt ist nur, was für den Zweck wirklich erforderlich ist. Das lückenlose Mitlesen aller Nachrichten ist das Gegenteil von minimal.
- Transparenz (Artikel 5 Absatz 1 a und Artikel 13): Heimlich geht gar nicht. Beschäftigte müssen wissen, was ausgewertet wird. Verdeckte Auswertung ist nur in eng begrenzten Ausnahmen bei konkretem Verdacht denkbar, nicht als Dauerzustand.
- Verhältnismäßigkeit: Eine dauerhafte Totalauswertung der gesamten Kommunikation ist gegenüber dem Persönlichkeitsrecht der Beschäftigten in aller Regel unverhältnismäßig.
Und noch etwas wird gern übersehen: Eine systematische, umfangreiche Überwachung von Beschäftigten löst nach Artikel 35 DSGVO eine Datenschutz-Folgenabschätzung aus. Die deutschen Aufsichtsbehörden führen genau solche Verarbeitungen auf ihrer Liste der zwingend zu prüfenden Fälle. Wer diese Prüfung nicht gemacht hat, hat schon eine Pflicht verletzt, bevor der erste Bericht überhaupt erzeugt ist.
Gefühle am Arbeitsplatz per KI erkennen? Das ist bereits verboten
Viele dieser Tools werben mit Stimmungsanalyse. Sie wollen aus Chats herauslesen, ob die Laune im Team kippt, wer frustriert ist, wer kurz vor der Kündigung steht. Genau hier zieht die EU eine harte Grenze. Der EU AI Act verbietet in Artikel 5 den Einsatz von KI-Systemen, die Emotionen von Menschen am Arbeitsplatz und in Bildungseinrichtungen ableiten. Ausnahmen gibt es nur aus medizinischen oder Sicherheitsgründen. Diese Verbotsregel gilt bereits seit dem 2. Februar 2025. Ein KI-Tool, das aus dem Ton der Team-Chats auf die Gefühlslage einzelner Mitarbeiter schließt, bewegt sich also nicht in einer Grauzone. Es bewegt sich im Bereich einer verbotenen Praxis.
Ein Werkzeug, das im Hintergrund alle Chats mitliest und Menschen vermisst, wird nicht dadurch zulässig, dass es bequem ist und niemand hinschaut. Bequem heißt nicht erlaubt.
Und selbst die Auswertung, die nicht auf Emotionen zielt, sondern Leistung und Verhalten bewertet, ist im EU AI Act nicht als harmlos eingestuft. KI zur Überwachung und Bewertung von Beschäftigten zählt nach Anhang III zu den Hochrisiko-Anwendungen. Nach dem geänderten Zeitplan des Digital-Omnibus greifen die vollen Hochrisiko-Pflichten dafür ab dem 2. Dezember 2027. Das ist kein Grund, sich zurückzulehnen. Datenschutz und Mitbestimmung gelten heute, und das Verbot der Emotionserkennung gilt heute. Der Hochrisiko-Rahmen kommt obendrauf.
Selbst wenn es erlaubt wäre: Die Zahlen taugen wenig
Es gibt noch einen zweiten Grund, warum ich solche Tools kritisch sehe, und der hat nichts mit Paragrafen zu tun, sondern mit Handwerk. Die Kennzahlen, die dabei herauskommen, messen selten das, was sie zu messen vorgeben. Wer viel schreibt, ist nicht produktiv, sondern schreibt viel. Ein voller Kalender ist kein Beweis für Wertschöpfung, sondern oft ein Beweis für zu viele Meetings. Die stille Kollegin, die konzentriert arbeitet und wenig chattet, landet im Dashboard schnell als vermeintlicher Minderleister, während der, der den ganzen Tag Nachrichten verschickt, als engagiert gilt. Das ist keine Analyse, das ist eine Verwechslung von Aktivität mit Leistung.
Dazu kommt ein Effekt, den jeder aus der Praxis kennt, sobald Menschen wissen, dass sie vermessen werden: Sie passen ihr Verhalten an die Messung an, nicht an die Arbeit. Es wird geschrieben, um Aktivität zu zeigen. Ehrliche Rückfragen unterbleiben, weil niemand als der wirken will, der etwas nicht weiß. Kritik im Chat verstummt. Ein Tool, das die Zusammenarbeit überwacht, beschädigt genau die offene Kommunikation, die es zu vermessen glaubt. Am Ende steht ein teures Dashboard, das ein verzerrtes Bild schön aufbereitet. Wer daraus Personalentscheidungen ableitet, entscheidet auf Basis von Rauschen.
Und selbst saubere Zahlen lösen kein Führungsproblem. Wenn ein Team überlastet ist, sieht das eine gute Führungskraft im Gespräch, nicht im Nachrichten-Zähler. Wenn jemand unzufrieden ist, hilft ein ehrliches Gespräch unter vier Augen mehr als ein Alarm im System. Technik ersetzt hier keine Führung. Sie verdeckt bestenfalls, dass sie fehlt.
Was ISO/IEC 42001 von einem solchen System verlangt
Wer KI verantwortungsvoll einsetzen will, findet in der ISO/IEC 42001, der Norm für KI-Managementsysteme, den passenden Rahmen. Sie verlangt für KI-Systeme mit Wirkung auf Menschen eine dokumentierte Folgenabschätzung: Welche Auswirkungen hat das System auf die Betroffenen, hier die Beschäftigten? Sie fordert einen klar definierten, legitimen Zweck statt eines diffusen wir schauen mal, was die Daten hergeben. Und sie verlangt menschliche Aufsicht sowie Transparenz gegenüber den Betroffenen.
Ein People-Analytics-Tool, das heimlich alles mitliest, fällt bei jedem dieser Punkte durch: keine saubere Zweckdefinition, keine echte Transparenz, keine Folgenabschätzung, die den Namen verdient. Als Auditor brauche ich keine zehn Minuten, um das zu sehen. Ich frage nach der Rechtsgrundlage, nach der Betriebsvereinbarung, nach der Datenschutz-Folgenabschätzung und nach der Information der Beschäftigten. Fehlt das, ist der Befund eindeutig. Und er fehlt in der Praxis fast immer.
Meine klare Kante: Mitarbeiter-Analytics kann sinnvoll sein, wenn sie offen, zweckgebunden, mit dem Betriebsrat vereinbart und auf das Nötige beschränkt ist. Aggregierte Auslastung eines Teams ohne Blick auf die einzelne Person kann helfen, Engpässe zu erkennen. Heimlich und umfassend dagegen ist sie ein Vertrauensbruch mit Rechtsfolge. Wer sein Team wirklich gesund halten will, fängt nicht mit Überwachung an, sondern mit Transparenz. Das ist keine Schwäche. Das ist der Unterschied zwischen einem Werkzeug und einem Scheunentor.
Sie setzen KI im Betrieb ein oder planen es und sind unsicher, wo die Grenzen liegen? Prüfen Sie in wenigen Minuten, ob Ihr KI-Einsatz sauber aufgestellt ist, bevor ein Tool Daten Ihrer Beschäftigten anfasst.
Zum KI-Readiness-CheckPrimärquellen
Häufige Fragen
Ist People-Analytics generell verboten?+
Nein. Verboten ist die heimliche, umfassende Auswertung ohne Rechtsgrundlage. Offen kommuniziert, zweckgebunden, auf das Nötige beschränkt und, wo ein Betriebsrat besteht, per Betriebsvereinbarung abgesichert, kann Team-Analytik zulässig sein. Aggregierte Kennzahlen ohne Personenbezug sind deutlich unkritischer als Profile einzelner Beschäftigter.
Braucht der Einsatz die Zustimmung des Betriebsrats?+
Ja, wenn ein Betriebsrat besteht. Nach § 87 Absatz 1 Nummer 6 BetrVG hat er ein erzwingbares Mitbestimmungsrecht bei technischen Einrichtungen, die zur Überwachung von Verhalten oder Leistung objektiv geeignet sind. Ein Tool, das Chats und Kalender auswertet, fällt darunter. Ohne Betriebsvereinbarung darf es nicht eingeführt und nicht genutzt werden.
Darf eine KI die Stimmung der Mitarbeiter aus Chats ableiten?+
Nein. Der EU AI Act verbietet in Artikel 5 KI-Systeme, die Emotionen von Menschen am Arbeitsplatz ableiten, außer aus medizinischen oder Sicherheitsgründen. Dieses Verbot gilt seit dem 2. Februar 2025. Eine Stimmungsanalyse einzelner Beschäftigter aus Team-Chats bewegt sich damit im Bereich einer verbotenen Praxis.
Wann ist eine Datenschutz-Folgenabschätzung Pflicht?+
Bei einer systematischen und umfangreichen Überwachung von Beschäftigten verlangt Artikel 35 DSGVO eine Datenschutz-Folgenabschätzung vor dem Einsatz. Die deutschen Aufsichtsbehörden führen solche Verarbeitungen ausdrücklich auf ihrer Liste. Fehlt die Folgenabschätzung, ist bereits eine Pflicht verletzt, bevor das System die ersten Auswertungen erzeugt.
Was prüft ein Auditor bei einem solchen Tool zuerst?+
Rechtsgrundlage, Betriebsvereinbarung, Datenschutz-Folgenabschätzung und die Information der Beschäftigten. Dazu Zweckbindung und Datenminimierung nach ISO/IEC 42001 und DSGVO. Fehlt eines dieser Elemente, ist der Befund klar. Heimliche Rundum-Auswertung fällt bei praktisch jedem dieser Punkte durch.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & Senior Lead Implementer · ISO/IEC 27001 Lead Auditor & Lead Implementer (PECB)
Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Autor von „Stallgeruch“. Qualifikation auf Credly verifizieren · Mehr über mich.
Stand: 17. Juli 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.