Wichtigste Vorfrage und erste Weichenstellung im Datenschutz ist die Frage, ob überhaupt personenbezogene Daten verarbeitet werden. Auf die Verarbeitung (tatsächlich) anonymisierter Arbeitnehmerdaten ist das Datenschutzrecht von vornherein nicht anwendbar. Personenbezogene Daten sind z. B. dann nicht zwingend erforderlich, wenn Bewertungen von Informationen auf Unternehmens- oder Abteilungsebene im Vordergrund stehen, so z. B. bei der Analyse großer Datenmengen (Big-Data-Visualisation) oder bestimmter Vorhersageanwendungen ("Predictive Forecasting").
Aufwandsabwägung
Kann die KI-Anwendung ihre Aufgabe auch mit anonymisierten Daten erfüllen, ist der technische Aufwand einer Anonymisierung stets mit dem Aufwand abzuwägen, der durch die Erfüllung der datenschutzrechtlichen (und mitbestimmungsrechtlichen) Anforderungen und der damit verbundenen Risiken einhergeht. Oftmals könnte die Anonymisierung die günstigere Alternative sein.
Für den Einsatz von KI-Systemen gelten im Übrigen die allgemeinen datenschutzrechtlichen Vorgaben für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO).[1]
Rechtsgrundlage
Für die Verarbeitung personenbezogener Daten bedarf es stets einer Rechtsgrundlage. Eine wirksame – also insbesondere freiwillige – Einwilligung dürfte im Bewerbungs- und Beschäftigungskontext i. d. R. ausscheiden, erst recht bei sogenannten massenweisen Einwilligungen und Drittstaatentransfer. Etwas anderes gilt nur dann, wenn der Mitarbeiter eine echte Wahl hätte, nach anderen, nicht KI-basierten Prozessen beurteilt zu werden, ohne Nachteile zu erleiden.
Betriebsvereinbarungen können belastbare Rechtsgrundlagen für die Verarbeitung personenbezogener Daten schaffen und gleichzeitig zwingende Mitbestimmungsrechte des Betriebsrats erledigen.
Insoweit bestehen datenschutzrechtlich keine Besonderheiten. Speziell für KI-Systeme relevant sind hingegen Art. 22 Abs. 1 DSGVO und der Grundsatz der Zweckbindung und Transparenz aus Art. 5 Abs. 1a, b DSGVO.
Nach Art. 22 Abs. 1 DSGVO hat der Arbeitnehmer das Recht, dass besonders beeinträchtigende Entscheidungen nicht (nur) maschinell getroffen werden. Beispiele für solche Entscheidungen sind die Nichteinstellung und Kündigung, aber ggf. auch schon Beurteilungen von Arbeitnehmern[2] oder die Ablehnung von Leistungen. I.d.R. untersagt ist allerdings nur die "ausschließlich" automatisierte Entscheidung, also eine "ohne jegliches menschliche Eingreifen".[3] Ist nur die Informationsgewinnung bzw. das Vorsortieren (z. B. bei Bewerbungen) automatisch und kann dieses Ergebnis nachvollzogen werden, ergeben sich aus Art. 22 Abs. 1 DSGVO für den KI-Einsatz keine Beschränkungen. Unter diesen Voraussetzungen sind sämtliche unter Ziffer 2 genannten Anwendungen nicht per se unzulässig.
Beteiligung durch Personen an Entscheidungen
Arbeitgeber sollten – schon aus Rechtsgründen – sicherstellen, dass in die endgültige Entscheidung über für Arbeitnehmer besonders relevante Maßnahmen immer auch Menschen miteinbezogen werden. Art und Umfang der menschlichen Beteiligung an diesem Prozess sollten nachvollziehbar dokumentiert werden.
Beim Einsatz von KI wird weiter der Grundsatz der Zweckbindung aus Art. 5 Abs. 1b DSGVO eine wichtige Rolle spielen. Denn oftmals wird es darum gehen, im Nachhinein Mitarbeiterdaten als Trainingsdaten zu verarbeiten, die ursprünglich für einen anderen Zweck erhoben wurden (z. B. für das Bewerbungsverfahren). Diese neue Verarbeitung könnte dann mit dem ursprünglichen Zweck nicht vereinbar sein (Art. 6 Abs. 4 DSGVO), wenn zum Zeitpunkt der Erhebung der Einsatz von KI nicht geplant war und daher keine Berücksichtigung fand.
Besonders relevant ist auch der Grundsatz der Transparenz aus Art. 5 Abs. 1a DSGVO, weil KI-Systeme von Natur aus intransparent sind. Das heißt: Unternehmen müssen besonders bei KI-basierten Anwendungen darauf achten, informiert und sprechfähig zu sein, was die Verarbeitung personenbezogener Daten angeht (welche Daten werden, wie und durch wen für welchen Zeitraum verarbeitet?).
Weitere wichtige Pflichten sind die Auskunft nach Art. 15 DSGVO und ggf. die Informationspflicht aus Art. 13 Abs. 2f DSGVO. Unternehmen müssen hiernach ggf. "aussagekräftige Informationen über die involvierte Logik" der automatisierten Verarbeitung bereitstellen und die Funktionsweise zu einem gewissen Maß erklären können.[4]
Schließlich ist vor allem bei komplexen Sprachmodellen damit zu rechnen, dass Unternehmen diese nicht selbst betreiben, sondern einen Dritten mit der Verarbeitung beauftragen, jedenfalls aber Zugriff durch Dritte besteht (sog. "Auftragsdatenverarbeitung"). Hier ergeben sich für das Unternehmen gewisse Pflichten, etwa eine sorgfältige Auswahl und Überwachung sowie die Einholung ausreichender Garantien, sodass die Verarbeitung im Einklang mit der DSGVO erfolgt.
Rechenzentren mit Sitz in den USA
Die Rechenzentren von Sprachmodellen wie Chatbots (z. B. Microsoft CoPilot, Google Bard) dürften meist in den USA liegen, auch wenn der im Unternehmen...
Das ist nur ein Ausschnitt aus dem Produkt Personal Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen