Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutzbeauftragter

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein zertifizierter externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Einsatz künstlicher Intelligenz im Beschäftigungsverhältnis

3. Mai 2019

Spätestens seit der Verkündung der Strategie Künstliche Intelligenz (KI) der Bundesregierung Ende 2018 ist bekannt, dass Deutschland und Europa zu einem führenden KI-Standort werden sollen. Dadurch soll nach dem Willen der Bundesregierung insbesondere die künftige Wettbewerbsfähigkeit Deutschlands gesichert werden. Die Innovations- und Produktivitätspotenziale der KI sollen gerade in der Arbeitswelt ausgeschöpft werden. Soweit die strategische Planung.

Wie sieht jedoch die KI-Praxis der deutschen Arbeitswelt in den Betrieben aus? Ist der Einsatz von KI vor allem im Rahmen eines Beschäftigungsverhältnisses aus datenschutzrechtlicher Sicht überhaupt erlaubt und wenn ja, was ist dabei zu beachten?

Aktuelle KI-Praxis

„Im Rahmen des Bewerbungsverfahrens/der Durchführung des Beschäftigungsverhältnisses setzen wir keine automatisierte Entscheidungsfindung/Profiling und keine künstliche Intelligenz ein.“

Ein ähnlicher Satz findet sich erstaunlich oft in Datenschutzerklärungen von deutschen Unternehmen, die beispielsweise an Bewerber oder eigene Mitarbeiter gerichtet sind. Dabei erlauben es die bestehenden datenschutzrechtlichen Regelungen durchaus, KI bei Personalentscheidungen einzusetzen. Erlaubt wäre der Einsatz von KI im Rahmen eines Beschäftigungsverhältnisses gemäß § 26 BDSG, soweit dies erforderlich ist. Im Fall eines Bewerbungsverfahrens bestehen keine grundsätzlichen Zweifel an der Erforderlichkeit des KI-Einsatzes zur Sichtung und Bewertung von Bewerbungen, denn mit Hilfe der KI könnten durch Anwendung statistischer Verfahren insbesondere Missbrauchsfälle aufgedeckt werden. Dies kann im Rahmen eines nicht KI-gestützten Bewerbungsverfahrens nicht oder nur mit erheblich mehr Aufwand erfolgen. Bei einem bestehenden Arbeitsverhältnis könnte zwar die Erforderlichkeit der Nutzung von KI problematisch sein, so dass auf § 26 BDSG nicht mehr zurückgegriffen werden kann, jedoch kann dann die Anwendung der KI gegebenenfalls auf Art. 6 Abs. 1 lit. f DS-GVO gestützt werden, soweit ein Unternehmen ein berechtigtes Interesse hat und die schutzwürdigen Interessen der Beschäftigten nicht überwiegen. Wenn also beispielsweise bestehende Teamstrukturen eines größeren Mitarbeiter-Teams analysiert und optimiert werden sollen, kann KI hierzu genutzt werden, sofern die durchgeführte Abwägung ergibt, dass die Interessen der Team-Mitglieder nicht zu stark beeinträchtigt werden. Die rechtlichen Möglichkeiten sind also durchaus vorhanden. Man muss sie nur nutzen.

Was ist beim Einsatz von KI zu beachten?

KI funktioniert in der Regel so, dass erhebliche Datenmengen verarbeitet werden müssen, um die Algorithmen zu „trainieren“. Dabei besteht die Gefahr, dass die Beschäftigten dauerhaft überwacht und kontrolliert werden. Im Hinblick auf die Wahrung der Persönlichkeitsrechte der Arbeitnehmer wäre eine permanente Überwachung nicht zulässig. Hier könnte eine Betriebsvereinbarung jedoch gegebenenfalls Abhilfe schaffen, die Regeln bezüglich der Datenverarbeitung festlegt und dafür sorgt, dass alle Grundsätze des Art. 5 DS-GVO beachtet wurden.

Sofern KI aufgrund einer vorhandenen Rechtsgrundlage eingesetzt werden darf, ist unter anderem fraglich, wie weit die Transparenzpflichten reichen. Denn sollte der Einsatz KI als Profiling verstanden werden (definiert in Art. 4 Nr. 4 DS-GVO), muss gemäß Art. 13 Abs. 2 lit. f DS-GVO zwingend über die involvierte Logik, die Tragweite und angestrebte Auswirkungen informiert werden. Heißt „involvierte Logik“ auch die Mitteilung des mathematischen Algorithmus‘ selbst? Dies wird wohl zu verneinen sein, da die zugrunde liegenden Algorithmen regelmäßig Geschäftsgeheimnisse darstellen. Es wäre nicht zumutbar, Geschäftsgeheimnisse zu verraten, um Informationspflichten zu erfüllen.

Gemäß Art. 22 Abs. 1 DS-GVO hat eine betroffene Person jedoch das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt. Art. 22 Abs. 2 lit. a DS-GVO defininiert allerdings die Ausnahme, dass automatisierte Entscheidungen durchaus zulässig sind, sofern diese „für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich“ sind. In einem solchen Fall muss der betroffenen Person gemäß Art. 22 Abs. 3 DS-GVO „mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung“ ermöglicht werden.

In einem Bewerbungsverfahren wäre eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung, insbesondere eine Absage, eine rechtliche Wirkung gegenüber einem Bewerber und (ebenfalls bei einer Absage) gleichzeitig eine erhebliche Beeinträchtigung. Hier wäre eine ausschließlich automatisierte Einzelentscheidung zwar vermutlich zulässig, allerdings müsste es für die Bewerber eine Möglichkeit geben, diese auf KI basierende Entscheidung durch einen Menschen überprüfen zu lassen. Darüber hinaus ist der Einsatz solcher Automatismen im Rahmen der Informationspflichten gemäß Art. 13 DS-GVO bereits zu Beginn des Bewerbungsverfahrens offenzulegen. 

Fazit

Damit die KI-Strategie der Bundesregierung nicht nur eine Idee bleibt, sondern auch in der Praxis umgesetzt wird, bedarf es in erster Linie des Muts der Unternehmen, die die neuen Technologien zum eigenen Wohl einzusetzen. Denn nur ein Unternehmen, welches qualifizierte und motivierte Mitarbeiter beschäftigt, kann seine Wettbewerbsfähigkeit langfristig sichern. Hierbei kann KI bei der Mitarbeiterauswahl eine große Hilfe sein. Natürlich birgt der Einsatz von KI Risiken, doch er bietet auch große Chancen, die genutzt werden sollten. Man kann es schließlich mit dem Internet vergleichen. Die Risiken sind da, doch es ist eindeutig, dass die Vorteile überwiegen und kein Unternehmen käme auf die Idee, auf die Nutzung des Internets zu verzichten.

Sie beabsichtigen KI im Personalbereich einzusetzen? Sprechen Sie uns an, wir helfen Ihnen dabei – übrigens nicht mit KI, sondern mit MI  (Menschlicher Intelligenz) – versprochen!