Künstliche Intelligenz und Beschäftigtendatenschutz

Künstliche Intelligenz und Beschäftigtendatenschutz

Eine effektive Regelungsfähigkeit des Einsatzes der Künstlichen Intelligenz im Beschäftigungsverhältnis setzt deutlich erkennbare Anwendungsszenarien und damit einhergehende tatsächliche Veränderungen für die Arbeitswelt voraus, um hierfür regulierende Rahmenbedingen zu setzen.

I. Auswirkungen der Künstlichen Intelligenz auf Beschäftigungsverhältnisse

Da Anwendungen mit KI in alle Lebensbereiche eingreifen können und auch immer mehr menschliches Verhalten in immer breiteren Handlungsfeldern automatisieren und ersetzen sollen, wird sich auch die Arbeitswelt durch die KI verändern. KI-gesteuerte Systeme sind für ihr Funktionieren auf große Datenmengen angewiesen.  „Die konkrete Funktionsweise ist zudem in besonderer Weise abhängig von der Auswahl und der Qualität der jeweils eingegebenen und/oder für die Entwicklung („Training“) genutzten Daten.“

Sowohl Quantität als auch Qualität der Daten sind in der Konsequenz der Motor und der Kraftstoff für KI-Anwendungen. Im Beschäftigungsverhältnis muss somit der Beschäftigte selbst zum Datenlieferenten werden, damit die Technologie einen effektiven Nutzen entfalten kann. Ohne eine entsprechende Datengrundlage funktionieren die KI-Anwendung zugrundliegenden Algorithmen nicht.

Mittels „trial and error“ wird der Beschäftigte als betroffene Person zum Datensubjekt, bei dem so lange zulässige Lösungsmöglichkeiten versucht werden, bis die gewünschte Lösung gefunden wurde. Die dabei beim Beschäftigten erhobenen Daten können den Algorithmen etwa zum Targeting oder zur Erkennung von Mustern oder strukturellen Prozessen dienen.

II. Rechtlicher Rahmen

Unter den regulatorischen Rahmen des Datenschutzrechts fallen auch die für KI-Systeme erforderlichen Daten von Beschäftigten und ihre Verarbeitung.

III. Entwicklung von KI bzw. Algorithmen

Eine Software mit KI muss mit riesigen Datenmengen versehen werden und daraus Muster erkennen. Zu vernachlässigen ist aber nicht, wie die Muster zustande kommen. In einem zweiten Schritt werden dafür von der programmierenden Person Regeln hinzugefügt. Man kann zum Beispiel festlegen, dass mehrjährige Beschäftigungspausen in einem Bewerbungsprozess nachteilig gewertet werden. Anschließend sucht die Software aus Millionen oder Milliarden Kombinationsmöglichkeiten die beste Lösung für ein Problem heraus. Die KI vermag frühzeitig zu erkennen, welche theoretischen Optionen effektiv wirken können und verwirft alle übrigen Optionen unverzüglich. Es wird deswegen stets Zeit in Anspruch nehmen, bis das Zusammenspiel so funktioniert, dass KI-Systeme Aufgaben übernehmen und mithin eigenständige Entscheidungen treffen können. Experten und Data Scientists müssen die Daten vorsortieren und die Software beherrschen.

Die den KI-Anwendungen zugrundeliegenden Algorithmen arbeiten zwar mit statistischen Methoden, fallen aber nur unter die Ausnahme für statistische Zwecke, wenn sie im öffentlichen Interesse durchgeführt werden. Für die Auswertung großer, aus einer Vielzahl unterschiedlicher Quellen stammender unstrukturierter Daten zum Zwecke der Erkennung von Gesetzmäßigkeiten, Korrelationen und Kausalitäten und der Generierung neuer Informationen (Kontextwissen) wird regelmäßig auf Art. 6 Abs. 4 DS-GVO als Rechtsgrundlage verwiesen. Bei der Auswertung vorhandener Daten bzw. unter Hinzuspeichern weiterer Daten zu einem bereits existierenden Datensatz werden neue, spezifischere Informationen zu einer bereits zuvor individualisierten natürlichen Person generiert, weswegen bei solchen Szenarien der zwingend erforderliche Einsatz von wirksamen Pseudonymisierungstechniken durch umfassende Transparenz und Betroffenenrechte, insbesondere durch ein Widerspruchsrecht, geboten ist. Unter dem Vorhandensein geeigneter Garantien erscheint die Entwicklung von KI bzw. von entsprechenden Algorithmen auf Grundlage des Art. 6 Abs. 4 DS-GVO denkbar. Eine Weiterverarbeitung i.S.d. Art. 6 Abs. 4 DS-GVO unter anderem für wissenschaftliche Forschungs- oder für statistische Zwecke gilt überdies nicht als unvereinbar mit den ursprünglichen Zwecken.

Die Weiterverarbeitung personenbezogener Daten muss aber auch kollektivarbeitsrechtlich legitimiert sein. Hier bestehen gemäß § 87 Abs. 1 Nr. 6 BetrVG und gleichlautender Regelungen der Personalvertretungsgesetze umfassende Mitbestimmungsrechte der Mitarbeitervertretungen. Sofern die Mitarbeitervertretungen die Zustimmung der Datennutzung für die Generierung von KI verweigern, fehlt jedenfalls für Deutschland eine aussagekräftigte Datenbasis für KI-Anwendungen. Diese müsste aus Ländern ohne arbeits- oder datenschutzrechtliche Restriktionen gewonnen werden. Deren Implikationen kultureller und rechtliche Art mit Blick auf die Nutzung in der deutschen Arbeitswelt sollte vorab untersucht werden.

IV. Rechtmäßigkeit der Anwendung von KI bzw. Algorithmen

Nachdem die KI einsatzbereit zur Verfügung steht gilt es zu überprüfen, ob diese neue Technologie auch angewendet werden darf. Dabei sind neben dem Beschäftigtendatenschutzrecht und dem Diskriminierungsverbot (AGG) insbesondere auch die Transparenzanforderungen und die Vorgaben des Art. 22 DS-GVO (Automatisierte Einzelentscheidung) zu würdigen.

Die bestehenden datenschutzrechtlichen Regelungen ermöglichen den Einsatz von Künstlicher Intelligenz im Rahmen des Beschäftigungsverhältnisses. Insbesondere im laufenden Beschäftigungsverhältnis darf bei Personalentscheidungen nicht allein auf die Künstliche Intelligenz abgestellt werden. Die arbeitgeberseitige Fürsorgepflicht gebietet durch Künstliche Intelligenz erzeugte Entscheidungen zumindest eine Überprüfung durch einen entscheidungsbefugten Personalverantwortlichen.

Die ausführliche Stellungnahme können Sie hier als PDF-Dokument downloaden.

Bild von Gerd Altmann auf Pixabay

 

Letztes Update:12.04.19

  • Stand der Technik

    Handreichung zum Stand der Technik

    Sowohl das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz bzw. ITSiG) als auch die europäische Datenschutz-Grundverordnung (DS-GVO) erwähnen den Begriff des Stands der Technik als eine Forderung, an der sich die IT-Sicherheit orientieren soll. Im Bereich des technischen Datenschutzes fordert die DS-GVO in Art. 32 DS-GVO zum Schutze der Rechte und Freiheiten natürlicher Personen

    Mehr erfahren
  • Wegweiser

    LDI NRW aktualisiert FAQ zum DSB

    Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) existiert erstmals eine europaweit verbindliche verpflichtende Regelung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter. Während die EG-Datenschutzrichtlinie (95/46/EG) die Verpflichtung zur Bestellung von Datenschutzbeauftragten lediglich als Alternative vorsah, um die Meldepflicht gegenüber der Datenschutzaufsichtsbehörde entfallen zu lassen, wird sich mit Geltung der DS-GVO ab dem 25. Mai 2018 eine Bestellpflicht

    Mehr erfahren
  • Kündigung wegen Missbrauch von Kundendaten

    Missbrauch von Kundendaten: Fristlose Kündigung

    In seinem Urteil vom 15.01.2020 hat das Arbeitsgericht Siegen entschieden, dass der Missbrauch von Kundendaten durch einen IT-Mitarbeiter die fristlose Kündigung des Arbeitsverhältnisses rechtfertigen kann. Nach Ansicht des Arbeitsgerichts ist ein IT-Mitarbeiter verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertige in der Regel eine

    Mehr erfahren