Sarah Fortyr

Der Einsatz von Künstlicher Intelligenz (KI) spielt auch im Arbeitsverhältnis eine immer größer werdende Rolle. KI-gestützte Systeme und Anwendungen bieten hier diverse Möglichkeiten, um den Arbeitsalltag zu erleichtern. Dabei sollten jedoch insbesondere auch die diversen datenschutzrechtlichen Anforderungen und Risiken nicht außer Acht gelassen werden, die sich bei einer Verarbeitung von personenbezogenen Daten beim Einsatz von KI ergeben.

Was ist KI und wie kann sie von Arbeitgebern genutzt werden?

Vereinfacht lässt sich KI als Oberbegriff für Maschinenleistungen beschreiben, die menschenähnliche Intelligenz zeigen und für einen autonomen Betrieb ausgelegt sind. KI-Systeme sind in der Regel nach ihrer Betriebsaufnahme anpassungsfähig und entwickeln sich mit dem wiederholten Durchlaufen von Vorgängen selbstständig weiter, indem sie mit vergangenen Datensätzen trainieren (sog. maschinelles Lernen).

Im HR-Bereich kommt der Einsatz von KI nicht nur bei dem Erstellen von Verträgen oder der Verwendung von Chatbots (z.B. zur FAQ-Beantwortung) in Betracht, sondern bietet etwa auch Möglichkeiten der Arbeitserleichterung im Recruiting-Prozess, indem beispielsweise Bewerberunterlagen durch sog. Candidate Screening Tools automatisiert mit den Anforderungen der ausgeschriebenen Stelle abgeglichen werden oder Informationen aus dem Lebenslauf des Bewerbers herausgefiltert und automatisch in ein Bewerber-Managementsystem eingepflegt werden.

Datenschutzrechtliche Anforderungen an den Einsatz von KI

Soweit es – wie oftmals der Fall – bei der Verwendung von KI-Anwendungen zur Verarbeitung personenbezogener (Beschäftigten-)Daten kommt, hat der Arbeitgeber insoweit den durch die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz vorgegebenen Rechtsrahmen zu beachten.

Hier ist insbesondere zu berücksichtigen, dass eine Verarbeitung von Daten durch das KI-System in jeder Phase – d.h. beim Training der KI sowie deren eigentlicher Nutzung und ihrer Weiterentwicklung - stets eines Erlaubnistatbestands (in Form der Einwilligung durch die betroffene Person oder einer gesetzlichen Grundlage) bedarf. Möchte der Arbeitgeber die Datenverarbeitung auf Basis einer Einwilligung des Betroffenen vornehmen, sollte er insbesondere bedenken, dass die im Falle eines Widerrufs der Einwilligung ggf. erforderliche Löschung der betroffenen Daten sich unter Umständen auf die Funktionsfähigkeit der KI-Anwendung auswirkt.

Weiter gilt zu beachten, dass (voll)automatisierte Entscheidungen durch eine KI, die Rechtswirkungen gegenüber der betroffenen Person entfalten, im Grundsatz verboten sind. Es wäre daher bspw. grundsätzlich unzulässig, wenn ein KI-Tool eingegangene Bewerbungen selbstständig analysiert und dann automatisiert einzelne Bewerber ablehnt. Möglich ist dagegen die KI-basierte Unterstützung und Vorbereitung menschlicher Entscheidungen (z.B. Auswertung von Bewerbungen und Erstellung einer Rangliste der Bewerber durch KI-Tool).

Auch der Gesichtspunkt der Datensicherheit darf beim Einsatz von KI-Systemen nicht außer Acht gelassen werden. Es empfiehlt sich, sich mit dieser Thematik so früh wie möglich - also bereits im Rahmen der initialen Entwicklung der KI – zu befassen. Zudem sollten die getroffenen technischen und organisatorischen Maßnahmen auch nach Einführung der KI regelmäßig evaluiert und – sofern angezeigt – verbessert werden.

Herausforderungen beim Einsatz von KI ergeben sich zudem auch im Hinblick auf die Informationspflichten, die der Verantwortliche gegenüber der von der Datenverarbeitung betroffenen Person zu erfüllen hat: Insbesondere der Umstand, dass der Verarbeitungs- und Entscheidungsprozess durch die KI in aller Regel von außen nicht vollständig nachvollziehbar ist (sog. „Blackbox-Situation“), stellt ein Problem im Hinblick auf die gebotene Transparenz und Verständlichkeit der bereitzustellenden Information dar. Der Arbeitgeber sollte daher von Anfang an eine umfassende Dokumentation der Datenverarbeitung sicherstellen und – beim Einsatz fremder KI-Tools - zudem darauf achten, dass ihm der Anbieter der KI ausreichende Informationen über die Funktionsweise der KI zur Verfügung gestellt.

Handlungsempfehlungen und Praxistipps

Mit Blick auf die skizzierten datenschutzrechtlichen Herausforderungen und Risiken empfiehlt es sich für Unternehmen, die generellen Bedingungen für den Einsatz von KI-Anwendungen durch unternehmensinterne Richtlinien festzulegen. Hier sollten dann unter anderem auch Vorgaben mit Blick auf das Datenschutzrecht getroffen werden (etwa Regelung, ob und in welchem Umfang personenbezogene Daten in das KI-Tool eingegeben werden dürfen; Dokumentationspflichten bei Datenverarbeitungen durch die KI; Verbot der automatisierten Entscheidung durch die KI).

Darüber hinaus empfiehlt es sich für den Arbeitgeber, die derzeit sehr dynamischen Entwicklungen im technischen und rechtlichen Bereich stets im Blick zu behalten und ein enges Monitoring der eingesetzten KI-Tools zu gewährleisten, um hier zeitnah und effizient auf eintretende Änderungen (z.B. fortschreitende technische Lösungen/Updates, Änderung der rechtlichen Anforderungen) reagieren zu können.

Wesentlich ist zudem, dass der Arbeitgeber als datenschutzrechtlich Verantwortlicher die KI-generierten Ergebnisse und Ausgaben stets kritisch hinterfragt und auf ihre Richtigkeit und Diskriminierungsfreiheit hin überprüft, da die (Weiter-)Verarbeitung unrichtiger und/oder diskriminierend wirkender KI-Ausgaben mit Personenbezug bereits deshalb aus datenschutzrechtlicher Hinsicht unzulässig wäre. So ist etwa darauf zu achten, dass im Bewerbungsprozess eingesetzte KI-Anwendungen keinen Output, der gegen die Vorgaben des allgemeinen Gleichbehandlungsgesetzes (AGG) verstößt, produzieren.

Zudem sollten Unternehmen ihren Beschäftigten betriebliche Accounts und Geräte für die Nutzung der KI-Anwendungen bereitstellen, um zu verhindern, dass die KI im Falle einer Verwendung privater Accounts und Geräte Profile zu den einzelnen Beschäftigten erstellt. Außerdem ist es ratsam, die Mitarbeiter im Hinblick auf die Nutzung der betrieblichen KI-Tools regelmäßig fortzubilden und zu schulen und in diesem Rahmen insbesondere auch für die datenschutzrechtlichen „Fallstricke“ zu sensibilisieren.