Das Thema
Künstliche Intelligenz wird auch im Arbeitsleben immer wichtiger. Teils nutzen Unternehmen und ihre Mitarbeitenden KI-Tools, ohne sich dessen bewusst zu sein, teils wird KI bewusst eingesetzt, u.a. um Arbeitsabläufe zu optimieren oder einfache und repetitive Tätigkeiten durch Software ausüben zu lassen. Die Zwecke, zu denen KI eingesetzt wird, lassen sich nicht abschließend aufzählen. KI kommt sowohl vor Beginn eines Arbeitsverhältnisses während der Bewerbung zum Einsatz als auch während des Arbeitsverhältnisses.
KI funktioniert aber nur auf Basis von Daten. Ohne Daten, auf deren Basis sie Ergebnisse liefert, ist eine KI undenkbar. Die KI muss mit Daten trainiert werden, um dann auf Basis der sog. Trainingsdaten Ergebnisse zu liefern. Je besser die Qualität und je größer die Menge der Trainingsdaten ist, desto größer ist auch die Wahrscheinlichkeit, dass die KI gute Ergebnisse liefern wird.
Kein Vorrang der KI-Verordnung
Je nachdem, wozu eine KI eingesetzt wird, muss sie – teils oder auch vollständig – mit personenbezogenen Daten trainiert werden. Bei der Nutzung von KI fallen ebenfalls personenbezogene Daten an oder werden für Anfragen genutzt. Daher müssen Arbeitgeber sich auch beim Einsatz von KI mit den datenschutzrechtlichen Rahmenbedingungen auseinandersetzen.
Die kommende KI-Verordnung (s. dazu auch den #EFAR-Beitrag „Das Gesetz über künstliche Intelligenz“) befreit Arbeitgeber nicht davon, das geltende Datenschutzrecht in vollem Umfang zu berücksichtigen. Es reicht also nicht aus, KI im Einklang mit der KI-Verordnung einzusetzen, der Datenschutz muss immer mit geprüft werden. Die KI-VO stellt ausdrücklich klar, dass die Geltung der DSGVO unberührt bleibt (Art. 2 Abs. 7 KI-VO).
Datenschutz bei Trainingsdaten
Häufig werden Arbeitgeber KI-Anwendungen (noch) nicht mit eigenen Daten trainieren, sondern nutzen KI-Anwendungen, die mit fremden Daten trainiert wurden.
Wird hingegen eine KI mit Daten des Unternehmens trainiert, muss geprüft werden, ob dies datenschutzrechtlich zulässig ist (s. dazu auch den #EFAR-Beitrag „ChatGPT im Visier der Datenschutzbehörden: Droht ein Verbot?“). Keine Probleme bestehen, wenn der Arbeitgeber die Trainingsdaten anonymisiert. Dann handelt es sich nicht mehr um personenbezogene Daten, so dass datenschutzrechtliche Fragen keine Rolle mehr spielen. Teilweise wird zwar diskutiert, ob die Anonymisierung von personenbezogenen Daten nur auf Grundlage einer Erlaubnisnorm zulässig ist. Es ist aber davon auszugehen, dass dies nicht der Fall ist. Selbst wenn man das annähme, wäre die Verarbeitung in Form der Anonymisierung in aller Regel durch Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gerechtfertigt. Durch die Trennung der Daten von der betroffenen Person sind keine schutzwürdigen Interessen der betroffenen Person tangiert.
Die Verwendung von personenbezogenen Daten im Übrigen – das betrifft auch pseudonymisierte Daten – ist in jedem Fall nur auf Grundlage einer Erlaubnisnorm zulässig. Besondere Anforderungen gelten zudem, wenn die Trainingsdaten auch sensible Daten im Sinne von Art. 9 DSGVO (z.B. Gesundheitsdaten) enthalten.
Arbeitgebern ist häufig nicht bewusst, dass auch Anbieter von KI-Systemen die vom Unternehmen in das System eingepflegten Daten für eigene Zwecke und damit auch möglicherweise zum Training von KI-Anwendungen nutzen. Beim Einkauf von KI-Systemen ist daher besonders Augenmerk auf die datenschutzrechtliche Konfiguration des Systems und auf die Verträge mit dem Anbieter zu legen. Datenschutzrechtlich kann das Verhältnis von Anbieter und Arbeitgeber eine Auftragsverarbeitung (Art. 28 DSGVO) sein oder Anbieter und Arbeitgeber werden gemeinsam Verantwortliche (Art. 26 DSGVO). Die Anforderungen an die Vertragsgestaltung sind unterschiedlich. Wichtig ist aber, dass die Frage, wie das Verhältnis zwischen Anbieter und Arbeitgeber zu bewerten ist, geprüft wird und die entsprechenden Vereinbarungen getroffen werden.
Datenschutz bei der Nutzung
Jeder Nutzer hinterlässt in der IT Spuren. Das sind häufig personenbezogene Daten. Auch bei KI-Anwendungen ist das nicht anders. Systeme erfassen, wann sich ein User angemeldet oder abgemeldet hat, welche Anfragen er gestellt hat und noch vieles mehr.
Wie bei jedem anderen IT-System auch, muss der Arbeitgeber den datenschutzkonformen Einsatz sicherstellen (s. dazu auch den #EFAR-Beitrag „Rechtliche Aspekte von künstlicher Intelligenz in der Arbeitswelt, Teil 2“). Das geschieht einerseits durch technische und andererseits durch organisatorische Maßnahmen. Der Arbeitgeber muss prüfen, welche Daten tatsächlich verarbeitet werden müssen, welche Verarbeitung er durch Einstellungen im System möglicherweise unterbinden kann und was er sonst noch unternehmen kann, um beim Einsatz der KI nicht mehr personenbezogene Daten als erforderlich zu verarbeiten.
Bei der KI kommt ein weiterer Aspekt hinzu: Sie lernt häufig auch anhand der Daten, die User bei ihrer Benutzung eingeben. Aus datenschutzrechtlicher Sicht stellt daher – vor allem bei offenen Systemen – die Eingabe von personenbezogenen Daten in eine KI-Anwendung ein datenschutzrechtliches Risiko dar. Werden diese Daten nicht nur für die Beantwortung der konkreten Anfrage genutzt, sondern auch zum Training der KI, dann taucht möglicherweise ein personenbezogenes Datum, das ein User eingegeben hat, in der Antwort bei einem ganz anderen User auf. Arbeitgeber müssen daher vor allem die User sensibilisieren, keine personenbezogenen Daten in ein KI-System einzugeben.
Risiken für Arbeitgeber
Arbeitgeber, die datenschutzrechtlich verantwortlich sind, haben die bekannten Risiken: Bei Datenschutzverstößen drohen Auseinandersetzungen mit den Datenschutzbehörden bis hin zu einem Bußgeld. Parallel können betroffene Personen Schadensersatzansprüche geltend machen.
Es gibt beim Einsatz von KI aber weitere Risiken: Wenn Daten durch die Verarbeitung in einer KI-Anwendung in falsche Hände gelangen, können auch Geschäftsgeheimnisse unbeabsichtigt offengelegt werden. Nicht zuletzt drohen auch Reputationsschäden.
Fazit
KI wird unseren Arbeitsalltag verändern. Ich glaube fest daran, dass die Veränderungen positiv sein werden. Die Hoffnung, die in KI gesetzt werden, sollte aber nicht den Blick auf die Risiken verstellen. Arbeitgeber sollten sich sorgfältig auf den Einsatz von KI vorbereiten, um die Risiken soweit wie möglich auszuschließen.
