Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

LinkedIn
Twitter
Xing
Facebook
Künstliche Intelligenz

Rechtliche Aspekte von künstlicher Intelligenz in der Arbeitswelt (Teil 2)

Künstliche Intelligenz (KI) entwickelt sich derzeit in einem rasanten Tempo. Bereits heute schon existieren vielseitige Anwendungen und Erscheinungsformen, die zeigen, dass KI in Zukunft nicht nur Arbeitsabläufe, sondern den Arbeitsmarkt als solchen grundlegend beeinflussen wird. Wie steht es um Datenschutz, Regulatorien und Haftung?

Das Thema

Im Anschluss an den Blick auf die aktuelle Rechtslage in Teil 1 beleuchten wir in diesem Teil 2 datenschutzrechtliche Aspekte sowie die bevorstehende regulatorische Entwicklung im arbeitsrechtlichen Kontext. Im Mittelpunkt stehen die Entwürfe für eine Verordnung zur Festlegung harmonisierter Vorschriften für KI (KI-VO-E) sowie für eine Richtlinie zur Anpassung der Vorschriften über außervertragliche zivilrechtliche Haftung an KI (KI-Haftungs-RL-E).

Datenschutzrechtliche Aspekte

Bei der Implementierung und Verwendung von KI in Unternehmen treten regelmäßig datenschutzrechtliche Herausforderungen auf.

Legitimation der Verarbeitung von Beschäftigtendaten

Die Einwilligung der von der Datenverarbeitung betroffenen Beschäftigten stellt nicht die ideale Legitimation der Datenverarbeitung dar. Der Grund dafür ist, dass diese Zustimmung jederzeit widerrufen werden kann. Zudem wird aufgrund der bestehenden Machtverhältnisse zwischen Arbeitgeber und Arbeitnehmer häufig die Freiwilligkeit einer gegebenen Einwilligung in Frage gestellt. Ist die Einwilligung nicht freiwillig gegeben worden, ist sie unwirksam.

Anstatt individueller Einwilligungen kann es praktikabler sein, eine Betriebsvereinbarung mit dem Betriebsrat zu treffen. Diese Lösung bietet zwei Vorteile: Sie legitimiert die Datenverarbeitung aus datenschutzrechtlicher Sicht und berücksichtigt die umfangreichen Mitbestimmungsrechte des Betriebsrats bei der Einführung und Anwendung technischer Einrichtungen, die zur Leistungs- oder Verhaltenskontrolle bestimmt sind.

Darlegung der Erforderlichkeit als Legitimierungsansatz für Verarbeitungsgrundlage

Ein weiterer Ansatz für die Legitimierung könnte eine gründliche und rechtssichere Darlegung der Erforderlichkeit der Datenverarbeitung für die Erfüllung des Arbeitsvertrags sein. Nachdem der EuGH (Urt. v. 30.03.2023 – C-34/21) die mit § 26 Abs. 1 BDSG nahezu identisch formulierte Regelung im hessischen Beschäftigtendatenschutzrecht für unanwendbar erklärt hat, ist auch § 26 Abs. 1 BDSG nicht mehr anwendbar, der die Erforderlichkeit der Datenverarbeitung für die Durchführung des Beschäftigungsverhältnisses voraussetzt. Erlaubnisnorm ist stattdessen Art. 6 Abs. 1 Buchst. b) DSGVO. Für eine erforderliche Datenverarbeitung im Sinne des Datenschutzrechts müssen die Interessen der betroffenen Arbeitnehmer und des Arbeitgebers umfassend gegeneinander abgewogen werden. Daraus kann sich unter Umständen ergeben, dass die Daten nur für bestimmte Zwecke genutzt oder der Zugang zu den Daten auf bestimmte Personen beschränkt werden darf. Wenn möglich, sollte ohne Beeinträchtigung der KI-Funktionalität eine Verschlüsselung und Pseudonymisierung der Daten durchgeführt werden. Im Bereich der Personalauswahl stellt die Rechtfertigung umfassender Persönlichkeitsanalysen durch KI eine besondere Herausforderung dar, da es in der Regel datenschutzfreundlichere Alternativen für die Bewerberauswahl gibt.

KI-spezifische Pflichten aus der DSGVO

Der Arbeitgeber muss die Arbeitnehmer vollständig über die Verarbeitung ihrer Daten informieren; nicht mehr benötigte Daten müssen gelöscht und fehlerhafte Daten korrigiert werden. Bei Änderungen des Verwendungszwecks der Daten, beispielsweise einer Weiterverwendung für das Training einer KI, müssen die betroffenen Mitarbeiter grundsätzlich darüber informiert werden.

Sollte die Verwendung personenbezogener Daten für das Training der KI nicht notwendig sein, sollten die Daten vor ihrer Weiterverwendung anonymisiert werden. In diesem Fall fallen sie nicht mehr unter die DSGVO.

Das Verbot automatisierter Entscheidungen im Einzelfall gemäß Art. 22 Abs. 1 DSGVO bewirkt, dass z.B. beim Einsatz von KI bei Entscheidungen über Einstellungen, Abmahnungen und Kündigungen, die rechtliche Wirkung gegenüber dem Beschäftigten entfalten, die Letztentscheidung in der Regel von einer natürlichen Person getroffen werden muss. Sofern der Einsatz von KI für den Abschluss oder die Erfüllung des Arbeitsvertrages nicht erforderlich ist, kann sich der Arbeitgeber nicht auf die Ausnahmeregelung des Art. 22 Abs. 2 Buchst. a) DSGVO berufen. Legitimiert werden kann die KI-gestützte Entscheidung dann nur durch die ausdrückliche Einwilligung des Beschäftigten (Art. 22 Abs. 2 Buchst. b) DSGVO), wobei in diesem Fall aufgrund des Über- und Unterordnungsverhältnisses zwischen Arbeitgeber und Arbeitnehmer – gerade bei der Einwilligung von Bewerbern – das Vorliegen der Freiwilligkeit kritisch zu prüfen ist.

Beim Einsatz von KI-Anwendungen, die Daten automatisiert verarbeiten, kann zudem eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich sein.

Rechtsrahmen

Mit den von der Kommission vorgeschlagenen KI-spezifischen Regelungen soll ein horizontaler Rechtsrahmen für die Nutzung von KI geschaffen werden, der Ausdruck des von ihr verfolgten „risikobasierten Regulierungsansatzes“ ist. Auf diese Weise soll ein umfassendes Schutzniveau sichergestellt werden.

Im Rahmen der Risikobewertung unterscheidet der Verordnungsentwurf anhand der potenziell betroffenen Grundrechte zwischen Anwendungen, die

  • ein unannehmbares Risiko (Art. 5 KI-VO-E),
  • ein hohes Risiko (Art. 6 ff. KI-VO-E) und
  • ein geringes Risiko

darstellen. Während der Vorschlag die weitgehend freie Nutzung von KI mit geringem Risiko erlaubt, sollen Anwendungen mit unannehmbarem Risiko verboten sein. Dazu zählen insbesondere solche Praktiken, die ein erhebliches Potenzial haben, Personen zu manipulieren, indem sie auf Techniken zur unterschwelligen Beeinflussung zurückgreifen. Dies erfasst beispielsweise biometrische Überwachung, Emotionserkennung und „predictive policing“.

Wie ist der betriebliche Einsatz von KI einzustufen?

Der betriebliche Einsatz von KI wird oft in den Bereich der Hochrisiko-Anwendungen fallen. So führt Anhang III Ziffer 4 die arbeitsbezogene Verwendung von KI im Rahmen der Beschäftigung und des Personalmanagements aufgrund ihrer potenziellen Auswirkung auf die Lebensgrundlage der Betroffenen als Hochrisiko-Anwendung (Art. 6 KI-VO-E) auf. Dies betrifft vor allem KI-Systeme, die bei der Auswahl von Bewerbern (Annex III, Abs. 1 Nr. 4a KI-VO-E) eingesetzt werden sowie Systeme, die über Fortbildungen, Beförderungen, Versetzungen oder Kündigungen entscheiden oder zur Überwachung und Bewertung von Mitarbeiterleistungen verwendet werden (Annex III, Abs. 1 Nr. 4b KI-VO-E).

Ob unabhängig davon bereits die Nutzung von generativer KI-Systeme als betriebliches Optimierungstool für Arbeitnehmer als Hochrisiko-KI-System einzustufen ist, dürfte entscheidend davon abhängen, welche Aufgaben das KI-System konkret übernehmen soll. Deshalb sind in Ia Regelungen für KI-Systeme mit allgemeinem Verwendungszweck erfasst, die dazu vorgesehen sind, allgemein anwendbare Funktionen, wie Bild- oder Spracherkennung, in einer Vielzahl von Kontexten auszuführen. Darunter dürften eine Vielzahl generativer KI-Systeme (wie Bard, Bing, Midjourney etc.) fallen.

Was bedeutet das für den Arbeitgeber?

Diese Hochrisiko-KI-Systeme unterliegen strengen Anforderungen:

  • Bei deren Einsatz müssen Arbeitgeber auf Systemsicherheit achten und dokumentieren, wie das System funktioniert.
  • Sie müssen sicherstellen, dass die Eingabedaten der Zweckbestimmung des Hochrisiko-KI-Systems entsprechen und die vom System automatisch erzeugten Protokolle regelmäßig sechs Monate lang aufbewahren.
  • Zur Überwachung dieser Anforderungen und des Systems im Allgemeinen muss der Arbeitgeber eine natürliche Person mit der menschlichen Aufsicht betrauen. Da diese Person über die dafür erforderliche Kompetenz, Ausbildung und Befugnis verfügen muss, bedarf es unter Umständen einer entsprechenden Fort- oder Weiterbildung.
  • Besteht Grund zu der Annahme, dass die betriebliche Verwendung des KI-Systems ein Risiko für die Gesundheit und Sicherheit oder den sonstigen Grundrechtsschutz der Arbeitnehmer oder Dritter birgt, so ist grundsätzlich der Entwickler zu informieren und die Verwendung des Systems auszusetzen.

Haftung

Obwohl das präventive Pflichtenprogramm für Entwickler und Nutzer von Hochrisiko-KI-Systemen ausführlich ist, kann ein Schadenseintritt durch KI nicht völlig verhindert werden. Die Beweisführung ist aufgrund der technischen Komplexität und der „Blackbox“-Natur von KI oft schwer. Die KI-Haftungs-RL-E soll jedoch das Durchsetzen von Ansprüchen des Geschädigten erleichtern. Sie deckt alle außervertraglichen, verschuldensabhängigen zivilrechtlichen Schadensersatzansprüche ab, um Rechtslücken und Fragmentierung in der EU durch technologischen Fortschritt zu vermeiden.

Offenlegung von Beweismitteln für Sorgfaltspflichtverletzung

Art. 3 KI-Haftungs-RL-E ermöglicht dem Geschädigten, die Offenlegung von einschlägigen Beweismitteln gegenüber nationalen Gerichten (ggf. mit Anordnung von Maßnahmen zur Sicherung von Beweismitteln) zu beantragen, wenn er jedenfalls die Plausibilität eines Schadensersatzanspruchs ausreichend belegen kann. Dieser Regelung liegt der Gedanke zugrunde, dass der Geschädigte potenzielle Anspruchsgegner leichter ermitteln kann. Sofern der Beklagte der Anordnung des Gerichts hinsichtlich der Offenlegung der Beweismittel nicht nachkommt, kann ein Verstoß gegen eine Sorgfaltspflicht von dem Gericht vermutet werden (Art. 3 Abs. 5 KI-Haftungs-RL-E).

Art und Umfang der Offenlegungspflicht werden in dem Entwurf allerdings nicht konkretisiert. Insofern bleibt abzuwarten, ob die nationale Umsetzung in dieser Hinsicht konkreter werden wird. Bei geschäftlichen Interna oder anderen vertraulichen Informationen soll im Rahmen der Verhältnismäßigkeit aber jedenfalls stets der Schutz der berechtigten Interessen zu beachten sein (Art. 3 Abs. 4 UAbs. 2 KI-Haftungs-RL).

Widerlegbare Kausalitätsvermutung

Ferner normiert Art. 4 KI-Haftungs-RL-E eine widerlegbare (Teil-)Kausalitätsvermutung für KI-induzierte Schäden. Diese entbindet den Geschädigten im Fall eines nachgewiesenen sorgfaltspflichtwidrigen Verhaltens von einem Beweis der Kausalität zwischen der Sorgfaltspflichtverletzung und dem Ergebnis der KI, das ggf. wiederum zum Schaden führt. Insoweit obliegt es nunmehr dem Anspruchsgegner – im Arbeitsverhältnis also dem Arbeitgeber – diese Vermutung zu widerlegen, um der Haftung zu entgehen.

Fazit

Die Entwicklung und Nutzung von KI werden innerhalb der EU dem global wohl umfangreichsten Regelungswerk unterliegen, das noch dieses Jahr verabschiedet werden soll. Dass Datenschutz und Grundrechten dabei ein hoher Stellenwert eingeräumt wird, fügt sich in die europäische Herangehensweise der letzten Jahre ein. Ob die Kommission aber auch ihrem Ziel der Errichtung eines europäischen KI-Innovations-Hubs gerecht wird, darf jedenfalls in Zweifel gezogen werden. Gespannt wird im weiteren Verfahrensverlauf darauf zu blicken sein, an welchen Stellen die Entwürfe noch verändert werden. Arbeitgeber, die zukünftig verstärkt auf KI-Systeme zurückgreifen und von deren Effizienzsteigerungen profitieren möchten, sollten sich in jedem Fall jetzt schon mit den Regelungen des EU-Gesetzgebers vertraut machen.

Handcrafted with by Jung und Wild design.