Die TBS-Berater:innen Dr. Johanna Renker, Tim Schmidt und Dr. Bianca Zickerick über die zentralen Handlungsoptionen für Interessenvertretungen
Digitale Daten sind das neue Gold. Unternehmen wie Amazon, Google und Facebook haben das schon früh erkannt und Milliarden in die Technologien rund um die Erzeugung, Sammlung und Verarbeitung von großen Datenmengen investiert. Nun nimmt das Thema „Künstliche Intelligenz“ (KI) auch für kleine und mittlere Betriebe an Fahrt auf, KI-Anwendungen erhalten Einzug.
KI ist ein Überbegriff für Anwendungen, die auf Basis elektronischer Daten lernen und Entscheidungen treffen. Für die Interessenvertretung steht dabei die Auswertung personenbezogener Beschäftigtendaten im Fokus – also Daten, die einen Rückschluss auf eine einzelne Person erlauben. Beispiele dafür können unter anderem IP-Adressen, Standortdaten oder die Kontonummer sein. In Deutschland regeln den Umgang damit im Wesentlichen die europäische Datenschutzgrundverordnung (DSGVO) und das nationale Bundesdatenschutzgesetz (BDSG).
Die Interessenvertretung hat hier zum einen grundsätzlich die Pflicht, die Einhaltung dieser für die Beschäftigten geltenden Gesetze zu überwachen. Daneben haben sie ein Mitbestimmungsrecht bei der Ausgestaltung von Systemen, die sich zur Leistungs- und Verhaltenskontrolle eignen. KI-Anwendungen, die Personaldaten analysieren, sind per Definition Systeme, die unter die Mitbestimmung fallen.
Die 6 Grundsätze für die Verarbeitung personenbezogener Daten
Um KI-Anwendungen im konkreten Fall zu regeln, sind sechs „Grundsätze für die Verarbeitung von personenbezogenen Daten“ aus Art. 5 DSGVO zu beachten.
Grundsatz 1: Rechtmäßigkeit und Transparenz
Personenbezogene Daten sollen für die betroffene Person auf eine nachvollziehbare und rechtmäßige Art und Weise verarbeitet werden. Beschäftigte müssen erkennen können, welche ihrer Daten zu welchen Zwecken von einer KI-Anwendung verarbeitet werden.
Diese Anforderung aus der DSGVO ist schwierig umzusetzen. Es ist die Aufgabe der KI, riesige komplexe Datenmengen zu analysieren und eindeutige Ergebnisse zu liefern. Der Prozess, wie diese Ergebnisse zustande kommen, bleibt jedoch eine Black Box.
Grundsatz 2: Zweckbindung
Personenbezogene Daten sind nur für festgelegte, eindeutige und legitime Zwecke zu verarbeiten. Ein Beispiel ist die Verarbeitung von Vor- und Nachnamen für den Login bei der Anmeldung an dem Arbeitslaptop.
Es ist darauf hinzuweisen, dass der Einsatz einer KI-Anwendung nicht erlaubt ist, wenn kein legitimer Zweck für die Verarbeitung oder Erhebung der Daten vorliegt. Grundsätzlich sollten diese Zwecke in einer Betriebs- oder Dienstanweisung eindeutig beschrieben werden.
Grundsatz 3: Datenminimierung
Personenbezogene Daten müssen dem Zweck angemessen sowie auf das für die Zwecke der Bearbeitung notwendige Maß beschränkt sein. Beispiel: Einkauf von Waren. So dürfen E-Mail-Adressen von dem Verkäufer nur zur Durchführung des Kaufprozesses eingesetzt werden, nicht aber für Werbezwecke. Letzteres ist nur möglich, wenn hierfür eine Erlaubnis gegeben wurde.
An dem genannten Beispiel wird das grundsätzliche Problem deutlich. KI-Anwendungen werten große Datenmengen aus, um Rückschlüsse zu bestimmten Fragestellungen zu gewinnen. Jedoch fordert die DSGVO eine begrenzte Sammlung von personenbezogenen Daten. Bei Vereinbarungen mit dem Arbeitgeber ist daher zu prüfen, ob die Menge der verarbeiteten Daten in einem angemessenen Verhältnis zu den Zwecken und möglichen Risiken für die betroffenen Personen steht.
Grundsatz 4: Richtigkeit
Personenbezogene Daten müssen sachlich richtig und auf dem neusten Stand sein. Andernfalls müssen sie gelöscht oder korrigiert werden.
Wenn KI-Anwendungen Ergebnisse liefern, die den oder die Mitarbeiter:in betreffen (z. B. eine Leistungsbewertung), dann muss sichergestellt werden, dass die daraus ermittelten Ergebnisse jederzeit korrekt sind. Hierfür müssen mit dem Arbeitgeber entsprechende Prozessschritte vereinbart werden.
Grundsatz 5: Speicherbegrenzung
Personenbezogene Daten sind nur so lange, wie für die Zweckerreichung nötig, zu speichern. Deshalb muss ein Löschkonzept vorhanden sein.
KI benötigt einen dauerhaften Zugriff auf Daten, um aus diesen neue Erkenntnisse zu gewinnen oder sie als Trainingsdaten zu nutzen. Das fördert die Tendenz, die Daten dementsprechend häufig unbegrenzt zu speichern. Betriebs- oder Dienstvereinbarungen sollten die Speicherdauer zur Sicherstellung des Datenschutzes klar begrenzen.
Grundsatz 6: Integrität, Vertraulichkeit
Personenbezogene Daten dürfen nur befugten Personen zugänglich gemacht werden. Hierfür eignen sich Berechtigungskonzepte.
Es stellt sich die Frage nach der Kompetenz der Personen, ob diese tatsächlich in der Lage sind, die Sicherheit und den Schutz vor einer unrechtmäßigen Verarbeitung zu gewährleisten. Da KI-Anwendungen häufig hinzugekauft und in der Cloud verarbeitet werden, liegt diese Kompetenz hauptsächlich bei dem Dienstleister. Die Verantwortung trägt jedoch weiterhin das einsetzende Unternehmen. Deshalb lohnt sich für die Interessenvertretung ein Blick in den Auftragsverarbeitungsvertrag mit dem Dienstleister.
KI und Datenschutz – geht das?
Die Vereinbarkeit zwischen KI-Anwendungen und Datenschutz ist oft eine Gratwanderung. Probleme entstehen häufig aus der fehlenden Nachvollziehbarkeit der Algorithmen. Zudem haben sich Interessenvertretungen mit dem Argument auseinanderzusetzen, dass KI-Anwendungen ihr volles Potenzial erst entfalten können, wenn sie auf große Datenmengen zugreifen können.
Diesem Standpunkt steht der Datenschutz entgegen. Beim Einsatz von KI macht es Sinn zu klären, welche Daten tatsächlich benötigt werden, um die geplanten Ziele zu erreichen. Die im letzten Jahr in Kraft getretenen Neuregelungen des Betriebsverfassungsgesetzes haben die Möglichkeiten zur Nutzung von externem Sachverstand für Betriebsräte bei KI-Systemen entscheidend verbessert.
Die TBS bietet Informationen, Seminare und Beratung zum Thema, wie Konzepte für eine menschengerechte KI und Digitalisierung im Betrieb umgesetzt werden können. Bei Interesse an einer kostenlosen Beratung können Sie uns gerne kontaktieren.
Weitere Informationen finden Sie auch auf unserer Webseite sowie unter www.zukunftszentrum-ki.nrw
