Zum Inhalt springen Zur Navigation springen
Künstliche Intelligenz – Was Arbeitgeber beachten müssen

Künstliche Intelligenz – Was Arbeitgeber beachten müssen

Artikel von Nathalie Schumann·4. September 2023

Sie sind Arbeitgeber und möchten generative KI-Tools benutzen? Die Eingabe personenbezogener Daten und der damit zusammenhängende Umgang mit den Outputs, die ebenfalls personenbezogene Daten enthalten können, führt schnell dazu, dass man mit einer Vielzahl datenschutzrechtlicher Verpflichtungen konfrontiert ist. Der nachfolgende Beitrag soll eine Übersicht über die wichtigsten Themenfelder geben, die im Blick behalten werden müssen.

Anwendbarkeit der DSGVO beim Einsatz künstlicher Intelligenz

Die Möglichkeit, Informationen und Daten sammeln und zusammenfassen zu können, ist einer der großen Vorteile, die KI-Tools mit sich bringen. Allein aus Gründen der Zeitersparnis liegt es da nahe, sich dieser Funktion als Arbeitgeber zu bedienen. Da der Anwendungsbereich der DSGVO eröffnet ist, sobald personenbezogene Daten verarbeitet werden, ist hier nun Vorsicht geboten. Jeder Arbeitgeber verarbeitet eine große Menge an personenbezogenen Daten über seine Angestellten, viele davon hochsensibel. Wer nun die Vorteile der künstlichen Intelligenz nutzen möchte, um beispielsweise Berichte zu erstellen, Zusammenfassungen oder Auswertungen anfertigen zu lassen oder Datensätze, die personenbezogene Daten beinhalten, auswerten zu lassen, muss achtsam sein. Wird die KI mit Personaldaten „gefüttert“, findet die DSGVO Anwendung. Dementsprechend sind Themenfelder wie Sicherstellung von Betroffenenrechten, die Verantwortlichkeit und Auftragsverarbeitung beim Einsatz von KI und die in der DSGVO niedergelegten Grundsätze wie das Transparenzgebot als Arbeitgeber zu beachten.

KI und Datenschutz – Zentrale Themenfelder für den Arbeitgeber

Die nachfolgende Aufzählung von datenschutzrechtlichen Themenschwerpunkten soll einen Überblick über die zentralen Themenfelder geben, die beim Einsatz generativer KI im Blick behalten werden müssen, erhebt aber keinen Anspruch, abschließend zu sein.

Unklare Verantwortlichkeiten

Bei der Nutzung von KI-Tools ist zunächst immer die Frage der datenschutzrechtlichen Verantwortlichkeit im Blick zu behalten. Hier können verschiedene Konstellationen vorliegen:

  • Getrennte Verantwortlichkeit:
    Der Anbieter des KI-Tools ist selbst für die Verarbeitung innerhalb des Systems verantwortlich. Daneben ist der Arbeitgeber selbst für die Eingabe der Daten in das Tool verantwortlich.
  • Gemeinsame Verantwortlichkeit:
    Arbeitgeber und Anbieter des KI-Tools sind gemeinsam für die Datenverarbeitung verantwortlich.
  • Auftragsverarbeitung:
    In dieser Konstallation fungiert der Arbeitgeber als Auftraggeber. Der Anbieter des KI-Tools ist dann der Auftragsverarbeiter und an Weisungen des Arbeitgebers gebunden. Er hat keine eigene Entscheidungsbefugnis hinsichtlich der Datenverarbeitung und wird die Daten meist nicht für eigene Zwecke nutzen dürfen.

Es kann also sowohl eine getrennte oder eine gemeinsame Verantwortlichkeit vorliegen, als auch eine Auftragsverarbeitung. Hier gibt es jedoch keine „One size fits all“-Lösung. Welche der Konstellationen einschlägig ist, kann nicht pauschal festgelegt werden, sondern wird immer von der Art des verwendeten Systems und dessen Einsatzes abhängen.

Sicherstellung von Betroffenenrechten

Arbeitgeber müssen auch bei der Nutzung generativer KI-Dienste sicherstellen, dass Betroffene ihre Rechte ausüben können. Denn wer Verantwortlicher im Sinne der DSGVO ist, den trifft die Verpflichtung, die Rechte der betroffenen Personen nach Kapitel 3 der DSGVO zu wahren. Vor allem das Recht auf Löschung nach Art. 17 DSGVO kann den Arbeitgeber hier vor eine besondere Herausforderung stellen. Dies ist darin begründet, dass viele generative KI-Systeme möglicherweise nicht in der Lage sind, Daten wirklich zu „vergessen“, sondern diese Daten wiederum selbst benutzen, um sich zu verbessern. Personenbezogene Daten können dann unwiderruflich in das Daten- und Verhaltensmuster der KI eingebettet sein. Wenn ein Arbeitnehmer sein Recht auf Löschung der personenbezogenen Daten geltend macht, wird sich dies schwierig gestalten.

Das Transparenzgebot und die Informationspflichten

Von großer Bedeutung im Kontext mit der Benutzung generativer KI-Tools ist die Ausgestaltung von Informationspflichten und das Transparenzgebot. Wer als Arbeitgeber KI-Tools nutzen möchte und beabsichtigt, diese zu verwenden, um beispielsweise Berichte zu erstellen, Zusammenfassungen oder Auswertungen anfertigen zu lassen oder Datensätze, die personenbezogene Daten beinhalten, auswerten zu lassen, muss seine Angestellten darüber transparent informieren. Denn nur wer weiß, was mit seinen Daten passiert, kann entscheiden, ob er mit der Datenverarbeitung einverstanden ist und kann, wenn er will, seine Betroffenenrechte wahrnehmen. An dieser Stelle ist es als Arbeitgeber unerlässlich, genau aufzuschlüsseln, welche Daten genutzt werden und ob und an wen diese weitergegeben werden. Außerdem müssen die Rechtsgrundlagen und der verfolgte Zweck definiert und alle Informationen den Angestellten in leichter und verständlicher Form zur Verfügung gestellt werden. Der Arbeitgeber befindet sich hier schnell in einer heiklen Situation: Die schiere Menge an zu verarbeitenden Daten ist für sich schon problematisch. Erschwerend kommt die hohe Komplexität der Datenverarbeitung hinzu.

Im Zusammenhang mit den Informationspflichten schreiben Art. 13 und 14 DSGVO außerdem vor, dass bei automatischen Entscheidungsfindungen aussagekräftige Informationen über die involvierte Logik anzugeben sind. Hier eröffnet sich schnell ein neues Themenfeld voller Stolpersteine. Mehr zu dieser Thematik können Sie in unserem Fachbeitrag nachlesen.

Der Einsatz künstlicher Intelligenz will gut durchdacht sein

Bevor Sie als Arbeitgeber ein generatives KI-Tool in den Geschäftsalltag integrieren wollen, in welches personenbezogene Daten eingespeist werden sollen, sind die datenschutzrechtlichen Auswirkungen immer mitzudenken. Nichtsdestotrotz sind viele Fragen noch ungeklärt und die Anbieter der KI-Tools werden in der Zukunft aufgefordert sein, ihre internen Prozesse und Funktionsweisen transparenter zu machen, um mit den Anforderungen an den europäischen Datenschutz mithalten zu können.

Webinar zum Thema Informationspflichten

Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Informationspflichten nach DSGVO“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen.

Mittwoch, den 10.04.2024
von 10:00 bis 12:00 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Eine Unternehmenspolicy für den Einsatz von KI ist dringend empfehlenswert. Neben dem Datenschutz geht es ja auch um das Urheberrecht und Belange der Informationssicherheit (Betriebsgeheimnisse und Sicherheit). Das Revisionszeitraum einer solchen Policy sollte <6 Monate sein, denn die Dynamik der Entwicklung ist erheblich. Allein schon die Möglichkeit von KI Systemen als Enterprise-Lösungen führt zu einem anderen Impact bei der Verarbeitung personenbezogener Daten. Spannendes Feld mit Chancen und Risiken.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.