KI-Anwendungen haben längst auch in die Arbeitswelt Einzug gehalten. Soweit diese Anwendungen und die in sie integrierte KI personenbezogene Daten verarbeiten, müssen sie den Anforderungen der Datenschutzvorschriften entsprechen. Soweit es sich dabei um Daten von Beschäftigten handelt, fällt der Einsatz von KI-Software in die Mitbestimmung von Betriebsräten, Personalräten und Mitarbeitervertretungen.

Einerseits ist eine KI-Anwendung datenschutzrechtlich genauso zu behandeln wie jede andere Software auch. Es existiert (noch) kein eigenständiges KI-Datenschutzrecht. Andererseits gibts es KI-typische Eigenarten, die bei der datenschutzkonformen Gestaltung der Software und ihrem Einsatz besondere Beachtung verdienen.

Verarbeitung großer Datenmengen

KI-Anwendungen verarbeiten oftmals große und vielfältige Mengen an personenbezogenen Daten. So kann eine moderne Office-Software (wie z.B. Microsoft Office 365) im Prinzip alle Aktivitäten und Arbeitsschritte, die der Benutzer mit Hilfe dieser Software und seinen digitalen Endgeräten erledigt, erfassen und speichern. Aus der Analyse dieser Datenmengen können vielfältige Auswertungen generiert werden, von Hilfestellungen für die eigene Arbeitsplanung bis hin zu Bewertungen des Arbeits- oder Sozialverhaltens. Hier gilt es den Umfang der Datenerhebungen und Auswertungen auf das tatsächlich benötigte Maß zu begrenzen und insbesondere auf die datenschutzrechtlichen Prinzipien der Zweckbindung und Datensparsamkeit zu achten. Die Zwecke der Verarbeitung müssen konkret benannt werden und es dürfen nur die Daten erfasst werden, die wirklich benötigt werden. Darüber hinaus sind Fristen zu definieren, nach denen Daten zu löschen sind. Gerade bei einer KI sind diese Anforderungen eng auszulegen, um nicht zuletzt eine unzulässige Vorratsdatenspeicherung auszuschließen.

Automatisierte Entscheidungen

Wenn KI-Systeme personenbezogene automatisierte Entscheidungen treffen oder eingesetzt werden, um Persönlichkeitsprofile zu erstellen, bedeutet dies einen erheblichen Eingriff in die Persönlichkeitsrechte von Betroffenen. Wenn damit eine rechtliche Wirkung verbunden ist (z.B. in Form einer automatischen Vorauswahl im Bewerbungsverfahren), ist solch eine Anwendung gemäß Art. 22 DSGVO nur unter engen Voraussetzungen zulässig und solche Entscheidungen dürfen nicht alleine der KI überlassen werden. In Anwendung datenschutzrechtlicher Grundprinzipien wie Fairness, Zurechenbarkeit und Transparenz müssen Betroffene die Möglichkeit haben, automatisierte Entscheidungen anzufechten, das Eingreifen einer Person zu verlangen und ihre Sicht darzulegen.

Intransparente Verarbeitung

Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Artikel 5 DSGVO). Dieser datenschutzrechtliche Grundsatz ist bei KI-Anwendungen möglicherweise schwerer zu verwirklichen. Auf jeden Fall dann, wenn die Anwendung auf maschinellem Lernen beruht. Dabei folgen die Verarbeitungsschritte nicht einem vom Menschen programmierten Algorithmus, sondern werden von der Maschine selber "erlernt" und laufen gleichsam in einer "Black Box" ab. Auch hier ist der Arbeitgeber verpflichtet, leicht zugängliche und verständliche Informationen bereitzustellen, mit denen für die Beschäftigten nachvollziehbar wird, welche personenbezogenen Daten, auf welche Art und Weise und zu welchen Zwecken verarbeitet werden. Das Transparenzgebot der DSGVO schließt ein Auskunftsrecht für die Betroffenen ein, das auch das Zustandekommen von personenbezogenen Bewertungen, Entscheidungen und Prognosen umfasst.

Datenschutz durch Mitbestimmung

Die Pflicht zur betrieblichen Umsetzung der Datenschutzvorschriften richtet sich an den Arbeitgeber. Dabei haben Interessenvertretungen kein originäres Mitbestimmungsrecht. Allerdings lässt sich die gegebene Mitbestimmung beim IT-Einsatz dazu nutzen, um faire und arbeitnehmerfreundliche Datenschutzregelungen zu vereinbaren. So werden KI-Systeme oftmals in Form von Rahmenvereinbarungen geregelt, die üblicherweise auch Abschnitte zum betrieblichen Datenschutz enthalten.