Datenschutz-Compliance (Teil 2: Anforderungen bei Einführung von HR-Tools)

Darüber hinaus streben vermehrt spezialisierte Software-Anbieter auf den Markt, die für bestimmte HR-Teilfunktionen Software-Tools anbieten, in denen Aspekte maschinellen Lernens oder Funktionen künstlicher Intelligenz (KI) implementiert sind. Beispiele sind sog. Chatbots zur weitgehenden Automatisierung des Bewerbungsprozesses oder Software-Lösungen zur Persönlichkeitsanalyse und (Vor-)Auswahl von Kandidaten.

Für die rechtskonforme Einführung und Anwendung solcher HR-Tools haben Unternehmen datenschutzrechtliche und arbeitsrechtliche (insbesondere betriebsverfassungsrechtliche) Anforderungen zu beachten.

Vor diesem Hintergrund sind geeignete technische und organisatorische Maßnahmen unverzichtbar, die eine Verarbeitung personenbezogener Beschäftigtendaten auf das für die jeweils berechtigten Verarbeitungszwecke notwendige Maß beschränken.

Vor der geplanten Verwendung neuer Technologien, insbesondere der Nutzung von KI im Personalwesen, ist zudem in aller Regel eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) durchzuführen. Der „Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person“ ist auf der von der Datenschutzkonferenz des Bundes und der Länder als Aufsichtsbehörden gemäß Art. 35 Abs. 4 DSGVO erstellten Liste von Verarbeitungsvorgängen aufgeführt, für die aufgrund eines voraussichtlich hohen Risikos für die Rechte und Freiheiten natürlicher Personen zwingend eine Datenschutz-Folgenabschätzung durchzuführen ist (sog. „Positiv-Liste“ bzw. „Blacklist“). Die Datenschutz-Folgenabschätzung dient dazu, in einem systematischen Vorgehen zunächst die geplanten Verarbeitungsvorgänge und die Zwecke der Verarbeitung zu beschreiben, ihre Notwendigkeit und Verhältnismäßigkeit zu beurteilen, die Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten und schließlich Abhilfemaßnahmen zur Bewältigung dieser Risiken festzulegen (Art. 35 Abs. 7 DSGVO). Im Rahmen der Datenschutz-Folgenabschätzung ist neben dem Rat des Datenschutzbeauftragten (Art. 35 Abs. 2 DSGVO) auch der Standpunkt des Betriebsrats einzuholen (Art. 35 Abs. 9 DSGVO).

Die Europäische Kommission hat zudem am 21. April 2021 den Entwurf einer Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz vorgelegt, mit der den spezifischen Gefahren von KI begegnet und eine weltweite Führungsrolle der EU in diesem Innovationsfeld erreicht werden soll. Der Entwurf sieht die Einteilung von KI-Systemen in verschiedene Risikoklassen vor. Für KI-Systeme mit hohem Risiko (z.B. KI-basierte Auswertung von Lebensläufen im Bewerbungsprozess) sollen strenge Vorgaben erfüllt sein, bevor sie überhaupt auf den Markt gebracht werden dürfen.

Schließlich ist bei der Einführung von HR-Tools stets kritisch zu prüfen, ob ein Auslandstransfer der von der jeweiligen Software verarbeiteten Daten erfolgt und die diesbezüglichen Rechtmäßigkeitsanforderungen (Art. 44 ff. DSGVO) eingehalten werden. Insbesondere bei cloudbasierten HR-Tools kleinerer Softwareanbieter kommt es nicht selten vor, dass personenbezogene Daten – wenn auch nur zu Zwecken der Lastverteilung oder zur temporären Zwischenspeicherung – auf Servern der Software-Anbieter oder deren Auftragsverarbeitern außerhalb der Europäischen Union abgelegt werden. In diesem Zusammenhang sind die Folgen der Schrems-II-Entscheidung des EuGH vom 16. Juli 2020 (Rs. C-311/18) zu beachten. Der EuGH hat festgestellt, dass in den USA kein im wesentlichen gleichwertiger Datenschutzstandard wie innerhalb der EU besteht und aus diesem Grund den Angemessenheitsbeschluss der EU-Kommission zum EU-/US Privacy Shield als Rechtsgrundlage für Datenübertragungen in die USA für ungültig erklärt. Des Weiteren hat der EuGH die Verwendung von Standardvertragsklauseln (Standard Contractual Clauses - SCC) bzw. verbindlicher Unternehmensrichtlinien (Binding Corporate Rules – BCR) zwar dem Grunde nach für weiterhin zulässig erachtet, jedoch für Datentransfers in unsichere Drittstaaten wie die USA gefordert, dass nach Durchführung einer am individuellen Risiko der Übertragungssituation orientierten Einzelfallbewertung (sog. Transfer Impact Assessment) zusätzliche Maßnahmen ergriffen werden, um einen angemessenen Schutz der übermittelten Daten tatsächlich zu gewährleisten.

Die in diesem Zusammenhang für die Praxis bei weitem wichtigste Vorschrift besteht in der Mitbestimmung zu technischen Überwachungseinrichtungen (§ 87 Abs. 1 Nr. 6 BetrVG). Nach der genannten Vorschrift besteht ein (erforderlichenfalls über die Einigungsstelle) erzwingbares Mitbestimmungsrecht des Betriebsrats bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“. Das Bundesarbeitsgericht geht in ständiger Rechtsprechung davon aus, dass eine entsprechende technische Einrichtung bereits dann vorliegt, wenn sie zur Verhaltens- oder Leistungskontrolle lediglich objektiv geeignet ist. Darauf, ob die technische Einrichtung darauf abzielt oder der Arbeitgeber die Absicht verfolgt, mittels der technischen Einrichtung das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, kommt es nicht an. Damit weist die Vorschrift in der Praxis einen immens weiten Anwendungsbereich auf. Nach der Rechtsprechung unterliegt nicht nur der Einsatz softwarebasierter Personalverwaltungssysteme wie SAP ERP der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG (BAG, 25.09.2012 – 1 ABR 45/11), sondern bereits die Verwendung von Microsoft Excel zur Erfassung von Anwesenheitszeiten der Mitarbeiter, wobei es nicht auf eine „Geringfügigkeitsschwelle“ ankommt (BAG, 23.10.2018 – 1 ABN 36/18). Da es für das Eingreifen des Mitbestimmungstatbestands nur auf die objektive Überwachungseignung ankommt, werden auch neuartige HR-Tools mit KI-Funktionen in aller Regel der Mitbestimmung aus § 87 Abs. 1 Nr. 6 BetrVG unterliegen.

Unternehmen müssen daher für eine rechtskonforme Einführung von HR-Tools eine Betriebsvereinbarung oder Regelungsabrede mit der zuständigen Arbeitnehmervertretung abschließen bzw. eine fehlende Einigung durch Spruch der Einigungsstelle ersetzen lassen. Fehlt es an einer mitbestimmten Regelung, kann der Betriebsrat die Unterlassung der Nutzung des HR-Tools gerichtlich durchsetzen.

Durch das am 18. Juni 2021 in Kraft getretene Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz) strebt der Gesetzgeber eine Stärkung der Rechte des Betriebsrats beim Einsatz von KI an.

Zu diesem Zweck wurde die Vorschrift des § 80 Abs. 3 BetrVG dahingehend ergänzt, dass die Hinzuziehung eines Sachverständigen insoweit als erforderlich gilt, als der Betriebsrat zur Durchführung seiner Aufgaben die „Einführung oder Anwendung von Künstlicher Intelligenz beurteilen muss“. Dadurch soll der Betriebsrat in die Lage versetzt werden, komplexe informationstechnische Zusammenhänge zu verstehen, zu bewerten und mit zu gestalten. Bei dieser Neuregelung handelt es sich um eine gesetzliche Fiktion, d.h. dem Arbeitgeber ist der ansonsten mögliche Einwand gegen die Hinzuziehung externer Sachverständiger abgeschnitten, dass die relevante Expertise bereits „inhouse“ vorhanden ist, z.B. weil der Arbeitgeber dem Betriebsrat geeignete interne Auskunftspersonen aus der IT-Abteilung zur Verfügung stellen kann oder der Betriebsrat u.U. selbst über die entsprechende Sachkunde verfügt. Nach der Gesetzesbegründung soll der Tagessatz für IT-Consultants zu KI-Fragen bei EUR 833,- (inkl. Mehrwertsteuer) liegen, was nach unseren Erfahrungen aus der betrieblichen Praxis zumeist deutlich unter den tatsächlichen Marktpreisen liegt. Unabhängig davon ist jedenfalls absehbar, dass auf Unternehmen, die die Vorteile der Digitalisierung nutzen und Künstliche Intelligenz im HR-Bereich einsetzen wollen, nicht unerhebliche Mehrkosten zukommen werden. Dabei beschränkt sich die Fiktion der Erforderlichkeit der Hinzuziehung eines externen Sachverständigen nach dem eindeutigen Gesetzeswortlaut nicht auf Fälle der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, sondern es reicht bereits aus, dass der Betriebsrat die Einführung und Anwendung von Künstlicher Intelligenz beurteilen muss, was in der Regel schon im vorgelagerten Planungsstadium der Fall ist. In diesem Zusammenhang ist zu beachten, dass durch das Betriebsrätemodernisierungsgesetz auch die Vorschrift des § 90 Abs. 1 Nr. 3 BetrVG zur Unterrichtung des Betriebsrats über die Planung von Arbeitsverfahren und Arbeitsabläufen ergänzt wurde. Der Arbeitgeber hat den Betriebsrat nun auch über den geplanten Einsatz von KI rechtzeitig unter Vorlage der erforderlichen Unterlagen zu unterrichten und mit diesem die vorgesehenen Maßnahmen und ihre Auswirkungen auf die Arbeitnehmer so rechtzeitig zu beraten, dass Vorschläge und Bedenken des Betriebsrats bei der Planung berücksichtigt werden können.

Schließlich finden nach der durch das Betriebsrätemodernisierungsgesetz neu eingefügten Bestimmung des § 95 Abs. 2a BetrVG die Vorschriften über die Mitbestimmung des Betriebsrats bei der Aufstellung und Anwendung von Auswahlrichtlinien auch dann Anwendung, wenn bei der Aufstellung solcher Richtlinien KI zum Einsatz kommt.

Auf dem zukunftsträchtigen Feld von KI haben sich durch das Betriebsrätemodernisierungsgesetz erweiterte Mitwirkungs- und Mitbestimmungsrechte der Betriebsräte ergeben. Der Gesetzgeber hat den Begriff der KI dabei allerdings nicht selbst definiert. In der von der Bundesregierung beschlossenen und in der Gesetzesbegründung in Bezug genommenen „Strategie Künstliche Intelligenz“ findet sich der zutreffende Hinweis, dass es eine einzige allgemeingültige bzw. von allen Akteuren konsistent genutzte Definition von KI bislang nicht gibt. Insoweit werden die Gerichte näher konkretisieren müssen, welche IT-Systeme bzw. HR-Tools bereits als KI anzusehen sind und was noch als „klassische“ maschinelle Verarbeitung personenbezogener Daten einzustufen ist.