Dass in Deutschland und der EU das Thema Datenschutz großgeschrieben wird, wurde spätestens mit der EU-weiten Einführung der Datenschutzgrundverordnung (DSGVO) klar. Die Vorschriften gelten auch für Anwendungen, die Künstliche Intelligenz nutzen. Wenn solche Tools in der Personalarbeit eingesetzt werden sollen, wird es schnell heikel. Denn in HR wird naturgemäß viel mit sensiblen personenbezogenen Daten gearbeitet, z. B. zu Religion, Gesundheit, Gehalt, Behindertengrad, disziplinarischen Maßnahmen oder Gehaltspfändungen. Erfahren Sie, worauf Sie deshalb besonders achten müssen, wenn Sie Künstliche Intelligenz für Ihre Personalarbeit nutzen wollen.
Das deutsche Datenschutzrecht wird maßgeblich durch das europäische Datenschutzrecht in Form der DSGVO bestimmt. Sobald personenbezogene Daten verarbeitet werden – z. B. von einer Künstlichen Intelligenz – findet deshalb die DSGVO Anwendung. Das bedeutet, geben Sie personenbezogene Daten in eine KI ein, lassen diese Daten von ihr ausgegeben oder nutzen solche Daten für das Training eines Modells , müssen Sie die Vorschriften der DSGVO einhalten. Unter personenbezogenen Daten versteht der Gesetzgeber alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen. Oder anders: Alle Daten, anhand derer man eine natürliche Person identifizieren kann, wie Namen, Adresse, Telefonnummer, Fotos, aber auch Personalnummer, Kunden- oder Kontonummer und IP-Adressen.
Besteht kein Personenbezug, findet die DSGVO keine Anwendung. Beim Umgang mit Personaldaten ist das aber selten der Fall. Anders als z. B. bei der Erzeugung von Marketingtexten spielt für HR das Datenschutzrecht eine wichtige Rolle.
Die DSGVO schützt also personenbezogene Daten, indem sie einen umfangreichen Rahmen für die Verarbeitung der sensiblen Daten vorgibt.
Dies sind acht zentrale Grundsätze der DSGVO:
· Rechtmäßigkeit der Datennutzung,
· Vermeidung von Missbrauch der Daten,
· Transparenz bzw. verständliche Informationen zur Datenverarbeitung,
· Zweckbindung,
· Datenminimierung,
· Richtigkeit,
· Speicherbegrenzung sowie
· Integrität und Vertraulichkeit der Daten.
Aus der DSGVO ergeben sich verschiedene Rechte für die Betroffenen, wie etwa das Recht auf Information und Auskunft, auf Berichtigung und Löschung, sowie das Recht auf Widerruf der Einwilligung zur Verarbeitung.
Arbeiten Sie mit personenbezogenen Daten, müssen Sie bzw. Ihr Unternehmen die DSGVO und ihre Grundsätze einhalten. Beispielsweise dürfen Sie die Daten nur für den zuvor transparent festgelegten Zweck nutzen. Gleichermaßen müssen Sie die Rechte der Personen einhalten, deren personenbezogene Daten Sie verarbeiten. Ist z. B. der ursprüngliche Zweck der Datenerhebung nicht mehr gegeben, haben Betroffene das Recht, „vergessen zu werden“. Konkret bedeutet das, dass die nicht mehr benötigten Daten gelöscht werden müssen. Entweder auf Grund eines Löschkonzepts oder eines entsprechenden Antrags der Betroffenen.
Was mit den eingegebenen Daten in der KI passiert, ist für viele Nutzer:innen nicht erkenntlich. Aus ihrer Sicht verschwindet der Prompt, also ihre Eingabe, in einer Black Box. Aus datenschutzrechtlicher Sicht sollten Sie vor der Einführung eines KI-Tools ins Unternehmen aber unbedingt Licht ins Dunkel bringen, denn hier lauern jede Menge Fallstricke. Die Datenschutz-Expert:innen der Unternehmen sollten deshalb diese drei Bereiche genau unter die Lupe nehmen:
1. Die Trainingsdaten
Die zentrale Frage lautet hier: Mit welchen Daten wurde das Modell trainiert? Die Trainingsdaten beeinflussen die Neutralität des Outputs massiv und übertragen ihre inhaltliche Färbung auf ihn. Die Gefahr, dass der Output von Vorurteilen (Biases) beeinflusst wird, diskriminierend oder rassistisch ist, darf nicht unterschätzt werden. Wurde z. B. ein Recruiting-Tool mit Daten trainiert, in denen vor allem hellhäutige, männliche Europäer enthalten waren, kann es passieren, dass das System Menschen mit dunkler Hautfarbe und Frauen benachteiligt.
Trainieren Sie selbst ein KI-Modell, nutzen Sie am besten anonymisierte oder synthetische Daten. Denn Betroffene haben z. B. das Recht auf Korrektur und Löschung ihrer personenbezogenen Daten. Technisch ist das aber kaum umsetzbar, weil die Trainingsdaten untrennbar in das Modell einfließen. Gegen OpenAI hat die private Datenschutzorganisation NOYB deshalb jetzt eine Beschwerde auf Basis der DSGVO eingereicht. NOYB zufolge, teilt ChatGPT falsche Informationen über eine nicht näher genannte Person des öffentlichen Lebens. OpenAI verweigerte dieser Person die Korrektur der fehlerhaften Information mit dem Hinweis, dass dies nicht möglich sei. Die Richtigkeit der Daten und das Recht auf Berichtigung sind aber wesentliche Grundsätze der DSGVO. Deshalb ist eine solche fehlende Durch- und Umsetzbarkeit der DSGVO-Grundsätze ein erheblicher Verstoß und kann zu empfindlichen Bußgeldern führen.
2. Die Dateneingabe
Was mit den Daten nach der Eingabe passiert, liegt nicht immer in Ihrer eigenen Hand, ist datenschutzrechtlich aber hochrelevant. Vor der Zulassung eines KI-Tools im Unternehmen sollten Sie daher prüfen, ob die Eingabedaten zum Training des KI-Modells verwendet werden.
Ist das der Fall, müssen Sie als Lizenznehmer:in damit rechnen, dass die Daten gegenüber Dritten offengelegt werden können, z. B. durch geschicktes Prompten. Das verstößt unter Umständen gegen Persönlichkeitsrechte, Rechte des geistigen Eigentums oder Geschäftsgeheimnisse.
Bei der Dateneingabe können zwei Szenarien unterschieden werden:
a) Die Daten werden in ein selbst gehostetes Modell eingegeben: Die Hoheit über die Eingabedaten, aber auch die Verantwortung, die datenschutzrechtlichen Vorschriften einzuhalten, liegt in der Regel beim Unternehmen selbst. Die Vertraulichkeit der Daten kann häufig besser gewährleistet werden. Trotzdem bedarf es einer DSGVO-konformen Rechtsgrundlage, um personenbezogene Daten zu verarbeiten.
b) Die Daten werden in ein fremdes, extern gehostetes Modell eingegeben: Diese Variante ist datenschutzrechtlich voller Stolpersteine und daher mit Vorsicht zu genießen. Technisch verantwortlich für die Einhaltung des Datenschutzes ist der Anbieter. Ob personenbezogene Daten innerhalb des Systems DSGVO-konform behandelt werden, können Sie als Lizenznehmer:in nur bedingt kontrollieren. Trotzdem kann ein großer Teil der Verantwortung bei Ihnen liegen, insbesondere wenn Sie als Auftraggeber und das Partnerunternehmen Auftragsverarbeiter agieren. Sie sollten Ihre Verträge unbedingt genau prüfen, bei Bedarf datenschutzrechtliche Verträge wie einen Auftragsverarbeitungsvertrag abschließen und ggf. ergänzende Geheimhaltungsvereinbarungen, sogenannte NDAs (Non-Disclosure-Agreements) abschließen. Zudem kann eine ergänzende Vertragsklausel sinnvoll sein, die bestimmt, dass Eingabedaten nicht zum Training verwendet werden.
3. Die Datenausgabe
Nicht alles, was Künstliche Intelligenz als Ergebnis ausgibt, darf für bare Münze genommen werden. Wie am Negativ-Beispiel von ChatGPT gezeigt, halluziniert KI immer wieder unwahre Inhalte. Neben Halluzinationen sollten Sie den Output zudem auf verschiedene Aspekte kontrollieren, z. B. auf diskriminierende Inhalte und ggf. enthaltene Trainingsdaten.
Der Einsatz von KI in der Personalarbeit ist nicht nur eine Frage des Datenschutzes im engeren Sinne. Die DSGVO untersagt beispielsweise automatisierte Einzelfallentscheidungen, die gegenüber Menschen unmittelbar rechtlich Wirkung entfalten. Das beste Beispiel dafür sind Recruiting-Tools: Die KI darf nicht ohne Weiteres automatisch Absagen erteilen, wenn die Profile aus ihrer Sicht nicht zur ausgeschriebenen Stelle passen. Es muss zumindest eine Remonstrationsmöglichkeit geben, die eine letzte Entscheidung einem Menschen überlässt. Diese letzte Entscheidungshoheit und Verantwortung liegen ganz klar bei den Personaler:innen.
Personenbezogene Daten müssen DSGVO-konform verarbeitet werden, insbesondere im KI-Kontext. So weit, so gut. Aber auch eigene und fremde Geschäftsgeheimnisse oder sonstige vertrauliche Daten sollten Sie nicht ohne weiteres in KI-Anwendungen eingeben. Auch hier besteht die Gefahr, dass die Daten Dritten gegenüber offengelegt werden. Das kann rechtliche Konsequenzen und Nachteile im Wettbewerb mit sich bringen. Unternehmensinterne Vorgaben und Richtlinien zur richtigen Verwendung von KI-Modellen sind daher dringend geboten.
Clemens Dorner ist Senior Data Privacy Expert und GRC Manager in der Haufe Group. Als Syndikusanwalt unterstützt er intern seine Kolleg:innen bei Fragen zu Datenschutz und Compliance. Clemens hat zuvor als Senior Consultant Unternehmen bei der Umsetzung und Implementierung der Datenschutz-Grundverordnung beraten und setzt dieses Fachwissen nun bei der praktikablen Umsetzung der Vorgaben der KI Verordnung ein.
