Wie vertragen sich Datenschutz und KI im Arbeitsrecht?
Karikatur: Calleri
VAA-Jurist Christian Lange ist Fachanwalt für Arbeitsrecht und Geschäftsführer in der VAA-Geschäftsstelle Köln. Foto: Simone Leuschner – VAA
Die Erhebung und Verarbeitung personenbezogener Daten am Arbeitsplatz werfen zahlreiche rechtliche und praktische Fragen auf. In den letzten Jahren hat die Rechtsprechung einige interessante Entscheidungen getroffen, die zumindest in der ein oder anderen Konstellation für Klarheit sorgen. Gleichzeitig kommen neue datenschutzrechtliche Herausforderungen aufgrund der Nutzung von KI-Tools hinzu, betont der Datenschutzbeauftragte des VAA im Interview mit dem VAA Magazin.
VAA Magazin: Seit mittlerweile über sechs Jahren ist die DSGVO in Kraft. Was hat sich seitdem verändert?
Lange: Informationen und Transparenz bei der Verarbeitung von Arbeitnehmerdaten haben deutlich zugenommen. Es gibt kaum noch einen neuen Anstellungsvertrag, bei dem der Arbeitgeber nicht in einem mehrseitigen Anhang über die Nutzung von Arbeitnehmerdaten aufklärt. Umgekehrt werden die Arbeitnehmer selbst umfassend auf das Datengeheimnis verpflichtet.
Was genau haben Beschäftigte zu beachten?
Das Wichtigste ist zunächst, dass ein Bewusstsein für die Verarbeitung von personenbezogenen Daten geschaffen wird. Der Grundsatz, nämlich nur die Daten zu nutzen, die für die jeweiligen Zwecke benötigt werden, steht dabei im Vordergrund. Aber auch Hinweise, unter welchen Voraussetzungen Daten an Dritte weitergegeben werden dürfen und inwiefern Verschlüsselungen und Passwortschutz umzusetzen sind, gehören dazu.
Welche Anforderungen stellt die Rechtsprechung?
Datenschutz war bereits vor dem Inkrafttreten der DSGVO Gegenstand von vielen Urteilen. Eine der wichtigsten Entscheidungen des Bundesarbeitsgerichts stammt aus dem Jahr 2017. Hierbei hat sich das oberste Arbeitsgericht umfassend mit der Frage beschäftigt, inwiefern die heimliche Überwachung von Arbeitnehmern durch eine Software zulässig ist. Die beklagte Arbeitgeberin teilte ihren Arbeitnehmern mit, dass der gesamte Internet-Traffic sowie die Benutzung ihrer Systeme mitgeloggt werden. Dabei wurde jede Eingabe auf der Tastatur aufgezeichnet und in regelmäßigen Abständen Bildschirmfotos angefertigt. Letztlich eine Totalüberwachung.
Die nicht wirksam ist?
Richtig. Im Ergebnis durfte die Auswertung nicht für eine Kündigung genutzt werden. Obwohl der Arbeitgeber bei der Auswertung durch die Software feststellte, dass der Arbeitnehmer während der Arbeitszeit für seine eigenen Zwecke ein Computerspiel programmiert hatte und für das Logistikunternehmen seines Vaters fleißig E-Mails schrieb. Da die Auswertung nicht herangezogen werden durfte, blieb unklar, in welchem zeitlichen Umfang der Arbeitnehmer seine privaten Tätigkeiten ausübte und ob dies – wie er behauptete – hauptsächlich während der Pausenzeiten geschah. Die Kündigung wurde in allen Instanzen für unwirksam erklärt.
Somit bestehen wenig Chancen für Arbeitgeber, derart krasse Verletzungen der Arbeitspflicht aufzuklären.
Problematisch war in dem beschriebenen Fall die anlasslose Totalüberwachung. Eine Überwachung von Arbeitnehmern ist nur unter strengen Voraussetzungen und in klar definierten Ausnahmefällen zulässig. Das Persönlichkeitsrecht der Arbeitnehmer ist dabei jeweils zu beachten. Ausnahmefälle sind anlassbezogene und zeitlich sehr begrenzte Überwachungen. Dennoch gilt folgender Grundsatz des Bundesarbeitsgerichts: Datenschutz ist nicht gleich Tatenschutz. Die Möglichkeit, in einem eng begrenzten Rahmen eine etwaige Straftat oder einen gravierenden Pflichtenverstoß des Arbeitnehmers aufzuklären oder nachzuweisen, muss gegeben sein. Wie so oft wird es bei der rechtlichen Bewertung derartiger Konstellationen auf die Umstände des jeweiligen Einzelfalls ankommen.
Darf der Arbeitgeber in die dienstlichen E-Mail-Accounts seiner Beschäftigten schauen?
Wenn die Beschäftigten den dienstlichen E-Mail-Account auch privat nutzen dürfen, führt dies zu rechtlichen Herausforderungen. Nach überwiegender Rechtsauffassung gilt dann zugunsten der Arbeitnehmer das grundgesetzlich geschützte Fernmeldegeheimnis. Konkret bedeutet dies, dass Arbeitgeber weder private noch betriebliche E-Mails lesen dürfen. Ausnahmen können nur gemacht werden, wenn ein konkreter Verdacht auf Vertragsverletzung oder strafbare Handlungen besteht.
Also sollte privat und geschäftlich klar vom Arbeitgeber getrennt werden?
Ja, bei einer rein betrieblichen Nutzung des E-Mai-Accounts hat der Arbeitgeber ein eingeschränktes Einsichtsrecht. Voraussetzung dafür ist, dass betriebliche Umstände dies erforderlich machen. Typische Beispiele sind ein Ausfall des Arbeitnehmers aufgrund Krankheit oder eine Urlaubsabwesenheit. Damit die betrieblichen Abläufe in gewohnter Form weiterlaufen können, müssen die E-Mails abwesender Arbeitnehmer in diesen Konstellationen auch von anderen Mitarbeitern bearbeitet werden können.
Außerdem ist es dem Arbeitgeber gestattet, stichprobenhaft auf betriebliche E-Mail-Konten zuzugreifen, um Kontrollmaßnahmen vornehmen zu können. Hier gelten aber zwei grundlegende Prinzipien aus dem Datenschutz, nämlich Transparenz und Verhältnismäßigkeit. Der Arbeitnehmer muss vorher wissen, dass Überwachungsmaßnahmen stattfinden und in welchem Umfang sie erfolgen. Eine systematische und lückenlose Überwachung ist nicht erlaubt. Der Arbeitgeber muss immer prüfen, ob er im Sinne der Verhältnismäßigkeit nicht auf mildere Art und Weise Kontrollmaßnahmen durchführen kann.
Wie sieht es mit dem Einsatz von KI im Arbeitsrecht aus? Welche Regeln sind hier zu beachten?
Zum 1. August 2024 ist die neue KI-Verordnung auf EU-Ebene in Kraft getreten. Die Verordnung zielt darauf ab, den Einsatz von Künstlicher Intelligenz zu regulieren und sicherzustellen, dass KI-Systeme transparent und ethisch eingesetzt werden. Es wird eine Kategorisierung verschiedener Risikostufen vorgenommen. Ein etwaiges Risiko bei der Nutzung von KI ist abzuschätzen. Dazu gehören beispielsweise Kategorien mit unvertretbarem Risiko und hohem Risiko.
Gibt es hierfür konkrete Beispiele?
Bezogen auf das Arbeitsverhältnis wäre es unvertretbar und damit nicht zulässig, wenn durch den Einsatz von KI Grundrechte verletzt werden. Das Persönlichkeitsrecht spielt dabei eine große Rolle. Ein Arbeitgeber darf durch eine KI beispielsweise nicht die Emotionen der Arbeitnehmer auswerten. Hohe Risiken ergeben sich beim Einsatz von KI zur automatisierten Bewertung der Leistung von Beschäftigten. Die Bewertungen könnten aufgrund fehlerhafter Daten oder algorithmischer Verzerrungen ungerecht sein. Die KI-Verordnung der EU stellt daher verschiedene Anforderungen an die Nutzung von Hochrisikosystemen. Hierzu gehört zum Beispiel, dass die Nutzung von natürlichen Personen beaufsichtigt werden kann, die auch entsprechend geschult sind. Beim Einsatz von KI ist zudem wichtig, dass Arbeitnehmer ein Recht darauf haben, dass Entscheidungen, die durch eine KI getroffen werden, erläutert werden.
Wie ist es umgekehrt: Dürfen Arbeitnehmer zum Beispiel das Tool ChatGPT einsetzen?
Eine wegweisende Rechtsprechung ist noch nicht vorhanden. Zunächst sollten Beschäftigte die internen Richtlinien ihres Unternehmens zur Nutzung von Software und Tools überprüfen. Viele Unternehmen haben spezifische Regelungen, die den Einsatz von externen Anwendungen oder Diensten regeln, insbesondere wenn es um den Umgang mit sensiblen Daten geht. Wenn die Nutzung erlaubt ist, kommt wieder das Thema Datenschutz ins Spiel. Personenbezogene Daten, aber auch vertrauliche Informationen sollten nicht eingegeben werden.
Bei allem gilt: Die von der KI gelieferten Ergebnisse sind kritisch zu hinterfragen und gegebenenfalls durch eigene Recherchen zu verifizieren. Der Fall eines amerikanischen Anwalts, der für die Erstellung eines Schriftsatzes an das Gericht umfassend auf ChatGPT zurückgriff, ging durch die Presse. Die im Schriftsatz enthaltene und zitierte Rechtsprechung existierte de facto nicht. Offensichtlich griff das genutzte Tool auf erfundene gerichtliche Entscheidungen zurück und täuschte damit den Nutzer.
Hat der Betriebsrat Mitbestimmungsrechte, wenn es um den Einsatz von KI geht?
ChatGPT und KI unterliegen aus verschiedenen Gründen der Mitbestimmung. Zwar hat das Arbeitsgericht Hamburg vor Kurzem entschieden, dass in einer bestimmten Konstellation kein Mitbestimmungsrecht des Betriebsrates bestehe. Aber Vorsicht: Nur aufgrund der speziellen Konstellation in diesem Fall, bei dem ChatGPT nicht auf den Dienstrechnern installiert und ausschließlich die privaten Accounts der Arbeitnehmer genutzt wurden, sah das Gericht kein Mitbestimmungsrecht. Sofern aber ein firmeneigenes KI-Tool genutzt wird, dürfte das Mitbestimmungsrecht zumindest deshalb vorliegen, weil es sich um eine technische Einrichtung handelt. Bei diesen Fragestellungen hat der Betriebsrat ein klares Mitbestimmungsrecht.
Gegebenenfalls könnte auch die Leistung oder das Verhalten der Arbeitnehmer durch die KI erfasst werden, je nach Anwendung. Für diese Konstellation besteht ebenfalls ein Mitbestimmungsrecht. Das Thema KI wurde nunmehr auch ins Betriebsverfassungsrecht aufgenommen. Der Arbeitgeber hat den Betriebsrat über die Einführung von KI rechtzeitig zu unterrichten.
Was gilt für den Sprecherausschuss?
Der Sprecherausschuss hat die Persönlichkeitsrechte der leitenden Angestellten zu schützen und zu fördern. Unabhängig von dieser im Sprecherausschussgesetz enthaltenen Regelung ergibt es Sinn, wenn die leitenden Angestellten bestens über die Einsatzmöglichkeiten von KI informiert sind und die angebotenen Tools sinnvoll nutzen können.
Dieser Artikel ist erstmals im VAA Magazin in der Oktoberausgabe 2024 veröffentlicht worden.
