Künstliche Intelligenz (KI) gewinnt auch im Personalwesen zunehmend an Bedeutung und kann etwa die automatisierte Vorauswahl von Bewerbern, die Analyse von Lebensläufen oder die Planung von Weiterbildungsmaßnahmen optimieren. Der KI-Einsatz im HR-Bereich bringt aber auch neue Herausforderungen, um Arbeitnehmer und Bewerber optimal zu schützen. Wir erklären die wichtigsten Anforderungen von Datenschutz-Grundverordnung (DSGVO) und KI-Verordnung (AI Act) für Personaler.
Datenschutzrechtliche Grundprinzipien für KI im HR
Gemäß der DSGVO muss jede Verarbeitung von personenbezogenen Daten auf einer klaren Rechtsgrundlage beruhen (Art. 6 DSGVO). Dabei ist für die Frage, welche Rechtsgrundlage für welche Datenverarbeitung im Personalbereich einschlägig ist, ratsam, die einzelnen Verarbeitungsphasen (Active Sourcing/Bewerbung, während des Arbeitsverhältnisses, nach Beendigung des Arbeitsverhältnisses) zu trennen. Durch die Trennung werden dem Verantwortlichen die unterschiedlichen Zwecke und die unterschiedlichen Anforderungen an die Erforderlichkeitsprüfung vor Augen gehalten, die je nach Verarbeitungsphase variieren können.
- Für die erstmalige Datenerhebung ist meist eine informierte Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO denkbar. Allerdings kann diese in einem bereits angedachten Arbeitsverhältnis auch Schwierigkeiten bereiten. Aufgrund des Machtgefälle zwischen Arbeitgeber und Arbeitnehmer ist die vorausgesetzte Freiwilligkeit oft nicht gegeben, so dass die Einwilligung nur wirksam sein kann, wenn der Betroffene ohne Nachteile die Verarbeitung ablehnen kann.
- Eine Datenverarbeitung wird ebenso dann zulässig, wenn sie zur Erfüllung eines Arbeitsvertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art 6 Abs. 1 lit. b) DSGVO). Typische Beispiele sind hierfür die Abwicklung der Gehaltsabrechnung oder die Organisation betrieblicher Abläufe. KI-gestützte Bewerbungsverfahren können ebenfalls darauf gestützt werden. Entscheidend ist dabei, dass die Verarbeitung wirklich erforderlich (nicht nur nützlich), geeignet und verhältnismäßig ist.
- Schließlich kann die die Nutzung von KI-Systemen auch auf ein berechtigtes Interesse des Arbeitgebers gemäß Art. 6 Abs. 1 lit. f) DSGVO gestützt werden. Hierfür ist notwendig, das Interesse des Verantwortlichen (z.B. Gewährleistung von objektiven Auswahlverfahren oder Effizienzgewinne) zu identifizieren, die Notwendigkeit der Verarbeitung zu prüfen sowie das Unternehmensinteresse gegen die Grundrechte der Betroffenen abzuwägen. Vor allem im Beschäftigtenverhältnis sind die Anforderungen wegen des vorliegenden Abhängigkeitsverhältnisses hoch.
Dabei gilt das Prinzip der Datenminimierung. Es dürfen nur solche personenbezogenen Daten erhoben und verarbeitet werden, die für den im Vorfeld bereits definierten HR-Zweck unbedingt notwendig sind und sind dabei nur so lange zu speichern, wie es der Zweck erfordert.
Gleichzeitig verpflichten Art. 13 und 14 DSGVO zu umfassender Transparenz. Sowohl Bewerber als auch Mitarbeitende müssen verständlich darüber informiert werden, welche Entscheidungen automatisiert getroffen werden, auf welche Daten diese beruhen und aus welchem konkreten Zweck die Daten erhoben wurden. Ohne eine transparente Information über die konkrete Verarbeitung ist eine wirksame Einwilligung der Mitarbeitenden nicht möglich.
Vollständig automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Auswirkung sind gemäß Art. 22 DSGVO ohne ausdrückliche gesetzliche Erlaubnis oder freiwillige Einwilligung verboten, weshalb auch KI-gestützte Bewertungen stets einer menschlichen Kontrolle unterliegen müssen.
Tipp: Mehr erfahren Sie in unserem Ratgeber zum Active Sourcing mit KI.
Bei komplexen KI-Systemen, die Profiling und automatisierte Entscheidungen ermöglichen, etwa bei der Bewertung von Bewerbungen oder Mitarbeiterleistungen, ist zudem eine Datenschutz-Folgenabschätzung (DSFS) nach Art. 35 DSGVO erforderlich. Damit müssen alle technischen und organisatorischen Maßnahmen nachgewiesen werden können, die Genauigkeit und Zuverlässigkeit des Systems garantieren. Darüber hinaus ist festzuhalten, warum die KI-Anwendung erforderlich und verhältnismäßig ist. Diese Einschätzung muss bereits vor der Systemeinführung erstellt und fortlaufend gepflegt werden, um Risiken frühzeitig zu erkennen und zu dokumentieren.
KI-Verordnung: Einteilung der KI-Risikostufen im HR
Im HR-Bereich können KI-Systeme in verschiedenen Risikoklassen eingeteilt werden.
- Unannehmbare Risiken umfassen Verfahren wie Social Scoring, bei denen Arbeitnehmer und Bewerber bewertet werden oder KI-Systeme zur Emotionserkennung am Arbeitsplatz. Solche KI-Systeme sind verboten.
- Systeme mit hohem Risiko, etwa automatisierte Bewerber-Screening-Tools oder Mitarbeitenden-Monitoring dürfen zwar eingesetzt werden, unterliegen aber strengen Voraussetzungen und werden daher als Hochrisiko-KI-Systeme gewertet.
- Begrenzt risikobehaftete Anwendungen wie Chatbots oder interaktive HR-Assistenten müssen eindeutig als KI gekennzeichnet werden und Beschwerdemechanismen bereitstellen.
- Ein geringes Risiko und damit keine zusätzlichen KI-spezifische Auflagen haben zum Beispiel Tools zur Bildbearbeitung oder Spam-Filter.
KI-Verordnung: Hochrisiko-KI-Systeme im HR
Mit der KI-Verordnung wurde ein eigenständiger KI-Rahmen eingeführt, der parallel zur DSGVO anwendbar ist. Art. 6 Abs. 2 AI Act im Vermessen mit Anhang III hebt bestimmte KI-Anwendungen im Personalwesen als Hochrisiko-KI-Systeme hervor.
Konkret stuft die KI-Verordnung folgende KI-Systeme als hochriskant ein:
- KI-Systeme, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu sichten oder zu filtern und Bewerber zu bewerten,
- KI-Systeme, die bestimmungsgemäß für Entscheidungen, die die Bedingungen von Arbeitsverhältnissen, Beförderungen und Kündigungen von Arbeitsvertragsverhältnissen beeinflussen, für die Zuweisung von Aufgaben aufgrund des individuellen Verhaltens oder persönlicher Merkmale oder Eigenschaften oder für die Beobachtung und Bewertung der Leistung und des Verhaltens von Personen in solchen Beschäftigungsverhältnissen verwendet werden sollen.
Ein KI-System wird dann nicht als hochriskant eingestuft, wenn kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte natürlicher Personen besteht und das System die Entscheidungsfindung nicht maßgeblich beeinflusst. Nach Art. 6 Abs. 3 AI Act liegt das beispielsweise vor, wenn das KI-System für die Ausführung einer klar abgegrenzten Verfahrensaufgabe konzipiert ist.
Unternehmen, die Hochrisiko-KI-Systeme nutzen, sind als deren Betreiber einzustufen und unterliegen strengen Pflichten nach Art. 26 AI Act. Damit die dort genannten Anforderungen erfüllt sind, muss der Betreiber geeignete technische und organisatorische Maßnahmen treffen, um das System gemäß der vorgegebenen Betriebsanleitung einzusetzen. Darüber hinaus müssen die Funktionsweise des KI-Systems fortlaufend überwacht sowie alle erforderlichen Aufzeichnungen lückenlos geführt werden. Zusätzlich ist jeder Einsatz durch menschliche Aufsicht zu begleiten.
Ebenso müssen Betreiber gemäß Art. 27 AI Act eine Grundrechte-Folgeabschätzung durchführen, bevor ein Hochrisiko-KI-System zur Entscheidungsfindung im Personalmanagement in Betrieb genommen wird.
Tipp: Lesen Sie unseren Artikel zur Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme.
Zudem muss der Betreiber sicherstellen, dass alle unter seiner Kontrolle stehenden Eingabedaten dem vorgesehenen Zweck entsprechen und ausreichend repräsentativ sind. Die Repräsentativität muss sich auf die konkrete Zweckbestimmung des Systems und die verwendeten Trainings-, Validierungs- und Testdatensätze beziehen. Deshalb sollten Betreiber bereits frühzeitig Vorgaben zur Repräsentativität festlegen und diese mit dem KI-Anbieter absprechen.
Handlungsempfehlungen für Verantwortliche
Betreiber, die Hochrisiko-KI-Systeme im Personalbereich einsetzen, sollten die Anforderungen der KI-Verordnung unbedingt prüfen und erfüllen, da im Falle von Verstößen Bußgelder von bis zu 3 % des weltweiten Jahresumsatzes oder 15 Mio. Euro drohen. Der Einsatz verbotener KI-Systeme kann sogar mit bis zu 7 % des weltweiten Jahresumsatzes oder 35 Mio. Euro geahndet werden (Art. 99 AI Act).
Wir empfehlen dabei folgendes Vorgehen:
Prüfung vorhandener KI-Systeme
Um den Anforderungen nachzukommen, empfiehlt sich zunächst eine vollständige Bestandsaufnahme aller bereits vorhandenen KI-Anwendungen (im HR-Bereich) und deren Risikoklassifizierung nach der KI-Verordnung.
Anschließend sollten Funktionsweisen und die zugrundeliegenden Datensätze dahingehend überprüft werden, ob sie den Vorgaben der KI-Verordnung und der DSGVO gerecht werden.
Beteiligung des Betriebsrats
Es lohnt sich, Arbeitnehmervertretungen frühzeitig mit einzubinden. Denn eine unterlassene oder nachlässige Einbindung kann zu rechtlichen Rückschlägen führen oder zumindest eine zeitliche Verzögerung zur Folge haben.
Tipp: Lesen Sie dazu auch bei activeMind.legal Rechtsanwälte, inwiefern der Betriebsrat bei der Einführung von KI laut einem deutschen Urteil mitreden darf.
Aufstellen von KI-Leitlinien
Ergänzend zu den allgemeinen KI-Richtlinien im Unternehmen sollten für den Einsatz von KI im Personalwesen eigene, speziellere Vorgaben gemacht werden. Diese sollten Informationen darüber enthalten, welche KI-Anwendungen zulässig sind sowie Regelungen zum praktischen Umgang mit KI-Systemen, wie etwa zu Bias und Diskriminierung.
Es ist ratsam, darauf hinzuweisen, dass – sofern der Verarbeitungszweck bereits durch anonymisierte oder pseudonymisierte Daten erreicht werden kann – diese Daten genutzt werden sollen.
Gewährleistung von KI-Kompetenz
Nach Art. 4 AI Act müssen sowohl Anbieter als auch Betreiber Sorge dafür tragen, dass alle Mitarbeitenden und weitere involvierte Personen, die KI-Systeme betreiben oder nutzen, über angemessene KI-Kompetenzen verfügen. Daraus ergibt sich die Pflicht, sicherzustellen, dass die mit diesen Systemen befassten Personen ausreichend technische Fähigkeiten und Erfahrungen besitzen.
Dabei verlangt die KI-Verordnung keine konkrete Zertifizierung, wohl aber eine nachweisbare Befähigung der handelnden Personen. Diese kann durch Schulungen, interne Weiterbildungen oder externe Qualifizierungen erfolgen.
Tipp: Nutzen Sie dafür unsere KI-Kompetenz-Schulung für Mitarbeitende oder die KI-Schulung für Führungskräfte.
Rechenschaftspflichten
Ebenso ist es ratsam, die ergriffenen Schritte zu dokumentieren, um im Streitfall bzw. bei behördlichen Kontrollen überzeugend darlegen zu können, dass alle notwendigen Maßnahmen ergriffen wurden, um Bußgelder zu vermeiden.
Fazit
KI-Systeme im Personalwesen bieten große Effizienzgewinne, bringen aber strenge regulatorische Anforderungen mit sich. Die DSGVO legt das Fundament für den Schutz personenbezogener Daten, während die KI-Verordnung konkrete KI-Systeme regelt.
Transparenz, Dokumentation und eine systematische Risikoanalyse sind erforderlich, um rechtssicher mit KI-Systemen im HR-Bereich zu arbeiten. Damit können Bewerber und Arbeitnehmende beim Einsatz von KI umfassend geschützt werden.
Unternehmen sollten diese Rahmenbedingungen nicht als Hindernis, sondern viel mehr als Chance nutzen, um KI-Projekte vertrauenswürdig und dauerhaft im Betrieb zu verankern.