04.11.2024Fachbeitrag

Update Datenschutz Nr. 190

Referentenentwurf des Beschäftigtendatengesetzes (BeschDG): Neue Regelungen für den Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis

Das Bundesministerium für Arbeit und Soziales (BMAS) und das Bundesministerium des Innern und für Heimat (BMI) haben mit Stand vom 8. Oktober 2024 einen neuen Referentenentwurf für ein Beschäftigtendatengesetz (BeschDG) vorgelegt, wir berichteten in unserem Update Nr. 188.

Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 wurde die Debatte um den Datenschutz im Arbeitsverhältnis neu entfacht. Dies führte zu der Einführung des § 26 des Bundesdatenschutzgesetzes (BDSG) (abrufbar hier), welcher aktuell Regelungen zur Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses aufstellt. Spezielle Regelungen für den Einsatz von künstlicher Intelligenz enthält diese Vorschrift nicht.

I. Neuerungen im KI-Bereich durch den Referentenentwurf

Die Bedeutung von KI im Arbeitsverhältnis nimmt jedoch stetig zu und prägt zunehmend Entscheidungsprozesse in Unternehmen. Beispielsweise werden KI-gestützte Systeme eingesetzt, um Bewerbungen automatisiert zu sichten und passende Kandidaten auszuwählen, oder um die Produktivität von Mitarbeitern durch die Analyse von Arbeitsdaten zu optimieren. Diese Technologien werfen aber gleichzeitig datenschutzrechtliche Fragen auf, insbesondere hinsichtlich der Transparenz und der Fairness solcher Entscheidungen.

Um den verantwortungsvollen Einsatz von KI zu regulieren, hat die Europäische Union dieses Jahr die KI-Verordnung (Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz) verabschiedet, die einen umfassenden Rechtsrahmen für den Einsatz von KI-Technologien schafft.

Parallel dazu hat das Vorhaben der Regierung die in § 26 BDSG bestehenden Lücken durch ein eigenständiges BeschGD mit der Veröffentlichung des Referentenentwurfes wieder Fahrt aufgenommen.

Im Folgenden soll ein Überblick über die wesentlichen Neuerungen des Entwurfes bzgl. dem Einsatz von KI-Systemen und den damit einhergehenden Pflichten gegeben werden:

1. Grundlagen der KI-VO

Die KI-VO ist am 1. August 2024 in Kraft getreten und verpflichtet nicht nur die Hersteller von KI-Systemen, sondern neben Importeuren und Händlern auch die Betreiber (Nutzer), insbesondere bei Verwendung sog. Hochrisiko-KI-Systeme (wir berichteten in Datenschutzupdate Nr. 162, Nr. 146, Nr. 121 und Nr. 94)

Zu den Hochrisiko-Systemen zählen viele KI-Systeme, die im Beschäftigungsverhältnis eingesetzt werden, wie etwa Systeme zur automatisierten Entscheidungsfindung oder zur Bewertung von Mitarbeitern. Arbeitgeber die solche Systeme betreiben, müssen zukünftig nach Art. 29 KI-VO geeignete technische und organisatorische Maßnahmen umsetzen und die Überwachung der KI-Entscheidungen durch qualifiziertes Personal sicherstellen. Zudem sind regelmäßige Cybersecurity-Überprüfungen und die Verwendung repräsentativer Daten erforderlich.

Die Überwachung des Betriebs der KI und die sofortige Meldung von Vorfällen an Anbieter und Behörden bei Gefahr für Sicherheit oder öffentliche Interessen sind ebenfalls vorgeschrieben. Außerdem müssen Arbeitnehmervertreter konsultiert und eine Datenschutz-Folgenabschätzung durchgeführt werden. Wenn Entscheidungen natürliche Personen betreffen, müssen diese darüber informiert werden. Vor der ersten Nutzung eines Hochrisiko-KI-Systems ist zudem eine Risiko-Folgenabschätzung durchzuführen, die Grundrechte und Risiken für gefährdete Gruppen berücksichtigt.

2. Regelungen des BeschDG

Das Beschäftigtendatengesetz (BeschDG) soll auf den Vorgaben der KI-Verordnung aufbauen und sie speziell für den Einsatz von KI im Beschäftigungskontext konkretisieren. Das Gesetz adressiert insbesondere die Verarbeitung von Beschäftigtendaten durch KI-Systeme und automatisierte Entscheidungsprozesse.

a) Anwendungsbereich (§ 1 BeschDG)

Der Anwendungsbereichsbereich des BeschDG umfasst die Verarbeitung personenbezogener Daten von Beschäftigten durch Arbeitgeber im Zusammenhang mit einem Beschäftigungsverhältnis. Es gilt sowohl für öffentliche als auch für private Arbeitgeber und erfasst alle Arten von Arbeitsverhältnissen, also z.B. Arbeitsverträge, Ausbildungsverhältnisse und Bewerbungsverfahren.

Insbesondere relevant sind dabei Datenverarbeitungen, die für die Durchführung, Begründung oder Beendigung eines Arbeitsverhältnisses erforderlich sind.

b) Schutzmaßnahmen (§ 9 Abs. 1 Nr. 11 BeschDG)

Nach § 9 Abs. 1 Nr. 11 BeschDG haben Arbeitgeber, die KI-Systeme zur Verarbeitung von Beschäftigtendaten einsetzen, umfassende Schutzmaßnahmen zum Schutz der Grundrechte der Beschäftigten zu treffen. Diese sind:

  • Regelmäßige Evaluierung von Eingabe- und Ausgabedaten: Arbeitgeber müssen regelmäßig prüfen, welche personenbezogenen Daten für die Verarbeitung durch das KI-System relevant und erforderlich sind. Dabei ist sicherzustellen, dass nur die notwendigen Daten verarbeitet werden und keine überflüssigen oder irrelevanten Informationen in den Prozess einfließen.
  • Anonymisierung der Ergebnisse: Soweit technisch möglich, müssen die durch das KI-System erzeugten Ergebnisse und Zwischenergebnisse anonymisiert werden. Dies soll verhindern, dass die Daten auf einzelne Beschäftigte zurückgeführt werden können. Zudem ist sicherzustellen, dass diese Daten nicht zweckwidrig genutzt werden, also nur im Rahmen des festgelegten Verarbeitungszwecks verwendet werden.
  • Überprüfung auf diskriminierende und unrichtige Ergebnisse: Der Arbeitgeber ist verpflichtet, das KI-System regelmäßig auf diskriminierende oder unrichtige Ergebnisse zu überprüfen, soweit dies technisch möglich ist. Dies dient dem Schutz der Beschäftigten vor fehlerhaften oder unfairen Entscheidungen, die durch algorithmische Verzerrungen oder fehlerhafte Datenverarbeitung entstehen könnten.

c) Transparenz- und Informationspflichten (§ 10 Abs. 2 und 3 BeschDG)

Das BeschDG legt in § 10 Abs. 2 und 3 weitere Pflichten für Arbeitgeber bzgl. der Transparenz beim Einsatz von KI-Systemen fest.

Nach § 10 Abs. 2 BeschDG ist der Arbeitgeber verpflichtet, die betroffenen Beschäftigten spätestens mit Beginn der Verarbeitung darüber zu informieren, dass ein KI-System zur Verarbeitung ihrer personenbezogenen Daten eingesetzt wird. Diese Information muss außerdem auf das nach Absatz 3 bestehende Auskunftsrecht der Beschäftigten hinweisen.
Gemäß § 10 Abs. 3 BeschDG haben die betroffenen Beschäftigten ein Recht auf Auskunft über zwei wesentliche Aspekte:

  • Aussagekräftige Informationen über die Funktionsweise des KI-Systems: Die Beschäftigten haben Anspruch auf detaillierte Informationen zur Funktionsweise des KI-Systems, einschließlich der Art und Weise, wie ihre personenbezogenen Daten innerhalb des Systems verarbeitet werden.
  • Schutzmaßnahmen nach § 9 Abs. 1 Nr. 11: Darüber hinaus müssen die Beschäftigten darüber informiert werden, welche Schutzmaßnahmen der Arbeitgeber ergriffen hat, um die Anforderungen aus § 9 Abs. 1 Nr. 11 BeschDG zu erfüllen.

d) Profiling mit KI (§ 25 und § 26 BeschDG)

§ 25 und § 26 BeschDG stellen eine speziellere Regelung gegenüber den allgemeinen Vorgaben des § 10 BeschDG dar und regeln spezifisch die Informationspflichten des Arbeitsgebers und das Auskunftsrecht des Beschäftigten beim Einsatz von KI-Systemen im Rahmen von Profiling.

Beschäftigte haben auch hiernach ein Auskunftsrecht bzw. Arbeitgeber eine Informationspflicht darüber, ob ein KI-System verwendet wird und welche Schutzmaßnahmen nach § 9 Abs. 1 Nr. 11 BeschDG getroffen wurden.

II. Fazit und Ausblick

Mit dem BeschDG sollen nach langen Unsicherheiten nun klare Regelungen für den Einsatz von KI-Systemen und den Umgang mit Beschäftigtendaten geschaffen werden und so der Beschäftigtendatenschutz modernisiert.

Die Bundesregierung plant, das Gesetz bis August/September 2025 in Kraft zu setzen. Doch es gibt innerhalb der Koalition, insbesondere bei der FDP, Bedenken, über zu hohe bürokratische Belastungen. Angesichts dieser internen Widerstände ist fraglich, ob der Entwurf noch in der aktuellen Legislaturperiode verabschiedet wird.

Betroffenen Arbeitgebern müssen ihre Datenverarbeitungen daher bis auf weiteres auf die geltenden Vorschriften, insbesondere auf § 26 BDSG bzw. außerhalb des Beschäftigungskontextes Art. 6 Abs. 1 Buchst. b) DSGVO stützen. Außerdem müssen die neuen Regelungen der KI-VO beachtet und umgesetzt werden.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.