Überwachung durch KI – Rechtliche Grenzen auch ohne Beschäftigtendatengesetz

Am 13.11.2024 fand das 43. RDV-Forum als Hybridveranstaltung in Köln und online mit den Schwerpunkten des Einsatzes Künstlicher Intelligenz (KI) im Unternehmen, Beschäftigtendatenschutz und des Verhältnisses der neuen europäischen Datenakte untereinander statt.

Vor Ort berichtete zunächst Dr. Tobias Krafft (Geschäftsführer Trusted AI GmbH) über die Einsatzmöglichkeiten von KI im Unternehmen, die stets von dem jeweiligen Unternehmen abhängig seien. Krafft verglich die KI mit einem großen Feuer, mit dem man grundsätzlich gute Dinge anstellen könne, dessen Risiken man sich aber auch bewusst sein und demnach entsprechende Vorkehrungen treffen müsse, um Gefahren und Risiken vorzubeugen bzw. diese einzugrenzen.

Im Anschluss informierte Johann Pieter Jauernig (Referent beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit), inwieweit die dortige Aufsichtsbehörde bereits mit KI-Themen befasst ist. Insbesondere im Beschäftigtendatenschutz sei man sehr aktiv und habe bereits im Zuge des Gesetzgebungsverfahrens zum Beschäftigtendatengesetz ein Positionspapier erarbeitet, welches vor allem auf die unterschiedlichen Phasen des Bewerbungsverfahrens eingehe.

Prof. Dr. Rolf Schwartmann (Vorstandsvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Leiter der Kölner Forschungsstelle für Medienrecht) wies eindrücklich darauf hin, dass Betreiber von KI-Systemen dafür Sorge zu tragen haben, dass die Angestellten, welche in ihrem Auftrag KI-Systeme anwenden, mit der entsprechenden KI-Kompetenz ausgestattet sind. Hierzu zeigte er auf, welche Mindestanforderungen ein Angestellter für den Nachweis einer derartigen KI-Kompetenz zu erfüllen hat.

Prof. Dr. Ralph Wagner (Vorstand Dresdner Institut für Datenschutz (DID); Leiter des GDD-Erfa-Kreises Sachsen) ging im Anschluss auf die neuen EU-Datenakte und deren Auswirkungen auf die Pflicht- bzw. möglichen Zusatzaufgaben des Datenschutzbeauftragten ein. Die neuen EU-Datenakte enthielten keine speziellen Aufgabenzuweisungen an den Datenschutzbeauftragten. Es sei aber möglich, dem Datenschutzbeauftragten innerhalb der Grenzen der DS-GVO weitere Aufgaben zuzuweisen.

In der anschließenden Podiumsdiskussion kam man zu dem Konsens, dass eines der größten Probleme beim Einsatz von KI-Systemen die Intransparenz sei. Es sei nicht klar, wie jedes einzelne KI-System mit den jeweiligen Daten umgehe. Deshalb sei es von erheblicher Bedeutung, dass die Normen in Bezug auf KI einheitlich durch die Aufsichtsbehörden ausgelegt und verstanden werden, um Rechtssicherheit für die Wirtschaft gewährleisten zu können.

Thomas Müthlein (Geschäftsführer Datenschutz-Management und Consulting (DMC) GmbH und Vorstandsmitglied der GDD e.V.) referierte zur KI-unterstützten Digitalisierung von HR-Prozessen am Beispiel des Bewerbungsprozesses. Er stellte insbesondere dar, wie KI-Tools im Rahmen eines Bewerbungsprozesses eingesetzt werden können. Es bestehe dabei stets die Herausforderung, die Einhaltung der Grundsätze der DS-GVO durch eine frühzeitige Berücksichtigung bei Einführung solcher KI-Systeme sicherzustellen.

Prof. Dr. Gregor Thüsing, LL.M. (Institut für Arbeitsrecht und Recht der sozialen Sicherheit der Universität Bonn, Vorstand der GDD e.V.) stellte „Dos und Don`ts im Beschäftigtendatenschutz“ vor. Er präsentierte fünf praktische prägnante Regeln für rechtskonformes Verhalten bei der Verarbeitung von Beschäftigtendaten und forderte in diesem Kontext Klarheit hinsichtlich der Rechtsgrundlagen der Verarbeitungen von Beschäftigtendaten sowie die kritische Betrachtung der Erforderlichkeit möglicher Datenverarbeitungen.

Markus Hartmann (leitender OStA der Generalstaatsanwaltschaft Köln) berichtete über den Umgang mit Ransomwareangriffen und gab Hinweise zur Strafverfolgungspraxis. Er führte aus, dass es zu einer zunehmenden Professionalisierung der Strukturen auf Angreiferseite komme, sodass ähnliche Prozesse wie in einem Wirtschaftsunternehmen vorherrschten und die Angreifer arbeitsteilig vorgingen. Betroffenen legte Hartmann die Strafanzeige nahe, da aus Compliancesicht insbesondere Fahrlässigkeitsdelikte, Verstöße gegen außenwirtschaftliche Vorgaben sowie bei Zahlung von Lösegeldern eine Strafbarkeit wegen Untreue und Unterstützung krimineller Vereinigungen im Raum stünden. Zum Schutz der Daten sei eine starke IT-Infrastruktur unabdingbar. Ziel von Verboten und Strafbarkeiten sei nicht die Opferkriminalisierung, sondern die Unterbindung der Ökonomisierung durch Drittdienstleister, die im Rahmen ihrer Geschäftsmodelle bei der Zahlungsabwicklung im Zusammenhang mit Ransomwareangriffen unterstützen.

 

Das RDV-Forum ist die jährlich stattfindende Tagung der Fachzeitschrift für Datenschutz und Digitalisierung „Recht der Datenverarbeitung (RDV)“. Die RDV wird von der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn, mitherausgegeben sowie redaktionell betreut.