Was müssen Unternehmen beim Einsatz von künstlicher Intelligenz beachten? Neben moralischen Fragen sind beim Einsatz von KI im Bereich der HR auch gesetzliche Schranken zu berücksichtigen, erklären die Arbeitsrechtsexpertinnen Franziska Egger und Theresa Weiss-Dorer, E+H Rechtsanwälte GmbH.
1. Wann und wie dürfen KI-Systeme oder automatisierte IT-Systeme im Personalbereich eingesetzt werden?
Abhängig von der Unternehmensgröße werden im HR-Bereich immer öfters KI-Systeme eingesetzt: Angefangen vom Recruiting, bei dem die KI insbesondere für die Erstellung von Stellenanzeigen oder bei der Vorauswahl von Bewerber*innen herangezogen wird, bis hin zur automatischen Beendigung von Vertragsverhältnissen auf Basis einer KI-Entscheidung. Während des aufrechten Dienstverhältnisses kann eine KI bei der Beantwortung von Mitarbeiterfragen, beim Erstellen von Dienstzeugnissen und bei personalisierten Lern- und Entwicklungsprogrammen unterstützen. Durchaus häufiger erfolgt auch die Überwachung von Arbeitnehmer*innen durch KI, sogenannte "Bossware".
Aus arbeitsrechtlicher Sicht ist in Unternehmen, in denen ein Betriebsrat besteht, zu prüfen, ob der Abschluss einer Betriebsvereinbarung erforderlich ist. Da im Personalbereich meist Personaldaten verarbeitet werden, ist der Abschluss einer Betriebsvereinbarung fast immer notwendig. Auch bei Systemen zur Mitarbeiterbeurteilung und der Einführung von Kontrollmaßnahmen, die die Menschenwürde berühren, kann eine Betriebsvereinbarung notwendig sein. Generell müssen Arbeitgeber*innen den Betriebsrat über alle Arten der automationsunterstützt verarbeiteten Daten informieren. Auf Verlangen kann der Betriebsrat die Grundlagen für die Verarbeitung und Übermittlung auch überprüfen. Bei Vorliegen einer Kontrollmaßnahme ist auch in Betrieben ohne Betriebsrat die schriftliche Zustimmung des oder der Arbeitnehmer*in erforderlich.
Entstehen durch unrichtige oder unvollständige Daten systematische Verzerrungen oder Vorurteile – sogenannte »Bias« – , kann eine Diskriminierung von bestimmten Personengruppen vorliegen. Wurden in der Vergangenheit zum Beispiel für bestimmte Positionen hauptsächlich Männer eingestellt und die vergangenen Einstellungen als Referenzwert herangezogen, kann es dadurch zu einer Benachteiligung gegenüber Frauen kommen. Um diesbezügliche Diskriminierungen zu vermeiden, ist im Detail zu prüfen, mit welchen Daten die KI trainiert wird.
Aus datenschutzrechtlicher Sicht ist insbesondere zu prüfen, ob für die Verarbeitung im Rahmen der KI ein Rechtfertigungsgrund im Rahmen beispielsweise einer Einwilligung oder einer gesetzlichen Verpflichtung vorliegt und wer als Verantwortlicher für die Datenverarbeitung zu qualifizieren ist. Auch die Grundsätze der Datenverarbeitung, wie zum Beispiel jene der Zweckbindung, Datenminimierung und Datenrichtigkeit, sowie die umfassenden Informationspflichten gemäß der Datenschutzgrundverordnung (DSGVO) sind zu beachten. Bei Einführung einer neuen KI ist insbesondere zu prüfen, ob bereits vorhandene Einwilligungen und Informationsblätter auch den Einsatz der jeweiligen KI abdecken. Ist dies nicht der Fall, ist eine gesonderte Einwilligung, sofern notwendig, und die Adaptierung der Informationsblätter erforderlich.
Im Zusammenhang mit automatischen Absagen beim Recruiting oder Kündigungen ist zusätzlich das Verbot der automatisierten Entscheidungsfindung gemäß Art 22 DSGVO zu beachten. Demnach hat jeder das Recht, nicht ausschließlich einer auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihm oder ihr gegenüber rechtliche Wirkung entfaltet.
2. Welche Herausforderungen ergeben sich beim Einsatz von KI-Systemen?
Neben den Vorteilen von KI und der damit meist einhergehenden Effizienzsteigerung, bringt der Einsatz von KI in der Praxis auch einige Risiken mit sich. Aufgrund der Komplexität der Systeme wissen Nutzer*innen oft nicht, welche Daten die KI verwendet und ob diese für die jeweilige Fragestellung überhaupt relevant sind. Da die KI die eingespeisten Daten in der Regel ungeprüft verarbeitet, kann nicht ausgeschlossen werden, dass teilweise unrichtige Daten verarbeitet werden (sogenanntes Problem des »garbage in, garbage out«).
Unternehmen sollten besonders darauf achten, dass sensible Daten und Geschäftsgeheimnisse nicht in offene, mit dem Internet verbundene KI-Systeme eingespeist werden. Ansonsten besteht die Gefahr, dass Erfindungen mangels Echtheitscharakters nicht mehr angemeldet und geschützt werden können. Daneben sind auch Verletzungen von datenschutzrechtlichen und urheberrechtlichen Bestimmungen denkbar, die mit hohen Verwaltungsstrafen bedroht sind. Um diese Risiken zu vermeiden beziehungsweise zu minimieren, ist es ratsam, eine KI betriebsintern – unter Beachtung der gesetzlichen Bestimmungen – mit eigenen Daten zu »füttern« respektive zu trainieren. Dies ist jedoch meist mit einem erheblichen Personal- und Kostenaufwand verbunden.
3. Haften Arbeitgeber*innen für durch das KI-System erfolgte Diskriminierungen oder Gesetzesverstöße durch Arbeitnehmer*innen beim Einsatz von KI?
In Italien bejahte ein Gericht die Haftung des Arbeitgebers wegen Diskriminierung durch eine KI, weil dieser die Entscheidungsfindung der KI nicht nachvollziehbar erklären konnte (sogenannte »black box«) und die KI de facto Arbeitnehmer*innen mit elterlichen Pflichten diskriminierte. Da für die Geltendmachung einer Diskriminierung in Österreich die bloße Glaubhaftmachung ausreicht, werden Arbeitgeber*innen auch in Österreich in einem allfälligen Verfahren die Funktionsweise und Entscheidungsfindung der KI nachvollziehbar erklären müssen, um eine Haftung oder sonstige Rechtsfolgen zu vermeiden.
Verwenden Arbeitnehmer*innen im Rahmen ihrer Tätigkeit, unter Einhaltung der betriebsinternen Regelungen, eine KI und wird dadurch gegen gesetzliche Bestimmungen verstoßen oder entsteht dadurch ein Schaden, haften Arbeitgeber*innen grundsätzlich auch für ihre Arbeitnehmer*innen. Anderes gilt, wenn der Verstoß einem Dritten, wie etwa dem Hersteller, zurechenbar ist. Abhängig vom Verschuldensgrad und den internen Regelungen ist eine Haftung oder Mithaftung der Arbeitnehmer*innen möglich, wobei die zwingenden Bestimmungen des Dienstnehmerhaftpflichtgesetzes zu beachten sind.
Um sensible Daten wie Geschäftsgeheimnisse zu schützen und allfällige Gesetzesverstöße sowie Schadenersatzansprüche zu vermeiden, sollten Arbeitgeber*innen daher interne Regelungen zum Umgang mit KI-Systemen erlassen – Wann und wozu dürfen welche KI-Systeme verwendet werden? Welche Daten dürfen eingespeist werden? – und ihre Arbeitnehmer*innen entsprechend schulen.
Über die Autorinnen
Mag. Franziska Egger und Theresa Weiss-Dorer LL.M. (WU) sind Rechtsanwaltsanwärterinnen mit abgelegter Rechtsanwaltsprüfung bei E+H. Die international tätige Wirtschaftsrechtskanzlei ist mit Niederlassungen in Wien, Graz, Klagenfurt und Brüssel vertreten. https://www.eh.at/