Dass in Deutschland und der EU das Thema Datenschutz gro脽geschrieben wird, wurde sp盲testens mit der EU-weiten Einf眉hrung der Datenschutzgrundverordnung (DSGVO) klar. Die Vorschriften gelten auch f眉r Anwendungen, die K眉nstliche Intelligenz nutzen. Wenn solche Tools in der Personalarbeit eingesetzt werden sollen, wird es schnell heikel. Denn in HR wird naturgem盲脽 viel mit sensiblen personenbezogenen Daten gearbeitet, z. B. zu Religion, Gesundheit, Gehalt, Behindertengrad, disziplinarischen Ma脽nahmen oder Gehaltspf盲ndungen. Erfahren Sie, worauf Sie deshalb besonders achten m眉ssen, wenn Sie K眉nstliche Intelligenz f眉r Ihre Personalarbeit nutzen wollen.
Das deutsche Datenschutzrecht wird ma脽geblich durch das europ盲ische Datenschutzrecht in Form der DSGVO bestimmt. Sobald personenbezogene Daten verarbeitet werden 鈥 z. B. von einer K眉nstlichen Intelligenz 鈥 findet deshalb die DSGVO Anwendung. Das bedeutet, geben Sie 聽personenbezogene Daten in eine KI ein, lassen diese Daten von ihr ausgegeben oder nutzen solche Daten f眉r das Training eines Modells , m眉ssen Sie die Vorschriften der DSGVO einhalten. Unter personenbezogenen Daten versteht der Gesetzgeber alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen. Oder anders: Alle Daten, anhand derer man eine nat眉rliche Person identifizieren kann, wie Namen, Adresse, Telefonnummer, Fotos, aber auch Personalnummer, Kunden- oder Kontonummer und IP-Adressen.
Besteht kein Personenbezug, findet die DSGVO keine Anwendung. Beim Umgang mit Personaldaten ist das aber selten der Fall. Anders als z. B. bei der Erzeugung von Marketingtexten spielt f眉r HR das Datenschutzrecht eine wichtige Rolle.
Die DSGVO sch眉tzt also personenbezogene Daten, indem sie einen umfangreichen Rahmen f眉r die Verarbeitung der sensiblen Daten vorgibt.
Dies sind acht zentrale Grunds盲tze der DSGVO:
路 聽 聽 聽 Rechtm盲脽igkeit der Datennutzung,
路 聽 聽 聽 Vermeidung von Missbrauch der Daten,
路 聽 聽 聽 Transparenz bzw. verst盲ndliche Informationen zur Datenverarbeitung,
路 聽 聽 聽 Zweckbindung,
路 聽 聽 聽 Datenminimierung,
路 聽 聽 聽 Richtigkeit,
路 聽 聽 聽 Speicherbegrenzung sowie
路 聽 聽 聽 Integrit盲t und Vertraulichkeit der Daten.
Aus der DSGVO ergeben sich verschiedene Rechte f眉r die Betroffenen, wie etwa das Recht auf Information und Auskunft, auf Berichtigung und L枚schung, sowie das Recht auf Widerruf der Einwilligung zur Verarbeitung.
Arbeiten Sie mit personenbezogenen Daten, m眉ssen Sie bzw. Ihr Unternehmen die DSGVO und ihre Grunds盲tze einhalten. Beispielsweise d眉rfen Sie die Daten nur f眉r den zuvor transparent festgelegten Zweck nutzen. Gleicherma脽en m眉ssen Sie die Rechte der Personen einhalten, deren personenbezogene Daten Sie verarbeiten. Ist z. B. der urspr眉ngliche Zweck der Datenerhebung nicht mehr gegeben, haben Betroffene das Recht, 鈥瀡ergessen zu werden鈥. Konkret bedeutet das, dass die nicht mehr ben枚tigten Daten gel枚scht werden m眉ssen. Entweder auf Grund eines L枚schkonzepts oder eines entsprechenden Antrags der Betroffenen.
Was mit den eingegebenen Daten in der KI passiert, ist f眉r viele Nutzer:innen nicht erkenntlich. Aus ihrer Sicht verschwindet der Prompt, also ihre Eingabe, in einer Black Box. Aus datenschutzrechtlicher Sicht sollten Sie vor der Einf眉hrung eines KI-Tools ins Unternehmen aber unbedingt Licht ins Dunkel bringen, denn hier lauern jede Menge Fallstricke. Die Datenschutz-Expert:innen der Unternehmen sollten deshalb diese drei Bereiche genau unter die Lupe nehmen:
1. Die Trainingsdaten
Die zentrale Frage lautet hier: Mit welchen Daten wurde das Modell trainiert? Die Trainingsdaten beeinflussen die Neutralit盲t des Outputs massiv und 眉bertragen ihre inhaltliche F盲rbung auf ihn. Die Gefahr, dass der Output von Vorurteilen (Biases) beeinflusst wird, diskriminierend oder rassistisch ist, darf nicht untersch盲tzt werden. Wurde z. B. ein Recruiting-Tool mit Daten trainiert, in denen vor allem hellh盲utige, m盲nnliche Europ盲er enthalten waren, kann es passieren, dass das System Menschen mit dunkler Hautfarbe und Frauen benachteiligt.
Trainieren Sie selbst ein KI-Modell, nutzen Sie am besten anonymisierte oder synthetische Daten. Denn Betroffene haben z. B. das Recht auf Korrektur und L枚schung ihrer personenbezogenen Daten. Technisch ist das aber kaum umsetzbar, weil die Trainingsdaten untrennbar in das Modell einflie脽en. Gegen OpenAI hat die private Datenschutzorganisation NOYB deshalb jetzt eine Beschwerde auf Basis der DSGVO eingereicht. NOYB zufolge, teilt ChatGPT falsche Informationen 眉ber eine nicht n盲her genannte Person des 枚ffentlichen Lebens. OpenAI verweigerte dieser Person die Korrektur der fehlerhaften Information mit dem Hinweis, dass dies nicht m枚glich sei. Die Richtigkeit der Daten und das Recht auf Berichtigung sind aber wesentliche Grunds盲tze der DSGVO. Deshalb ist eine solche fehlende Durch- und Umsetzbarkeit der DSGVO-Grunds盲tze ein erheblicher Versto脽 und kann zu empfindlichen Bu脽geldern f眉hren.
2. Die Dateneingabe
Was mit den Daten nach der Eingabe passiert, liegt nicht immer in Ihrer eigenen Hand, ist datenschutzrechtlich aber hochrelevant. Vor der Zulassung eines KI-Tools im Unternehmen sollten Sie daher pr眉fen, ob die Eingabedaten zum Training des KI-Modells verwendet werden.
Ist das der Fall, m眉ssen Sie als Lizenznehmer:in damit rechnen, dass die Daten gegen眉ber Dritten offengelegt werden k枚nnen, z. B. durch geschicktes Prompten. Das verst枚脽t unter Umst盲nden gegen Pers枚nlichkeitsrechte, Rechte des geistigen Eigentums oder Gesch盲ftsgeheimnisse.
Bei der Dateneingabe k枚nnen zwei Szenarien unterschieden werden:
a) Die Daten werden in ein selbst gehostetes Modell eingegeben: Die Hoheit 眉ber die Eingabedaten, aber auch die Verantwortung, die datenschutzrechtlichen Vorschriften einzuhalten, liegt in der Regel beim Unternehmen selbst. Die Vertraulichkeit der Daten kann h盲ufig besser gew盲hrleistet werden. Trotzdem bedarf es einer DSGVO-konformen Rechtsgrundlage, um personenbezogene Daten zu verarbeiten.
b) Die Daten werden in ein fremdes, extern gehostetes Modell eingegeben: Diese Variante ist datenschutzrechtlich voller Stolpersteine und daher mit Vorsicht zu genie脽en. Technisch verantwortlich f眉r die Einhaltung des Datenschutzes ist der Anbieter. Ob personenbezogene Daten innerhalb des Systems DSGVO-konform behandelt werden, k枚nnen Sie als 聽Lizenznehmer:in nur bedingt kontrollieren. Trotzdem kann ein gro脽er Teil der Verantwortung bei Ihnen liegen, insbesondere wenn Sie als Auftraggeber und das Partnerunternehmen Auftragsverarbeiter agieren. Sie sollten Ihre Vertr盲ge unbedingt genau pr眉fen, bei Bedarf datenschutzrechtliche Vertr盲ge wie einen Auftragsverarbeitungsvertrag abschlie脽en und ggf. erg盲nzende Geheimhaltungsvereinbarungen, sogenannte NDAs (Non-Disclosure-Agreements) abschlie脽en. Zudem kann eine erg盲nzende Vertragsklausel sinnvoll sein, die bestimmt, dass Eingabedaten nicht zum Training verwendet werden.
3. Die Datenausgabe
Nicht alles, was K眉nstliche Intelligenz als Ergebnis ausgibt, darf f眉r bare M眉nze genommen werden. Wie am Negativ-Beispiel von ChatGPT gezeigt, halluziniert KI immer wieder unwahre Inhalte. Neben Halluzinationen sollten Sie den Output zudem auf verschiedene Aspekte kontrollieren, z. B. auf diskriminierende Inhalte und ggf. enthaltene Trainingsdaten.
Der Einsatz von KI in der Personalarbeit ist nicht nur eine Frage des Datenschutzes im engeren Sinne. Die DSGVO untersagt beispielsweise automatisierte Einzelfallentscheidungen, die gegen眉ber Menschen unmittelbar rechtlich Wirkung entfalten. Das beste Beispiel daf眉r sind Recruiting-Tools: Die KI darf nicht ohne Weiteres automatisch Absagen erteilen, wenn die Profile aus ihrer Sicht nicht zur ausgeschriebenen Stelle passen. Es muss zumindest eine Remonstrationsm枚glichkeit geben, die eine letzte Entscheidung einem Menschen 眉berl盲sst. Diese letzte Entscheidungshoheit und Verantwortung liegen ganz klar bei den Personaler:innen.
Personenbezogene Daten m眉ssen DSGVO-konform verarbeitet werden, insbesondere im KI-Kontext. So weit, so gut. Aber auch eigene und fremde Gesch盲ftsgeheimnisse oder sonstige vertrauliche Daten sollten Sie nicht ohne weiteres in KI-Anwendungen eingeben. Auch hier besteht die Gefahr, dass die Daten Dritten gegen眉ber offengelegt werden. Das kann rechtliche Konsequenzen und Nachteile im Wettbewerb mit sich bringen. Unternehmensinterne Vorgaben und Richtlinien zur richtigen Verwendung von KI-Modellen sind daher dringend geboten.
鈥
Clemens Dorner ist Senior Data Privacy Expert und GRC Manager in der 亿兆体育 Group. Als Syndikusanwalt unterst眉tzt er intern seine Kolleg:innen bei Fragen zu Datenschutz und Compliance. Clemens hat zuvor als Senior Consultant Unternehmen bei der Umsetzung und Implementierung der Datenschutz-Grundverordnung beraten und setzt dieses Fachwissen nun bei der praktikablen Umsetzung der Vorgaben der KI Verordnung ein.
