TEIL 7 – Künstliche Intelligenz | Personalbereich

In unserem letzten Beitrag sind wir darauf eingegangen, welche Gefahren KI für dein Unternehmen mit Blick auf den Schutz von Geschäftsgeheimnissen birgt. Dabei ging es unter anderem darum, welche Geschäftsgeheimnisse von Arbeitnehmenden bei der Nutzung von KI-Systemen möglicherweise offengelegt werden und welche Vorkehrungen erforderlich sind, um dies zu vermeiden. Apropos Arbeitnehmende: Was ist eigentlich beim Einsatz von KI-Systemen und KI-Komponenten im Personalbereich zu beachten, besonders beim Datenschutz? Darum geht es in diesem Beitrag.

Längst ist KI im Personalbereich angekommen: Entlang der gesamten HR-Wertschöpfungskette finden sich zahlreiche Produkte und Lösungen am Markt, die Entlastung von HR-Mitarbeitenden und Erfolg im hart umkämpften Wettbewerb um Fach- und Führungskräfte versprechen. Ob Chatbots, die Fragen zu ausgeschriebenen Stellen und zum Unternehmen beantworten, Tools zur Auswahl und Analyse von Bewerbungen, Gamification bei Bewerbungsverfahren und Personalentwicklung, Analyse-Tools oder administrative Unterstützung – die Möglichkeiten scheinen so vielfältig wie nie zuvor.

Aber ist das überhaupt alles erlaubt? Und wie verhält es sich dabei mit dem Datenschutz?

Zunächst ist dringend zu empfehlen, die relevanten Compliance-Risiken vor dem Einsatz von KI-Systemen und KI-Komponenten zu identifizieren und während des gesamten Lebenszyklus zu berücksichtigen. Dies umfasst nicht nur den Datenschutz, sondern auch Themen wie Informationssicherheit, Urheberrecht oder Geheimnisschutz. Kommt dir bekannt vor? Davon handelten die letzten Beiträge unserer KI-Reihe (die du übrigens in unserem Blog nachlesen kannst). Außerdem musst du besonders bei KI-Lösungen im Personalbereich darauf achten, den Betriebsrat mit einzubeziehen.

Aus datenschutzrechtlicher Sicht bedarf es grundsätzlich einer Rechtsgrundlage, um personenbezogene Daten verarbeiten zu dürfen. Im Personalbereich werden personenbezogene Daten von Bewerberinnen und Bewerbern sowie Arbeitnehmenden verarbeitet, also finden die Regelungen des Beschäftigtendatenschutzes Anwendung. Bei der Prüfung der einschlägigen Rechtsgrundlage ist jedoch Vorsicht geboten: Zum einen besteht seit einem Urteil des EuGH im letzten Jahr eine gewisse Rechtsunsicherheit, welche Rechtsgrundlage im Beschäftigtendatenschutz jeweils Anwendung findet (ausführlich dazu im Beitrag „Prognosen und Trends im Datenschutz“ der MORGENSTERN consecom GmbH), zum anderen scheidet die Einwilligung in der Regel mangels echter Freiwilligkeit aus. Der Gesetzgeber arbeitet derzeit an einer Neuregelung des Beschäftigtendatenschutzes, darüber halten wir dich in unserem Newsletter und über unseren Blog auf dem Laufenden.

Nicht nur die Rechtsgrundlage ist zu prüfen, auch die weiteren Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DS-GVO sind umzusetzen. So spielt zum Beispiel der Grundsatz der Transparenz beim Einsatz von KI eine wichtige Rolle. Das bedeutet, dass gegenüber Bewerberinnen und Bewerbern sowie Arbeitnehmenden unter anderem die Informationspflichten gemäß Art. 13, 14 DS-GVO erfüllt werden müssen. Insbesondere beim Bewerbungsverfahren ist das Recht auf eine nicht-automatisierte Entscheidung im Sinne des Art. 22 Abs. 1 DS-GVO zu beachten. Schon beim Design von KI-Systemen oder KI-Komponenten sind datenschutzfreundliche Technikgestaltung und Voreinstellungen im Sinne des Art. 25 DS-GVO zu gewährleisten. Bei hohem Risiko für die Rechte und Freiheiten der betroffenen Personen ist vor dem Einsatz der KI-Systeme und KI-Komponenten möglicherweise eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erforderlich. Schließlich muss die Umsetzung der gesetzlichen Anforderungen aus Gründen der Nachweisbarkeit (Stichwort: Rechenschaftspflicht) dokumentiert werden.

Der Datenschutz ist jedoch nicht nur wegen der Compliance so wichtig: Nur wenn die Daten der Bewerber*innen und Arbeitnehmenden geschützt sind, werden diese sich auf KI-Anwendungen einlassen und nur dann können diese ihren Nutzen voll entfalten. Insofern schafft Datenschutz Vertrauen – nicht nur in die eingesetzten KI-Systeme, sondern auch in den (potenziellen) Arbeitgeber.

Du möchtest die Möglichkeiten nutzen, die KI im Personalbereich oder an anderer Stelle im Unternehmen bietet? Wir unterstützen dich gerne dabei. Komm einfach auf uns zu!

Wann dürfen öffentliche Aufträge nachträglich geändert werden?

(EuGH, 07.12.2023 – C-441/22, C-443/22)

Unter welchen Voraussetzungen öffentlich vergebene Aufträge nachträglich geändert werden dürfen, stellt öffentliche Auftraggeber seit jeher vor Herausforderungen.

Während Verträge normalerweise aufgrund der Privatautonomie der Vertragsparteien ohne Weiteres nachträglich geändert werden dürfen, ist dies bei öffentlichen Aufträgen nur möglich, wenn bestimmte Bedingungen eingehalten werden. Dies liegt darin begründet, dass öffentliche Aufträge normalerweise in einem Vergabeverfahren vergeben werden. Dasselbe soll gelten, wenn es sich um wesentliche Vertragsänderungen handelt. Andernfalls würden potenzielle öffentliche Aufträge dem Wettbewerb entzogen.

Daher gilt der Grundsatz, dass „wesentliche“ Vertragsänderungen in einem neuen Vergabeverfahren vergeben werden müssen (§ 132 Abs. 1 S.1 GWB). Wesentlich sind Vertragsänderungen etwa, wenn es sich um eine deutliche Erhöhung des ursprünglichen Auftragswerts handelt (bspw. wenn der EU-Schwellenwert überschritten wird), oder wenn das ursprüngliche Vergabeverfahren bei Geltung der Änderung einen anderen Ausgang gehabt hätte.

Der Europäische Gerichtshof (EuGH) hatte sich jüngst mit der Frage zu beschäftigen, ob eine Vertragsänderung in diesem Sinne voraussetzt, dass die Änderung schriftlich zwischen den Parteien vereinbart wurde. In dem zu entscheidenden Fall hatten die Parteien die Vertragsänderung lediglich mündlich vereinbart. Der EuGH entschied, dass keine schriftlich fixierte Vereinbarung erforderlich ist, um von einer Vertragsänderung im Sinne des Vergaberechts auszugehen (EuGH, 07.12.2023 – C-441/22, C-443/22). Er begründete dies damit, dass andernfalls die Regelungen über nachträgliche Auftragsänderungen von den Parteien leicht umgangen werden könnten, indem sie diese Änderungen lediglich mündlich vereinbarten.

Von dem Grundsatz, dass wesentliche Auftragsänderungen ein neues Vergabeverfahren erfordern, gibt es gesetzlich definierte Ausnahmen. Dies liegt darin begründet, dass öffentlichen Auftraggebern ein gewisses Maß an Flexibilität zustehen soll, auf nachträgliche Änderungen zu reagieren.

Eine dieser Ausnahmen liegt vor, wenn unvorhersehbare Umstände eine Vertragsänderung erforderlich machen (§ 132 Abs. 2 S. 1 Nr. 3 GWB). Unvorhersehbare Umstände sind externe Umstände, die auch bei einer nach vernünftigem Ermessen sorgfältigen Vorbereitung der ursprünglichen Zuschlagserteilung durch den öffentlichen Auftraggeber nicht hätten vorausgesagt werden können.

Der EuGH hatte zuletzt die Fragen zu beurteilen, ob auch gewöhnliche Wetterereignisse oder ein bereits vor Vertragsschluss bekanntes gesetzliches Verbot unvorhersehbare Umstände im Sinne des Vergaberechts darstellen. Er verneinte beide Fragen (EuGH, 07.12.2023 – C-441/22, C-443/22). Gewöhnliche Wetterereignisse sind keine unvorhersehbaren Umstände, da der Ausnahmecharakter der Vorschrift erfordert, dass es sich um außergewöhnliche Ereignisse, wie etwa Naturkatastrophen handelt. Weitere Beispiele wären etwa die Corona-Pandemie oder eine Finanzkrise.

Gesetzliche Verbote können zwar grundsätzlich ein unvorhersehbarer Umstand sein. In dem zu entscheidenden Fall war jedoch bereits vor Vertragsschluss bekannt, dass das Verbot nach Vertragsschluss in Kraft treten würde. Daher war das Verbot nicht unvorhersehbar.

Weitere Ausnahmetatbestände können bspw. dann gegeben sein, wenn der Auftragnehmer ausgetauscht wird, es sich dabei jedoch um eine rein interne Umstrukturierung handelt, etwa bei einem Wechsel der Gesellschafter-Anteile an einer GmbH.

Zusammenfassend lässt sich feststellen, dass die Frage der nachträglichen Änderung von öffentlichen Aufträgen ein komplexes und rechtlich anspruchsvolles Thema ist. Bei Fragen zum Thema „Auftragsvergabe im öffentlichen Sektor“ stehen wir gerne zur Verfügung. Ausführliche Informationen und Kontaktdaten finden du auf unserer Webseite.

 

Prognosen und Trends 2024: IT-Sicherheitsrecht | Teil II

Den zunehmenden Bedrohungen der Informations- und IT-Sicherheit für Staat, Wirtschaft und Gesellschaft tragen auch die Rechtsentwicklungen im IT-Sicherheitsbereich auf EU-Ebene Rechnung.

Kern der Regulierung bilden dabei die NIS2-Richtlinie und der Cyber Resilience Act.

Die NIS2-Richtlinie baut auf der bestehenden KRITIS-Gesetzesstruktur auf und erweitert den Anwendungsbereich der KRITIS um weitere Sektoren. Bis Oktober 2024 muss der deutsche Gesetzgeber die Richtlinie umsetzen.

Was wird neu geregelt?

Die Anzahl der betroffenen Sektoren steigt. Betroffen sind nunmehr insgesamt 18 Sektoren, die sich wiederum in „kritische“ und „wichtige“ Sektoren untergliedern werden.

Eingeführt wird außerdem die Size-Cap-Regel, wonach Unternehmen mit mehr als 50 Beschäftigten oder einem Umsatz von mehr als 10 Mio. EUR die Richtlinie umsetzen müssen. Im aktuellen Referentenentwurf des NIS2UmsuCG (das Umsetzungsgesetz zur NIS2-Richtlinie) werden sogar weitergehende Anforderungen definiert.

Mit dieser Erweiterung müssen betroffene Organisationen in Zukunft auch weitreichendere Melde- und Informationsverpflichtungen erfüllen, die aufgrund der Stärkung der Kontroll- und Aufsichtsbefugnisse besser kontrolliert werden können.

Der Cyber Resilience Act (kurz: CRA) wird als Verordnung wohl noch in diesem Jahr in Kraft treten. Hiernach haben Unternehmen, die Produkte mit digitalen Elementen herstellen, künftig umfassende Organisations- und Produktcomplianceverpflichtungen einzuhalten, sofern sie diese Produkte auf dem EU-Markt anbieten oder derartige Produkte als White-Label-Produkte auf den EU-Markt importieren.

Was wird neu geregelt?

Hersteller von Produkten mit digitalen Elementen werden künftig verpflichtet, Cybersicherheitsrisiken, die von den Produkten ausgehen, proaktiv zu minimieren und bestehende Sicherheitslücken zu schließen und zu melden.

Das betrifft den gesamten Produktionsprozess einschließlich der Produktentwicklung und der Produktüberwachung. Maßnahmen wie vorgelagerte Risikobewertungen, technische Sicherheitsdokumentationen und Konformitätsbewertungsverfahren werden künftig verpflichtend. Unternehmen müssen bei Produkten, die erkannte Schwachstellen aufweisen, Updates einspielen und bei Bedarf Rücknahme- und Rückrufprozesse etablieren.

Was ist zu tun?

Die neuen rechtlichen Entwicklungen nehmen verstärkt Branchen und Produkte in den Fokus, die aufgrund ihrer Relevanz für Wirtschaft und Gesellschaft mehr IT-Sicherheitsverantwortung tragen sollen. Cyber- und Informationssicherheit sind damit mehr denn je Themen, mit denen sich Entscheider*innen konkret befassen sollten.

Organisationen sollten im ersten Schritt analysieren, inwieweit sie von den neuen Rechtsakten betroffen sind und im Fall der Betroffenheit je nach Gesetz genau prüfen, welche neuen Handlungsverpflichtungen umzusetzen sind. Ganz allgemein ist zu empfehlen, dass sich betroffene Organisationen verstärkt und vor allem rechtzeitig mit dem Aufbau von Informationssicherheits-Management-Systemen (ISMS) befassen sollten. Hier ist übrigens damit zu rechnen, dass aufgrund der breiteren Betroffenheit der Unternehmen IT-und Informationssicherheit in Zukunft auch in der sonstigen Lieferkette relevant werden. Daher ist zu empfehlen, dass auch Unternehmen, die nicht direkt unter die neue Cyberregulierung fallen, ihre IT-Sicherheitskonzepte und Management-Systeme professionalisieren.

Du hast noch nicht genug von Trends und Prognosen, dann empfehlen wir dir unseren Beitrag Prognosen und Trends 2024: IT-Recht | Teil I.

Oder schau doch mal bei unserem Partner MORGESNTERN consecom GmbH vorbei, dort empfehlen wir diese Beiträge:

Neues Jahr, alte Fragen: Datenschutz bei der Videoüberwachung

Zu Beginn des neuen Jahres wollen wir uns noch einmal mit einem Klassiker des Datenschutzes beschäftigen: der Videoüberwachung. In seinem 12. Tätigkeitsbericht 2022 informierte das Bayerische Landesamt für Datenschutzaufsicht über zwei interessante Fälle, deren Grundzüge für alle Unternehmer*innen abstrahiert werden können, wenn es um die Fragen der Zulässigkeit und Ausgestaltung von Videoüberwachungsmaßnahmen geht.

Im ersten Fall ging es um die Videoüberwachung von Trainingsflächen in einem Fitnessstudio. Der Betreiber des Fitnessstudios sah für die Videoüberwachung mehrere Rechtsgrundlagen, die sowohl von der Aufsichtsbehörde als auch später vom erkennenden Verwaltungsgericht verworfen wurden. Der Betreiber brachte vor, dass eine rechtswirksame Einwilligung im Sinne des Art. 6 Abs. 1 a) DS-GVO vorläge, da bei Betreten des Studios auf die Videoüberwachung hingewiesen werde. Der Hinweis allein reicht jedoch nicht aus, da in der bloßen Kenntnisnahme keine eindeutige bestätigende Handlung der trainierenden Person läge, so Aufsichtsbehörde und Gericht. Ferner sei die Videoüberwachung für die Vertragserfüllung nicht erforderlich. Die Rechtsgrundlage des Art. 6 Abs. 1 b) DS-GVO scheide damit auch aus. Auch die „letzte Bastion“, Art. 6 Abs. 1 f) DS-GVO (das sog. berechtigte Interesse), konnte die anfallenden Verarbeitungen durch die Videoüberwachung nicht retten. Im Rahmen dieser Rechtsgrundlage müssen die tatsächlichen, wirtschaftlichen, ideellen und rechtlichen Interessen an der Datenverarbeitung mit den Grundrechten, Grundfreiheiten und Schutzinteressen der betroffenen Person abgewogen werden. Vorgebrachte Interessen waren Schutz der Trainierenden vor Übergriffen und Diebstählen sowie die Ermöglichung und Erleichterung der strafrechtlichen Verfolgung. Die Videoüberwachung im privaten Bereich bei der Ausübung eines Hobbies stelle jedoch einen tiefen Eingriff da, nicht zuletzt, da die betroffene Person nicht davon ausgehen müsse, überwacht zu werden. So jedenfalls das Verwaltungsgericht.

Ähnlich lauten die Argumente im zweiten dargestellten Fall – der Videoüberwachung von Bewirtungsflächen in der Gastronomie. Auch hier läge keine wirksame Einwilligung durch die bloße Kenntnisnahme eines Hinweisschildes vor. Im Rahmen der Interessenabwägung des Art. 6 Abs. 1 f) DS-GVO sollen dem Erwägungsgrund 47 folgend die vernünftigen Erwartungen der betroffenen Person berücksichtigt werden. Es wird beschrieben, dass Besucher*innen eines Gastronomiebetriebs davon ausgehen können, „dass sie in öffentlich zugänglichen Bereichen nicht überwacht werden, vor allem, wenn diese Bereiche typischerweise für Erholungs-, Entspannungs-, und Freizeitaktivitäten genutzt werden“.

Unternehmen, die bestimmte Bereiche per Videoüberwachung absichern oder sicherer machen möchten, können viel aus diesen Fallbeispielen ziehen. Die Wahl der richtigen Rechtsgrundlage ist essenziell. Ferner sollte bei der Abwägung der entgegenstehenden Interessen genau geprüft werden, welche vernünftigen Erwartungen die betroffene Person hat und ob die Videoüberwachung tatsächlich zur Erreichung des angestrebten Zwecks bzw. zur Wahrung der wirtschaftlichen, rechtlichen und ideellen Interessen erforderlich ist. Nicht zuletzt muss definiert werden, welche Kategorien betroffener Personen (Mitarbeitende, Besucher*innen, etc.) Subjekt der Datenverarbeitung werden oder werden könnten, um die Weichen richtig legen zu können.
Gerne begleiten wir dich bei der Implementierung von Videoüberwachung in deinem Unternehmen und zeigen dir die verschiedenen Möglichkeiten (z.B. Videoüberwachung mit und ohne Speicherung des Filmmaterials) und deren rechtliche Implikationen auf. Komm einfach auf uns zu.

TEIL 6 – Künstliche Intelligenz | Geschäftsgeheimnisschutz

Datenschutz war das Thema unseres letzten Blog-Beitrags. In diesem Beitrag möchten wir uns mit einer anderen rechtlichen Schutzmaterie auseinandersetzen: dem Geschäftsgeheimnisschutz. Im Unterschied zum Datenschutz schützt der Geschäftsgeheimnisschutz nicht nur personenbezogene Daten, sondern – wie der Name schon sagt – Geschäftsgeheimnisse im rechtlichen Sinne. Doch was bedeutet das konkret und welche Rolle spielt Künstliche Intelligenz in diesem Zusammenhang?

Als Geschäftsgeheimnisse gelten im Lichte des Gesetzes zum Schutz von Geschäftsgeheimnissen (kurz: GeschGehG) sinngemäß alle Informationen, die den Personen, die üblicherweise mit dieser Art von Informationen umgehen, nicht allgemein bekannt oder ohne Weiteres zugänglich und daher von wirtschaftlichem Wert sind. Diese müssen Gegenstand von angemessenen Geheimhaltungsmaßnahmen sein und an ihnen muss ein berechtigtes Interesse an der Geheimhaltung bestehen. Geschäftsgeheimnisse können also sein: Rezepturen, Softwarecode, aber auch Listen über Vertragspartner*innen, Marketingkonzepte oder Kalkulationsunterlagen. Diese besonders geschützten Informationen dürfen nur erlangt, genutzt und offengelegt werden, wenn dies durch Gesetz oder durch Rechtsgeschäft gestattet ist.

Dass diese Grundsätze nicht immer eingehalten werden, zeigt ein prominentes Beispiel aus der Praxis. Bei dem Elektronikkonzern Samsung kam es zu vielfachen Verstößen. Unter anderem haben Ingenieure zur Fehlerbehebung Teile von Quellcodes in eine generative Sprach-KI-Anwendung eingegeben. Diese Quellcodes waren jedoch als „vertraulich“ eingestuft. Die Ingenieure haben damit ihrem Arbeitgeber einen echten Bärendienst erwiesen: Informationen, die einmal in die Systeme von Künstlicher Intelligenz eingegeben wurden, können unter Umständen nicht mehr ohne Weiteres daraus entfernt werden. Die Künstliche Intelligenz hat bereits an den neuen „Trainingsdaten“ gelernt und wird diese unter Umständen in ihren Outputs an anderer Stelle verwenden. Die Gefahr, dass vertrauliche Informationen auf diesem Wege der Konkurrenz, Dritten oder „jedermann“ offengelegt werden, ist groß.

Nachdem weitere Mitarbeitende ebenfalls geschützte Informationen in die generative Sprach-KI-Anwendung eingaben, schob Samsung einen Riegel davor. Im Ergebnis entschied sich Samsung für die eigenständige Entwicklung eines ähnlich funktionierenden Dienstes. Eine Inhouse-Lösung kommt aus unterschiedlichen Gründen nicht für jedes Unternehmen in Betracht. Doch wie kann man wertvolle Informationen schützen, ohne den technischen Fortschritt zu mindern?

Der Umgang mit generativen KI-Systemen muss unternehmensintern in klaren Regeln und Richtlinien festgelegt werden. Als eine der Regelungen kommt ein Nutzungsverbot für private Accounts bei KI-Anwendungen in Betracht. Als Unternehmen sollten vorrangig Enterprise-Lösungen eingesetzt werden, da diese oftmals einen größeren Schutz für die eingegebenen Daten versprechen. Ferner kann es den Mitarbeitenden verboten werden, eigenständig neue KI-Anwendungen in Betrieb zu nehmen oder via Web-Browser zu nutzen. Vor der Inbetriebnahme hat die IT-Abteilung somit die Möglichkeit, die Anwendung umfassend zu prüfen und (soweit möglich und notwendig) zu konfigurieren. Dies erhöht den Schutz für alle sensiblen Informationen. Aber auch unabhängig von Künstlicher Intelligenz können und sollten bestimmte Vorkehrungen getroffen werden, wie z.B. die Einhaltung des „need-to-know“-Prinzips, um gewährleisten zu können, dass nur diejenigen Mitarbeitenden Zugriff auf sensible Informationen haben, die diesen Zugriff auch zur Erfüllung ihrer Aufgaben benötigen.

Werden Geschäftsgeheimnisse nicht ausreichend geschützt und in der Folge ungeachtet offengelegt oder weitergegeben, kann es zu mannigfaltigen Rechtsverstößen kommen. Daneben sind Vertrauensverlust der Geschäftspartner*innen sowie ein Reputationsverlust zu befürchten. Dies wirkt sich auch unmittelbar auf die wirtschaftliche Lage eines Unternehmens aus. Harmlos wirkenden KI-Anwendungen sind hier das Einfallstor für wirtschaftliche und rechtliche Gefahren, nicht zuletzt aufgrund der undurchsichtigen Verwertung von eingegebenen Daten (sog. Black-Box-Effekt). Gerne begleiten wir dich bei der nachhaltigen und sicheren Fixierung unternehmenseigener Regelungen und Richtlinien zum Umgang mit KI-Systemen! Komm einfach auf uns zu.

In unserem nächsten Beitrag tauchen wir übrigens noch tiefer in das operative Geschäft ein und schauen uns die Fragestellungen und Problematiken bei dem Einsatz von Künstlicher Intelligenz im Personalbereich mal genauer an!