KI-Anwendungen werden im Personalwesen immer beliebter. Mit Urteil vom 07.12.2023 (Az. C-634/21) hat der Europäische Gerichtshof (EuGH) neue datenschutzrechtliche Grenzen für die Nutzung automatisierter Verfahren bei Entscheidungsfindungen festgelegt. Welche Folgen dies für den HR-Bereich hat, wird im folgenden Beitrag kurz erläutert.
Der Fall vor dem EuGH
Nachdem die Auskunftei „Schufa“ (SCHUFA Holding AG, vormals SCHUFA e. V. Schutzgemeinschaft für allgemeine Kreditsicherung) einer Bank eine negative Auskunft über die Bonität der Klägerin erteilt hatte, wurde dieser ein Darlehen verweigert. Daraufhin forderte die Klägerin die Schufa auf, ihr Auskunft über die gespeicherten personenbezogenen Daten zu erteilen und falsche Daten zu löschen. Die Schufa informierte die Klägerin über ihren „Score-Wert“ (Wahrscheinlichkeitswert zur Bewertung der Bonität) und legte in groben Zügen dar, wie Score-Werte berechnet werden, verweigerte jedoch die Offenlegung der genauen Berechnungsdetails unter Berufung auf das Betriebs- und Geschäftsgeheimnis. Die Klägerin beschwerte sich bei der Datenschutzbehörde, die den Antrag ablehnte. Daraufhin zog die Klägerin gegen diese Entscheidung vor Gericht.
Die Entscheidung des EuGH
Im Verlauf des Verfahrens musste der EuGH nun unter anderem klären, ob die Erstellung und Weiterleitung des Score-Wertes an eine Bank, die diesen Wert nutzt, um eine Entscheidung über eine Kreditvergabe zu treffen, eine automatisierte Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO darstellt. Solche Entscheidungen sind grundsätzlich verboten und nur möglich, wenn die Betroffenen einwilligen oder eine gesetzliche Grundlage besteht.
Die Schufa argumentierte, sie treffe selbst keine Entscheidung über die Kreditvergabe, sondern ermittele und übermittele nur den Wahrscheinlichkeitswert. Der EuGH befürchtete jedoch, dass Art. 22 DSGVO umgangen werden könnte, wenn nur die Handlung der Bank als Entscheidung im Sinne von Art. 22 Abs. 1 DSGVO betrachtet wird. Würde nämlich nur die Entscheidung der Bank über eine Kreditvergabe gelten, dann würde die automatisierte Verarbeitung der Daten durch die Schufa nicht den besonderen Anforderungen von Art. 22 Abs. 2 – 4 DSGVO unterliegen.
Daher hat der EuGH den Begriff „Entscheidung“ weit ausgelegt: Gemeint sind demnach nicht nur Handlungen, die rechtliche Wirkung gegenüber der betroffenen Person entfalten, sondern auch solche, die diese Person in ähnlicher Weise erheblich beeinträchtigen. Art. 22 DSGVO ist somit bereits dann einschlägig, wenn eine Entscheidung de facto maßgeblich auf Grundlage einer automatisierten Verarbeitung von personenbezogenen Daten getroffen wird und diese eine rechtliche Wirkung gegenüber der betroffenen Person entfaltet bzw. diese erheblich beeinträchtigt.
Die Folgen der Entscheidung für den HR-Bereich
Was bedeutet das nun für das Personalwesen? Viele KI-Anwendungen erstellen Analysen, die der Entscheidungsfindung durch Menschen vorgeschaltet sind. Wenn diese Analysen späteren Entscheidungen maßgeblich zugrunde liegen und diese Entscheidungen erhebliche Beeinträchtigungen für die Betroffenen bedeuten, kann hierdurch Art. 22 DSGVO berührt sein. Dieser verbietet eben solche Szenarien. Um solche KI-Tools rechtskonform zu nutzen, bleiben also zwei Möglichkeiten:
Variante 1: Ausnahmen nach Art. 22 Abs. 2 DSGVO
Art. 22 Abs. 2 DSGVO sieht 3 Ausnahmen vom Verbot automatisierter Entscheidungsfindung – einschließlich Profiling – vor.
- Die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich.
- Es bestehen gesetzliche Ausnahmeregelungen.
- Die Entscheidung erfolgt mit ausdrücklicher Einwilligung der betroffenen Person.
Variante 2: Einem Menschen das letzte Wort überlassen
Liegt keine Ausnahme im Sinne von Art. 22 Abs. 2 DSGVO vor, so muss ein Mensch eine eigenständige Entscheidung treffen. Dieser kann die Ergebnisse der KI-Analyse als Vorbewertung heranziehen, muss aber über entsprechende Sachkunde verfügen und genug Zeit haben, um die Vorbewertung ausreichend zu prüfen und eine eigenständige Entscheidung zu treffen.
Fazit
Das EuGH-Urteil betont die Bedeutung des Datenschutzes und der Rechte der betroffenen Personen bei der Nutzung von KI im Personalwesen. HR-Abteilungen müssen ihre Prozesse überprüfen und sicherstellen, dass sie den Anforderungen der DSGVO entsprechen, um rechtliche Risiken zu vermeiden und transparente sowie faire Entscheidungsprozesse zu gewährleisten.
Neben diesen datenschutzrechtlichen Vorgaben muss bei dem Einsatz von KI-Systemen im HR-Wesen zudem insbesondere die neue KI-Verordnung beachtet werden.
Ein Beitrag von Rebekka Finnern, juristische Mitarbeiterin unserer Kanzlei, und Dieter Gräf, Rechtsanwalt und Fachanwalt für Arbeitsrecht.
