Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis – wer haftet?

| | , ,

Envato/Prototype-Drop

Haftungsfragen sind bei der Nutzung von Künstlicher Intelligenz im Arbeitsverhältnis vielfach ungeklärt, etwa im datenschutzrechtlichen Kontext. Arbeitsrechtler Philipp Byers und Manuela Winkler beschreiben die potenziellen Risiken und angemessene Sicherungsmaßnahmen.

Die weitere Entwicklung und die Nutzung von Künstlicher Intelligenz („KI“) wird in unserem Alltag, aber auch in der Arbeitswelt, viele Erleichterungen schaffen. Durch die dynamische Entwicklung von KI können die bestehenden gesetzlichen Regelungen KI-Modelle jedoch derzeit nur bedingt erfassen. Dadurch sind die mit dem Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis einhergehenden rechtlichen Risiken teilweise noch schwer eingrenzbar.

Haftungsfragen beim Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis

So sind unter anderem Haftungsfragen bei der Nutzung von KI bislang ungeklärt, was für Arbeitgeber zu großer Verunsicherung führt. Auch im Arbeitsverhältnis kann sich – beispielsweise im Falle von ChatGPT – die Frage stellen, wer für Texte, die durch diesen Chatbot erstellt wurden, haftet, wenn sie falsche oder irreführende Informationen enthalten. Kommt es dadurch zum Beispiel zur Rufschädigung von Personen oder Unternehmen, können schnell Schadensersatzansprüche im Raum stehen.

- Anzeige -
Banner English Edition HR JOURNAL

Das Unternehmen OpenAI, das ChatGPT entwickelt hat, hat in seine Nutzungsbedingungen eine Regelung integriert, die die Haftung für die Richtigkeit der zur Verfügung gestellten Informationen ausschließt. Für den Arbeitgeber sind grundsätzlich Haftungsrisiken denkbar, wenn ihm die Verbreitung falscher Informationen zugerechnet werden kann.

Klarheit im Rahmen der komplexen Haftungsfragen beim Einsatz von KI sollen zukünftig neue EU-Richtlinien schaffen. In diesem Zusammenhang soll die Richtlinie über Produkthaftung aktualisiert und eine Richtlinie über KI-Haftung verabschiedet werden. Darüber hinaus soll zukünftig auf europäischer Ebene ein gesetzlicher Rahmen für die Entwicklung und Nutzung von KI durch eine KI-Verordnung etabliert werden.

Verantwortlichkeit für datenschutzrechtliche Verstöße beim Einsatz von Künstlicher Intelligenz

Auch im datenschutzrechtlichen Kontext wird sich die Frage stellen, wer für etwaige Datenschutzverstöße im Zusammenhang mit dem Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis haftet.

Wiederum am Beispiel von ChatGPT können datenschutzrechtliche Verstöße schon dadurch entstehen, dass ein Mitarbeiter / eine Mitarbeiterin bei der geschäftlichen Nutzung von ChatGPT Angaben gemacht hat, die unmittelbar oder mittelbar auf eine Person abstellen. Darin liegt bereits eine Verarbeitung personenbezogener Daten. ChatGPT kann nach den Nutzungsbedingungen von OpenAI die eingegebenen Daten zur Weiterentwicklung des KI-Sprachmodells nutzen. Auf diese Weise ist es nicht ausgeschlossen, dass die von den Nutzern eingegebenen personenbezogenen Daten bei anderen Nutzern von ChatGPT erscheinen können.

Es besteht also keine Kontrolle über den weiteren Zugriff auf die eingegebenen Daten. Folglich besteht das Risiko, dass diese Form der Datenweitergabe durch Mitarbeiter einen Datenschutzverstoß begründet, der dem Arbeitgeber zugerechnet wird. Ebenfalls steht in diesem Zusammenhang ein Datentransfer in die USA im Raum, da es sich bei OpenAI um ein US-Unternehmen handelt. Nach derzeitiger Rechtslage unterliegt ein solcher Datentransfer erheblichen datenschutzrechtlichen Hürden.

Wird KI beispielsweise im Rahmen von Auswahlentscheidungen im Arbeitsverhältnis eingesetzt (zum Beispiel im Bewerbungsprozess), ist davon auszugehen, dass für Entscheidungen, die durch KI getroffen werden, weiterhin der Arbeitgeber verantwortlich ist. Art. 22 DSGVO verlangt bei Entscheidungen mithilfe von KI, dass eine menschliche Letztentscheidung sichergestellt ist. Dadurch verbleibt die Verantwortung für die Entscheidung, die durch KI vorbereitet wurde, im Ergebnis beim Unternehmen. Ein Verstoß gegen Art. 22 DSGVO würde für Unternehmen ebenfalls eine Datenschutzverletzung darstellen. Im Falle datenschutzrechtlicher Verstöße können Ansprüche der Betroffenen auf Schadensersatz nach Art. 82 DSGVO oder Bußgelder durch die Aufsichtsbehörden nach Art. 83 DSGVO drohen. Arbeitgebern muss dabei bewusst sein, dass im Regelfall das Unternehmen für Datenschutzverstöße seiner Mitarbeiter haftet.

Auch Einzelpersonen werden datenschutzrechtlich als Teil des Unternehmens angesehen, wenn sie für das Unternehmen wirtschaftlich tätig sind. Von dieser datenschutzrechtlichen Verantwortlichkeit ausgenommen sind lediglich Konstellationen, in denen Beschäftigte im sogenannten „Exzess“ handeln. Von einem solchen Exzess wird ausgegangen, wenn die Datenschutzverletzung bei objektiver Betrachtung nicht mehr mit der wirtschaftlichen Tätigkeit des Unternehmens in Zusammenhang steht.

Dies ist regelmäßig der Fall, wenn die streitige Datenverarbeitung allein privaten Zwecken des Mitarbeiters dient. Überschreitet der Mitarbeiter dagegen „nur“ seine internen Befugnisse, handelt er nicht im Exzess, soweit die Datenverarbeitung noch der Geschäftstätigkeit des Unternehmens zugeordnet werden kann. Noch nicht abschließend geklärt ist, ob eine Mitverantwortung des Unternehmens aufgrund Organisationsverschuldens in Betracht kommt, etwa wenn KI ohne ausreichende und effektive Sicherungsmaßnahmen eingesetzt wird.

Sicherungsmaßnahmen beim Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis

Vor diesem Hintergrund sollten Arbeitgeber bei der Nutzung von Künstlicher Intelligenz im Arbeitsverhältnis darauf achten, dass hierfür angemessene Sicherungsmaßnahmen vorgesehen werden, um die mit KI einhergehenden rechtlichen Risiken zu minimieren. Als ein Baustein dieser Sicherungsmaßnahmen empfehlen sich verbindliche Vorgaben an die Mitarbeiter zum Umgang mit KI (zum Beispiel in Form von internen Richtlinien).

Gerade beim Umgang mit ChatGPT sollten die Mitarbeiter unter anderem zu möglichen datenschutzrechtlichen und urheberrechtlichen Verstößen sensibilisiert werden. Insbesondere sollte den Mitarbeitern untersagt werden, personenbezogene Daten und Geschäftsgeheimnisse des Unternehmens bei der Nutzung von ChatGPT einzugeben.

Dadurch, dass der Chatbot die eingegebenen Daten für die eigene Weiterentwicklung nutzt, sind auch Geschäftsgeheimnisse des Unternehmens, die ein Mitarbeiter bei der Nutzung von ChatGPT eingibt, nicht vor einer weiteren Veröffentlichung geschützt. Zudem sollten die Mitarbeiter aufgrund der noch bestehenden Fehleranfälligkeit angehalten werden, die von ChatGPT generierten Texte nochmals sorgfältig zu prüfen.

Hier finden Sie den ersten Beitrag der Serie. Thema: „Was darf KI im Bewerbungsverfahren und Stellenabbau?

Den zweiten Beitrag der Serie finden Sie hier. Thema: „KI im Arbeitsverhältnis: Welche Vorschriften sind zu beachten

Lesen Sie auch die folgenden Beiträge:

Foto Philipp Byers

Dr. Philipp Byers ist Partner im Münchner Büro von Dentons, Fachanwalt für Arbeitsrecht und Mitglied der Praxisgruppe Arbeitsrecht. Er berät Unternehmen in allen Fragen des individuellen und kollektiven Arbeitsrechts. Dazu gehört insbesondere die Beratung von Arbeitgebern in sämtlichen Fragen des Betriebsverfassungsrechts sowie bei Verhandlungen über den Abschluss von Tarifverträgen. Besondere Expertise besitzt Philipp Byers im Bereich des Beschäftigtendatenschutzes und der HR-Compliance. Foto: ©Allan Richard Tobis

Foto Manuela Winkler

Manuela Winkler ist Counsel im Münchner Büro von Dentons und Mitglied der Praxisgruppe Arbeitsrecht. Sie ist Fachanwältin für Arbeitsrecht und berät nationale und internationale Unternehmen in allen Bereichen des Individual- und Kollektivarbeitsrechts. Dazu gehört insbesondere die Unterstützung von Mandanten bei der Begründung und Beendigung von Arbeitsverhältnissen sowie bei betriebsverfassungsrechtlichen Fragestellungen. Foto: ©Allan Richard Tobis

Lesen Sie auch:

Vorheriger Beitrag

Best Practices: Wie HR die CSRD-Vorgaben umsetzt

„Wir haben viele Gespräche geführt, um Transparenz zu schaffen“

Folgender Beitrag