KI im Bewerbungsverfahren
sh99 – stock.adobe.com

Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

KI im Bewerbungsverfahren – welche Fallstricke lauern?

KI bietet für Unternehmen echten Mehrwert bei hohen rechtlichen Herausforderungen

30. August 2023, von Hannah Krüßmann, Dr. Severin Sarfert und Dr. Benedikt Kohn

Artikel als PDF (Download)

Durch den Fachkräftemangel und den damit einhergehenden „War for Talents“ rückt die Personalbeschaffung für viele Unternehmen verstärkt in den Fokus. Arbeitgeber versuchen daher, schon den Bewerbungsprozess durch Softwareanwendungen mit künstlicher Intelligenz (KI) schneller und effizienter zu gestalten. Laut einer Studie des Branchenverbandes Bitkom aus dem Jahr 2022 (siehe hier) setzen bereits 23% der befragten Unternehmen KI in ihrer Personalabteilung ein. Zu den meistgenutzten Anwendungen zählen die automatische Lebenslaufanalyse, die Optimierung von Stellenanzeigen, Chatbots sowie sogenannte Matchingtools (siehe hier). Auch der Gesetzgeber hat bereits reagiert und den Einsatz von KI beispielsweise im Betriebsverfassungsgesetz aufgenommen.

Trotz des hohen Potentials sollte KI nicht überstürzt eingesetzt werden, da sie möglicherweise unerwartete rechtliche Probleme mit sich bringen kann. Warum das so ist, lesen Sie in diesem Beitrag.

Arbeitsrecht

Obwohl Arbeitgeber den Einsatz von KI zu Recht in erster Linie mit datenschutzrechtlichen Themen verbinden, verdient bei der Einführung von KI in Bewerbungsprozessen auch die arbeitsrechtliche Betrachtung eine gewisse Aufmerksamkeit.

Einbeziehung des Betriebsrats

Die Einführung sogenannter Recruitingtools im Betrieb lösen häufig Mitbestimmungsrechte des Betriebsrats aus. So ist etwa die Aufstellung von Richtlinien über die Einstellung von Mitarbeitern zustimmungspflichtig (§ 95 Abs. 1, Abs. 2a BetrVG). Für solche Richtlinien nutzen schon heute viele Unternehmen KI. Regelmäßig wird KI eingesetzt, um die Bewerberdaten mit den von ihr nach Auswertung der Einstellungspraxis in den vergangenen Jahren generierten Anforderungsprofilen zu vergleichen und Bewerbungen nach bestimmten Auswahlkriterien vorab zu sortieren.
Auch im Fall einer geplanten Einstellung auf Grundlage einer KI-generierten Empfehlung ist diese Empfehlung dem Betriebsrat im Rahmen seines Einsichtsrechts nach § 99 Abs. 1 Satz 1 BetrVG als Teil der Bewerbungsunterlagen vorzulegen.

Verhinderung von Diskriminierung

Der Einsatz von KI in Bewerbungsprozessen ist außerdem AGG-konform (AGG: Allgemeines Gleichbehandlungsgesetz) zu gestalten (vgl. § 7 Abs. 1 AGG). So sind etwa Recruitingtools, die männliche Bewerber bevorzugen, ein klassisches (Negativ-)Beispiel dafür, wie KI im Bewerbungsprozess unbeabsichtigt Bewerber diskriminieren kann. Hierfür können beispielweise mangelhafte Trainingsdaten verantwortlich sein: Eine KI lernt immer auf Basis von Daten aus der Vergangenheit und trifft anschließend aufgrund von Gruppenwahrscheinlichkeiten Aussagen beispielsweise darüber, welcher Kandidat für eine offene Stelle am besten geeignet ist. Bestehende strukturelle Ungleichheiten, wie etwa die Unterrepräsentanz von Frauen in Führungspositionen, können sich in den Trainingsdaten der KI perpetuieren und insofern eine Diskriminierung von Frauen im Bewerbungsprozess verursachen. Bewerber, die aufgrund diskriminierender Algorithmen abgelehnt werden, können unter Umständen Schadensersatzansprüche gegen das Unternehmen geltend machen (§ 15 Abs. 1 und 2 AGG).

Datenschutz

Auch wenn die rasante Entwicklung und der Wunsch, mit der Konkurrenz Schritt zu halten, einer umsichtigen Prüfung zuweilen entgegenstehen, sollten Unternehmen aufgrund potentiell hoher Bußgelder vor und während des Einsatzes der KI-Tools ein besonderes Augenmerk auf den Datenschutz legen.

Prüfung der Rechtsgrundlage

Jede Verarbeitung personenbezogener Daten, auch durch oder mit Hilfe von KI-Systemen, bedarf einer Rechtsgrundlage. Die Unternehmen sind daher angehalten, genau zu prüfen, welche Rechtsgrundlage für die Verarbeitung einschlägig ist. Die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses wird sich regelmäßig auf Vertragserfüllung beziehungsweise -begründung gemäß Art. 6 Abs. 1 lit. b DSGVO stützen lassen (siehe hier; vor dem Urteil des EuGH vom 30.03.2023, Az. C-34/21, auf § 26 Abs. 1 BDSG). Auf Grundlage einer Betriebsvereinbarung kann die Verarbeitung von Bewerberdaten hingegen nicht erfolgen, da eine solche nur die Verarbeitung der Daten bestehender und nicht zukünftiger Mitarbeiter legitimieren kann.

Klärung der Verantwortlichkeiten

Die Unternehmen nutzen in der Regel keine eigenen KI-Systeme, sondern Software spezialisierter Anbieter (KI as a Service, KIaaS). Daher ist zu prüfen, ob eine Auftragsverarbeitung (Art. 28 DSGVO) oder eine gemeinsame Verantwortlichkeit vorliegt. Verarbeitet der Anbieter etwa von KIaaS-Systemen personenbezogene Daten im Auftrag und nach Weisung des Arbeitgebers, liegt eine Auftragsverarbeitung vor, die zwingend den Abschluss einer Auftragsverarbeitungsvereinbarung voraussetzt. Verwendet der Anbieter den Datenbestand des Arbeitgebers als Trainingsdaten für sein KI-System, kann dies wiederum ein Indiz für eine gemeinsame Verantwortlichkeit darstellen. In diesem Fall müsste ein sogenannter Joint-Controller-Vertrag geschlossen werden.

Erfüllung der Informationspflichten

Unternehmen müssen die Bewerber und Bewerberinnen über den Einsatz von KI zur automatisierten Entscheidungsfindung informieren, vgl. Art. 13 Abs. 2 lit. f
DSGVO. Dazu gehören auch aussagekräftige Informationen über die Funktionsweise der KI, das heißt, Bewerber müssen gegebenenfalls sogar über die Entscheidungslogik des Algorithmus informiert werden. Diese weitreichenden Informationspflichten können Unternehmen vor Herausforderungen stellen, da Anbieter von Drittsoftware diese Informationen teilweise nicht veröffentlichen. Unternehmen sollten daher immer darauf achten, die datenschutzrechtlichen Betroffenenrechte mit den Softwareanbietern vertraglich explizit zu regeln.

Automatisierte Einzelentscheidung

Art. 22 DSGVO verbietet es, dass Bewerber einer Entscheidung unterworfen werden, die ihnen gegenüber rechtliche Wirkung entfaltet und die nicht von einem Menschen getroffen worden ist. Ausnahmsweise ist die automatisierte Entscheidung jedoch zulässig, wenn sie für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist. Die gängigen KI-Tools bereiten die Entscheidung der Personalabteilung in der Regel nur vor, indem sie beispielsweise Lebensläufe anhand ausgewählter Kriterien analysieren und eine automatisierte Vorauswahl treffen. Ist dies der Fall, stellen sie daher keine Entscheidung im Sinne des Art. 22 DSGVO dar und sind datenschutzrechtlich zulässig.

Sonstige Fallstricke

Besonders in den Blick zu nehmen sind auch potentielle Drittlandtransfers der Bewerberdaten. Dies gilt insbesondere, wenn KI-Anwendungen von Anbietern aus dem EU-Ausland verwendet werden, was regelmäßig der Fall sein wird. Auch eine Datenschutz-Folgenabschätzung kann erforderlich sein: Immer dann, wenn die KI zur Bewertung persönlicher Aspekte der Bewerber eingesetzt wird, ist eine Datenschutz-Folgenabschätzung nach der sogenannten Blacklist der Datenschutzkonferenz zwingend vorzunehmen.

AI-Act und KI-Regulierung

Auf europäischer Ebene wird derzeit über einen europäischen Rechtsrahmen für KI, den Artificial Intelligence Act (AI-Act) verhandelt (vgl. Deutscher AnwaltSpiegel, Ausgabe vom 05.07.2023, siehe hier). Die Verordnung soll die Entwicklung, das Inverkehrbringen und die Verwendung von KI-Systemen in der Europäischen Union harmonisieren.

KI im Bewerbungsverfahren als Hochrisikosystem

Der AI-Act verfolgt einen risikobasierten Ansatz, bei dem Hochrisiko-KI-Systeme umfassend reguliert werden. Im Bereich der Personalbeschaffung und des Personalmanagements stuft der AI Act solche KI-Systeme als hochriskant ein, die für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen oder die dazu bestimmt sind, Entscheidungen über die Anbahnung, Förderung oder Beendigung von arbeitsbezogenen Vertragsverhältnissen, über die Zuweisung von Aufgaben aufgrund des individuellen Verhaltens oder von persönlichen Eigenschaften oder Merkmalen oder über die Überwachung und Bewertung der Leistung und des Verhaltens von Personen in solchen Verhältnissen zu treffen oder wesentlich zu beeinflussen. KI-basierte Recruitingtools müssen also die Anforderungen des AI-Acts für Hochrisikosysteme einhalten.

Anforderungen für Anwender von Hochrisikosystemen

Der AI-Act betrifft alle Teilnehmer entlang der Wertschöpfungskette, wobei Unternehmen, die KI-gestützte Software im Rahmen ihrer HR-Tätigkeit nutzen, in der Regel als „Anwender“ (Art. 3 Abs.1 Nr. 4 AI-Act) betroffen sind. Art. 29 des AI-Acts stellt an die Anwender folgende Anforderungen (Parlamentsentwurf, Stand siehe hier):

  • Verwendung des KI-Systems gemäß der Gebrauchsanwendung (Abs. 1)
  • Eingabedaten müssen der Zweckbestimmung des KI-Systems entsprechen (Abs. 3)
  • Überwachung anhand der Gebrauchsanweisung und ggf. Informationspflicht gegenüber Anbieter/Händler bei Risiko im Sinne von Art. 65 sowie gegebenenfalls Aussetzung der Verwendung bei Vorfall/Fehlfunktion im Sinne von Art. 62 (Abs. 4)
  • Übertragung der menschlichen Aufsicht an qualifizierte Personen sowie Effektivitätsmonitoring der Cybersecuritymaßnahmen (Abs. 1a)
  • bei KI am Arbeitsplatz: Konsultation der Arbeitnehmervertreter und Arbeitnehmerinformation (Abs. 5a)
  • Offenlegungs-/Informationspflichten zu Hochrisiko-KI-Systemen für Entscheidungen gegenüber natürlichen Personen (Abs. 6a)
  • Zusammenarbeit mit nationalen Behörden (Abs. 6b)
  • gegebenenfalls Protokollaufbewahrungspflicht (Abs. 5) sowie
  • gegebenenfalls Datenschutz-Folgenabschätzung auf Grundlage der nach Art. 13 bereitgestellten Informationen (Abs. 6)

Ausnahmsweise gilt für Unternehmen auch der schärfere Katalog der Anbieterpflichten nach Art. 16 AI-Act, wenn sie ein KI-System unter ihrem Namen auf den Markt bringen oder in Betrieb nehmen, die Zweckbestimmung eines sich bereits im Verkehr befindlichen KI-Systems ändern oder wenn sie wesentliche Änderungen am KI-System vornehmen.

Ausblick

Der Einsatz von KI im HR-Bereich bietet Unternehmen einen hohen Mehrwert. Allerdings gilt es, die rechtlichen Herausforderungen im Vorfeld der Implementierung zu berücksichtigen. Um einen rechtskonformen Einsatz von KI-Tools sicherzustellen, müssen sich Unternehmen frühzeitig – am besten bereits vor der Auswahl des Softwareanbieters – mit den rechtlichen Rahmenbedingungen auseinandersetzen. So kann auch eine gegebenenfalls erforderliche Einbeziehung des Betriebsrats gewährleistet werden. Vorsicht ist auch im Hinblick auf den bevorstehenden AI-Act geboten. Obgleich Unternehmen in der Regel nur als Anwender von KI-Systemen einzustufen sind, sollten sie die Herausforderungen, die mit der Veröffentlichung des AI-Acts auf sie zukommen, nicht unterschätzen. Darüber hinaus gibt es Anzeichen dafür (siehe hier), dass es in diesem Bereich in Zukunft sogar zu noch mehr Regulierung kommen könnte: Die Europäische Kommission plant dem Vernehmen nach eine Gesetzesinitiative, mit der der Einsatz von KI am Arbeitsplatz geregelt werden soll.

 

h.kruessmann@taylorwessing.com

s.sarfert@taylorwessing.com

b.kohn@taylorwessing.com30

Themen

Aktuelle Beiträge

"Das Jubiläum"
AnwaltSpiegel
„Das Jubiläum“ Eine Herausforderung im Arbeitsrecht weiterlesen
Fusionskontrolle im Wandel
AnwaltSpiegel
Fusionskontrolle im Wandel Rückblick und neue ­Herausforderungen weiterlesen
Nachhaltigkeitskooperationen
AnwaltSpiegel
Nachhaltigkeitskooperationen Unternehmen sehen Optimierungsbedarf im Wettbewerbsrecht weiterlesen
© 2024 Deutscher AnwaltSpiegel