Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Category

Arbeitsrecht

Der EuGH hatte sich in dem Urteil C-667/21  mit ebenso spannenden wie wichtigen Fragen rund um die Verarbeitung von Gesundheitsdaten durch einen Arbeitgeber, das Verhältnis von Artikel 6 zu Artikel 9 DSGVO und zur Höhe eines Schadensersatzes im Sinne von Art. 82 DSGVO zu befassen.

Insbesondere zu den letzten beiden Fragen wird sich regelmäßig unter Juristen wie bei den Kesselflickern gestritten. (Hat eigentlich schon mal jemand Kesselflicker streiten sehen!?). Das heißt, dieses zunächst so unscheinbare Urteil hat es doch ganz schön in sich.

Genau genommen ging es – vereinfacht ausgedrückt – um folgende Fragen (EuGH, C-667/21 v. 21.12.2023, Rz. 35):

  1. Darf ein ein Medizinischer Dienst als Arbeitgeber die Daten seines Beschäftigten zur Erstellung im Rahmen seiner Funktion als Medizinischer Dienst der Krankenkassen nach Art. 9 Abs. 2 h DSGVO verarbeiten?
  2. Wenn ja, muss der Arbeitgeber dann besondere Maßnahmen ergreifen und wenn ja welche?
  3. Wenn ja, muss dann auch ein Rechtsgrund zur Verarbeitung im Sinne des Art. 6 DSGVO vorhanden sein?
  4. Kommt es bei der Bemessung des immateriellen Schadensersatzes darauf an, ob Art. 82 DSGVO eine reine Ausgleichsfunktion oder aber auch eine abschreckende und strafende Funktion hat? Und welche Funktion hat Art. 82 DSGVO?
  5. Kommt es bei der Bemessung des immateriellen Schadensersatzes nach Art. 82 DSGVO auf den Grad des Verschuldens des Verantwortlichen Datenverarbeiters an?

Doch der Reihe nach. Zunächst der Sachverhalt und dann – wie immer – rechtslaienverständliche Erläuterungen.

Den ganzen Artikel lesen.

Egal, was man liest und hört: ständig stolpert man/frau derzeit über das Wort „KI“. Dabei wird der Begriff offenbar gerne verwendet, ohne überhaupt zu wissen, was eine KI ist oder sein soll oder was diese ausmacht. Denn nicht überall, wo „KI“ drauf steht, ist KI drin. (Spoiler: ob eine echte „KI“ bereits existiert, ist mehr als nur fragwürdig).

Aber beginnen wir vorne und fassen damit sogleich den Artikel KI im Personalwesen – Was sagt die KI-Verordnung dazu?, der in der BvD-News Ausgabe 01/2024 erschien, zusammen:

KI im Personalwesen – Was sagt die KI-Verordnung dazu?

Gerade im Personalbereich wird viel mit dem Schlagwort „KI“ geworben, z.B. werden Stellenanzeigen mithilfe „Künstlicher Intelligenz“ ausgeschrieben oder Ergebnisse von Einstellungstests mithilfe dieser analysiert. Das klingt gut, allerdings verbergen sich hinter diesen „KI“ regelmäßig nichts weiter als Anwendungen, die Technologien des maschinellen Lernens (ML), ein Teilgebiet der KI, beinhalten. ML-Systeme verfügen über Algorithmen, mit denen Muster erkannt  (Ja, genau wie ChatGPT, Midjourney & Co.) und auf Basis der vorgebenen (!) Algorithmen auch gewisse Ableitungen getroffen werden können. Das ist gut. Das kann außerordentlich hilfreich sein. Zumal die Rechenkapazitäten immer größer und schneller werden. Nach wie vor laufen diese Algorithmen aber auch in falsche Richtungen, da sie eben keine inhaltlichen Bewertungen vornehmen, sondern nur Muster erkennen können. Und so klingen ChatGPT Texte stets gut, sind inhaltlich aber dennoch oft voller Fehler. Und MidJourney wirft hübscheste Fotografien aus und kriegt doch das Problem mit diesen menschlichen Fingern, die nun mal fünf und nicht sechs oder vier sind, nicht in den Griff.

Eben deswegen ist all das keine KI. Jedenfalls nicht nach der KI-Verordnung, die das EU-Parlament am 13.03.2024 verabschiedet hat. (Eine finale Fassung liegt bislang noch nicht vor, der Arbeitsentwurf der KI-Verordnung, der inhaltlich abgestimmt ist und nur noch redaktionell im Rahmen des sog. Berichtigungsverfahrens überarbeitet wird, ist, wie er vom Parlament angenommen wurde, hier nachzulesen. Nach meinem Verständnis der KI-Verordnung muss eine KI „mehr“ sein, als Machine Learning oder wissens- und logikgestützte Konzepte. Eine KI muss eigenständig Schlussfolgerungen auf Basis der Informationen, die sie erhalten hat, mit Hilfe von Machine Learning und/oder wissens- und logikgestützten Konzepten ziehen können. Das kann nach meinem Kenntnisstand bislang keine „KI“.

Wer nach dieser These mehr zur Frage „Was ist KI  nach der KI-Verordnung?“und dazu, wie die KI-Verordnung den Einsatz von KI im Personalbereich (Stichworte: Hochrisiko-System, Geldbußen etc.) betrachtet, wissen möchte (bzw. als Personalverantwortlicher, der solche Systeme einsetzt, wissen muss), der kann all das dezidiert in dem Artikel

Diercks, KI im Personalwesen, BvD-News Ausgabe 1/24

nachlesen.

Nach dem derzeitigen Stand soll die KI-Verordnung im Frühsommer in Kraft treten. Grundsätzlich erlangt das europäische Gesetz dann 24 Monate später Geltung. Jedoch – anders als sonst – mit etlichen Sonderregeln nach oben und unten:

  • das Verbot von KI-Systemen, die unannehmbare Risiken darstellen (also des Teufels Kindes sind), wird sechs Monate nach Inkrafttreten gelten;
  • die Verhaltenskodizes werden neun Monate nach Inkrafttreten gelten;
  • Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck, die den Transparenzanforderungen genügen müssen, gelten zwölf Monate nach Inkrafttreten.
  • die Vorschriften für Hochrisiko-Systeme (u.a. KI für den Personalbereich) gelten nach 36 Monaten.

Das vermag jetzt für Personalverantwortliche so klingen, als ob noch ewig Zeit vorhanden wäre. Ganz so einfach ist es jedoch nicht (wie ein Blick in den Artikel vertieft erläutern würde). Es sind Fragen zu klären. Nämlich:

  1. Haben wir hier eine KI-Anwendung nach der KI-Verordnung?
  2. Unterfällt diese KI-Anwendung den Ausnahmen von für Hochrisiko-System?
  3. Liegt hier ein Hochrisiko-System vor? Werden die – umfangreichen – Anforderungen und Pflichten beim Betrieb von Hochrisiko-Systemen erfüllt?

Selbst wenn eine Personal-KI-Anwendung unter die Ausnahmetatbestände fällt, so dass kein Hochrisiko-System anzunehmen ist, müssen die Personalverantwortlichen dies genauestens dokumentieren und diese Dokumentation auf Anforderung den Behörden aushändigen. Die Prüfung müssen daher unbedingt vor Anschaffung und Verwendung von KI-Systemen erfolgen.

Alle Einzelheiten sind, wie gesagt, in dem Artikel „KI Im Personalwesen“, zuerst erschienen in BvD-News 1/24, nachzulesen. Wer gerne die gesamten Zeitschriften der BvD einsehen möchte, kann das hier tun.

In diesem Sinne,

es bleibt alles spannend!

In dem durch das Arbeitsgericht Hamburg entschiedenen Fall (ArbG Hamburg 24 BVGa 1/24) hatte ein Arbeitgeber seinen MitarbeiterInnen ermöglicht, sich die Arbeit durch die – freiwillige – Nutzung des Tools ChatGPT zu erleichtern. Der Betriebsrat sah sich hier jedoch in seinem Mitbestimmungsrecht verletzt und bestand darauf, dass vor dem Einsatz dieser Technik eine vorherige Beratung und Abstimmung mit dem Arbeitgeber sowie entsprechende Vereinbarungen erfolgen müssten.

Die Ermöglichung der Nutzung von ChatGPT sah aus wie folgt: Der Arbeitgeber stellte eine Richtlinie und ein Handbuch zur Nutzung von IT-Tools mit künstlicher Intelligenz bei der Arbeit nebst einer Information eben darüber und mit entsprechenden Erläuterungen ins Intranet. Die Arbeit mit KI-Tools hatte ausschließlich auf freiwilliger Basis sowie im Webbrowser und mit privaten Accounts zu erfolgen.

Der Betriebsrat war jedoch  der Meinung, dass die daraus folgende Teilung der ArbeitnehmerInnen in zwei Gruppen, nämlich jene, die ChatGPT nutzen und jene, die es eben nicht nutzen möchten, der Zusammenarbeit der Mitarbeiter*innen schade. Damit würde diese Form der Nutzung eines KI-Tools eine Gefahr für das Zusammenleben und – arbeiten darstellen und somit der Mitbestimmungspflicht im Bereich des Ordnungsverhaltens nach § 87 Abs. 1 Nr. 1 BetrVG unterfallen. Ferner sei das Mitbestimmungsrecht nach § 87 I Nr. 6 BetrVG berührt, schließlich könnten Dritte Daten verarbeiten. Und dann könnte die Einführung neuer Software psychische Belastungen der Arbeitnehmer*innen mit sich bringen, so dass auch das Mitbestimmungsrecht nach § 87 I Nr. 7 BetrVG berührt sei.

Demnach hätte das Tool nicht ohne Mitbestimmung des Betriebsrates und den Abschluss einer Betriebsvereinbarung eingeführt werden dürfen.

Der Rechtsauffassung des Betriebsrates erteilte das Gericht eine eindeutige und vollumfänglich Absage: Das Ordnungsverhalten ist nicht betroffen. Es ist Sache des Arbeitgebers, welche Arbeitsmittel er unter welchen Bedingungen den Mitarbeitern zur Verfügung stellt. Ebenso wenig ist § 87 Abs. 1 Nr. 6 BetrVG verletzt. Dieses Mitbestimmungsrecht soll den Arbeitnehmer nicht vor jedweder Datenverarbeitung schützen, sondern vor der Möglichkeit einer unzulässigen Leistungs- und Verhaltenskontrolle (siehe dazu auch ganz ausführlich: Diercks, Hat der Betriebsrat, insbesondere bei der Einführung von Software, ein Mitbestimmungsrecht in Sachen Datenschutz? – Spoiler: Nein, PinG 03/23, 87).  ChatGPT wird jedoch weder auf den IT-Systemen des Arbeitgeber installiert noch hat dieser Zugriff auf die Nutzungs- oder Inhaltsdaten. Demnach ist eine Verhaltens- und Leistungskontrolle durch den Arbeitnehmer unmöglich. Das Gericht verglich hier – fast schon niedlich, aber doch eingängig – die Nutzung von ChatGPT mit der Nutzung der juristischen Datenbank Beck-Online. Das Rekurrieren auf § 87 Abs. 1 Nr. 7 BetrVG war dem Gericht gerade einmal drei Sätze wert, dieses Mitbestimmungsrecht sei nicht ersichtlich.

Überraschend ist an dieser Entscheidung eigentlich nur, dass überhaupt ein Arbeitsgericht über diese Fragen entscheiden musste.

Die vollständige Entscheidung des Arbeitsgerichts mit weiteren interessanten Einzelheiten können Sie hier nachlesen.

In diesem Sinne,

wir dürfen gespannt bleiben, welche weiteren Entscheidungen künftig bezüglich „KI“-Tools ergehen werden.

Mitautorin: Nina Diercks

Betriebliche Mitbestimmung, besonderer Kündigungsschutz, Urlaubsansprüche, Sozialversicherungspflichten, etc. – das sind alltägliche Materien des Arbeitsrechts. Das Arbeitsrecht ist vielfältig und umfangreich, schließlich regelt es das komplizierte und auf lange Zeit ausgelegte Verhältnis von Arbeitnehmer:in und Arbeitgeber.

Gemein ist allen Teilbereichen des Arbeitsrechts eine Vorfrage, gewissermaßen die Gretchenfrage dieses Rechtsgebiets: „Ist Person X überhaupt Arbeitnehmer:in?“ Denn nur wenn es sich tatsächlich um eine:n Arbeitnehmer:in handelt, ist auch das Arbeitsrecht anwendbar.

Wer Arbeitnehmer:in ist, dazu lassen sich ganze Bücher schreiben, in den entsprechenden Vorlesungen an den Universitäten wird ein nicht unerheblicher Teil auf diese Frage verwendet. Denn die Antwort ist nicht so einfach, wie sie zunächst scheint. So einfach und offenkundig die Einordnung einer Person als Arbeitnehmer:in auf den ersten Blick scheint, so kompliziert kann sie im Einzelfall sein.

Und dieser Einzelfall sind oft sog. atypische Beschäftigungsverhältnisse. Neue Formen der Anstellung, die sich mit der klassischen Vorstellung des Arbeitsrechts nicht so recht decken wollen. „New Work“, mit diesem Buzzword wird die neue Arbeitswelt häufig verbunden.

Selbstständigkeit und Flexibilität als Anforderungsprofil des Arbeitgebers trifft auf Wünsche zur weitestgehenden Freiheit und persönlichen Entfaltung der Arbeitnehmer:innen. Haben sich da zwei Interessen gefunden, die sich ideal ergänzen? Oder klopft in Streitfragen doch das gute alte Arbeitsrecht an die Tür?

Für das Crowdworking steht nun fest: Auch der:die Crowdworker:in kann Arbeitnehmer:in sein. Dies dann mit allen (starren) Rechten und Pflichten, die das Arbeitnehmerdasein für den/die Crowdworker:in und den Crowdsourcer (das beauftragtende Unternehmen) mit sich bringt. Wann und unter welchen Umständen dies der Fall sein kann, sehen wir uns nun anhand der zugrundeliegende Rechtsprechung des Bundesarbeitsgerichts (BAG Entscheidung vom 01.12.2020, Az. 9 AZR 102/20) an.  Den ganzen Artikel lesen.

Die Hamburger Datenschutzbehörde hat heute morgen mittels einer Pressemitteilung bekannt gegeben, dass gegenüber der Modekette H&M ein Bußgeldbescheid in Höhe von 35,3 Millionen erlassen wurde.

Ruuuummmsss!

Die Gesellschaft H&M Hennes & Mauritz Online Shop A.B. & Co. KG hat ihren Sitz in Hamburg, so dass der Hamburger Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) für Datenschutzverstöße dieses Unternehmens zuständig ist. Konkret ging es um ein Servicecenter des Unternehmens in Nürnberg. Dort fand eine „Mitarbeiterbetreuung“ statt, wie man sie bis dato wohl nur aus Schleckerfilialen kannte. Seit dem Jahr 2014 wurden von Beschäftigten in großem Umfang private Lebensumstände dokumentiert. Dies meint, dass nicht nur Urlaubs- oder Krankentage erfasst wurden (soweit normal wie zur Abrechnung notwendig), sondern freundliche „Welcome Back Talks“ geführt wurden. Dabei wurden dann sowohl Urlaubserlebnisse wie auch Krankheitssymptome und Diagnosen dokumentiert. Ebenso fanden sich Aufzeichnungen zum Privatleben der Mitarbeiter, die die Führungskräfte wohl dem Flurfunk entnahmen, wie religöse Bekenntnisse oder familiäre Probleme. Damit das ganze seine Ordnung hat, wurden diese Erkenntnisse digital gespeichert und waren einem Kreis von bis zu 50 Führungskräften zugänglich. Schließlich wurden diese Erkenntnisse auch zu Auswertungen von individuellen Arbeitsleistungen sowie zur Erstellung von Profilen der Beschäftigten genutzt, um daraus Maßnahmen und Entscheidungen das Arbeitsverhältnis betreffend zu ergreifen.

Den ganzen Artikel lesen.

1 2 3 11

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.