Wenn Algorithmen zum Problem werden

Die Vernachlässigung des Datenschutzes kann teuer werden, das musste nun der italienische Lieferdienst Foodinho am eigenen Leib erfahren.

Dieser Lieferdienst führte eine digitale Plattform ein, auf welcher Foodinho die Aufträge automatisiert an die 19.000 Lieferfahrer des Unternehmens verteilt, wie üblich läuft auch diese digitale Plattform mit Hilfe von Algorithmen. Ein Verstoß ergibt sich daraus, dass die betroffenen Personen diese automatisierte Entscheidung nicht widerrufen konnten. Außerdem erhielten die Lieferfahrer keinerlei Einweisung in das von ihnen benutzte System und hatten dadurch keinerlei Einblick in die Funktionsweise.

Die Plattform verlangte eine Vielzahl von Daten der Arbeiter, da ein Nutzerprofil für die Nutzung der Software erforderlich war, es mussten mehr Daten angegeben werden, als notwendig gewesen wären außerdem wurde die Speicherdauer der Daten nicht vorab definiert. Die Algorithmen könnten teilweise dazu führen, dass manche Lieferfahrer aufgrund ihrer abgegebenen Daten und der folgenden Datenanalyse der Algorithmen keine Aufträge mehr erhalten würden.

Ein weiter Verstoß lag darin, dass kein Datenschutzbeauftragter benannt wurde, außerdem wurde keine Datenschutz-Folgenabschätzung vorgenommen; diese wäre allerdings notwendig gewesen, da es laut der italienischen Aufsichtsbehörde eine Verarbeitung innovativer Natur sei. Diese Annahme bezieht sich darauf, dass eine große Menge unterschiedlicher Daten von einer großen Menge an Personen über eine digitale Plattform mit Hilfe von Algorithmen verarbeitet wird. Zudem bemängelte die italienische Aufsichtsbehörde, dass datenschutzfreundliche Voreinstellungen fehlten und keine technischen und organisatorischen Maßnahmen entwickelt wurden, um das Schutzniveau der Nutzer zu erhöhen. Generell hat Foodinho Verstöße aller Art in Kauf genommen und die DSGVO in einigen Punkten vollständig ignoriert.

Diese Verstöße ziehen nun eine erhebliche Menge an Bußgeldern auf sich. Dieses Bußgeld kann entweder bis zu 20.000 € oder aber 4% des Jahresumsatzes betragen.

Höhere Abfindung durch Geltendmachung datenschutzrechtlicher Ansprüche?

Nach einer Kündigung versuchen Beschäftigte, zumindest eine hohe Abfindung auszuhandeln und bringen den Auskunftsanspruch der DSGVO ins Spiel im Rahmen einer Kündigungsschutzklage. Doch wann werden die Grenzen zum Rechtsmissbrauch überschritten?

Bei Arbeitsgerichtsprozessen gestalten sich die Erfolgsaussichten für die jeweiligen Parteien meist (subjektiv) sehr unterschiedlich. Zumeist möchten die Parteien – sowohl Arbeitnehmer als auch Arbeitgeber – das Arbeitsverhältnis unter keinen Umständen fortführen, weshalb in einem Gütetermin über eine datierte Beendigung unter Zahlung einer Abfindung verhandelt wird. Knackpunkt dabei ist jedoch meist die Höhe der Abfindung. Die Abfindung fällt für Arbeitnehmer häufig weniger lukrativ aus, wenn der Arbeitgeber seine Risiken als kalkulierbar beurteilt. Akzeptiert der Arbeitgeber also die – häufig überhöhte – Forderung des Arbeitnehmers nicht, wird von diesen der Auskunftsanspruch gemäß Art. 15 DS-GVO geltend gemacht. Ziel ist es neben der überhöhten Abfindung, wertvolle Informationen, die einer Kündigung entgegenstanden, von dem alten Arbeitgeber zu erhalten. Wichtig ist auch für den anwaltlichen Vertreter zu erfahren, ob der Arbeitgeber weitere Verfahren gegen den Arbeitnehmer eingeleitet hat (z.B. ein Strafverfahren oder eine Mitteilung an Aufsichtsbehörden).

Gemäß Art. 15 DS-GVO haben Beschäftigte , auch ehemalige Beschäftigte, einen Anspruch auf Auskunft über die über sie gespeicherten Daten. Dieser kann dem Arbeitgeber bzw. dessen Unternehmen viel Arbeit bereiten. Die Erteilung einer ordnungsgemäßen Auskunft stellt für den Arbeitgeber einen nicht zu unterschätzenden Aufwand und auch ein finanzielles Risiko dar. Zum einen muss die Auskunft formell und inhaltlich den Anforderungen der DS-GVO entsprechen. Zum anderen drohen bei einem Verstoß wegen fehlerhafter oder nicht erfolgter Auskunftserteilung behördliche Bußgelder und Schadensersatzansprüche.

Doch welche Grenzen sind bei der Geltendmachung des Anspruchs aus Art. 15 DS-GVO im Rahmen von arbeitsrechtlichen Prozessen zu ziehen?

Bisher kann zu diesem Thema noch auf keine höchstrichterliche Rechtssprechung zurückgegriffen werden. Lediglich das Arbeitsgericht Düsseldorf hat sich zu dieser Frage positioniert. Es stellt darauf ab, dass unter bestimmten Voraussetzungen der Aufwand hinsichtlich der Erfüllung des Auskunftsanspruchs in einem groben Missverhältnis zum Leistungsinteresse des Arbeitnehmers stehen kann. Die Entscheidung zur Ablehnung eines solchen Anspruchs wurde insbesondere auf den auch im Europarecht geltenden Grundsatz von Treu und Glauben gestützt. Dem Arbeitgeber wird so kein unverhältnismäßiger Aufwand abverlangt, um den Anspruch zu erfüllen.

Zu Berücksichtigen ist jedoch auch Art. 12 Abs. 5 S.2 DS-GVO, welcher eine Missbrauchsgrenze bei der Geltendmachung der Ansprüche aufweist – auch wenn die konkrete Ausgestaltung noch nicht geklärt ist. Voraussetzung hierfür ist zum einen ein sehr enger zeitlicher und inhaltlicher Zusammenhang zum Kündigungsschutzverfahren. Zum anderen müssen weitere offensichtliche Begleitumstände hinzutreten, die die Geltendmachung des Auskunftsanspruchs durch den Arbeitnehmer als rechtsmissbräuchlich erkennen lassen. Wenn jedoch eine Verknüpfung zwischen Auskunft des Anspruchs und der Forderung einer überhöhten Abfindung besteht, dürfe dies meist unproblematisch gegeben sein.

Die Geltendmachung des Auskunftsanspruchs entspricht nicht dem eigentlichen Zweck, wenn der Arbeitnehmer nur auf die Geltendmachung verzichtet, wenn er die erkennbar überhöhte Abfindung erhält – dies ist vielmehr als rechtsmissbräuchlich anzusehen. Der Rechtsmissbrauchseinwand sollte die Arbeitgeberseite auch davor schützen, dass ein Bußgeldverfahren mit den sehr hohen und empfindlichen Sanktionen eingeleitet wird. Es wäre daher sinnvoll, jedem Prüfverfahren eine Missbrauchskontrolle voran zu stellen.

Die Arbeitnehmer können jedoch auch durch die Geltendmachung von Schadensersatzansprüchen ihre Abfindung „aufbessern“. Zuletzt hat das Arbeitsgericht Düsseldorf (Urt. v. 05.03.2020, Az. 9 Ca 6557/18) entschieden, dass dem Arbeitnehmer bei einer verspäteten und unrichtig erteilten Auskunft ein Schadensersatzanspruch für die ersten zwei Monate Verspätung von jeweils 500,00 €, für die weiteren Monate Verspätung von jeweils 1.000 € sowie pro inhaltlichem Mangel jeweils 500,00 €, mithin in dem Fall 5.000,00 € insgesamt, zustehen. Das ArbG Düsseldorf hatte den Auskunftsanspruch teilweise abgewiesen, Schadensersatz hat der ehemalige Mitarbeiter allerdings bekommen. Dies, weil der Arbeitgeber dem Auskunftsverlangen nach der DSGVO unvollständig und nicht in der vorgesehenen Frist von einem Monat nachgekommen war.

Der Auskunftsanspruch kann jedoch auch nach der Beendigung des Arbeitsverhältnisses ohne Angaben von besonderen Gründen gelten gemacht werden. Empfehlenswert ist es daher, den Auskunftsanspruch direkt in einem Vergleich bzw. In einem Aufhebungsvertrag mit einem Verzicht mit Wirkung für die Zukunft zu regeln. Die Betroffenen können so im Rahmen der Einwilligung über ihre Rechte disponieren.  Ob ein solcher Verzicht zulässig ist, ist bisher weder in der Rechtssprechung noch in der Literatur diskutiert worden und auch von einer Aufsichtsbehörde noch nicht entschieden worden.

Künstliche Intelligenz und Datenschutz

Das Thema um die Künstliche Intelligenz (KI) ist weit verbreitet. Jedoch fehlt es an einem grundlegenden anerkannten Verständnis hiervon. Dies ist nicht verwunderlich, denn KI-Systeme sind äußerst vielgestaltig und besitzen eine große Bandbreite an Ausgestaltungen und Einsatzmöglichkeiten. Nicht jede Datenverarbeitung ist jedoch schon deshalb modern und innovativ, weil sie auf dem Einsatz von KI-Systemen beruht. Gesellschaftlich akzeptierte und rechtlich zulässige Datenverarbeitungen sollten zukunftsorientierte informationstechnische Lösungen mit einem hohen Standard an Datenschutz und Informationssicherheit verbinden.

KI-Systeme verwenden bei ihrem Einsatz Algorithmen, die regelmäßig in Anwendungen eingesetzt werden, die mit Big Data arbeiten. Algorithmen prägen bekanntermaßen unseren Alltag bereits seit längerem in besonderem Maße. Algorithmen selbst sind weder gut noch schlecht, sie sind lediglich nützlich oder weniger nützlich und sind von Menschen geschaffen. Algorithmen benötigen Daten, welche sie dann verarbeiten. Datenverarbeitung geschieht aber nicht im rechtsfreien Raum. Der Einsatz von KI-Systemen ist daher mit dem Datenschutzrecht in Einklang zu bringen.

Die EU-Kommission hatte eine Expertengruppe in Form eines Gremiums beauftragt, einen Leitfaden für KI auf Grundlage von ethnischen Grundsätzen für die Entwicklung und Anwendung von KI-Systemen zu formulieren. Dieser wurde letztes Jahr vorgelegt, ist nicht bindend, aber wegweisend. Dabei entstanden Anforderungen wie technische Robustheit und Sicherheit, Vertraulichkeit und klare Datenhaltungsregeln, Transparenz, Nichtdiskriminierung sowie Berücksichtigung gesamtgesellschaftlicher Effekte und Maßnahmen zur Rechenschaftslegung. Darüber hinaus möchten die Europäischen Mitgliedstaaten parallel zu dem Leitfaden ein Investitionsprogramm starten und in eine vertrauenswürdige KI Made in Europe investieren, um am Rennen des von China und den USA dominierten Marktes teilzunehmen.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ebenfalls im April 2019 eine Erklärung zu sieben datenschutzrechtlichen Anforderungen an KI veröffentlicht. Die Hambacher Erklärung zur Künstlichen Intelligenz ist als Grundsatzpapier gedacht, das dem Datenschutzrecht verpflichtet ist. Der DSK geht es in der Erklärung darum, die rechtlichen Anforderungen an den Einsatz von KI-Systemen herauszuarbeiten und aus datenschutzrechtlicher Sicht die Entwicklung zu begleiten. Die DSK hat jedoch ausdrücklich einen rechtlichen Ansatz gewählt, um deutlich zu machen, dass es insoweit auf der Grundlage der Datenschutz-Grundverordnung bereits rechtliche Anforderungen an den Einsatz von KI-Systemen gibt.

Ziel der Erklärung ist es, den Grundrechtsschutz und den Datenschutz mit dem Prozess der Digitalisierung in Einklang zu bringen, um in Zukunft weiterhin als Mensch über Maschinen zu entscheiden und nicht umgekehrt. Die Umsetzung einer Künstliche Intelligenz in Verbindung mit der Wahrung der Freiheit und Demokratie stellt eine Herausforderung dar. Denn Entwicklungen und Anwendungen von KI müssen in demokratisch-rechtsstaatlicher Weise den Grundrechten entsprechen. Dies gilt vor allem für den Einsatz von selbstlernenden Systemen, die massenhaft Daten benötigen, um sich selber stetig zu verbessern.

Der Mensch darf durch KI nicht zum Objekt gemacht werden
Die Würde des Menschen steht gem. Art. 1 Abs. 1 GG im Vordergrund, denn im Falle staatlichen Handelns mittels KI darf der einzelne Bürger nicht zum Objekt gemacht werden. Für Unternehmen ist es zudem gem. Art. 22 DS-GVO nur bedingt möglich, KI einzusetzen, um automatisierte Entscheidungen mit rechtlicher Wirkung zu treffen.
Die DS-GVO findet bei der Verarbeitung personenbezogener Daten Anwendung, sodass die Grundsätze nach Art. 5 DS-GVO eingehalten werden müssen. Doch wie soll sich die KI nach dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DS-GVO stetig verbessern?

Personenbezogene Daten dürfen i.S.d. Datenminimierung ausschließlich für einen angemessenen und erheblichen Zweck sowie in dem dafür erforderlichen erheblichen Maße verarbeitet werden. Dies kann jedoch zu einem Konflikt führen. KI benötigt eine große Datenmenge, um ihre Aufgabe zuverlässig ausführen zu können und eine stetige Verbesserung zu ermöglichen. Der Entwicklungsprozess könnte so zu Gunsten des Datenschutzes durch eine Limitierung gehemmt werden.

Verfassungsrechtliche legitimierte Zwecke und das Zweckbindungsgebot
KI-Systeme sind zudem an das Zweckbindungsgebot des Art. 5 Abs. 1 lit. b DS-GVO gebunden. D.h. erweiterte Verarbeitungszweck müssen mit dem ursprünglichen Erhebungszweck vereinbar sein. Dies ist erforderlich, um ausschließen zu können, dass die KI ihren Verarbeitungszweck jederzeit ändern kann. Zum Beispiel soll ein Chatbot, der zu Beginn Ihre Daten zum Zweck der Kundenbetreuung erhalten hat, diese jedoch nicht zusätzlich zu Werbezwecke verwenden, nur weil er einen möglichen wirtschaftlichen Vorteil darin erkennt.

Transparenz und Nachvollziehbarkeit
Auch ist der Grundsatz der Transparenz des Art. 5 Abs. 1 lit. a DS-GVO nicht außer Acht zu lassen. Die KI-Systeme dürfen die personenbezogenen Daten betroffener Personen also nur in einer nachvollziehbaren Art und Weise verarbeiten. Entscheidend ist hierbei, auf welcher Grundlage der Einsatz dieser Systeme erfolgt. Nicht ausreichend ist daher die Erklärbarkeit im Hinblick auf das Ergebnis, vielmehr muss darüber hinaus auch die Nachvollziehbarkeit auf die Prozesse und das Zustandekommen von Entscheidungen gewährleistet sein. Es muss also ausreichend über die Logik aufgeklärt werden, die hinter dem System steckt. Dies ist Aufgabe der Verantwortlichen, die KI-Systeme einsetzen. Nur dann können Diskriminierungen vermieden werden. Es geht auch um Intervenierbarkeit. Wenn ein selbstlernendes System eingesetzt wird, wenn also neuronale Netze insoweit eigenständig Datenverarbeitungen vornehmen, muss sichergestellt sein, dass ein Eingreifen des Menschen möglich ist und auch noch rechtzeitig kommen kann, um Datenschutzverletzungen zu verhindern.

Verantwortlichkeit
Die KI stellt keine eigenständige natürliche oder juristische Person dar, auch wenn die Entwickler die menschliche Wahrnehmung und das menschliche Handeln durch eine Maschine nachbilden und teils ersetzen möchten. Beim Einsatz von KI-Systemen sind die Anforderungen höher als bei der Forschung unter Laborbedingungen. Es geht auch darum, dass der für den Einsatz Verantwortliche für die Sicherstellung der rechtlichen Vereinbarkeit des KI-Systems Verantwortung trägt.

Ein Verantwortlicher ist also erforderlich. In Betracht kommen die Entwickler oder das Unternehmen hinter der Entwicklung und dem Einsatz der KI. Diese haben notwendige Maßnahmen und Vorkehrungen zu treffen, um die rechtmäßige Verarbeitung, die Betroffenenrechte, die Beherrschbarkeit und die Sicherheit der Verarbeitung zu gewährleisten.

Da eine Verarbeitung personenbezogener Daten durch ein KI-System ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist gem. Art. 35 DS-DSGVO auch eine Datenschutz-Folgeabschätzung durch die Verantwortlichen erforderlich. Die Einschätzung der Risiken, die durch die ausgeführte Datenverarbeitung hervorgerufen werden, kann wesentlich davon beeinflusst werden, ob ein simples neuronales Netz zum Einsatz kommt. Es bedarf vor diesem Hintergrund einer möglichst spezifischen Einschätzung bestimmter Datenverarbeitungen. Da ethische und weitere Grundsätze von übergeordnetem Charakter bei der Auslegung des Datenschutzrechts eine Rolle spielen, sind nicht nur die Gesetzgeber auf europäischer und innerstaatlicher Ebene gefordert, sich mit diesen Fragen auseinander zu setzen, sondern auch die Behörden, die die entsprechende Verarbeitung zu beurteilen haben.

KI erfordert TOM´s
Da Datenschutz und Datensicherheit bekanntlich Hand in Hand gehen und KI-Systeme im digitalen Umfeld ausgeführt werden, sind gemäß der Art. 24, 25 DS-GVO technische und organisatorische Maßnahmen zu treffen. Aufgrund des aktuellen Stands der Entwicklung erscheint dies jedoch problematische., denn für einen datenschutzkonformen Einsatz von KI-Systemen gibt es aktuell noch keine speziellen Standards oder detaillierte Anforderungen. Dennoch ist bei der Entwicklung von KI-Systemen stets darauf zu achten, den Grundsätzen des Privacy by design und Privacy by default zu folgen.

Datenschutzaufsichtsbehörden sind gefordert in der Anwendung des Datenschutzrechts und der Beratung beim Einsatz von KI-Systemen ihren Beitrag zu leisten. Aufgrund der Demokratie ist es jedoch die grundlegende Aufgabe des Gesetzgebers, die Freiheit und Gleichheit der Menschen zu gewährleisten. Es hat daher die wesentlichen Rahmenbedingungen für die Entwicklung und den Einsatz von KI festzulegen. Hierbei bietet die DS-GVO eine rechtliche Grundlage, auf die weitere Regelungen aufgebaut werden können.