Hinweis: Mit Aktivierung des Videos wird YouTube im erweiterten Datenschutzmodus abgespielt. Mit der Aktivierung stimmen Sie den Datenschutzbestimmungen von YouTube und den Datenschutzbestimmungen der Mammut Aktenvernichtung zu.
Datenschutzrechtliche Herausforderungen beim Einsatz künstlicher Intelligenz im Personalwesen
Der Einsatz künstlicher Intelligenz (KI) im Personalwesen eröffnet Chancen, stellt Unternehmen jedoch auch vor erhebliche datenschutzrechtliche Herausforderungen. Insbesondere die automatisierte Bewerberauswahl wirft Fragen auf, etwa zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) und der geplanten KI-Verordnung (AI Act).
So müssen Unternehmen nicht nur Transparenz und Datenschutzrechte gewährleisten, sondern auch auf die Risiken automatisierter Entscheidungen reagieren. Datenschutzexperte Aaron Nourbakhsh erklärt, welche Aspekte beim Einsatz von KI zu beachten sind und warum menschliche Intervention im Bewerbungsprozess auf absehbare Zeit unverzichtbar bleibt.
Transkript des Videos:
Ein Mammut-Datenvernichtung-Kunde fragt: „Welche datenschutzrechtlichen Herausforderungen ergeben sich beim Einsatz von künstlicher Intelligenz im Personalwesen, und ist eine automatisierte Bewerberauswahl durch KI überhaupt zulässig?“
Mein Name ist Aaron Nourbakhsh, und ich bin Datenschutzberater seit dem Jahre 2018.
Wir haben es hier also mit zwei Kernfragen zu tun. Die erste bezieht sich darauf, welche datenschutzrechtlichen Herausforderungen gibt’s beim Einsatz von KI.
Die Zweite betrifft die automatisierte Auswertung von Bewerberdaten mit Hilfe einer künstlichen Intelligenz, was natürlich für viele Unternehmen richtig spannend ist, da man dadurch einen Produktivitätszuwachs erleben kann.
In diesem Video geht es um die Datenschutz-Grundverordnung (DSGVO), d.h. den Schutz der informationellen Selbstbestimmung von Personen, die sich in der EU aufhalten. Es gibt natürlich auch noch die KI-Verordnung, die entsprechend regelt, inwiefern Menschen, die mit einer KI in Berührung kommen, geschützt werden müssen.
Zum Beispiel, dass sie informiert werden, dass Schutzsiegel gibt für die KI oder auch, dass der Betreiber muss zudem ein Risikomanagementsystem einführt. Wir schauen uns aber den datenschutzrechtlichen Aspekt in diesem Video an.
Einige beispielhafte Herausforderungen sind die folgenden:
Intransparenz bei der Datenverarbeitung:
Letztlich ist die Wirkungsweise von einer KI ist für uns nicht nachvollziehbar. Die kennt vielleicht der Anbieter. Wir als Anwender geben aber Daten, personenbezogene Daten, unserer Kunden oder Bewerber, in dieses Tool ein und die Person, deren Daten wir dort eingeben, hat gewisse Rechte, zum Beispiel auf Auskunft darüber, wie ihre Daten verarbeitet werden. Dem können wir gar nicht nachkommen, weil wir nicht verstehen, wie die KI funktioniert.
Eine weitere Herausforderung sind internationale Übermittlungen von personenbezogenen Daten
Viele Anbieter von KI’s befinden sich außerhalb der EU und dafür müssen wir spezielle Sicherheitsmaßnahmen treffen, damit personenbezogene Daten unserer Nutzer in Drittländern nicht missbraucht werden.
Der dritte Punkt richtet sich auf automatisierte Entscheidungen. Gemäß Artikel 22 DSGVO muss eine Möglichkeit zur Intervention durch den Nutzer bestehen. Was bedeutet das? Zum Beispiel, wenn ich einen Kredit vergebe oder ablehne auf Basis einer KI-Entscheidung, dann hat der Nutzer Möglichkeiten z.B zu widersprechen oder dass eine natürliche Person, ein Mensch, noch mal über die Entscheidung schaut – und das erschwert natürlich die Automatisierung.
Schauen wir uns jetzt den zweiten Teil der Frage an, nämlich ob die automatisierte Bewerberauswahl durch die KI rechtlich möglich ist. Zunächst müssen wir festhalten, dass wir uns in einem hochregulierten Bereich hier befinden, denn die KI würde darüber entscheiden, ob ein Bewerber zu einem Mitarbeiter wird oder eben abgelehnt wird.
Aus der KI Verordnung haben wir sehr sehr hohe Anforderungen, weil sich bei einem Bewerberauswahltool – KI gestützt – um ein Hochrisikosystem handelt und dort sind wirklich hohe Hürden zu überwinden.
Im Bereich der Datenschutz-Grundverordnung haben wir den bereits genannten Artikel 22 DSGVO, der ein menschliches Eingreifen notwendig macht, sofern die Entscheidung natürlich nicht in Ordnung ist für den Bewerber.
Zudem muss er die Möglichkeit haben, seinen Standpunkt darzulegen, dazu, dass er abgelehnt wurde. Und zum Dritten muss er die Möglichkeit haben, die Entscheidung anzufechten und spätestens da ist menschliche Intervention, eine menschliche Komponente, notwendig.
Im Ergebnis sehe ich also nicht, dass KI den gesamten Bewerberprozess, den gesamten Bewerbungsprozess ersetzen kann, sondern dass es ihn vereinfachen kann aber eine menschliche Komponente wird immer notwendig sein. Z.B. könnte ich mir vorstellen, dass gewisse gute Bewerbermerkmale geflaggt werden, hervorgehoben werden, um dem Recruiter die Arbeit zu vereinfachen.
Ich hoffe, das hat Ihnen einen guten Überblick gegeben über die Frage. Wenn sich weitere Fragen stellen, dann melden Sie sich gerne jederzeit.
Mein Name ist Aaron Nourbakhsh, bleiben sie datenschutzkonform … tschüss.
Ihr Team Datenschutz
Unsere Datenschutzexperten beantworten Ihre Fragen und bieten Ihnen bei Bedarf umfassende Unterstützung rund um den Schutz Ihrer Daten. Mit langjähriger Erfahrung, klarem Blick auf aktuelle Entwicklungen und fundiertem Fachwissen entwickeln sie maßgeschneiderte Lösungen, die genau auf Ihre Bedürfnisse zugeschnitten sind.
Thomas Rosin
Bad Schwartau
Berater für Datenschutz und Informationssicherheit
Melodie Lange
Ingolstadt
Beraterin für Datenschutz und Informationssicherheit
Christian Schröder
Oberhausen b. München
Berater für Datenschutz und Informationssicherheit
Aaron Nourbakhsh
Hannover
Berater für Datenschutz und Informationssicherheit