Der Europäische Gerichtshof hat festgestellt: Beamte sind „Beschäftigte“ im Sinne des § 88 DS-GVO.

Der Europäische Gerichtshof hat festgestellt: Beamte sind „Beschäftigte“ im Sinne des § 88 DS-GVO.

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Der Europäische Gerichtshof hat festgestellt:

Beamte sind „Beschäftigte“ im Sinne des § 88 DS-GVO.

 

KURZ und knapp.

 

88 Abs.1 DS-GVO regelt die Verarbeitung von Daten im Zusammenhang mit einem „Beschäftigungsverhältnis“. Der EuGH hat in seiner Entscheidung vom 30. März 2023 (Az. C-34/21) klargestellt, dass das Wort „Beschäftigungsverhältnis“ auch ein beamtenrechtliches Dienstverhältnis mit umfasst, weil:

Die DS-GVO den Begriff des „Beschäftigten“ und das in § 88 DSG-VO verwendete Wort „Beschäftigtenkontext“ weder definiert noch auf nationale Gesetze verweist, sodass Beamte nicht ausdrücklich ausgeschlossen sind.

Beschäftigte im üblichen Sinn ihre Arbeit in einem Unterordnungsverhältniss zu ihrem Arbeitgeber und daher unter dessen Kontrolle erledigen.

Das wesentliche Merkmal des „Beschäftigungskontexts“ darin besteht, dass eine Person während einer bestimmten Zeit für eine andere nach deren Weisung Leistungen erbringt, für die sie als Gegenleistung eine Vergütung erhält.

Somit schlussfolgert der EuGH, dass § 88 DS-GVO mit dem Wort „Beschäftigungskontext“ Beschäftigungsverhältnisse sowohl im privaten wie auch im öffentlichen Sektor umfasst.

Datenschutzverstöße von Beschäftigten

Datenschutzverstöße von Beschäftigten

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

 

Wer haftet eigentlich wie, wenn der Mitarbeiter nicht datenschutzkonform handelt? Ist prinzipiell das Unternehmen in der Haftung oder trifft es den Mitarbeiter? Diese Haftungsfrage lässt sich bei einer differenzierten Betrachtung beantworten.

Nutzung der Daten fällt völlig aus dem Rahmen

Benutzt der Mitarbeiter die Daten widerrechtlich für eigene private Zwecke, dann fällt die Handlung des Beschäftigten so sehr aus dem Rahmen, dass er im Sinne des Datenschutzrechtes allein für sein Handeln als Verantwortlicher gerade zu stehen hat. Dies ist damit zu begründen, dass der Mitarbeiter die persönlichen Daten anderer so zweckentfremdet und ausufernd nutzt, dass ein sog. Mitarbeiterexzess gegeben ist.

Ein solcher liegt beispielsweise vor bei der:

  • Nutzung von Telefonnummern zum Aufbau privater Kontakte
  • Abfragen von Kontoinformationen zur Nutzung in einer privaten zivilrechtlichen Streitigkeit.
  • Nutzung von polizeilichen Auskunftssystemen für die eigene private politische Vereinsarbeit.

Das Unternehmen haftet in diesem Fall folglich nicht. So sieht es auch die Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. April 2019. Aber die Ausnahme bestätigt die Regel: Hat die Geschäftsleitung von dem Verhalten des Mitarbeiters Kenntnis und duldet dieses, so sitzen beide im selben Boot und haften gemeinsam.

Mitarbeiter handelt innerhalb der unternehmerischen Tätigkeit nicht datenschutzkonform

Handelt ein Mitarbeiter innerhalb der unternehmerischen Tätigkeit nicht datenschutzkonform, wird dessen Handlung dem Unternehmen als Verantwortlicher im Sinne des Datenschutzrechtes zugerechnet. Dies bedeutet, dass das Unternehmen haftet. Ob das Unternehmen den Beschäftigen in Regress nehmen kann, wird im Einzelfall nach den Grundsätzen des sog. innerbetrieblichen Schadensausgleichs festzustellen sein. Der Grad der Haftung hängt vom Grad des Verschuldens des Beschäftigten ab. Bei einer fahrlässigen Datenschutzverletzung hat das Unternehmen in der Regel keinen Anspruch auf Ausgleich, da der Beschäftigte für das Unternehmen und in dessen Interesse gearbeitet hat.

Schadenersatz des Betroffenen

Derjenige, dessen persönliche Daten widerrechtlich verwendet wurden, hat gegen den Verantwortlichen einen Auskunftsanspruch und Schadenersatzanspruch.

Bußgeld durch die Behörde

Die Frage, ob der Mitarbeiter im Exzess oder das Unternehmen im Falle eines nicht exzessiven Datenschutzverstoßes eine Ordnungswidrigkeit begangen hat und hierfür haftet, ist derzeit in der Rechtsprechung und Literatur strittig. Die einen sind der Meinung, dass aus der Verordnungsbegründung (Erwägungsgründen) der DS-GVO der kartellrechtliche sog. funktionale Unternehmensbegriff anzuwenden ist. Die anderen sprechen sich gegen eine Anwendung dieses Begriffs aus. Der funktionale Unternehmensbegriff wird verwendet, um möglichst viele wirtschaftliche Gebilde in den Anwendungsbereich des Kartellrechts einzuordnen. Es geht also lediglich um die Feststellung, dass ein Zusammenschluss von Personen stattfindet und die wirtschaftliche Tätigkeit irgendwie funktioniert, egal welche Rechtsform er hat und wie er sich finanziert. Zusätzlich hierzu sieht die DS-GVO vor, dass grundsätzlich dem EU-Recht der Vorrang vor dem nationalen Recht der Mitgliedsstaaten hat.

Hierin liegt das Dilemma, denn die Anwendung des funktionalen Unternehmensbegriffs lässt sich mit dem deutschen und im Übrigen auch mit dem österreichischen Ordnungswidrigkeitenrecht nicht vereinbaren. Eine juristische Person, also das Unternehmen als GmbH, UG oder AG, kann nur eingeschränkt Täter im Sinne des Ordnungswidrigkeitengesetzes sein. Erforderlich ist, dass ein Fehlverhalten der vertretungsberechtigten Organe, in der Regel der Geschäftsführung, nachgewiesen wird.

So ist es auch nicht verwunderlich, dass der österreichische Verwaltungsgerichtshof im Jahr 2020 der vorrangigen Anwendung von EU-Recht eine Absage erteilt hat (ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229). In Deutschland ist die Rechtsprechung uneins. Das LG Bonn (Urteil v. 11.11.2020 – 29 OWi 1/20) hat eine unmittelbare Haftung angenommen. Das LG Berlin hat ebenso wie der ÖWwGH eine unmittelbare Haftung des Unternehmens verneint (LG Berlin, Beschluss vom 18.2.2021, Az. 526 OWi LG 212 Js-OWi 1/20 (1/20). Gegen den Beschluss des LG Berlin wurde Beschwerde eingelegt. Es bleibt abzuwarten, wie das Kammergericht Berlin entscheidet und ob es zu einer Vorlage zum EuGH kommt.

Fakt ist, dass es für Unternehmen derzeit keine Rechtssicherheit gibt, ob eine Haftung besteht oder nicht. Unklar sind auch die Maßstäbe für eine zurechenbare Verantwortlichkeit. Fakt ist auch, dass es gar nicht so weit hätte kommen dürfen. Es ist auch bei EU-Verordnungen ein Mindestmaß an sprachlicher Klarheit zu erwarten und nicht erklärbar, weshalb nicht direkt in der Verordnung eine eindeutige Regelung bezüglich der unmittelbaren Verbandshaftung von Unternehmen erfolgt ist.

 

 

 

 

 

 

Betriebsvereinbarung über Beschäftigtendatenschutz

Betriebsvereinbarung über Beschäftigtendatenschutz

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Was ist eine Betriebsvereinbarung?

Eine Betriebsvereinbarung ist die Einigung zwischen dem Betriebsrat und dem Arbeitgeber über einen Regelungsbereich im Betrieb. Sie gliedert sich in einen schuldrechtlichen Teil, der die Rechtsbeziehung zwischen dem Betriebsrat und dem Arbeitgeber regelt sowie einen normativen Teil, der verbindliche Regelungen über die Arbeitsverhältnisse der Angestellten im Unternehmen.

Eine gültige Betriebsvereinbarung liegt vor, wenn:

  • Der Betriebsrat und der Arbeitgeber eine wirksame Vereinbarung geschlossen haben.
  • Diese schriftlich niedergelegt ist (§ 77 Abs. 2 BetrVG).
  • Sie zulässige Regelungen über die Arbeitsverhältnisse enthält.

Was ist unter Beschäftigtendatenschutz zu verstehen?

Der Begriff umschreibt die Verarbeitung von personenbezogenen Daten der Beschäftigten im Rahmen des Arbeitsverhältnisses. Unter solchen personenbezogenen Daten sind alle Einzelangaben über persönliche und sachliche Verhältnisse eines bestimmten oder bestimmbaren Beschäftigten zu verstehen.

Kann in einer Betriebsvereinbarung der Beschäftigtendatenschutz geregelt werden?

Ja, die europäische Datenschutzgrundverordnung legt in § 88 Abs. DS-GVO (Datenschutz Grundverordnung) ausdrücklich fest, dass die einzelnen Mitgliedsstaaten durch Rechtsvorschriften oder Kollektivvereinbarungen den Beschäftigtendatenschutz regeln können. Die Betriebsvereinbarung ist eine Dienstvereinbarung im Sinne der europäischen Datenschutzverordnung.

Warum ist eine Betriebsvereinbarung über den Beschäftigtendatenschutz notwendig?

Durch das Bundesdatenschutzgesetz werden in § 26 BDSG (Bundesdatenschutzgesetz) Regelungen über die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses aufgestellt. Diese sind aber nicht abschließend. Um die individuellen Gegebenheiten und Bedürfnisse im Einzelfall für einen ganz bestimmten Betrieb regeln zu können, ist eine Betriebsvereinbarung für die Rechtsklarheit über die Rechte und Ansprüche von Arbeitgeber, Betriebsrat und Arbeitnehmer äußerst ratsam. Die Betriebsvereinbarung kann beispielsweise die Videoüberwachung, den Einsatz von künstlicher Intelligenz, die Durchführung von Mitarbeiterkontrollen oder die Leistungsüberwachung regeln.

Durch die Betriebsvereinbarung können nicht nur Konkretisierungen des BDSG oder der Datenschutz zu Gunsten der Beschäftigen verbessert werden, sondern es darf durch sie auch zulasten der Beschäftigten von den Regelungen des BDSG abgewichen werden.

In einem solchen Fall muss eine sorgfältige Abwägung zwischen den Interessen des Arbeitgebers an einer bestimmten Datenverarbeitung und dem Persönlichkeitsrecht getroffen werden. Hier ist vor allem § 75 Abs.2 BetrVG zu beachten, wonach Arbeitgeber und Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern haben.

 

 

 

 

 

 

 

 

Datenschutz und Betriebsrat

Datenschutz und Betriebsrat

Bisher war nicht klar, ob im Rahmen der Betriebsratsarbeit der Arbeitgeber oder der Betriebsrat „Verantwortlicher“ im Sinne der Europäischen Datenschutzgrundverordnung (DSVGO) und des Bundesdatenschutzgesetzes (BDSG) ist. Der Gesetzgeber hat durch die Einführung von § 79a S.2 BetrVG diese Frage entschieden. Danach ist der Arbeitgeber der „Verantwortliche“, da der Betriebsrat institutionell als unselbstständiger Teil im Unternehmen tätig ist. Der Betriebsrat muss aber die datenschutzrechtlichen Vorschriften einhalten. Welche Rechtsfolgen bei einem Verstoß des Datenschutzes dem Betriebsrat treffen können, lässt die Norm offen. Klar geregelt ist hingegen, dass sich Arbeitgeber und Betriebsrat gegenseitig unterstützen sollen, um den Datenschutz auch in diesem Bereich des Unternehmens sicherzustellen.

Nicht geregelt ist, wie die Unterstützung zu leisten ist und wie die gegenseitige Unterstützungspflicht durchgesetzt werden kann, wenn ihr nicht entsprochen wird. Ob der Datenschutzbeauftragte des Unternehmens hier die Schnittstelle und Kontrollinstanz sein kann, wird sich zeigen. Der Gesetzgeber sieht in dem Datenschutzbeauftragten des Unternehmens eine neutrale Instanz, die gegenüber dem Arbeitgeber zur Verschwiegenheit über Informationen verpflichtet ist, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen.

Die Änderung hat auch zur Folge, dass der Arbeitgeber in seinem als „Verantwortlicher“ zu führenden Verarbeitungsverzeichnis gem. Art. 30 DSGVO mit aufnehmen muss welche Daten der Betriebsrat wie verarbeitet, speichert und möglicherweise an Dritte weiterleitet.

Der Datenschutz allein ist ein weites Feld. Verknüpft mit der Arbeit des Betriebsratet bietet sich, wie kann es hier an dieser Stelle auch anders stehen, ein Seminar an. In einer solchen Schulung ließe sich dann auch der wichtige Bereich des Beschäftigtendatenschutzes hervorragend eingliedern.

 

Cookie Consent mit Real Cookie Banner