Menü Schließen
Klicke hier zur PDF-Version des Beitrags!

I. Ein­lei­tung

II. Ver­hal­tens- und Leis­tungs­kon­trol­len im betrieb­li­chen und wis­sen­schaft­li­chen Bereich

III. Sta­tus Quo: Grund­la­gen des (Beschäftigten-)Datenschutzes im Kon­text von Ver­hal­tens- und Leistungskontrolle

IV. Her­aus­for­de­run­gen und Lösungs­an­sät­ze
1. Inter­es­sens­ab­wä­gung bei Leis­tungs­kon­trol­le am Arbeitsplatz

2. Der Ein­satz von KI zur Leis­tungs­kon­trol­le: Ver­schär­fung der Über­wa­chung oder legi­ti­mes „Fein­tu­ning“?

V. Aus­blick auf den KI-Ein­satz zur Leis­tungs­kon­trol­le im Be- schäf­ti­gungs­kon­text im Jahr 2030

VI. Hand­lungs­emp­feh­lun­gen VII. Zusammenfassung

I. Ein­lei­tung

Seit das text­ba­sier­te Dia­log­sys­tem (Chat­bot) ChatGPT des US-ame­ri­ka­ni­schen Unter­neh­mens Ope­nAI Ende 2022 zur kos­ten­frei­en Ver­wen­dung online gestellt wur- de, ist ein regel­rech­ter Hype um KI-gestütz­te Text­ge­ne- rato­ren, das zugrun­de­lie­gen­de Text- und Data-Mining und deren Anwen­dungs­mög­lich­kei­ten u.a. auch in recht­li­chen Kontexten2 ent­stan­den. Die Fort­schrit­te, die in der Ent­wick­lung von KI-Anwen­dun­gen sicht­bar wer-

  1. 1  Der Bei­trag knüpft an den pro­jekt­be­zo­ge­nen Bei­trag „Infor­ma- tio­nel­le Selbst­be­stim­mung in der digi­ta­len Arbeits­welt“ aus dem BMBF-geför­der­ten Pro­jekt „Inver­se Trans­pa­renz — Betei­li­gungs­ori- entier­te Ansät­ze für Daten­sou­ve­rä­ni­tät in der digi­ta­len Arbeits­welt gestal­ten“ an, der am 24.5.2022 im For­schungs­re­port „Daten – In- nova­ti­on – Pri­vat­heit: Mit Inver­ser Trans­pa­renz das Gestal­tungs­di- lem­ma der digi­ta­len Arbeits­welt lösen“, S. 56 ff., erschie­nen ist. Der vor­lie­gen­de Bei­trag ent­wi­ckelt die­se Gedan­ken zum KI-Ein­satz im Kon­text staat­li­cher Hoch­schu­len wei­ter und sucht Lösungs­an- sät­ze für eine ver­hält­nis­mä­ßi­ge Leis­tungs- und Ver­hal­tens­kont- rol­le mit­tels algo­rith­mi­scher Systeme.
  2. 2  Hier­zu Bachgrund/Nesum/Bernstein/Burchard, Das Pro und Con- tra für Chat­bots in Rechts­pra­xis und Rechts­dog­ma­tik, CR 2023, 132 ff.
  3. 3  Vgl. u.a. https://www.sueddeutsche.de/wirtschaft/zalando-ueber- wachung-zonar‑1.4688431 (letz­ter Zugriff am 27.02.2023).
  4. 4  Lurtz, Bewer­tungs­tech­no­lo­gien im Beschäf­ti­gungs­ver­hält­nis – eine (ers­te) daten­schutz­recht­li­che Bewer­tung, ZD-Aktu­ell 2020,

den, füh­ren dazu, dass auch sol­che Ein­satz­sze­na­ri­en auf den Prüf­stand kom­men, die schon ver­meint­lich recht- lich geklärt schie­nen. Dies gilt etwa für Leis­tungs­kont- rol­len bzw. Auf­sichts­maß­nah­men des Arbeit­ge­bers oder Dienst­herrn gegen­über Beschäftigten.

Der Ein­satz von KI-Sys­te­men zur Leis­tungs­kon­trol­le am Arbeits­platz ist in den ver­gan­ge­nen Jah­ren ver­stärkt in den öffent­li­chen Fokus gerückt. Im Novem­ber 2019 geriet bei­spiels­wei­se das Ber­li­ner Start­up Zalan­do in die Schlag­zei­len durch den Ein­satz einer Per­so­nal­soft­ware namens „Zonar“, mit der die Leis­tung und das Ver­hal­ten von Arbeits­kol­le­gen bewer­tet wer­den kann.3 Das The­ma wur­de ver­ein­zelt auch in juris­ti­schen Fach­krei­sen auf­ge- griffen.4 Wohl in Fol­ge der kri­ti­schen Bericht­erstat­tung nahm Zalan­do Ände­run­gen an der Soft­ware vor.5 Im Juni 2020 waren die eben­falls von Zalan­do ver­wen­de­ten Soft­ware-Sys­te­me „Zalos“ und „Zafe­to“ Gegen­stand des öffent­li­chen Diskurses.6 Mit die­sen bei­den Tools kann etwa erfasst wer­den, wie vie­le Arti­kel ein Beschäf­tig­ter pro Schicht bearbeitet.7 In den bei­den letz­te­ren Fäl­len hat die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor- mati­ons­frei­heit eine Prü­fung ein­ge­lei­tet und Ände- rungs­hin­wei­se erteilt.8 Die fort­wäh­ren­de Erfas­sung von Leis­tungs­da­ten beim Online-Händ­ler Ama­zon wur­de hin­ge­gen — nach Unter­sa­gung durch die Landesbeauf-

06926; Holt­hau­sen, Big Data, Peo­p­le Ana­ly­tics, KI und Gestal­tung von Betriebs­ver­ein­ba­run­gen– Grund‑, arbeits- und daten­schutz- recht­li­che An- und Her­aus­for­de­run­gen, RdA 2021, 19, 22 Fn. 65; Joos, Ein­satz von künst­li­cher Intel­li­genz im Per­so­nal­we­sen unter Beach­tung der DS-GVO und des BDSG, NZA 2020, 1216, 1221.

5 Vgl. https://www.datenschutz-notizen.de/zalando-aendert- eige­ne-bewer­tungs­soft­ware-zonar-2829837/ (letz­ter Zugriff am 27.02.2023).

6 Vgl. u.a. https://t3n.de/news/ueberwachung-berlin- prueft-1286877/ (letz­ter Zugriff am 27.02.2023).

7 Vgl. https://www.zeit.de/wirtschaft/unternehmen/2020–05/zalan- do-datenschutzbeauftragte-pruefverfahren-logistikzentrum?utm_ referrer=https%3A%2F%2Fwww.google.com%2F (letz­ter Zugriff am 27.02.2023).

8 Vgl. Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei- heit, Jah­res­be­richt 2020 Daten­schutz und Infor­ma­ti­ons­frei­heit, S. 267.

Dirk Heck­mann und Lorenz Marx

KI-Ein­satz zur Leis­tungs­kon­trol­le am (Hochschul-)Arbeitsplatz1
Anfor­de­run­gen aus Sicht des Datenschutzrechts

Ord­nung der Wis­sen­schaft 2023, ISSN 2197–9197

64 ORDNUNG DER WISSENSCHAFT 2 (2023), 63–70

trag­te für den Daten­schutz Nie­der­sach­sen — erst kürz­lich gericht­lich für zuläs­sig erklärt.9 Die in Echt­zeit minu­ti­ös erfol­gen­de Erfas­sung der Arbeits­schrit­te von Mit­ar­bei- tern wur­de vom Gericht unter dem Aspekt logis­ti­scher Abläu­fe für erfor­der­lich gehalten.10

Die­se Bei­spie­le zei­gen nur einen Aus­schnitt des denk­bar brei­ten Spek­trums an poten­zi­el­len Anwen- dungs­fäl­len für eine KI-unter­stütz­te Leis­tungs­kon­trol­le nicht nur in der Wirt­schaft, son­dern auch an Hoch­schu- len und For­schungs­ein­rich­tun­gen, die in Zukunft durch gro­ße Trends wie Big Data und die Ver­füg­bar­keit immer viel­fäl­ti­ge­rer und leis­tungs­fä­hi­ge­rer algo­rith­mi­scher Sys­te- me noch wach­sen dürf­te. Anders als beim Ein­satz von KI-Sys­te­men im Rah­men des Bewer­bungs­pro­zes­ses wird der Ein­satz von KI zur Leis­tungs­kon­trol­le wäh­rend des Beschäf­ti­gungs­ver­hält­nis­ses in der Rechts­wis­sen­schaft noch ver­gleichs­wei­se wenig diskutiert.11 Die­ser Bei­trag zeigt die daten­schutz­recht­li­chen Deter­mi­nan­ten sowie den ver­blei­ben­den Akti­ons­ra­di­us auf.

II. Ver­hal­tens- und Leis­tungs­kon­trol­len im betrieb­li- chen und wis­sen­schaft­li­chen Bereich

Die fort­wäh­ren­de Über­wa­chung und die Kon­trol­le des Ver­hal­tens sowie der Leis­tung von Beschäf­tig­ten im Hin- blick auf ihre (außer-)vertraglichen Pflich­ten ist ein eng mit der Durch­füh­rung des Arbeits­ver­hält­nis­ses ver­bun- denes Instrument.12 Sol­che Ver­hal­tens- und Leis­tungs- kon­trol­len sind dabei nicht auto­ma­tisch Aus­druck von Miss­trau­en im macht­asym­me­tri­schen Ver­hält­nis von Vor­ge­setz­ten und Beschäf­tig­ten. Viel­mehr kön­nen sol- che Kon­trol­len auch geeig­net sein, inter­ne Pro­zes­se zu über­ar­bei­ten und zu opti­mie­ren und erfor­der­lich sein, um Com­pli­ance-Pflich­ten nach­zu­kom­men (s.u. IV.1.).

Dabei sind die Arten von Leis­tungs­kon­trol­len außer- ordent­lich viel­fäl­tig. Der tech­ni­sche Fort­schritt der digi- talen Trans­for­ma­ti­on und die rasch voranschreitende

  1. 9  VG Han­no­ver 9.2.2023, 10 A 6199/20; s. hier­zu auch https:// www.verwaltungsgericht-hannover.niedersachsen.de/aktuelles/ pres­se­mit­tei­lun­gen/­da­ten­er­he­bung-bei-ama­zon-in-win­sen-ist- rechtmassig-219664.html (letz­ter Zugriff am 27.02.2023).
  2. 10  Vgl. auch Mon­tag, Stän­di­ge Mit­ar­bei­ter­kon­trol­le bei Ama­zon Logis­tik nicht zu bean­stan­den, beck-aktu­ell v. 10. Febru­ar 2023 zu VG Han­no­ver 9.2.2023, 10 A 6199/20.
  3. 11  So auch Joos, Ein­satz von künst­li­cher Intel­li­genz im Per­so­nal­we- sen unter Beach­tung der DS-GVO und des BDSG, NZA 2020, 1216, 1221.

Auto­ma­ti­sie­rung von Pro­zes­sen mit­tels rie­si­ger Daten- men­gen ermög­licht immer neue­re und wei­ter­ge­hen­de Kon­trol­len. Im betrieb­li­chen Beschäf­tig­ten­kon­text sind para­dig­ma­tisch die Zeit­er­fas­sung, Video­über­wa­chung, GPS-Track­ing, die Kon­trol­le und Pro­to­kol­lie­rung der IT-Nut­zung oder die Ver­ar­bei­tung von Bewer­tun­gen von Beschäf­tig­ten und Vor­ge­setz­ten anzu­füh­ren. Derar- tige Instru­men­te erzeu­gen eine Viel­zahl von Daten­punk- ten. Da sich Ver­hal­tens- und Leis­tungs­da­ten sinn­vol­ler- wei­se immer bestimm­ten, hier­durch zumin­dest iden­ti­fi- zier­ba­ren Per­so­nen zuord­nen las­sen, han­delt es sich in aller Regel um per­so­nen­be­zo­ge­ne Daten gemäß Art. 4 Nr. 1 DSGVO,13 wes­halb die beschrie­be­nen Orga­ni­sa­ti- ons­in­ter­es­sen immer auch mit dem Schutz der Per­sön- lich­keits­rech­te der Mit­ar­bei­ter in Ein­klang zu brin­gen sind (s. hier­zu aus­führ­lich IV.).

Auch in staat­li­chen Hoch­schu­len und For­schung­sein- rich­tun­gen kön­nen Ver­hal­tens- und Leis­tungs­kon­trol­len zur Pro­zess­op­ti­mie­rung und Ein­hal­tung von Com­pli- ance-Anfor­de­run­gen geeig­net sein und daher Anwen- dung fin­den. Hier­bei ist aber streng zwi­schen nicht-wis- sen­schaft­li­chem und wis­sen­schaft­li­chem Per­so­nal zu dif­fe­ren­zie­ren. Die Instru­men­te zur Mit­ar­bei­ter­über­wa- chung bei nicht-wis­sen­schaft­li­chem, in der Regel mit Ver­wal­tungs­auf­ga­ben betrau­tem Per­so­nal kön­nen auf- grund der Linea­ri­tät und Wie­der­hol­bar­keit der Auf­ga- ben und der regel­mä­ßig vor­de­fi­nier­ten Zie­le durch­aus denen im betrieb­li­chen Kon­text (s.o.) ähneln.

Bei wis­sen­schaft­li­chem Per­so­nal gestal­ten sich derar- tige Leis­tungs­kon­trol­len schwie­ri­ger. Auch wenn ihre Arbeit sich an einem Erkennt­nis­ge­winn orientiert,14 kann hier­aus noch kein mess­ba­res Ziel geschlos­sen wer- den, zumin­dest kein vor­de­fi­nier­tes. Im Lich­te der ver­fas- sungs­recht­lich geschütz­ten Wis­sen­schafts­frei­heit nach Art. 5 Abs. 3 GG bzw. der For­schungs­frei­heit nach Art. 13 GRCh müss­te man bereits bei der Fra­ge anset­zen, was über­haupt unter „Leis­tung“ in die­sem Kon­text zu

12 Taeger/Gabel/Zöll, 4. Aufl. 2022, BDSG § 26 Rn. 41; ErfK/Fran- zen, 23. Aufl. 2023, BDSG § 26 Rn. 22.

13 Vgl. so auch Win­ter, Leis­tungs­da­ten im Kon­text des Daten­schutz- rechts, SpuRt 2020, 168, 169.

14 Das BVerfG defi­niert For­schung als „geis­ti­ge Tätig­keit mit dem Zie­le, in metho­di­scher, sys­te­ma­ti­scher und nach­prüf­ba­rer Wei­se neue Erkennt­nis­se zu gewin­nen“, s. BVerfG 29.5.1973, 1 BvR 325/72, BVerfGE 35, 79, 113, vgl. auch Dürig/Herzog/Scholz/Gär- ditz, 99. EL Sept. 2022, GG Art. 5 Abs. 3 Rn. 94.

Heckmann/Marx · KI-Ein­satz zur Leis­tungs­kon­trol­le am (Hochschul-)Arbeitsplatz 6 5

ver­ste­hen ist und an wel­chen Para­me­tern eine Leis­tungs- kon­trol­le anset­zen kann. Staat­li­che Hoch­schu­len wer­den im Rah­men der Wis­sen­schafts­frei­heit gegen­über ihren wis­sen­schaft­li­chen Mit­ar­bei­tern zur Gewähr­leis­tung von Frei­heit in Leh­re und For­schung verpflichtet.15 Eineinhalt­li­che Kon­trol­le von wis­sen­schaft­li­chem Per­so­nal kann nur mit „Mit­teln des wis­sen­schaft­li­chen Dis­kur­ses“ erfol­gen, solan­ge dem jewei­li­gen For­schungs­er­geb­nis nicht bereits der ernst­haf­te Ver­such abge­spro­chen wer- den kann, die Grund­sät­ze wis­sen­schaft­li­chen Arbei­tens zu beachten.16 Hier­bei rückt ins­be­son­de­re algo­rith­men- basier­te Pla­gi­ats­soft­ware in den Fokus, die rie­si­ge Men- gen an Text­da­ten agg­re­giert und wis­sen­schaft­li­che Tex­te mit den zugrun­de­lie­gen­den Text­da­ten ver­gleicht, um Über­ein­stim­mun­gen fest­zu­stel­len. Eben­so könn­te künf- tig die sog. Anma­ßung einer wis­sen­schaft­li­chen Auto- ren­schaft, die ein mit den wis­sen­schaft­li­chen Grund­sät- zen unver­ein­ba­res Fehl­ver­hal­ten darstellt,17 zum Bei­spiel durch tech­ni­sche Erwei­te­run­gen bereits viel­fach ver- wen­de­ter Pro­jekt­ver­wal­tungs­soft­ware, die häu­fig alle Ent­wick­lungs­schrit­te und inhalt­li­chen Bei­trä­ge der tat- säch­lich betei­lig­ten Wis­sen­schaft­ler spei­chert, auto­ma­ti- siert iden­ti­fi­ziert werden.

Dar­über hin­aus sind aber auch hier die neu­er­li­chen Aus­wir­kun­gen KI-gestütz­ter Sys­te­me wie ChatGPT zu beach­ten: Wäh­rend her­kömm­li­che Pla­gi­ats­soft­ware die Tex­te des Dia­log­sys­tems teil­wei­se als „mensch­lich echt“ einstufte,18 ver­fügt Soft­ware, die spe­zi­fisch zur Auf­de- ckung ChatGPT-gene­rier­ter Tex­te ent­wi­ckelt wur­de (z.B.GPTZero),nochnichtüberdieerforderlicheLeis- tungs­fä­hig­keit und Treffsicherheit.19 Sowohl her­kömm­li- che als auch spe­zi­fi­sche Pla­gi­ats­kon­trol­le funk­tio­niert also noch nicht hin­rei­chend zuver­läs­sig. KI-Sys­te­me brin­gen nun­mehr KI-Sys­te­me zur Pla­gi­ats­kon­trol­le an ihre Grenzen.

Die beschrie­be­nen betrieb­li­chen Instru­men­te zur Ver­hal­tens- und Leis­tungs­kon­trol­le kön­nen auf Wis­sen- schaft­ler mit Blick auf deren indi­vi­du­ell gewährleistete

  1. 15  Jarass/Pieroth/Jarass, 17. Aufl. 2022, GG Art. 5 Rn. 133.
  2. 16  So bzgl. Hoch­schul­leh­rern auch BVerfG 8.8.2000, 1 BvR653/97, NJW 00, 3635; Jarass/Pieroth/Jarass, 17. Aufl. 2022, GGArt. 5 Rn. 155.
  3. 17  DFG, Gui­de­lines for Safe­guar­ding Good Rese­arch Prac­ti­ce. Codeof Con­duct, 2022, S. 18 f.
  4. 18  S. hier­zu auch https://www.br.de/nachrichten/netzwelt/ki-darf-chatgpt-wissenschaftliche-artikel-schreiben,TTxluZc (letzt­er­Zu­griff am 27.02.2023).
  5. 19  Vgl. auch https://t3n.de/news/app-gptzero-chatgpt-plagi-at-1525329/ (letz­ter Zugriff am 27.02.2023).
  6. 20  BVerfG 13.4.2010, 1 BvR 216/07, BVerfGE 126, 1, 25; Jarass/Pieroth/Jarass, 17. Aufl. 2022, GG Art. 5 Rn. 149.

Wis­sen­schafts­frei­heit nicht ohne Wei­te­res über­tra­gen wer­den. Am ehes­ten kann deren Ein­satz aus­nahms­wei­se noch mit einer völ­lig feh­len­den Beach­tung der Grund- sät­ze wis­sen­schaft­li­chen Arbei­tens im Ein­zel­fall oder mit dem Erhalt der Funktionsfähigkeit20 der jewei­li­gen Hoch­schu­le begrün­det werden.

III. Sta­tus Quo: Grund­la­gen des (Beschäf­tig­ten-) Daten­schut­zes im Kon­text von Ver­hal­tens- und Leis- tungskontrolle

Trotz ver­ein­zel­ter rechts­po­li­ti­scher Bemü­hun­gen in der Ver­gan­gen­heit gibt es in Deutsch­land bis­lang kein (nati- ona­les) Beschäf­tig­ten­da­ten­schutz­ge­setz.21 Ein durch das Bun­des­mi­nis­te­ri­um für Arbeit und Sozia­les (BMAS) ein­ge­setz­ter inter­dis­zi­pli­nä­rer und unab­hän­gi­ger Bei­rat kam in sei­nem Abschluss­be­richt im Janu­ar 2022 zu dem Ergeb­nis, dass ein sol­ches eigen­stän­di­ges Gesetz aber durch­aus erfor­der­lich sei.22 Auch mit der Neu­ord­nung des euro­päi­schen Daten­schutz­rechts durch die Daten- schutz- Grund­ver­ord­nung (DSGVO) wird der Beschäf- tig­ten­da­ten­schutz nicht direkt auf Uni­ons­ebe­ne gere­gelt. Die DSGVO sta­tu­iert in Art. 88 Abs. 1 aber eine Öff- nungs­klau­sel zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Beschäf­ti­gungs­kon­text. Dar­über hin­aus zieht sie in Art. 88 Abs. 2 Gren­zen für (auto­ma­ti­sier­te) Über- wachungs­sys­te­me am Arbeits­platz, beson­ders mit Blick auf die Men­schen­wür­de und berech­tig­te Inter­es­sen der Betroffenen.23

In Anwen­dung der Öff­nungs­klau­sel des Art. 88 Abs. 1 DSGVO stellt § 26 BDSG die rele­van­te Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge- ner Daten im Rah­men von bestimm­ten Beschäf­ti­gungs- ver­hält­nis­sen dar, die den all­ge­mei­ne­ren Art. 6 Abs. 1 lit. f DSGVO in ihrem Anwen­dungs­be­reich verdrängt.24 Gemäß § 26 Abs. 1 S. 1 BDSG dür­fen per­so- nen­be­zo­ge­ne Daten für die Zwe­cke des Beschäf­ti­gungs- ver­hält­nis­ses (unter ande­rem) ver­ar­bei­tet wer­den, wenn

21 Hier­zu Heckmann/Paschke/Braun, jurisPK-Inter­net­recht, 7. Aufl. 2021, Kap. 7 Rn. 11.

22 Vgl. zum Ergeb­nis des unab­hän­gi­gen, inter­dis­zi­pli­nä­ren Bei­rats zum Beschäf­tig­ten­da­ten­schutz auch https://www.bmas.de/DE/ Ser­vice­/­Pres­se/­Mel­dun­gen/2022/b­mas-ver­oef­fent­licht-ergeb­nis­se- des-beirats-zum-beschaeftigtendatenschutz.html (letz­ter Zugriff am 27.02.2023).

23 Beck­OK DatenschutzR/Rie­sen­hu­ber, 42. Ed. 1.11.2022, DSGVO Art. 88 Rn. 91; Paal/Pauly/Pau­ly, 3. Aufl. 2021, DSGVO Art. 88 Rn. 17.

24 Maschmann, Füh­rung und Mit­ar­bei­ter­kon­trol­le nach neu­em Daten­schutz­recht, NZA-Bei­la­ge 2018, 115, 116.

66 ORDNUNG DER WISSENSCHAFT 2 (2023), 63–70

es für die Durch­füh­rung des Beschäf­ti­gungs­ver­hält­nis- ses erfor­der­lich ist. „Die Kon­trol­le, ob der Arbeit­neh­mer sei­nen Pflich­ten nach­kommt“, gehört dabei eben­so zur Durch­füh­rung des Beschäf­ti­gungs­ver­hält­nis­ses und fällt des­halb in den Anwen­dungs­be­reich des § 26 Abs. 1 S. 1 BDSG.25

Erfolgt die Daten­ver­ar­bei­tung auf Grund­la­ge einer Ein­wil­li­gung, so legt § 26 Abs. 2 BDSG die Prüf­kri­te­ri­en für die Wirk­sam­keit der Ein­wil­li­gung fest. Ins­be­son­de­re die für das Beschäf­ti­gungs­ver­hält­nis cha­rak­te­ris­ti­sche Macht­asym­me­trie ist nach § 26 Abs. 2 S. 1 BDSG für die Beur­tei­lung der Frei­wil­lig­keit der Ein­wil­li­gung zu be- ach­ten. Nach § 26 Abs. 2 S. 2 BDSG kommt eine Frei­wil- lig­keit ins­be­son­de­re in Betracht, wenn ein Vor­teil für die beschäf­tig­te Per­son erreicht wird. Die­ser Vor­teil kann sowohl wirt­schaft­li­cher als auch recht­li­cher Natur sein. Eine Ein­wil­li­gung kann auch ins­be­son­de­re dann frei­wil- lig sein, wenn eine kon­gru­en­te Inter­es­sen­la­ge besteht.

Die Recht­mä­ßig­keit der Ver­ar­bei­tung per­so­nen­be­zo- gener Daten an staat­li­chen Hoch­schu­len zu Zwe­cken der For­schung ist trotz des Span­nungs­ver­hält­nis­ses von Da- ten­schutz und For­schungs­frei­heit unter bestimm­ten Vo- raus­set­zun­gen sinn­voll möglich.26 Geht es um die Verar- bei­tung per­so­nen­be­zo­ge­ner Daten im Beschäf­ti­gungs­kon- text an staat­li­chen Hoch­schu­len und For­schungs­ein­rich- tun­gen, gilt die Vor­schrift des § 26 BDSG aller­dings nicht, außer es han­delt sich bei der ver­ar­bei­ten­den Be- hör­de um eine Hoch­schu­le des Bun­des. Denn nach § 1 Abs. 1 BDSG öff­net sich der Anwen­dungs­be­reich des Geset­zes für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch öffent­li­che Stel­len des Bun­des (Abs. 1 S. 1 Nr. 1) und nicht-öffent­li­che Stel­len (Abs. 1 S. 2), wozu bei­spiels- wei­se Arbeit­ge­ber gehören.27 Für öffent­li­che Stel­len der Län­der, also auch die aller­meis­ten staat­li­chen Hoch­schu- len, ist der Anwen­dungs­be­reich erheb­lich ein­ge­schränkt (Abs. 1 S. 1 Nr. 2). Das BDSG greift hier nur, wenn die­se Stel­len Bun­des­recht aus­füh­ren oder es sich bei den Stel-

  1. 25  Taeger/Gabel/Zöll, 4. Aufl. 2022, BDSG § 26 Rn. 41; zum BDSG a.F. BAG, 29.6.107, 2 AZR 597/16, NZA 2017, 1179 Rn. 26.
  2. 26  Einen guten Über­blick hier­zu bie­ten Bronner/Wiedemann,Recht­mä­ßig­keit der Daten­ver­ar­bei­tung bei wis­sen­schaft­li­cher­For­schung an staat­li­chen Hoch­schu­len, ZD 2023, 77 ff.
  3. 27  Vgl. BAG 7.5.2019, 1 ABR 53/17, NZA 2019, 1218 Rn. 29 f.
  4. 28  Spe­zi­el­le Rege­lun­gen zur Daten­ver­ar­bei­tung im Beschäf­ti­gungs-kon­text ent­hal­ten z.B. § 15 LDSG BW, § 18 BlnDSG, § 26 Bbg DSG, § 12 BremDSGVO­AG, § 10 HmbDSG, § 23 HDSIG, § 10 DSG M‑V, § 12 NDSG, § 18 DSG NRW, § 20 LDSG RLP, § 22 SDSG, § 11 Sächs­DSDG, § 26 DSAG LSA, § 15 LDSG SH, § 27 ThürDSG.
  5. 29  Eine Über­sicht und eine ver­glei­chen­de Betrach­tung mit § 26 BDSG fin­det sich bei Gola, Der Beschäf­tig­ten­da­ten­schutz in den novel­lier­ten Lan­des­da­ten­schutz­ge­set­zen, ZD 2018, 448 ff.

len um Orga­ne der Rechts­pfle­ge han­delt und der Daten- schutz nicht durch Lan­des­recht gere­gelt ist. Die aller- meis­ten Lan­des­da­ten­schutz­ge­set­ze ent­hal­ten spe­zi­el­le Rege­lun­gen für den Beschäftigtendatenschutz,28 die sich in ihrer Reich­wei­te aber teils deut­lich unterscheiden.29

Schließ­lich ist im Rah­men des Ein­sat­zes von KI-Sys- temen zudem Art. 22 Abs. 1 DSGVO zu berück­sich­ti­gen. Die­ser ver­bie­tet all­ge­mein (auch im Beschäf­ti­gungs­kon- text) aus­schließ­lich auf­grund auto­ma­ti­sier­ter Ver­ar­bei- tung – ein­schließ­lich Pro­fil­ing – getrof­fe­ne Ent­schei­dun- gen, die rechts­er­heb­li­che Aus­wir­kun­gen haben. Art. 4 Nr. 4 DSGVO defi­niert Pro­fil­ing als auto­ma­ti­sier- te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die dar­in be- steht, bestimm­te per­sön­li­che Aspek­te einer natür­li­chen Per­son zu ana­ly­sie­ren und vor­her­zu­sa­gen. Hier­zu gehö- ren bei­spiels­wei­se das Ver­hal­ten und die Arbeits­leis­tung von Per­so­nen. Ein gene­rel­les Ver­bot von Pro­fil­ing an sich ent­hält Art. 22 Abs. 1 DSGVO jedoch nicht, ledig­lich das Ver­bot auf­grund eines Pro­filings einer auto­ma­ti­sier- ten beein­träch­ti­gen­den Ent­schei­dung unter­wor­fen zu werden.30

Auto­ma­ti­sier­te Ent­schei­dun­gen auf Grund­la­ge von Pro­fil­ing kön­nen aus­nahms­wei­se nach Art. 22 Abs. 2 DS- GVO zuläs­sig sein,31 ins­be­son­de­re auf­grund einer Ein- wil­li­gung. Ob eine sol­che aber inner­halb eines Beschäf­ti- gungs­ver­hält­nis­ses auf­grund des struk­tu­rel­len Mach­tun- gleich­ge­wichts als frei­wil­lig gel­ten kann, ist zu hinterfragen.32

IV. Her­aus­for­de­run­gen und Lösungsansätze

1. Inter­es­sens­ab­wä­gung bei Leis­tungs­kon­trol­le am Arbeitsplatz

Gemäß § 26 Abs. 1 S. 1 BDSG dür­fen per­so­nen­be­zo­ge­ne Daten im Beschäf­ti­gungs­kon­text (unter ande­rem) verar- bei­tet wer­den, wenn die Ver­ar­bei­tung für die Durch­füh- rung des Beschäf­ti­gungs­ver­hält­nis­ses erfor­der­lich ist.

30 Huff/Götz, Evi­denz statt Bauch­ge­fühl? – Mög­lich­kei­ten und recht- liche Gren­zen von Big Data im HR-Bereich, NZA-Bei­la­ge 2019, 73, 76; Rud­kow­ski„Pre­dic­ti­ve poli­cing“ am Arbeits­platz, NZA 2019, 72, 75.

31 Vgl. Joos, Ein­satz von künst­li­cher Intel­li­genz im Per­so­nal­we­sen unter Beach­tung der DS-GVO und des BDSG, NZA 2020, 1216, 1217 f. zum Ein­satz von KI im Bewerbungsprozess.

32 Ableh­nend bereits für den Bewer­bungs­pro­zess Joos, Ein­satz von künst­li­cher Intel­li­genz im Per­so­nal­we­sen unter Beach­tung der DS-GVO und des BDSG, NZA 2020, 1216, 1217, 1221, auch für die Mit­ar­bei­ter­ent­wick­lung, sofern es kei­nen „ech­ten Bestands- schutz“ für das Arbeits­ver­hält­nis gibt. Vgl. auch Graf/Kemper, Opti­mie­rung und Pro­duk­ti­vi­täts­stei­ge­rung durch Human Enhance­ment-Tech­no­lo­gien, PinG 2021, 131, 136 f. („Machta- sym­me­trie zwi­schen Arbeit­ge­ber und Beschäf­tig­tem“).

Heckmann/Marx · KI-Ein­satz zur Leis­tungs­kon­trol­le am (Hochschul-)Arbeitsplatz 6 7

Erfor­der­lich ist eine Daten­ver­ar­bei­tung i.S.v. § 26 Abs. 1 S. 1 BDSG, wenn die berech­tig­ten Inter­es­sen und Zwe­cke des Arbeit­ge­bers eine Daten­ver­ar­bei­tung erfordern.33 Das Kri­te­ri­um der Erfor­der­lich­keit fin­det sich auch in den meis­ten lan­des­recht­li­chen Vor­schrif­ten zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Dienst- oder Beschäf­ti­gungs­kon­text. Die Frei­heit des Arbeit­ge- bers, grund­sätz­lich selbst zu ent­schei­den, wie er sei­ne Betrie­be und Dienst­stel­len orga­ni­siert, ist zu achten.34 Im Ergeb­nis ist eine zwei­stu­fi­ge Ver­hält­nis­mä­ßig­keitsprü- fung durchzuführen:35

Auf der ers­ten Stu­fe „muss die Über­wa­chungs­maß- nah­me für die Wah­rung eines berech­tig­ten Inter­es­ses des Arbeit­ge­bers erfor­der­lich sein“, auf der zwei­ten Stu­fe ist „die Ver­hält­nis­mä­ßig­keit im enge­ren Sin­ne zu prüfen“.36

Auf der ers­ten Stu­fe ist zunächst fest­zu­stel­len, dass die Kon­trol­le, ob ein Beschäf­tig­ter sei­nen Pflich­ten nach- kommt, essen­zi­ell zur Durch­füh­rung des Arbeits­ver­hält- nis­ses gehört.37 Für den Arbeit­ge­ber sind Leis­tungs­kont- rol­len in gewis­sem Umfang regel­mä­ßig not­wen­dig, nicht zuletzt auch um ord­nungs­ge­mä­ßen Com­pli­ance-Grund- sät­zen zu genü­gen, etwa aus § 91 Abs. 2 AktG, §§ 30, 130, 9 OWiG.38

Auf der zwei­ten Stu­fe kommt es für die Beur­tei­lung der Ver­hält­nis­mä­ßig­keit im enge­ren Sin­ne maß­geb­lich auf die jewei­li­gen kon­kre­ten Umstän­de an. Aus der ver- füg­ba­ren behörd­li­chen und gericht­li­chen Pra­xis sowie dem Schrift­tum las­sen sich jedoch eini­ge „Leit­plan­ken“ ermitteln.

Zuläs­si­ge Leis­tungs­kon­trol­le: Die IT-Nut­zung darf grund­sätz­lich kon­trol­liert wer­den, wenn eine Pri­vat­nut- zung ver­bo­ten ist;39 aller­dings muss ins­be­son­de­re die

  1. 33  Beck­OK DatenschutzR/Rie­sen­hu­ber, 42. Ed. 1.11.2022, BDSG § 26 Rn. 114.
  2. 34  Beck­OK DatenschutzR/Rie­sen­hu­ber, 42. Ed. 1.11.2022, BDSG § 26 Rn. 114.
  3. 35  Maschmann, Füh­rung und Mit­ar­bei­ter­kon­trol­le nach neu­em Da- ten­schutz­recht, NZA-Bei­la­ge 2018, 115, 117. 36 Gola/Heckmann/ Gola/Pötters, 3. Aufl. 2022, BDSG § 26 Rn. 156 f.
  1. 37  Taeger/Gabel/Zöll, 4. Aufl. 2022, BDSG § 26 Rn. 41; zum BDSG a.F. BAG, 29.6.107, 2 AZR 597/16, NZA 2017, 1179 Rn. 26.
  2. 38  Taeger/Gabel/Zöll, 4. Aufl. 2022, BDSG § 26 Rn. 42; Stück, Com- pli­ance: Über­wa­chungs­mög­lich­kei­ten des Arbeit­ge­bers im Lich­te aktu­el­ler Recht­spre­chung, ArbRAk­tu­ell 2018, 31.
  3. 39  Maschmann, Füh­rung und Mit­ar­bei­ter­kon­trol­le nach neu­em Daten­schutz­recht, NZA-Bei­la­ge 2018, 115, 122; vgl. auch BAG 27.7.2017, 2 AZR 681/16, NZA 2017, 1327.
  4. 40  Maschmann, Füh­rung und Mit­ar­bei­ter­kon­trol­le nach neu­em Daten­schutz­recht, NZA-Bei­la­ge 2018, 115, 122.
  5. 41  LArbG Mün­chen 23.7.2020, 2 TaBV 126/19; hier­zu Wed­de, Streit um Eini­gungs­stel­len­spruch zur Ein­füh­rung eines IT-Sicher­heits- sys­tems: Anlass­lo­se prä­ven­ti­ve Ver­ar­bei­tung von Beschäftigtenda-

Ver­hält­nis­mä­ßig­keit gewahrt bleiben.40 Nach Auf­fas­sung des LArbG Mün­chen kann inso­weit gege­be­nen­falls so- gar eine anlass­lo­se Über­wa­chung durch ein KI-IT-Si- cher­heits­sys­tem ver­hält­nis­mä­ßig sein, wenn sie dar­auf abzielt, auf­fäl­li­ge Akti­vi­tä­ten zu iden­ti­fi­zie­ren, die An- halts­punk­te für eine Bedro­hung der Infor­ma­ti­ons­si­cher- heit sein kön­nen, ins­be­son­de­re vor dem Hin­ter­grund ban­ken­auf­sichts­recht­li­cher und ban­ken­auf­sichts­be­hörd- licher Vor­ga­ben zur Datensicherheit.41

Unzu­läs­si­ge Leis­tungs­kon­trol­le: Jeden­falls anony­me bzw. nicht erkenn­ba­re und nicht abwend­ba­re Über­wa- chung stellt einen erheb­li­chen Ein­griff in das Daten- schutz­recht des Beschäf­tig­ten dar.42 Sie ist grund­sätz­lich unzu­läs­sig, § 26 Abs. 1 S. 2 BDSG reicht hier­für nicht.43

Eine „per­ma­nen­te, heim­li­che und in ihrem Volu­men nicht ein­schätz­ba­re Total­über­wa­chung des Umgangs mit dienst­lich zu ver­wen­den­den IT-Sys­te­men“ kann „allen­falls dann zuläs­sig sein, wenn ein auf den ein­zel- nen Arbeit­neh­mer bezo­ge­ner begrün­de­ter Ver­dacht für eine Straf­tat oder für eine schwer­wie­gen­de Pflicht­ver- let­zung besteht“.44

Der dau­er­haf­te Ein­satz von Key­log­gern ist vor die- sem Hin­ter­grund nicht mehr verhältnismäßig.45 In aller Regel nicht mehr ver­hält­nis­mä­ßig ist auch eine offe­ne prä­ven­ti­ve Video­über­wa­chung am Arbeitsplatz.46 Das- sel­be gilt für Video­über­wa­chun­gen, die die Intim­sphä­re berühren.47

Der flä­chen­de­cken­de Ein­satz von GPS-Ortungs­sys­te- men ist nach Auf­fas­sung des Lan­des­be­auf­trag­ten für Da- ten­schutz und Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg i.d.R. nicht erfor­der­lich, wenn der Auf­ent­halts­ort des

ten durch KI-Soft­ware zuläs­sig, juris­PR-ArbR 17/2021 Anm. 6. 42 Paal/Pauly/Pau­ly, 3. Aufl. 2021, DSGVO Art. 88 Rn. 16.
43 EGMR 7.12.2017, C‑329/16, EuZW 2018, 169 Rn. 121; Masch-

mann, Füh­rung und Mit­ar­bei­ter­kon­trol­le nach neu­em Daten-

schutz­recht, NZA-Bei­la­ge 2018, 115, 121.
44 Wed­de, Streit um Eini­gungs­stel­len­spruch zur Ein­füh­rung eines

IT-Sicher­heits­sys­tems: Anlass­lo­se prä­ven­ti­ve Ver­ar­bei­tung von Beschäf­tig­ten­da­ten durch KI-Soft­ware zuläs­sig, juris­PR-ArbR 17/2021 Anm. 6.; vgl. auch BAG 27.7.2017, 2 AZR 681/16, NZA 2017, 1327.

45 Stück, Daten­schutz = Taten­schutz? Aus­ge­wähl­te daten­schutz- und arbeits­recht­li­che Aspek­te nach DSGVO sowie BDSG 2018 bei prä­ven­ti­ver und repres­si­ver Com­pli­ance, CCZ 2020, 77, 81; vgl. auch BAG 27.7.2017, 2 AZR 681/16, NZA 2017, 1327.

46 Vgl. hier­zu im Detail Stück, Daten­schutz = Taten­schutz? Aus­ge- wähl­te daten­schutz- und arbeits­recht­li­che Aspek­te nach DSGVO sowie BDSG 2018 bei prä­ven­ti­ver und repres­si­ver Com­pli­ance, CCZ 2020, 77, 81 f.

47 Maschmann, Füh­rung und Mit­ar­bei­ter­kon­trol­le nach neu­em Daten­schutz­recht, NZA-Bei­la­ge 2018, 115, 121.

68 ORDNUNG DER WISSENSCHAFT 2 (2023), 63–70

Beschäf­tig­ten auch direkt bei die­sem (etwa durch einen Anruf) erho­ben wer­den kann. Eine sol­che dau­er­haf­te Ortung kann i.d.R. nicht auf eine Ein­wil­li­gung gestützt wer­den. Sie erzeugt zudem einen per­ma­nen­ten Kon­troll- druck und ist daher unzulässig.48

Bei allem sind all­ge­mein die Betrof­fe­nen­rech­te und die Infor­ma­ti­ons­pflich­ten zu wahren.49 Bemer­kens­wert ist inso­weit der bereits erwähn­te Beschluss des LArbG Mün­chen v. 23.07.2020.50 Das Gericht äußer­te sich zu ei- nem KI-IT-Sicher­heits­sys­tem, das einen umfas­sen­den Daten­zu­griff ermög­licht und des­sen Abläu­fe für Be- schäf­tig­te intrans­pa­rent sind. Nach Ansicht des Gerichts bestün­den sach­li­che Grün­de dafür, sicher­heits­tech­ni- sche Details des Sys­tems nicht voll­stän­dig offenzulegen.51

2. Der Ein­satz von KI zur Leis­tungs­kon­trol­le: Ver­schär- fung der Über­wa­chung oder legi­ti­mes „Fein­tu­ning“?

KI-Ein­satz und Daten­schutz­recht ste­hen in einem Span- nungs­ver­hält­nis.52 Alle­mal defi­niert das Daten­schutz- recht — auf­grund noch feh­len­der hori­zon­ta­ler Regu­lie- rung von KI-Tools – ein Min­dest­maß an Grund­re­geln für den Ein­satz von KI-Systemen.53

Beim Ein­satz von KI-Sys­te­men zur Leis­tungs­kon­trol- le han­delt es sich in der Regel um Pro­fil­ing i.S.v. Art. 4 Nr. 4 DSGVO,54 dort ist als Regel­bei­spiel gera­de die Arbeits­leis­tung genannt, die ana­ly­siert oder vor­her- gesagt wer­den soll. Aus­schließ­lich auf Auto­ma­ti­sie­rung beru­hen­de Ent­schei­dun­gen auf der Grund­la­ge von Pro- fil­ing sind grund­sätz­lich aber nicht zuläs­sig, Art. 22 Abs. 1 DSGVO. Soweit dies gilt, setzt die Ver­wer- tung des KI-Ergeb­nis­ses vor­aus, dass ein Mensch mit

  1. 48  Rat­ge­ber Beschäf­tig­ten­da­ten­schutz, Lan­des­be­auf­trag­ter für Da- ten­schutz und Infor­ma­ti­ons­frei­heit Baden- Würt­tem­berg, 4. Aufl. 2020, S. 37 f., auch zu den Anfor­de­run­gen, die an eine zuläs­si­ge GPS-Über­wa­chung zu stel­len sind.
  2. 49  Dies ist ein all­ge­mei­nes Pro­blem und hängt nicht spe­zi­ell mit dem Arbeit­neh­mer­da­ten­schutz zusam­men, hier­zu bspw. Con­rad, DSGVO 2.0 – Effizienter(er) Schutz durch KI?, DSRITB 2019, 391, 401 ff.
  3. 50  LArbG Mün­chen 23.7.2020, 2 TaBV 126/19; hier­zu Wed­de, Streit um Eini­gungs­stel­len­spruch zur Ein­füh­rung eines IT-Sicher­heits- sys­tems: Anlass­lo­se prä­ven­ti­ve Ver­ar­bei­tung von Beschäf­tig­ten­da- ten durch KI-Soft­ware zuläs­sig, juris­PR-ArbR 17/2021 Anm. 6.
  4. 51  Vgl. Wed­de, Streit um Eini­gungs­stel­len­spruch zur Ein­füh­rung eines IT-Sicher­heits­sys­tems: Anlass­lo­se prä­ven­ti­ve Ver­ar­bei­tung von Beschäf­tig­ten­da­ten durch KI-Soft­ware zuläs­sig, juris­PR-ArbR 17/2021 Anm. 6.
  5. 52  Kaulartz/Braegelmann/Paal, Arti­fi­ci­al Intel­li­gence und Machi­ne Lear­ning, Kap. 8.7 Rn. 38.
  6. 53  Hier­zu Schef­zig, Asi­mov 2.0 – Daten­schutz­recht­li­che KI-Grund- regeln, DSRITB 2018, 491, 496 ff; i.E. auch Joos, Ein­satz von

Ent­schei­dungs­spiel­raum die Ent­schei­dung in einem ge- wis­sen Umfang nachprüft.55

Eine Recht­fer­ti­gungs­mög­lich­keit auf­grund von Ein- wil­li­gung dürf­te auf­grund des struk­tu­rel­lem Mach­tun- gleich­ge­wichts typi­scher­wei­se ent­fal­len. Gege­be­nen­falls kön­nen hier in gewis­sem Rah­men Betriebs­ver­ein­ba­run- gen her­an­ge­zo­gen werden.56

Aus daten­schutz­recht­li­cher Sicht ist des­halb fest­zu- hal­ten, dass „KI-basier­te Gesamt­lö­sun­gen“ in den sel­tens- ten Fäl­len DSGVO-kon­form zu gestal­ten sind. Denk­bar sind jedoch „KI-basier­te Ein­zel­lö­sun­gen“, die in einen kom­ple­xe­ren Daten­ver­ar­bei­tungs­pro­zess ein­ge­bet­tet sind und ins­be­son­de­re Raum für nicht aus­schließ­lich auto­ma­ti­siert erfol­gen­de Letzt­ent­schei­dun­gen ein­räu- men.57 Hinz bringt die­sen Ansatz mit fol­gen­dem Bei­spiel prä­gnant auf den Punkt:

„So darf etwa das KI-Sys­tem den als unzu­ver­läs­sig ein- geord­ne­ten Arbeit­neh­mer nicht selbst­tä­tig zu einer Com- pli­ance-Schu­lung ver­pflich­ten oder ihn ver­set­zen. Hin­ge- gen kann der Arbeit­ge­ber auf Grund­la­ge des Pre­dic­ti­ve Po- licing [Unter­fall des Pro­filings] den Arbeit­neh­mer zur Schu­lungs­teil­nah­me anwei­sen.“58

Die­ser Ansatz kann eben­so auf Beschäf­tig­te von Hoch­schu­len und For­schungs­ein­rich­tun­gen ange­wen­det werden.

In jedem Fall erfor­dert der Grund­satz der Trans­pa- renz (Art. 13–15 DSGVO), dass die Betrof­fe­nen über den Ein­satz des KI-Tools und die Fol­gen unter­rich­tet wer- den.59 Es sind geeig­ne­te tech­nisch-orga­ni­sa­to­ri­sche Maß­nah­men zu tref­fen, die ins­be­son­de­re Erklärbarkeit

künst­li­cher Intel­li­genz im Per­so­nal­we­sen unter Beach­tung der

DS-GVO und des BDSG, NZA 2020, 1216, 1217.
54 Joos, Ein­satz von künst­li­cher Intel­li­genz im Per­so­nal­we­sen unter Beach­tung der DS-GVO und des BDSG, NZA 2020, 1216, 1217. 55 Beck­OK DatenschutzR/von Lewin­ski, 42. Ed. 1.11.2022, DSGVO

Art. 22 Rn. 24a f.
56 Hier­zu Holt­hau­sen, Big Data, Peo­p­le Ana­ly­tics, KI und Ge-

stal­tung von Betriebs­ver­ein­ba­run­gen – Grund‑, arbeits- und daten­schutz­recht­li­che An- und Her­aus­for­de­run­gen, RdA 2021, 19, 28 ff.

57 Kaulartz/Braegelmann/Meents, Arti­fi­ci­al Intel­li­gence und Machi- ne Lear­ning, Kap. 8.8 Rn. 65 f.

58 Kaulartz/Braegelmann/Hinz, Arti­fi­ci­al Intel­li­gence und Machi­ne Lear­ning, Kap. 11 Rn. 25.

59 Beck­OK DatenschutzR/Schild, 42. Ed. 1.11.2022, DSGVO
Art. 4 Rn. 67; Maschmann, Füh­rung und Mit­ar­bei­ter­kon­trol­le nach neu­em Daten­schutz­recht, NZA-Bei­la­ge 2018, 115, 118; Dies gibt bereits der Uni­ons­ge­setz­ge­ber in Art. 88 Abs. 2 DSGVO
vor, vgl. Sydow/Marsch/Tie­de­mann, 3. Aufl. 2022, DSGVO
Art. 88 Rn. 18 f.

Heckmann/Marx · KI-Ein­satz zur Leis­tungs­kon­trol­le am (Hochschul-)Arbeitsplatz 6 9

und Trans­pa­renz gewähr­leis­ten müssen.60 Nicht end­gül- tig geklärt ist dabei, ob die Betrof­fe­nen auch Ein­sicht in den Algo­rith­mus selbst erlan­gen müssen;61 dies wird oft- mals tech­nisch nicht mög­lich sein, wes­halb zumin­dest über die Ein­gangs­da­ten und die Her­kunft der Daten in- for­miert wer­den muss.62

V. Aus­blick auf den KI-Ein­satz zur Leis­tungs­kon­trol- le im Beschäf­ti­gungs­kon­text im Jahr 2030

Im kom­men­den Jahr­zehnt ist zu erwar­ten, dass der Ein- satz von KI ‑Tools zur Leis­tungs­kon­trol­le und damit ver- bun­den die Fra­ge nach der daten­schutz­recht­li­chen Zuläs­sig­keit an Bedeu­tung gewin­nen wird. Dies betrifft Beschäf­tig­te in der Pri­vat­wirt­schaft sowie in Hoch­schu- len und For­schungs­ein­rich­tun­gen glei­cher­ma­ßen. Gleich­zei­tig soll­ten die hier skiz­zier­ten daten­schutz- recht­li­chen Anfor­de­run­gen nicht allein als „Hemm- schuh“, son­dern viel­mehr als „Gestal­tungs­kor­ri­dor“ ver- stan­den wer­den. Auch der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit hat dar­auf hingewiesen,

„dass in den nächs­ten Jah­ren ent­schei­den­de Wei­chen- stel­lun­gen für die KI getrof­fen wer­den und der Daten- schutz nicht zwangs­läu­fig die Ent­wick­lung beein­träch- tigen muss.“63

Per­spek­ti­visch soll daher die fol­gen­de The­se auf­ge- stellt wer­den: Rich­tig ein­ge­setzt (d.h. ins­be­son­de­re unter Aus­schluss von auto­ma­ti­sier­ten beein­träch­ti­gen­den Ent- schei­dun­gen allein auf Grund­la­ge des ver­wen­de­ten KI- Tools) kön­nen „KI-basier­te Ein­zel­lö­sun­gen“ zur Leis-

  1. 60  Joos/Meding, Künst­li­che Intel­li­genz und Daten­schutz im Human Resour­ce Manage­ment, CR 2020, 834, 837 ff.
  2. 61  Huff/Götz, Evi­denz statt Bauch­ge­fühl? – Mög­lich­kei­ten und recht- liche Gren­zen von Big Data im HR-Bereich, NZA-Bei­la­ge 2019, 73, 76.
  3. 62  Huff/Götz, Evi­denz statt Bauch­ge­fühl? – Mög­lich­kei­ten und recht- liche Gren­zen von Big Data im HR-Bereich, NZA-Bei­la­ge 2019, 73, 77.
  4. 63  BfDI for­dert daten­schutz­ge­rech­ten Ein­satz von KI, ZD-Aktu­ell 2019, 06806.
  5. 64  Bis­wei­len wird gar eine „Pflicht“ zum Ein­satz von KI dis­ku­tiert, vgl. Kaulartz/Braegelmann/Meents, Arti­fi­ci­al Intel­li­gence und Machi­ne Lear­ning, Kap. 8.8 Rn. 4, der jeden­falls KI-basier­te Ge- samt­lö­sun­gen aber i.E. als kaum bis unver­ein­bar mit der DSGVO ein­stuft, Rn. 65.
  6. 65  Eben­so Kaulartz/Braegelmann/Meents, Arti­fi­ci­al Intel­li­gence und Machi­ne Lear­ning, Kap. 8.8 Rn. 66.

tungs­kon­trol­le nicht etwa zu einem Mehr an (Total-) Über­wa­chung füh­ren, son­dern im Gegen­teil der Wah- rung der Anfor­de­run­gen des Daten­schutz­rechts dienen:64

Der Ein­satz von KI kann etwa zur Wah­rung des Grund­sat­zes der Spei­cher­be­gren­zung (Art. 5 Abs. 1 lit. e DSGVO) frucht­bar gemacht werden,65 denn eine KI kann die erho­be­nen Daten (zum Vor­teil der betrof­fe­nen Per­son) unmit­tel­bar prü­fen, wäh­rend eine mensch­li­che Prü­fung eine län­ge­re Spei­che­rung der Daten erfor­der­lich machen kann. Der Ein­satz von KI kann zudem dem Gebot der Daten­mi­ni­mie­rung (Art. 5 Abs. 1 lit. c DSGVO) die­nen, etwa durch ver­läss­li- che Tech­ni­ken der Anonymisierung.66 Denn wäh­rend etwa im Fal­le der Video­über­wa­chung ein Mensch den Beschäf­tig­ten beob­ach­ten müss­te, wür­de eine KI an des- sen Stel­le tre­ten, die daten­schutz­wid­ri­ge Inhal­te sogleich löschen wür­de. Die Pri­vat­sphä­re wür­de so also weni­ger tan­giert. Es ent­fällt ins­be­son­de­re das dau­er­haf­te „Beob­ach­tet­sein“.

Per­spek­ti­visch gedacht könn­te der Ein­satz von „KI- basier­ten Ein­zel­lö­sun­gen“ sogar eines Tages dem Stand der Tech­nik nach Art. 25 Abs. 1 DSGVO (Stich­wort „Pri- vacy by Design“) ent­spre­chen und wären daher sogar verpflichtend.67 Dies betrifft insb. die Anony­mi­sie­rung. Wei­ter­ge­hen­der Schutz von Betrof­fe­nen ist auch durch den AI Act68 der Euro­päi­schen Uni­on zu erwar­ten, der sich der­zeit noch im Gesetz­ge­bungs­ver­fah­ren befindet.69 Der Ver­ord­nungs­ent­wurf der EU-Kom­mis­si­on stuft in sei­nem risi­ko­ba­sier­ten Regu­lie­rungs­an­satz sol­che Sys­te- me als „Hoch­ri­si­ko-KI-Sys­te­me“ ein, die grund­sätz­lich mit einem hohen Risi­ko für die Grund­rech­te von natür­li- chen Per­so­nen ver­bun­den sind.70 Sol­che Sys­te­me, zu

66 Kaulartz/Braegelmann/Meents, Arti­fi­ci­al Intel­li­gence und Machi- ne Lear­ning, Kap. 8.8 Rn. 58 ff.

67 Kaulartz/Braegelmann/Meents, Arti­fi­ci­al Intel­li­gence und Machi- ne Lear­ning, Kap. 8.8 Rn. 67.

68 Vor­schlag für eine Ver­ord­nung des Euro­päi­schen Par­la­men­tes und des Rates zur Fest­le­gung har­mo­ni­sier­ter Vor­schrif­ten für Künst­li­che Intel­li­genz (Gesetz über Künst­li­che Intel­li­genz) und zur Ände­rung bestimm­ter Rechts­ak­te der Uni­on (Ent­wurf zum AI Act), COM (2021) 206 final.

69 Sie­he zum aktu­el­len Stand des Gesetz­ge­bungs­ver-
fah­rens https://eur-lex.europa.eu/legal- content/EN/ HIS/?uri=CELEX:52021PC0206 (letz­ter Zugriff am 27.02.2022).

70 Vor­schlag für eine Ver­ord­nung des Euro­päi­schen Par­la­men­tes und des Rates zur Fest­le­gung har­mo­ni­sier­ter Vor­schrif­ten für Künst­li­che Intel­li­genz (Gesetz über Künst­li­che Intel­li­genz) und zur Ände­rung bestimm­ter Rechts­ak­te der Uni­on (Ent­wurf zum AI Act), COM (2021) 206 final, S. 11, 13.

70 ORDNUNG DER WISSENSCHAFT 2 (2023), 63–70

denen auf­grund der poten­zi­el­len Ein­griffs­in­ten­si­tät in die infor­ma­tio­nel­le Selbst­be­stim­mung betrof­fe­ner Beschäf- tig­ter auch KI-Tools zur Ver­hal­tens- und Leis­tungs­kont- rol­le gehö­ren, müs­sen künf­tig eine Viel­zahl von orga­ni­sa- tori­schen und tech­ni­schen Anfor­de­run­gen erfül­len, wozu auch eine erhöh­te Trans­pa­renz im Sin­ne eines inter­pre­tier­ba­ren Out­puts (Art. 13 AIA‑E) sowie eine mög­li­che mensch­li­che Über­wa­chung (Art. 14 AIA‑E) gehören.

VI. Hand­lungs­emp­feh­lun­gen

Nach rich­ti­ger Auf­fas­sung stellt das Daten­schutz­recht kei­ne unüber­wind­ba­ren Hür­den für den Ein­satz von KI- Sys­te­men zur Leis­tungs­kon­trol­le am Arbeits­platz auf. Viel­mehr setzt es den äuße­ren Rah­men für die Ges­tal- tung des Ein­sat­zes sol­cher Tools.

Danach sind zumin­dest „KI-basier­te Ein­zel­lö­sun­gen“ zur Leis­tungs­kon­trol­le denk­bar, die in einen kom­ple­xe- ren Daten­ver­ar­bei­tungs­pro­zess ein­ge­bet­tet sind und ins- beson­de­re Raum für nicht aus­schließ­lich auto­ma­ti­siert erfol­gen­de Letzt­ent­schei­dun­gen bieten.71

Hier­zu ist es auch erfor­der­lich, bereits in der Ent- wick­lungs­pha­se (Stich­wort „Pri­va­cy by Design“, Art. 25 Abs. 1 DSGVO) über eine Begren­zung des KI- Ein­sat­zes zur Leis­tungs­kon­trol­le nachzudenken,72 auch in zeit­li­cher Hin­sicht oder begrenzt auf Stich­pro­ben, wo- bei KI wie­der­um hel­fen kann, ein ange­mes­se­nes Maß zu finden.

VII. Zusam­men­fas­sung

Eine Leis­tungs­kon­trol­le am Arbeits­platz ist aus Sicht des Arbeit­ge­bers bzw. Dienst­herrn grund­sätz­lich legi­tim, beson­ders weil und soweit es um die Erfül­lung von Com-

pli­ance-Anfor­de­run­gen in Betrie­ben und Dienst­stel­len geht (Unter­bin­dung von Betrug, Kor­rup­ti­on, Spio­na­ge etc.). Dabei sind die Inter­es­sen der über­wach­ten Beschäf- tig­ten, ins­be­son­de­re deren Pri­vat­heit und Per­sön­lich- keits­rech­te, eben­so schutz­wür­dig. Dies gilt in beson­de- rem Maße beim Ein­satz von KI-basier­ten Kon­troll­sys­te- men, mit und ohne auto­ma­ti­sier­te Ein­zel­fall­ent­schei­dung. Solan­ge es hier aber nicht zu einer „Total­über­wa­chung“ kommt, ist eine daten­schutz­kon­for­me Gestal­tung der Leis­tungs­kon­trol­le denk­bar, zumal der IT-Ein­satz hel­fen kann, die Kon­trol­le auf das erfor­der­li­che und ver­hält­nis- mäßi­ge Maß zu redu­zie­ren. Bei der Ent­wick­lung ent- spre­chen­der Sys­te­me soll­ten Juris­ten und Infor­ma­ti­ker zusam­men­wir­ken, ihr Ein­satz muss zudem trans­pa­rent und für alle Betrof­fe­nen (not­falls gericht­lich) über­prüf- bar sein. Eine Ver­hal­tens- und Leis­tungs­kon­trol­le von wis­sen­schaft­li­chem Per­so­nal an Hoch­schu­len und in For­schungs­ein­rich­tun­gen ist im Hin­blick auf die Wis- sen­schafts­frei­heit nur sehr ein­ge­schränkt mög­lich und zuläs­sig. Auch hier kön­nen KI- Sys­te­me aber künf­tig sinn­voll ein­ge­setzt wer­den, um miss­bräuch­li­chem Ver- hal­ten Ein­halt zu gebieten.

Prof. Dr. Dirk Heck­mann ist Inha­ber des Lehr­stuhls für Recht und Sicher­heit der Digi­ta­li­sie­rung an der Tech­ni- schen Uni­ver­si­tät Mün­chen. Neben­amt­lich wirkt er als Direk­tor am Baye­ri­schen For­schungs­in­sti­tut für Digi­ta- le Trans­for­ma­ti­on (www.bidt.digital) und als Ver­fas- sungs­rich­ter am Baye­ri­schen Verfassungsgerichtshof.

Dr. Lorenz Marx ist Cor­po­ra­te Coun­sel bei Ama­zon. Zuvor war er Rechts­an­walt bei ver­schie­de­nen Groß- kanz­lei­en. Von 2019–2021 hat er als Post­Doc und geschäfts­füh­ren­der Assis­tent maß­geb­lich den neu­en Lehr­stuhl von Pro­fes­sor Heck­mann an der TU Mün- chen mit aufgebaut.

  1. 71  Kaulartz/Braegelmann/Meents, Arti­fi­ci­al Intel­li­gence und Machi- ne Lear­ning, Kap. 8.8 Rn. 65 f.
  2. 72  Prak­ti­sche Schwie­rig­kei­ten könn­te eine sol­che Begren­zung des KI-Ein­sat­zes ins­be­son­de­re im Hin­blick auf die fort­schrei­ten­de Ver­brei­tung von Big Data-Ana­ly­sen und die immer tiefgrei-

fen­de­re Ver­net­zung i.R.v. Indus­trie 4.0 berei­ten; hier ist es ggf. kaum mehr mög­lich, ein­zel­ne Use Cases/Beschäftigte/Zeitpunkte „her­aus­zu­fil­tern“, vgl. Pusch­ky, Daten­schutz­recht­li­che Impli­ka­tio- nen in der Indus­trie 4.0 am Bei­spiel des For­schungs­pro­jekts „IIP- Ecos­phe­re“, ZD-Aktu­ell 2021, 05101.