24
PERSONALquarterly 03/19
SCHWERPUNKT
_KÜNSTLICHE INTELLIGENZ IN HR
§ 26 Abs. 8 S. 2 BDSG stellt klar, dass Vorgenanntes auch auf
Bewerberinnen und Bewerber sowie auf bereits ausgeschie-
dene Arbeitnehmer Anwendung findet.
Die rechtliche Behandlung automatisierter Entscheidungen
Die Einführung eines Recruiting-Verfahrens ohne menschliche
Interaktion stößt auf weitere rechtliche Probleme: Neben der
Regelung des § 26 BDSG für Beschäftigtendaten ist nämlich
das allgemeine Verbot von automatisierten Einzelfallentschei-
dungen aus Art. 22 DSGVO zu beachten. Dieses Verbot ist als
allgemeine Regelung neben der Spezialregelung des § 26 BDSG
anwendbar.
14
Nach Art. 22 Abs. 1 DSGVO hat die betroffene Person das
Recht, nicht einer ausschließlich auf einer automatisierten Ver-
arbeitung beruhenden Entscheidung unterworfen zu werden,
die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähn-
licher Weise erheblich beeinträchtigt. Dies gilt insbesondere,
wenn der Algorithmus im Wege des Profilings eine personen-
bezogene Bewertung vornimmt (bspw. ein Scoring auswirft)
und auf dieser Basis selbstständig entscheidet.
Ausnahmen sind nach Absatz 2 zunächst möglich, wenn
die (automatische) Entscheidung für den Abschluss oder die
Erfüllung eines Vertrags erforderlich ist (lit. a). Die Erforder-
lichkeit darf hier nicht absolut, sondern muss vielmehr als In-
teressenabwägung verstanden werden.
15
Darüber hinaus ist die
automatisierte Entscheidung zulässig, wenn sie durch Rechts-
vorschriften der Union oder der Mitgliedsstaaten legitimiert
ist (lit. b) oder mit ausdrücklicher Einwilligung erfolgt (lit. c).
Obwohl die Formulierung der Rechtsnorm es vermuten ließe,
handelt es sich nach überwiegender Auffassung nicht lediglich
um ein Widerspruchsrecht, sondern um ein verfahrensrecht-
liches
16
Verbot mit Erlaubnisvorbehalt,
17
das heißt, die Person
muss nicht vorher widersprechen, damit eine solche Verarbei-
tungsform verboten ist.
Lediglich Entscheidungen vorbereitende Maßnahmen, wie
bspw. das Vorsortieren von Bewerbern („Ranking“) fallen nicht
unter das Verbot, solange am Ende ein menschlicher Entschei-
der (mit entsprechender Qualifikation und Entscheidungskom-
petenz) die Entscheidung trifft und nicht lediglich die bereits
vom Computer getroffene Entscheidung „in eine ablehnende
Sachentscheidung übersetzt“, m. a. W. einfach nur noch „einen
Blick auf die Computer-Entscheidung wirft“, ohne in der Sache
zu entscheiden.
18
Kein Verbot von Profiling
Profiling, also die Verarbeitung personenbezogener Daten
zum Zwecke der Analyse und Vorhersage bestimmter persön-
licher Aspekte wie bspw. Arbeitsleistung, Interessen, Zuver-
lässigkeit, Verhalten von natürlichen Personen (Art. 4 Abs. 4
DSGVO), fällt als solches nicht unter das Verbot des Art. 22
Abs. 1 DSGVO.
19
Die Formulierung der Norm ist missverständ-
lich. Die Erstellung eines Persönlichkeitsprofils ist vielmehr
an der allgemeinen Erlaubnisnorm des Art. 6 DSGVO bzw. im
Beschäftigungsverhältnis an § 26 BDSG zu messen; lediglich
automatisierte Entscheidungen basierend auf dem Profil fallen
unter das Verbot des Art. 22 DSGVO.
Im Rahmen der vorzunehmenden Interessenabwägung nach
§ 26 BDSG
20
spielt es eine wichtige Rolle, wofür das erstellte
Profil später genutzt werden soll (z. B. lediglich um einem
Arbeitnehmer passende Fortbildungen vorzuschlagen oder als
„Kündigungsvorschlagsliste“ für die Vorgesetzten, da die Qua-
lifikation nicht ausreichend ist). Zu beachten ist also, dass die
Profilbildung ein neben dem Erheben der Daten gesonderter
Verarbeitungsvorgang ist, der eigens an § 26 Abs. 1 BDSG zu
messen ist und gesondert rechtlich geprüft wird. Dies bedeutet,
dass die grundsätzliche Verarbeitung bestimmter Daten ge-
rechtfertigt sein kann, während im Einzelfall die Verarbeitung
zum Zwecke einer Profilbildung nicht legitimiert ist.
Vorsicht bei anonymen/pseudonymen Daten
In der Praxis wird zuweilen angenommen, dass das Daten-
schutzrecht nicht zu beachten sei, wenn die verarbeitende Stel-
le mit Daten arbeitet, die nicht unmittelbar einer bestimmten
Person zuordenbar sind. Eine solche Pauschalisierung kann
fatale Folgen haben, wenn fälschlicherweise davon ausgegan-
gen wird, dass das Datenschutzrecht nicht anwendbar ist. Die
Folge können Bußgelder nach Art. 83 Abs. 5 lit. a DSGVO in
Höhe von 20 Mio. € oder bei Unternehmen bis zu 4% des welt-
weit erzielten Jahresgesamtumsatzes sein. Aus diesem Grund
ist genau zu differenzieren und jeweils im Einzelfall zu prüfen,
welche Art von Daten der Verarbeitung zugrunde liegt.
Anonyme Daten
Daten sind anonymisiert, wenn die betroffene Person nicht
mehr identifiziert werden kann (Erwägungsgrund zur DSGVO
26 S. 5). Dann liegen keine personenbezogenen Daten vor und
das Datenschutzrecht ist nicht anwendbar. Keine Anonymi-
sierung liegt im Fall der Pseudonymisierung gem. Art. 4 Nr.
5 DSGVO vor, also wenn die Daten zwar ohne Hinzuziehung
zusätzlicher Informationen nicht mehr einer identifizierbaren
Person zuordenbar sind, der Schlüssel aber noch existiert und
14
Allgemein zur Reichweite von § 26 BDSG: Gräber/Nolden, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl.
(2018), § 26 BDSG Rn. 9 ff.; Gola, BB 2017, 1462 (1463); Niklas/Thurn, BB 2017, 1589 (1594).
15
So wohl auch Kamlah, in: Plath, BDSG/DSGVO, 3. Aufl. (2018), Art. 22 Rn. 8 m.w. N.
16
Kühling/Klar/Sackmann, Datenschutzrecht, 4. Aufl. (2018), Rn. 477.
17
Eichler, RDV 2017, 10 (11); Taeger, RDV 2017, 3; Albrecht/Jotzo, Das neue Datenschutzrecht der EU,
1. Aufl. (2017), S. 78 Rn. 61; Sörup/Marquardt, ArbAktuell 2016, 103 (106); Martini, in: Paal/Pauly
(Fn. 26), Art. 22 DSGVO Rn. 15; Helfrich, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl.
(2018), Art. 22 DSGVO Rn. 39 f.; Deuster, PinG 2016, 75 (77); Eckhardt, in: Rüpke/v. Lewinski/Eck-
hardt, Datenschutzrecht, 2018, S. 238, Rn. 44; Kühling/Klar/Sackmann (Fn. 28), Rn. 477; aA Franzen,
in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 2. Aufl. (2018), Art. 22
DSGVO Rn. 3; zweifelnd Kamlah, in Plath (Fn. 15), Art. 22 DSGVO Rn. 4.
18
Näher v. Lewinski, in: BeckOK-DatenSR, 26. Ed. (01.11.2018), DSGVO Art. 22 Rn. 23 ff. m.w. N.
19
Eckhardt, in Rüpke/v. Lewinski/Eckhardt (Fn. 17), S. 231; Taeger, RDV 2017, 3 (6); Kamlah, in Plath
(Fn. 15), Art. 22 DSGVO Rn. 9; Kühling (Fn. 16), S. 441 f.; Veil, in: Gierschmann et. al., DSGVO, 2018,
Art. 22 Rn. 52 ff.; Herbst, in: Gierschmann et. al., DSGVO, 2018, 5. Aufl. (2017), Rn. 9; Roßnagel/
Richter/Nebel, ZD 2013, 103 (108); aA Härting, Datenschutz-Grundverordnung, Rn. 607, 610, 617;
Härting, ITRB 2016, 209 (211); wohl auch Piltz, K&R 2016, 629 (635 f.); Deuster, PinG 2016, 75 (77);
Franzen, in: Franzen/Gallner/Oetker (Fn. 17), Art. 22 DSGVO Rn. 2.
20
Siehe bereits oben unter „Legitimationsbedürftigkeit der Datenverarbeitung“.
