12.09.2019
Künstliche Intelligenz im HR-Bereich: Datenschutz meistern!
Künstliche Intelligenz im Personalwesen: Vom Bewerbermanagement bis hin zur Personaladministration. Was sagt der Datenschutz?
Künstliche Intelligenz ist in aller Munde. Die unter diesem Oberbegriff zusammengefassten Technologien bergen für beinahe jeden Bereich der Wirtschaft gewaltige Potenziale. Personalabteilungen von Unternehmen können vom Einsatz künstlicher Intelligenz profitieren, um sich auf das Wesentliche zu konzentrieren. Die Automatisierung repetitiver Tätigkeiten im Bewerbungsmanagement und anderen Bereichen, das Erstellen von psychologischen Profilen von Bewerbern für Stellen mit Managementverantwortung oder die Förderung von Mitarbeitern können bereits von Künstlicher Intelligenz erledigt werden. Bei der Einführung und dem Betrieb gilt es gerade im Personalbereich den Datenschutz von Anfang an mitzudenken.
Dieser Artikel zeigt auf, welche Möglichkeiten für eine bessere Personalarbeit rechtskonform genutzt werden können. Dabei liegt der Fokus auf dem Bewerbungsprozess und der Personaladministration. Dort zeichnen sich momentan die größten Fortschritte ab.
Datenschutzrechtliche Herausforderungen im Bewerbungsverfahren
Branchenübergreifend gilt, dass die Motivation und Kompetenz des Personals über Erfolg und Misserfolg von Unternehmen entscheiden. Bereits beim Recruiting betreiben Unternehmen daher großen Aufwand, um den „richtigen“ Bewerber zu finden. Künstliche Intelligenz im Bewerbungsverfahren kann menschliche Arbeitskräfte von Routinetätigkeiten entlasten, damit diese mehr Zeit für menschliche Interaktion mit Bewerbern haben.
Chatbots
Zu den oben genannten Routinetätigkeiten zählt auch das Beantworten von wiederholt auftretenden Fragen im Bewerbungsprozess. Eine Künstliche Intelligenz, die als Chatbot programmiert ist, kann durch Natural Language Processing rund um die Uhr und 7 Tage die Woche Bewerberanfragen verstehen und zufriedenstellend beantworten. Sie kann so zur sinnvollen Ergänzung eines gelungenen Bewerbermanagements werden.
Unternehmen wollen Kandidaten mit den richtigen Qualifikationen und einschlägiger Berufserfahrung finden, treffen dabei aber häufig auf einen leergefegten Arbeitsmarkt. Das schnelle, vollständige und richtige Beantworten von Rückfragen der Bewerber kann das Bewerbererlebnis (sogenannte „candidate experience“) stark verbessern. Wer Fachkräfte gewinnen will, zeigt diesen deshalb im Bewerbungsprozess, dass er sie und ihre Anfragen ernst nimmt.
KI funktioniert jedoch nicht wie eine plug-and-play Lösung, die sofort nach der Installation die gewünschten Ergebnisse liefert. Um ihre Aufgabe zu erfüllen, muss sie zunächst trainiert werden. Dieses Training funktioniert — vereinfacht gesagt — so, dass die Künstliche Intelligenz Daten erhält, die den Daten, die sie später verarbeiten soll, möglichst ähnlich sind, diese auf die für den späteren Einsatz geplante Weise verarbeitet und korrigiert wird, wenn sie nicht das richtige Ergebnis geliefert hat.
Bereits zu diesem Zeitpunkt ist der Datenschutz zu beachten.
Um den Chatbot zu trainieren, sind nur Konversationen notwendig, nicht aber personenbezogene Daten. Werden also anonymisierte Datensätze verwendet, bestehen keine datenschutzrechtlichen Bedenken. Anonymisierung bedeutet, dass Menschen aus den Daten nicht mehr als einzelne Person identifiziert werden können. Es reicht dafür nicht aus, Namen und Adressen aus den Konversationsdaten zu löschen. Anonymisiert sind Daten erst dann, wenn aus diesen keine Rückschlüsse mehr auf einzelne Personen möglich sind. Sobald der Chatbot zufriedenstellende Antworten generiert, kann er in der Praxis eingesetzt werden.
Dabei sollte der Chatbot so wenige personenbezogene Daten wie möglich erfragen:
- Fragt ein Bewerber zum Beispiel nach dem Status seiner Bewerbung sollte er zur Zuordnung des Bewerbers nicht gleich dessen Adresse, Geburtsdatum und Vor- und Zunamen abfragen. Es würde stattdessen ausreichen, nach seiner E-Mail-Adresse und dem Datum der Zusendung der Bewerbung oder der Bewerbernummer zu fragen.
- Fragt ein Bewerber nach dem Ablauf des Bewerbungsverfahrens, reicht es aus, wenn der Chatbot danach fragt, welche Positionen für den Bewerber interessant sind.
Im Klartext heißt das: Der Chatbot sollte nur die Informationen vom Bewerber erfragen, die er unbedingt braucht, um sinnvolle Antworten zu generieren. Das verlangt das in Art. 5 Abs. 1 Lit. c DSGVO verankerte Prinzip der Datenminimierung. Darüber hinaus sollte der Bewerber darüber aufgeklärt werden, dass er mit einem Computer und nicht mit einem Menschen kommuniziert. Einerseits ist das fair gegenüber den Bewerbern, andererseits ist es nach dem Transparenzgebot aus Art 5 Abs. 1 Lit. a DSGVO wichtig, dass diese nachvollziehen können, dass ihre Eingaben nicht von einem Menschen, sondern einem Algorithmus beantwortet werden.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Headhunting
Das Recruiting von Fachkräften ist eine Herausforderung, die fast alle Unternehmen betrifft. Viele suchen daher aktiv nach passenden Kandidaten für ihr Unternehmen. Das ist jedoch zeitaufwändig. Startups, wie zum Beispiel „Searchtalent“, aber auch bereits etablierte Marken wie „XING“ („E-Recruiting 360°“) wollen diese Arbeit automatisieren. Hier gelten dieselben Grundsätze wie bei der direkten Ansprache von Bewerbern. Es ist also darauf zu achten, nur so viele Daten zu erheben wie unbedingt nötig, diese nur für den Zweck der Ansprache des Bewerbers zu verwenden und bei erfolgloser Ansprache unverzüglich zu löschen. Werden die hier beschriebenen Grundsätze der Datenminimierung, der Zweckbindung und der Speicherbegrenzung nicht beachtet, ist ein datenschutzkonformer Einsatz solcher Algorithmen nicht möglich.
Sortieren von Bewerbungen
Die Spreu vom Weizen zu trennen ist eine Fleißaufgabe, die das Bewerbererlebnis nicht verbessert und die Arbeitszeit von Personalern bindet. Hier kann ein Algorithmus Bewerbungen daraufhin überprüfen, ob sie mit der Stellenausschreibung übereinstimmen. Eine automatisierte Entscheidung darüber, ob ein Bewerber eingestellt wird, wäre eine sogenannte automatisierte Entscheidung im Sinne von Art. 22 DSGVO. Dieses verstößt grundsätzlich gegen die DSGVO. Das wäre nicht der Fall, wenn die Künstliche Intelligenz besser als ein Mitarbeiter darin wäre, zu beurteilen, ob ein Bewerber gut zur Stellenausschreibung und in das Unternehmen passt. Das ist momentan unwahrscheinlich.Folglich sollten Personalabteilungen Einstellungsentscheidungen nicht an Algorithmen delegieren.
Generell muss bei der Verarbeitung von Daten durch eine Künstliche Intelligenz sichergestellt werden, dass diese diskriminierungsfrei arbeitet. Die Konferenz der deutschen Datenschutzaufsichtsbehörden empfiehlt dazu in ihrer Hambacher Erklärung die Trainingsdaten auf Diskriminierungen zu untersuchen und diese zu entfernen, bevor die KI mit ihnen trainiert wird. Die Ergebnisse einer KI sind in der Regel nicht vorhersehbar, daher sollte sie auch nach ihrer Implementierung darauf überwacht werden, dass sie niemanden diskriminiert. Dieses Problem ist bereits bei mehreren Anwendungen der Künstlichen Intelligenz beobachtet worden. So hat zum Beispiel Googles AdSense Plattform eher Männern als Frauen hochbezahlte Führungspositionen angeboten und Kunden Anzeigen auf Basis ihrer Gesundheitsinformationen angezeigt.
Persönlichkeitsprofil durch Stimmanalyse
Für Positionen, die für das Unternehmen elementar wichtig sind, können Tools wie „Precire“ eine sinnvolle Ergänzung des Bewerbungsprozesses sein. Dieses Tool soll es ermöglichen, innerhalb eines kurzen telefonischen Interviews und mit ein paar Textschnipseln aus der Art und Weise, wie ein Mensch spricht, ein valides Persönlichkeitsprofil zu gewinnen. Eine solche Analyse kann sehr tiefe Einblicke in die Persönlichkeit eines Bewerbers liefern. Soweit der Einsatz zulässig ist, können solche Tools auch für Mitarbeiter angeboten werden, die ihre Fähigkeiten weiterentwickeln wollen. So kann aus einem Assessment Tool auch ein Werkzeug werden, das besonders leistungsbereites Personal binden kann.
Die Erstellung von Persönlichkeitsprofilen durch Stimmanalyse kann jedoch nur ausnahmsweise datenschutzrechtlich zulässig sein. Das hängt stark davon ab, wie das Unternehmen sie einsetzt und für welche Stellen. Es kommt dabei vor allem darauf an, dass die im Persönlichkeitsprofil beurteilten Eigenschaften für die Stellenausschreibung sehr wichtig sind. Das ist vor allem für Führungskräfte und Eigenschaften, wie z.B. Durchsetzungsstärke, Einfühlungsvermögen und Resilienz interessant.
Eine Einwilligung in das Interview wird wahrscheinlich nicht ausreichen, da Einwilligungen nur dann wirksam sind, wenn sie freiwillig erteilt wurden. Zwischen Kandidat und Unternehmen besteht jedoch oft ein klares Machtgefälle. In diesen Fällen ist sehr genau anhand der Umstände zu prüfen, ob die Einwilligung überhaupt freiwillig erfolgte oder dem Bewerber keine Alternativen zum Interview angeboten wurden. Möglich ist auch, dass das Erstellen eines solchen Persönlichkeitsprofils zulässig ist, weil es für die Anbahnung des Arbeitsvertrages erforderlich ist. Dafür sind jedoch die strengen Maßstäbe der Erforderlichkeit zu beachten. Erforderlich ist eine Datenverarbeitung immer nur dann, wenn es keine andere Möglichkeit gibt, den Bewerbungsprozess mit weniger personenbezogenen Daten genauso effizient durchzuführen. Bei der überwältigenden Mehrheit der zu besetzenden Arbeitsplätze wird das nicht der Fall sein.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Personaladministration
Die Verwaltung von Personal ist oft arbeitsintensiv und von repetitiven Tätigkeiten geprägt. Gerade solche Aufgabenstellungen können oft sehr gut durch Programme mit künstlicher Intelligenz erledigt werden, wie die folgenden Beispiele zeigen.
Geschäftsreisen
Programme wie zum Beispiel Expenseit (Teil von SAPs Concur) können anhand eines Fotos Belege speichern, die Ausgaben den einzelnen Posten zuordnen und dadurch automatisch abrechnen. Wer jemals den Papierwust, der sich regelmäßig rund um Reisekostenabrechnungen auftürmt, sortieren und zuordnen musste, kann sich vorstellen, welche Einsparungs- und Komfortpotenziale solche Innovationen bringen. Diese Programme beginnen auch bereits die Buchung von Reisen zu vereinfachen, indem sie automatisiert das Vergleichen verschiedener Reise- und Unterkunftsoptionen übernehmen und dem Mitarbeiter die sinnvollsten Optionen vorschlagen. Ein sehr weitreichendes Feature ist die Lokalisierungsfunktion solcher Programme. Diese sagt anhand der abgerechneten Belege und Kreditkartendaten des Mitarbeiters voraus, wo dieser sich gerade befindet.
Die ersten beiden Anwendungen sind datenschutzrechtlich kaum anders zu behandeln, als die klassische Abrechnung und Buchung von Dienstreisen. Es ist lediglich darauf zu achten, dass zwischen dem Unternehmen und dem KI-Anbieter ein Auftragsverarbeitungsvertrag geschlossen wird. Weiterhin sollte der Auftraggeber sicherstellen, dass der Auftragnehmer, ausreichende technische und organisatorische Maßnahmen im Sinne von Art. 32 Abs. 1 DSGVO trifft. Werden bei der Verarbeitung Daten auf Server außerhalb der EU transferiert, sollte der Vertrag die Standarddatenschutzklauseln der EU-Kommission enthalten. Dann können die Daten nach Art. 46 Abs. 1, 2 Lit. c DSGVO auch ohne Genehmigung der Aufsichtsbehörde übermittelt werden.
Das Tracking von Personal ist jedoch ein recht tiefer Eingriff in das Recht der Mitarbeiter auf informationelle Selbstbestimmung, der wohl nur dann zu rechtfertigen ist, wenn der Mitarbeiter sich bei Geschäftsreisen im gefährlichen Umfeld bewegt. Reisen in Krisengebiete könnten ein Beispiel sein. Aber auch dann müsste eine solche Überwachung mit dem Einverständnis des Mitarbeiters erfolgen. Dieser kann jedoch nur dann wirksam einwilligen, wenn er die Zustimmung, ohne Nachteile für seine Tätigkeit befürchten zu müssen, verweigern kann.
Talentförderung
Wer Fachkräfte erfolgreich rekrutiert hat, will diese durch eine sinnstiftende Tätigkeit und Weiterentwicklungsmöglichkeiten an sein Unternehmen binden. Dazu gehört beispielsweise, dass Mitarbeiter mit Technologien arbeiten, die so intuitiv bedient werden können wie die Geräte und Interfaces, die der Mitarbeiter in seiner Freizeit nutzt. Gleichzeitig mit der Einführung solcher modernen Interfaces zum Beispiel für die Darstellung und Aufbereitung von Informationen werden Mitarbeiter häufig produktiver, weil die frustrierende Suche nach Einzelinformationen und das Erstellen von Überblicken entfällt. Dabei darf der Datenschutz nie aus den Augen verloren werden. Auch mit modernen Analysetools, wie z.B. SAP Analytics dürfen nicht mehr Daten verarbeitet werden, als für die Erfüllung des Zwecks notwendig. Hier kommt das in der DSGVO verankerte Prinzip der Datenminimierung zum Tragen.
Gerade gesuchte Fachkräfte arbeiten heute häufig dort, wo sie sich professionell am besten weiterentwickeln können. An dieser Stelle könnten Programme wie der Whatson Career Coach von IBM Unternehmen helfen, die Nase vorn zu haben. Sie bieten Mitarbeitern aufgrund von Erfahrungswerten aus dem Unternehmen, von IBM und Angaben des Mitarbeiters Angebote von interessanten Stellen im Unternehmen oder für Fortbildungen und Coachings. Ein solches Angebot wird regelmäßig nur mit der Einwilligung des Mitarbeiters rechtlich zulässig sein.
Fazit
Nicht nur für Bewerber, sondern auch für Human Resources Abteilungen ist der Bewerbungsprozess mit großen Unsicherheiten behaftet. Diese sind häufig mehr mit dem Abarbeiten von Routinetätigkeiten beschäftigt als mit der Kommunikation mit Kandidaten. Zu oft bleibt die Förderung der eigenen Mitarbeiter links liegen. Diese Probleme können durch den Einsatz von selbst lernenden Algorithmen gemildert werden. Wer bei der Implementierung einer künstlichen Intelligenz die rechtlichen Schranken beachtet, kann durch einen besseren Prozess des Einstellens von Mitarbeitern einen Wettbewerbsvorteil gegenüber seiner Konkurrenz erlangen. Das sollte nicht dazu führen, dass Unternehmen beginnen, anlasslos große Mengen von personenbezogenen Daten anzuhäufen, um diese später für das Training von Algorithmen oder andere vom ursprünglichen Erhebungszweck abweichende Tätigkeiten einzusetzen. Hier ist weiterhin streng auf die Grundsätze der Datenminimierung, Zweckbindung und der Speicherbegrenzung zu achten, die bei jeder rechtmäßigen Datenverarbeitung eingehalten werden. Ein gutes Löschkonzept sollte sowieso vorhanden sein. Es kann die Mitarbeiter aber auch für einen rechtskonformen Umgang mit Daten im Zusammenhang mit Künstlicher Intelligenz sensibilisieren.
Dabei gilt es zu beachten, dass nicht jeder Trend blind übernommen werden sollte. Auf eine Welle des Outsourcings von Tätigkeiten folgte zum Beispiel bei vielen Unternehmen das aufwendige Wiedereingliedern dieser Aufgaben. Daher gilt: Man sollte nur dort automatisieren, wo für Unternehmen und Mitarbeiter große Vorteile warten. Wie dieser Artikel zeigte, stehen rechtliche Hindernisse dem selten im Weg.
Absehbar ist, dass bei dem jetzigen Tempo der technischen Entwicklung Bereiche, wie zum Beispiel das Performancemonitoring, zukünftig vollautomatisiert werden können. Mit Spannung erwartet werden darf auch, wann die erste KI entwickelt werden kann, die flächendeckend Skilltrainings entwickeln kann. Diese Entwicklungen liegen allerdings noch in der Zukunft.
Weitere Neuigkeiten
23.09.2024
NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
Am 16.01.2023 trat die NIS2-Richtlinie EU-weit in Kraft. Nachdem des zugehörige Umsetzungsgesetz mehrfach geändert wurde, liegt mittlerweile der wohl finale Entwurf vor und das Inkrafttreten der NIS2-Anforderungen rückt immer näher. Eine Vielzahl von Unternehmen steht nun vor der Frage, ob sie dem Anwendungsbereich der NIS2-Richtlinie unterfallen, welche Pflichten sie treffen und wie sie diese Pflichten durch geeignete Maßnahmen erfüllen können. Wir haben die Anforderungen und notwendigen Maßnahmen für Sie aufbereitet.
Weiterlesen … NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
10.09.2024
Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern
Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.
26.08.2024
Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, empfiehlt sich ein Datenschutzmanagementsystem (DSMS). Denn damit lassen sich die datenschutzrechtlichen Anforderungen regeln, planen, umsetzen und kontrollieren. Das vereinfacht die Compliance für Unternehmen und deren Mitarbeiter:innen wesentlich. Lesen Sie hier, wie der DSGVO-konforme Aufbau eines DSMS gelingt, wer im Unternehmen dafür Verantwortlich ist und welche Software Ihnen helfen kann.
Weiterlesen … Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance