Algorithmen in der Personalabteilung

Der Einsatz neuer Technologien verändert das rechtliche Gefüge, in dem Unternehmen, Arbeitnehmern und deren Vertreter agieren und erfordert stellenweise, dass der Gesetzgeber tätig wird. Kai v. Lewinski, Raphael de Barros Fritz und Katrin Biermeier beleuchten in einem ihrem Gutachten die geltenden Regelungen für den Einsatz von Algorithmen in der Arbeitswelt und mögliche künftige Normierungsstrategien aus einer juristischen Perspektive.

Algorithmen versprechen Unternehmen effizienten Ressourceneinsatz und Vorteile im Wettbewerb. Diese Untersuchung hat gezeigt: Der Einsatz neuer Technologien verändert das rechtliche Gefüge, in dem Unternehmen, Arbeitnehmer und deren Vertreter agieren und erfordert stellenweise, dass der Gesetzgeber tätig wird.

Zusammenfassung des Gutachtens Bestehende und künftige Regelungen des Einsatzes von Algorithmen im HR-Bereich (PDF, 537KB) von Prof. Dr. Kai v. Lewinski (Passau)/Diplom-Jurist (Univ.), Raphael de Barros Fritz, LL.M. (Tulane)/cand. iur. und Katrin Biermeier (Passau).

Was ist ein Algorithmus?

Ein Algorithmus ist ein Verfahren, das in mehreren Schritten und nach Training mit einem Datensatz teilautonom einen Entscheidungsvorschlag macht – oder gleich eine Entscheidung fällt.

Wofür wird er verwendet?

Ein algorithmisch gesteuertes System kann mit bestimmten Wahrscheinlichkeiten vorhersagen, wie gut und zuverlässig Angestellte arbeiten. Algorithmen können bei Beförderungen, Schichteinteilung und allgemein beim Personalmanagement helfen.

Wer zahlt bei Fehlern den Schadensersatz?

Beispiel:

  1. Ein algorithmengesteuerter Roboter verletzt einen Menschen.
  2. Ein Unternehmen übermittelt algorithmusgesteuert falsche Angaben an die Sozialversicherung oder Finanzverwaltung und der Arbeitnehmer erleidet einen Schaden.
  3. Ein Algorithmus diskriminiert wegen des Geschlechts.

Für einen Algorithmus haftet der Arbeitgeber arbeitsrechtlich nach den normalen Regeln des Bürgerlichen Gesetzbuchs. Gegenüber Arbeitnehmern haftet der Arbeitgeber also wegen Verletzung des Arbeitsvertrags und wegen der üblichen deliktischen Schadensersatzregeln. Insoweit ergeben sich noch keine Besonderheiten.

Datenschutzrechtlich haben Arbeitnehmer zusätzlich und erleichtert Ansprüche, z.B. Artikel 82 DSGVO, aber sie wirken sich praktisch wenig aus: Das Problem ist jedoch, dass eine reine Verletzung von Datenschutzrecht zwar rechtswidrig sein kann, womöglich aber nicht zu einem nachweisbaren Schaden führt. Oft sind Betroffene „rational apathisch”, das heißt, dass sie ihre Ansprüche nicht verfolgen, da sich der Aufwand nicht lohnt.

Auch das Antidiskriminierungsrecht führt für sich genommen nicht zu schärferer Haftung. Das Allgemeine Gleichbehandlungsgesetz (§ 15 AGG) bietet in bestimmten Fällen Entschädigungsansprüche, wenn etwa ein Bewerber wegen Rasse oder Religion abgelehnt wird. Voraussetzung für die Entschädigungspflicht des Arbeitgebers im Falle rechtswidriger Benachteiligung (§ 7 AGG) ist jedoch, dass diese zumindest auch an einen der verbotenen Gründe anknüpft (etwa Rasse oder Religion – siehe § 1 AGG). Sofern diese Unterscheidung durch ein algorithmisch gesteuertes System getroffen wird, muss dies dem Arbeitgeber zugerechnet werden. Wie man „Wissen“ des Algorithmus‘ einem Unternehmen zurechnet, ist derzeit ungeklärt. Dass ein verbotenes Kriterium für eine Entscheidung mitursächlich war, ist anhand der Zahl der untereinander wechselbezüglichen Merkmale beim Data Mining für Laien kaum durchschaubar. Auch wenn ein Algorithmus faktisch und ungewollt diskriminieren könnte, führt das nicht schon zur Haftung, da sich die Vorgänge innerhalb des Algorithmus der Kenntnis der menschlichen Mitarbeiter und damit auch der des Unternehmens entziehen. Besonders problematisch ist die Konstellation, in der ein selbstlernendes System zu einem Fehler führt. Denn das Verschulden von menschlichen Gehilfen wird zwar gemäß § 278 BGB dem Unternehmen zugerechnet – nicht aber Fehler, die in der eigenständigen Fortentwicklung des Algorithmus liegen. 

Die Komplexität von Algorithmen führt zu vielen Beweisschwierigkeiten. Dem kann durch Dokumentationspflichten entgegengewirkt werden (ähnlich § 16 Abs. 2 Nr. 3 BörsG).

Das Antidiskriminierungsrecht kennt eine Vermutungsregel in § 22 AGG, wonach das Vorliegen von Indizien genügt, um von einer Benachteiligung wegen eines verpönten Grundes auszugehen. Dabei könnten wiederum Algorithmen helfen, solche Benachteiligungen aufzuspüren.

Wenn eine Diskriminierung dem eigenständigen Lernen eines Algorithmus zuzurechnen ist, könnte dies analog § 278 BGB dem Unternehmen zugerechnet werden. Fraglich ist aber, ob dies auch für die verschuldensunabhängige Entschädigung für Diskriminierungen nach § 15 Abs. 2 AGG gilt.

Denkbar wäre auch, Unternehmen für Algorithmen ähnlich wie Tierhalter oder Fahrzeugführer haften zu lassen, da sie aus dem Einsatz dieser Systeme Vorteile ziehen (Gefährdungshaftung, eventuell kombiniert mit einer Pflicht zum Abschluss einer Haftpflichtversicherung wie im Verkehrsrecht).

Algorithmen und einzelne Mitarbeiter

Algorithmen können beim effizienten Einsatz von Personal helfen. Doch das Arbeitszeitrecht lässt dem Arbeitgeber dafür nur einen begrenzten Korridor. Ruhezeiten und das Sonn- und Feiertagsarbeitsverbot (§§ 5, 9 ff. ArbZG) sowie Regeln zur Teilzeitarbeit (§ 12 Abs. 2 TzBfG) bilden harte Grenzen.

Jede personenbezogene Datenverarbeitung muss durch bestimmte Tatbestände im Datenschutzrecht gerechtfertigt sein; das gilt auch für Anwendung von Algorithmen, um über Aufgabenverteilung und Beförderungen zu entscheiden. § 26 BDSG ist die einzige spezielle deutsche Vorschrift für Beschäftigtendatenschutz. Datenverarbeitungen müssen demnach für Zwecke des Beschäftigungsverhältnisses „erforderlich” sein. Die bisherige Rechtsprechung des Bundesarbeitsgerichts wirkt insoweit weiter: Personenbezogene Dauerüberwachung von Arbeitnehmern ist nur zulässig, wenn eine freiwillige Einwilligung der Mitarbeiter vorliegt oder man sie aus guten Gründen einer schwerwiegenden Pflichtverletzung verdächtigt. Festzustellen, ob eine Einwilligung freiwillig abgegeben wurde, ist schon nach bisherigem Recht problematisch, wird aber nach neuem Recht vermutet, wenn die Datenverarbeitung den Betroffenen nützt – etwa bei einem betrieblichen Gesundheitsmanagement zur Gesundheitsförderung mit Hilfe von Algorithmen. Algorithmengeleitete Beförderungen sind dagegen ein Grenzfall. Das Datenschutzrecht verbietet zudem gemäß Art. 22 DSGVO, dass eine rechnergestützte Entscheidung ausschließlich vom Computer getroffen wird – es muss immer ein (qualifizierter!) Mensch dazu- oder dazwischentreten.

Das Diskriminierungsrecht verlangt von Unternehmen, dass sie Präventivmaßnahmen gegen Benachteiligungen gem. § 1 AGG ergreifen. Grundsätzlich verboten ist zudem die Verarbeitung „sensibler Daten” gem. Art. 9 DSGVO. Bislang sind Algorithmen aber noch nicht so außer Rand und Band geraten, dass sie aus Gründen der Gefahrenabwehr von der Polizei abgeschaltet hätten werden müssen – was als letztes Mittel aber durchaus denkbar ist.

Ein Mensch darf nicht im Einzelfall einem Algorithmus ausgeliefert sein (Art. 22 DSGVO). Eine Möglichkeit für Unternehmen: Bei algorithmischen Verfahren sollten Betroffene Gelegenheit bekommen, selbst Angaben zu machen, um auf unvollständiger Datenbasis beruhende Entscheidungen zu verhindern; diese Angaben müssen dann berücksichtigt werden. Betroffene müssen zudem ausreichend über Datenverarbeitungen informiert sein (Art. 13 Abs. 2 lit. f, 14 Abs. 2 lit. g, 15 Abs. 1 lit. h DSGVO).

Betriebsrat und Algorithmen

Auch im Hinblick auf das Mitbestimmungsrecht sind algorithmische Steuerungen problematisch. Verändern sich Beginn und Ende der täglichen Arbeitszeit oder verlagern sich Arbeitstage innerhalb der Woche (sei es implizit), so entsteht Mitbestimmungsrecht des Betriebsrats (§ 87 Abs. 1 Nr. 2 BetrVG). Auch bei einer vorübergehenden Änderung der regelmäßigen Arbeitszeit muss möglicherweise der Betriebsrat beteiligt werden (§ 87 Abs. 1 Nr. 3 BetrVG). Besonders wichtig für die Industrie 4.0: § 87 Abs. 1 Nr. 6 BetrVG, der technische Einrichtungen betrifft, mit denen Verhalten oder die Leistung von Mitarbeitern überwacht werden kann. Auch wenn Unternehmen für die Umsetzung Dritte einschalten und nicht einmal Zugriff auf die erfassten Daten haben, gilt die Mitbestimmung. Werden dagegen nur anonyme Daten erhoben oder wird nur die Leistung einer ganzen Abteilung oder Gruppe ausgewertet, hat der Betriebsrat in der Regel kein Mitspracherecht. Etwas anderes gilt wiederum, wenn der Überwachungsdruck auf die Gruppe bis zu einzelnen Kollegen durchschlägt. Die Mitbestimmung gilt nicht nur bei der Datennutzung, sondern schon deren Erhebung. Cyber-physikalische Systeme, also Identifizierungen mittels RFID-Chips oder Fingerprint-Scanner-Systemen, sind meist mitbestimmungspflichtig.

Unternehmen müssen zudem datenschutzrechtliche Organisationsvorschriften beachten – unter Einbindung der betrieblichen Datenschutzbeauftragten. Hier hat sich die Rechtslage durch die DSGVO in Deutschland aber kaum verändert. Sofern ganze Belegschaften durch Big-Data-Verfahren betroffen sind, müssen Unternehmen die Pflicht zur Datenschutz-Folgeabschätzung gem. Art. 35 DSGVO beachten.

Das Betriebsverfassungsgesetz knüpft am Begriff „Betrieb“ an, doch was bei einer durch Algorithmen vernetzten und integrierten Industrie 4.0 als Betrieb gilt, ist zunehmend unklar. So könnte ein zentraler Algorithmus Personalentscheidungen in verschiedenen Unternehmen eines Konzerns oder entlang der Wertschöpfungskette steuern. Auch die autonome Gestaltung durch Tarifverträge oder Betriebsvereinbarungen hilft nur begrenzt. Der Gesetzgeber ist gefordert nachzuarbeiten.

Technikrecht

Das Arbeitsschutzgesetz schützt nur vor Gefahren für Leben und Gesundheit. Beim Einsatz von Robotern ist dies relevant und wichtig, beim Algorithmeneinsatz im Rahmen von Personalentscheidungen eher nicht.

Das Datenschutzrecht mahnt Datenschutz durch Technikgestaltung an, was auch für die Entwicklung von Algorithmen gilt. Bei automatisierten Einzelentscheidungen muss stets ein qualifizierter Mensch dazwischentreten (s.o., Art. 22 DSGVO). Art. 35 DSGVO verlangt eine Datenschutzfolgenabschätzung nach 35 DSGVO bei „Big Data“ Anwendungen (neue Technologien).

Wie ein künftiges Algorithmenrecht oder auch entsprechende Betriebsvereinbarungen aussehen könnten, zeigt ein Rundblick in andere Rechtsgebiete:

  • Diversitätsvorgaben für Programmierer könnten helfen, eine maschinelle Diskriminierung zu vermeiden, ebenso wie die Pflicht zum „vorurteilsfreien Programmieren”. Das könnte sogar in eine Pflicht zum Einsatz von Algorithmen münden.
  • Das Wertpapierrecht kennt bereits Notfallvorkehrungen für unvorhergesehene Störungen (§ 80 Abs. 2 S. 4 WpHG).
  • Das Verwaltungsrecht kennt die Beschränkung vollautomatischer Entscheidungen auf bestimmte Einsatzfelder (§ 35a VwVfG) – eine solche Eingrenzung auf Verfahren, die keine irreversiblen Folgen für den Menschen haben, ist zumindest bei selbstlernenden Algorithmen angezeigt.
  • Produkthaftungsregeln könnten auf Hersteller von Algorithmen ausgedehnt werden. Zu erwägen ist außerdem eine Zertifizierungspflicht („Algorithmen-TÜV”). Unabhängige Fachleute könnten eingesetzte Algorithmen überprüfen und zertifizieren. Selbstlernende Systeme sollten fortlaufend geprüft werden. Allerdings sind solche Prüfungen praktisch schwer umsetzbar, da die Arbeit von Algorithmen stark vom Input abhängt und der sich laufend ändert.
  • Möglicherweise braucht es auch umfassende Überwachungs- und Beobachtungspflichten, ähnlich wie es schon jetzt bei automatisiertem Fahren geregelt ist (§ 1b StVG).

Schluss

Der Einsatz von Algorithmen im Zusammenhang mit Personalentscheidungen berührt viele Rechtsgebiete mit ganz unterschiedlichen Rechtsvorschriften. Der Schwerpunkt der Regelungen liegt auf den das Individuum schützenden Vorschriften des Bürgerlichen Rechts, dem (Individual‑)Arbeitsrecht und dem Datenschutzrecht sowie dem Betriebsverfassungsrecht. Die Regelungsdichte ist so hoch, dass keine riesigen Schutzlücken klaffen, auch wenn die Regelungen nicht zu 100 Prozent passen.

Der blinde Fleck des Algorithmenrechts liegt eher im Technikrecht und in den gesamtgesellschaftlichen Auswirkungen. Personalabteilungen und Betriebsratsbüros können mit den bestehenden Regelungen erst einmal (weiter‑)arbeiten. Arbeitnehmer und Arbeitgeber auf Verbandsebene und die Gesellschaft insgesamt müssen erst noch passende Normen für den Umgang mit algorithmischen Systeme finden.

Gutachten Bestehende und künftige Regelungen des Einsatzes von Algorithmen im HR-Bereich
von Prof. Dr. Kai v. Lewinski,
Raphael de Barros Fritz, LL.M. (Tulane)/cand. iur. und Katrin Biermeier (Passau) als PDF (537KB):

Veröffentlicht im Rahmen des Forschungsprojekts
Automatisiertes Personalmanagement und Mitbestimmung

Bleiben Sie auf dem Laufenden...
Abonnieren Sie den AlgorithmWatch-Newsletter!