KI im Büro – Status quo zwischen Effizienz und Datenschutz

In vielen Bereichen des Arbeitsalltags begegnen uns inzwischen künstliche, ganz maschinell geschriebene Texte, Hilfe bei der Themenfindung, Übersetzungen oder gar die persönliche Terminplanung: Künstliche Intelligenz gehört inzwischen für viele zum Arbeitsalltag, die hauptsächlich mit dem Computer arbeiten. Doch was ist im Büroalltag mit KI erlaubt – und wo lauern datenschutzrechtliche Fallstricke?

Der Einsatz von KI ist sowohl aus Sicht von Arbeitgebern relevant wie auch aus der von Mitarbeitern. Und bei den meisten Tätigkeiten, in die KI involviert ist, gilt besonderes Augenmerk dem Datenschutz. Jede Verarbeitung personenbezogener Daten durch KI-Tools braucht eine klare Rechtsgrundlage nach DSGVO. Das könnte eine Einwilligung sein, ein Vertrag oder ein „berechtigtes Interesse“. Es stellt also beispielsweise schon ein datenschutzrechtliches Problem dar, eine Adressdatei von einer KI einlesen oder verarbeiten zu lassen.

Generelles Problem: der Serverstandort

Die relevantesten KI-Anbieter haben ihre Firmensitze und ihre Server an Standorten in den USA. Teilweise agieren sie auch aus anderen Ländern außerhalb der EU. Arbeitgeber haben die Pflicht, zu prüfen, ob auf diesen Server verarbeitete Daten mit einem DSGVO-konformen Schutzniveau gespeichert werden. Standardvertragsklauseln oder spezielle Garantien sind Pflicht. Darüber hinaus besteht für Arbeitgeber die Verpflichtung, Beschäftigte darüber zu informieren, wenn KI-Tools firmenintern zum Einsatz kommen und beispielsweise Daten der Mitarbeiter von diesen verarbeitet werden. KI wird in vielen Unternehmen auch dazu eingesetzt, Mitarbeiter zu überwachen und ihre Leistungen zu erfassen, um sie dann bewerten zu können. Wird ein solches System installiert, darf dies nur in Abstimmung mit dem Betriebsrat erfolgen.

Auch Arbeitnehmer haben etliche Sorgfaltspflichten

Dass lernende Systeme darauf angewiesen sind, einen möglichst großen Datenvorrat einzusammeln, macht sie zu echten Datenkraken. Daher haben Angestellte die Verpflichtung, sowohl personenbezogene Daten wie auch firmenrelevante Daten entsprechend zu schützen. Ob Patientendaten, personenbezogene Kundendaten oder auch jede Art von Betriebsgeheimnissen: Alle von der KI gespeicherten Daten werden zu Trainingszwecken genutzt. Darüber hinaus besteht aber auch die Gefahr, dass diese sensiblen Informationen von nicht autorisierten Dritten eingesehen werden. Wird KI beispielsweise zur Text- oder Codeerstellung genutzt, bleibt die urheberrechtliche Verantwortung für die generierten Inhalte einzig beim Produzenten. Arbeitnehmer haben die Pflicht zu prüfen, ob KI-generierte Inhalte rechtlich und moralisch unbedenklich sind. Im Sinne von innerer wie äußerer Transparenz sollten dazu KI-generierte Dateien entsprechend gekennzeichnet werden.

Beispiele typischer KI-Anwendungen im Büro

• Verfassen von E-Mails:
  Wird ein Language Modell genutzt, um beispielsweise Kundenanfragen per E-Mail zu beantworten, sollte darauf geachtet werden, dass keinerlei sensible Kundendaten verarbeitet werden. Das bezieht sich auf personenbezogene Kundendaten, aber auch Kundennummern oder Vertragsdetails.
• Erstellung von Protokollen:
  Häufig wird KI dazu genutzt, Meetings aufzuzeichnen und die Inhalte dann für Protokolle aufzubereiten. Aber da beginnt bereits das Problem: Wer Gesprächsprotokolle in externe Tools hochlädt, die keiner besonderen Sicherheitsstufe entsprechen, verstößt gegen die DSGVO. Diese Art der Verarbeitung empfiehlt sich nur, wenn im Unternehmen eine eigene, nach außen geschützte KI-Cloud-Lösung eingesetzt wird.
• Bewerbungsunterlagen:
  Werden in der Personalabteilung Bewerbungsunterlagen mithilfe von KI verarbeitet, ist dies nur rechtmäßig, wenn die Bewerber im Vorfeld darüber informiert worden sind.
• Erstellung von Präsentationen:
  Mithilfe von KI Lassen sich in Sekundenschnelle Präsentationen erstellen. Schwierig wird es allerdings dann, wenn Geschäftsgeheimnisse Gegenstand der Präsentation sind. Diese sollten nämlich nicht nach außen gelangen. Hierbei empfiehlt es sich, lediglich Inspiration von außen einzuholen, die eigentliche Präsentation aber in Eigenregie anzufertigen.

Fazit

KI im Büro ist nicht grundsätzlich in Frage zu stellen. Arbeitgeber sollten jedoch klare Richtlinien formulieren, welche Tools erlaubt sind und wofür sie genutzt werden dürfen. Arbeitnehmer wiederum tragen Verantwortung dafür, KI nicht leichtfertig mit vertraulichen Informationen zu füttern.