7. Mai 2024
KI Schufa HR-Bereich
Künstliche Intelligenz

Auswirkungen des Schufa-Urteils des EuGH auf den Einsatz von KI im HR-Bereich

Der Beitrag beleuchtet, inwieweit das Schufa-Urteil des EuGH dem Einsatz von Künstlicher Intelligenz (KI) im HR-Bereich entgegensteht.

Immer mehr Unternehmen setzen KI-Systeme im HR-Bereich ein. Eine wesentliche datenschutzrechtliche Vorschrift in diesem Zusammenhang ist Art. 22 Abs. 1 DSGVO. Danach hat jede Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. 

Am 7. Dezember 2023 sorgte der EuGH mit seinem sog. Schufa-Urteil (EuGH, Urteil v. 7. Dezember 2023 – C-634/21) für mediale Aufruhr, da sich das in Luxemburg ansässige oberste rechtsprechende Organ der Europäischen Union zu dem sog. Schufa-Scoring äußerte. Was das Urteil für den Einsatz von KI im HR-Bereich bedeutet, zeigt dieser Beitrag.

EuGH sollte klären, ob das Scoring-Verfahren der Schufa eine „automatisierte Entscheidung im Einzelfall“ im Sinne von Art. 22 Abs. 1 DSGVO darstellen könne 

Der Klägerin wurde von ihrer Bank wegen eines unzureichenden Schufa-Scores das gewünschte Darlehen verwehrt. Gegen die Verweigerung der Datenauskunft erhob sie Klage vor dem Verwaltungsgericht Wiesbaden, welches wiederum den EuGH im Rahmen eines Vorabentscheidungsverfahrens anrief. 

Der EuGH musste die Frage klären, ob das Scoring-Verfahren der Schufa eine „automatisierte Entscheidung im Einzelfall“ im Sinne von Art. 22 Abs. 1 DSGVO darstelle, wenn davon auszugehen ist, dass die Ablehnung des Darlehens praktisch allein auf das Scoring zurückgehe. Fragwürdig war die rechtliche Einordnung des Schufa-Scores deshalb, weil nicht die Schufa als solche die endgültige Entscheidung — beispielsweise hinsichtlich einer Darlehensgewährung — trifft, sondern die Schufa lediglich Dritten einen Wahrscheinlichkeitswert liefert, der Auskunft darüber geben soll, wie gut oder schlecht eine Person ihre finanziellen Verpflichtungen erfüllen wird.

EuGH: Mensch versus Maschine – breites Verständnis von „Entscheidung“

Mit deutlichen Worten erklärte der EuGH, eine regelmäßig unzulässige, auf einer automatisierten Verarbeitung beruhende Entscheidung im Einzelfall im Sinne von Art. 22 Abs. 1 DSGVO liege nicht erst dann vor, wenn es tatsächlich zu einer Entscheidung beispielsweise über die Begründung, Durchführung oder Beendigung eines Vertrags kommt. Der Terminus „Entscheidung“ sei vor dem Hintergrund des Schutzzweckes der Norm weit auszulegen und dürfe nicht durch ein Drei-Parteien-Verhältnis ausgehebelt werden. Daher genüge bereits die Ermittlung eines im Scoring der Schufa zu erblickenden Wahrscheinlichkeitswerts durch einen Dritten*, sofern dieser Wert die daraufhin vorgenommene eigentliche Entscheidung „maßgeblich“ beeinflusst. Was indes unter dem Merkmal der „Maßgeblichkeit“ der Beeinflussung zu verstehen sein soll, wie weit also umgekehrt der finale menschliche Entscheidungsrahmen reichen muss, ließ der EuGH unbeantwortet.

Automatisierte Entscheidungsfindung im HR-Bereich

Steht mit dem EuGH fest, dass entgegen bisheriger Annahmen beachtlicher Stimmen der Rechtslehre eine automatisierte Entscheidung bereits dann anzunehmen ist, wenn eine automatisierte Entscheidungsvorbereitung durch Dritte maßgeblich weiterverwendet wird, um eine rechtliche Entscheidung (z.B. über einen Vertragsschluss) zu treffen, so stellt sich unweigerlich die Frage nach der Trag- und der Reichweite der Worte aus Luxemburg für den HR-Bereich.

Viele KI-Anwendungen erstellen oftmals ähnlich wie die Schufa-Auskunftei Analysen, die der „eigentlichen“ Entscheidungsfindung vorgeschaltet sind, weshalb auch in diesen Fällen nun jeweils spiegelbildlich zu prüfen sein wird, ob und inwieweit eine automatisierte Entscheidungsfindung anzunehmen ist. Denn sofern solche automatischen Analysen praktisch das Ergebnis der von der KI eigenständig vorgenommenen Würdigung von schwerlich nachvollziehbaren Kriterien und Algorithmen abbilden, sind sie mit der Methodik der angekreideten Schufa-Scoring ohne Weiteres vergleichbar. Entsprechend bedarf es auch hier einer Verbindung mit einer menschlichen Einschätzung. Die final entscheidende Person muss indes einerseits die erforderliche Sachkunde aufbringen, insbesondere muss ihr aber andererseits ausreichend Zeit zugebilligt werden, die lediglich automatisierte Vorbewertung ausreichend zu prüfen und eine eigene Sachentscheidung zu treffen. 

Prüfungsschritte

Gleichwohl ist es nicht möglich, die Schlussfolgerungen des Schufa-Urteils unmittelbar auf den Einsatz aller KI-Anwendungen zu übertragen. Stattdessen ist jeweils im Dreischritt, 

  1. Vorliegen einer Entscheidung, 
  2. Beruhen der Entscheidung ausschließlich auf automatisierter Verarbeitung und 3.
  3. Entfaltung rechtlicher Wirkung gegenüber der betroffenen Person bzw. deren erhebliche Beeinträchtigung), 

sorgsam zu prüfen, ob die konkrete KI-Anwendung in den Anwendungsbereich von Art. 22 Abs. 1 DSGVO und damit unter die strengen Regularien des EuGH zu fassen ist. 

Als veranschaulichendes Beispiel mag hierbei Microsoft Purview dienen: Hierbei handelt es sich um eine Plattform für das Daten-, Governance- und Compliance-Management, die Unternehmen dabei unterstützen soll, Daten über verschiedene Cloud- und On-Premises-Umgebungen hinweg zu verwalten. Durch die integrierte KI soll eine effizientere Datenklassifizierung und entsprechende Überwachung erreicht werden. Es sollen automatisch bestimmte Daten identifiziert und klassifiziert werden, um letztlich eine fundierte Entscheidungsfindung zu fördern.

Betrachtet man die Mechanismen genauer, so ist festzustellen, dass Arbeitgeber über Purview keine Entscheidungen durchführen, die ausschließlich auf automatisierter Verarbeitung beruhen, ferner entfalten die durch Purview generierten Aussagen keine rechtliche Wirkung gegenüber Mitarbeitenden und beeinträchtigen sie auch nicht erheblich. Anders als die externen Bewertungen im Zusammenhang mit dem Schufa-Score zielen die mittels Purview generierten internen Risikoanalysen darauf ab, Arbeitgeber vor Insiderrisiken zu schützen. Die individuellen Personen der Belegschaft werden dabei nicht beurteilt. Stattdessen richtet sich die Bewertung auf die durchgeführten Aktivitäten der Datenexfiltration, also die Handlungen. Die eigentliche Auswertung der aufgedeckten Risiken und somit das Letztentscheidungsrecht liegt zudem notwendigerweise nicht bei der Maschine, sondern beim Menschen. Sofern ein durch Purview aufgedeckter Vorgang im Einzelfall tatsächlich zu arbeitsrechtlichen Konsequenzen bis hin zur Abmahnung oder Kündigung von Mitarbeitenden führt, so hat solchen Maßnahmen eine sorgsame, mit menschlichem Urteilsvermögen vorgenommene Aufklärung vorauszugehen – dann wird es zumindest an der „Maßgeblichkeit“ fehlen.

Ausnahmen vom Verbot automatisierter Entscheidungen

Mit der Entscheidung des EuGH zum Schufa-Scoring wurde der bisherige, lückenhafte DSGVO-Rechtsrahmen zu KI bewusst oder unbewusst auf viele neue Bereiche ausgedehnt. Ob ein Einsatz einer KI-Anwendung vergleichbar zum Schufa-Vorgang unter die Tatbestandsmerkmale des Art. 22 Abs. 1 DSGVO fällt, muss im Einzelfall entschieden werden. Soweit ein entsprechend zulässiger Datenverarbeitungsvorgang tatsächlich vorliegt, kann die Verwertung der Ergebnisse überdies legitimiert sein. Die automatisierte Einzelentscheidung, die eine rechtliche Folge hat oder die bzw. den Betroffene(n) erheblich beeinträchtigt, ist zulässig, wenn sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und der/dem Verantwortlichen erforderlich ist oder er mit gesetzgeberischer Erlaubnis oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt (Art. 22 Abs. 2 DSGVO). Ob eine deutsche Vorschrift – insbesondere § 31 BDSG – als tauglicher Rechtfertigungsgrund herangezogen werden kann, hatte der EuGH im Schufa-Vorgang zwar offenlassen dürfen, jedoch starke Zweifel angemerkt. 

In unserem CMS-Blog halten wir Sie mit unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend zu diesem Thema auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: EU-Parlament: Grünes Licht für die KI-VOMithilfe Künstlicher Intelligenz plötzlich Urheber?Robo Advisor als Zukunft der GeldanlageKünstliche Intelligenz und der Journalismus der ZukunftWettbewerbsrechtliche Zulässigkeit von KI-gestützter Werbung. Sehen Sie zudem gern: Eigene KI-Sprachmodelle von Unternehmen (cms.law).

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

Unseren englischsprachigen Ausblick auf die KI-VO finden Sie hier: Looking ahead to the EU AI Act (cms.law).

Jetzt registrieren und teilnehmen: AI Regulations in the EU, UK, and Asia: Essential Insights for HR and Employers

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Tags: Arbeitsrecht HR-Bereich künstliche Intelligenz Schufa