Aufsatz : IT-Mitbestimmung bei generativen KI-Systemen: Bestandsaufnahme und Handlungsleitfaden* : aus der RDV 3/2024, Seite 140-145
– Zugleich eine Besprechung von ArbG Hamburg Beschl. v. 16.01.2024 – 24 BVGa 1/24 –
Die rasante Entwicklung von generativen KI-Systemen wie ChatGPT wirft neue Fragen für die IT-Mitbestimmung auf. In seinem Beschl. v. 16.01.2024 (24 BVGa 1/24) hat das ArbG Hamburg die Mitbestimmungspflicht für die Einführung eines solchen Systems im Eilverfahren verneint. Die Entscheidung hat in Literatur und Praxis viel Aufmerksamkeit erfahren. Dabei wird übersehen, dass das ArbG Hamburg die BAG-Rechtsprechung zu § 87 Abs. 1 Nr. 6 BetrVG nur unvollständig angewendet hat, weil die weitreichenden Einsatzmöglichkeiten von generativen KI-Systemen verkannt worden sind. Der Beitrag beleuchtet die Entscheidung kritisch und zeigt auf, wie eine praxisgerechte Einführung von generativen KI-Systemen durch Betriebsratsverhandlungen und in der Einigungsstelle aussehen kann.
I. Neue Impulse: KI-Mitbestimmung
Im Januar 2024 befanden sich die Verhandlungen um die KIVO auf der Zielgeraden. Gleichzeitig hat das ArbG Hamburg die Aufmerksamkeit von Arbeitsrechtlern, Datenschützern und des nun wachsenden Sektors der „KI-Rechtler“ auf sich gezogen: In einem Eilverfahren hat es den Einsatz von ChatGPT vom Anbieter OpenAI im Unternehmen für mitbestimmungsfrei erklärt, solange der Arbeitgeber keinen direkten Zugriff auf die anfallenden Nutzungsdaten hat.
Zahlreiche Kommentatoren sahen in der Entscheidung einen wichtigen Schritt zur Förderung des KI-Einsatzes in der Arbeitswelt sowie einen Impuls zugunsten der geforderten Begrenzung der betrieblichen Mitbestimmung bei IT-Systemen.[1] Losgelöst hiervon wurde ein Vergleich des ArbG Hamburg meist schmunzelnd vernommen, wonach das wirkmächtige generative KI-System ChatGPT mitbestimmungsrechtlich nicht anders zu behandeln sei als Beck-Online; es handele sich bloß um eine weitere Webseite, bei welcher Beschäftigte einen Account anlegen.[2] Dass letzterer Aspekt die anscheinende gerichtliche Unbeholfenheit im Umgang mit einer neuen technischen Entwicklung wohl zu einer zweifelhaften mitbestimmungsrechtlichen Bewertung beitrug, hat bisher noch keinen Eingang in den Diskurs gefunden.
Denn es ist fraglich, ob das Arbeitsgericht die weitgehenden Auswirkungen des Einsatzes von generativen KI-Systemen wie ChatGPT im Beschäftigungskontext hinreichend berücksichtigt hat. Dabei geht es nicht nur um den direkten Zugriff auf Nutzungsdaten, sondern auch um Möglichkeiten der Auswertung von Leistungs- und Verhaltensdaten der Arbeitnehmer, die solche Systeme eröffnen – sowie die hierzu einschlägige BAG-Rechtsprechung bei auswertenden IT-Systemen. Generative KI-Systeme sind in der Lage, große Datenmengen auszuwerten, (vermeintliche) Strukturen zu erkennen und daraus Erkenntnisse über Beschäftigte zu generieren. Es ist insofern nicht anders zu behandeln als sog. „Big Data“- und „People Analytics“-Tools. Sie sind weitgehend anerkannt, dass deren Einführung mitbestimmungspflichtig ist.[3]
Dieser Impuls bildet den Anlass, die Mitbestimmung bei generativen KI-Systemen in den Blick zu nehmen. Nach einer kurzen Darstellung des Entscheidungssachverhalts (II.), analysiert der Beitrag den Beschluss im Lichte der einschlägigen BAG-Rechtsprechung zur Mitbestimmung bei technischen Überwachungseinrichtungen (III.). Dabei zeigt sich, dass die Entscheidung gerade im Hinblick auf die Möglichkeiten zur Leistungsauswertung zu kurz greift. Sie fokussiert sich eindimensional auf die Frage des direkten Zugriffs auf Nutzungsdaten und vernachlässigt die mitbestimmungspflichtigen Überwachungs- und Beurteilungsmöglichkeiten von LLM-Chatbots. Anschließend wird aufgezeigt, wie der Mitbestimmungsprozess bei KI-Systemen zielorientiert geführt werden kann, ohne sich bei internen Verhandlungen oder in der Einigungsstelle in den Komplexen der DS-GVO und der KI-VO zu verlieren (IV.).
II. Entscheidungssachverhalt
Das Arbeitsgericht Hamburg hatte darüber zu entscheiden, ob einem Konzernbetriebsrat Unterlassungs- und Beseitigungsansprüche gem. § 23 Abs. 3 BetrVG zustehen, wenn die Arbeitgeberin ihren Mitarbeitern die Nutzung von ChatGPT freigibt und hierzu Nutzungsrichtlinien erlässt, ohne zuvor den Konzernbetriebsrat angehört zu haben. Die Arbeitgeberin hatte ihren Mitarbeitern ermöglicht, bei ihrer Arbeit ChatGPT und andere generative KI-Anwendungen einzusetzen, und dazu Nutzungsrichtlinien im Intranet veröffentlicht. Der Konzernbetriebsrat sah sich in diversen Mitbestimmungs- und Mitwirkungsrechten verletzt und beantragte, die Nutzungsrichtlinien zu entfernen, die Nutzung von ChatGPT und anderen generativen KI-Anwendungen zu verbieten und die Billigung der Nutzung zurückzunehmen.
Dies lehnte das ArbG Hamburg ab. Es bestünden keine Mitbestimmungsrechte, insbesondere nicht nach § 87 Abs. 1 Nr. 6 BetrVG. Für das Fehlen dieses Mitbestimmungstatbestandes führte das ArbG Hamburg an, dass der Arbeitgeberin hier eine Kontroll- und Zugriffsmöglichkeit auf die bei der Nutzung anfallenden Daten gefehlt hat: ChatGPT würde gerade nicht auf Rechnern der Beschäftigten installiert, sondern über einen Internetbrowser aufgerufen werden. Die Nutzung dieses Browsers sei bei der Arbeitgeberin bereits mitbestimmt worden. Da die Nutzungsdaten der privaten Beschäftigtenaccounts sich auf den Servern des KI-Anbieters befanden, seien sie der Arbeitgeberin nicht zugänglich. Mangels Vereinbarung zwischen der Arbeitgeberin und dem KI-Anbieter (hier: OpenAI) und mangels Zugriffs auf etwaige Verbindungs- und Nutzungsdaten bestehe nach der Auffassung des ArbG Hamburg kein Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG. Daneben wurde auch – nachvollziehbar und unter Verweis auf die BAG-Rechtsprechung[4] sowie einschlägige Literatur[5] – das Vorliegen von § 87 Abs. 1 Nr. 1 BetrVG abgelehnt, weil die individuell freiwillige Nutzung durch Arbeitnehmer kein mitbestimmungspflichtiges, kollektives Ordnungsverhalten dargestellt habe.[6]
III. Analyse: Eine Rechnung ohne Wirt
Im Lichte der Rechtsprechungsentwicklung in der IT-Mitbestimmung der letzten Jahre ist es nachvollziehbar, dass das ArbG Hamburg seinen Fokus auf die Frage der Nutzungsbzw. Log-Daten gelegt hat. Allerdings übersieht das Gericht dabei vollkommen das Potenzial von ChatGPT als Auswertungstool; die Einführung solcher Einrichtungen ist regelhaft mitbestimmungspflichtig.
- Historischer Hintergrund der IT-Mitbestimmung:
Ausweitung bewirkt Schwerpunktsetzung Die Rechtsprechung des Bundesarbeitsgerichts zu § 87 Abs. 1 Nr. 6 BetrVG in den letzten Jahren zeigt eine klare Tendenz: Die Mitbestimmungspflicht bei der Einführung überwachungsgeeigneter IT-Systeme ist weit, bleibt weit und wird ausgeweitet.[7]Ursprünglich fokussierte sich die Mitbestimmungspflicht auf Systeme, die explizit zur Überwachung von Arbeitnehmern eingesetzt wurden, wie beispielsweise Videoüberwachung oder Zeiterfassungssysteme.[8] Im Laufe der Zeit dehnte das BAG diese Linie aus: Prämisse dieser Rechtsprechung ist, dass auch scheinbar harmlose IT-Tools, die primär anderen Zwecken dienen, ein erhebliches Überwachungspotenzial bergen können.[9] Daher sei nicht nur die Auswertung von Leistungs- und Verhaltensdaten mitbestimmt, sondern auch die Sammlung dieser Daten[10] – losgelöst von einer subjektiven Absicht oder objektiven Wahrscheinlichkeit bzgl. der Datenauswertung.[11]
Hieraus folgte in der Praxis die Tendenz, jedes IT-Tool, das Nutzerdaten erfasst, als mitbestimmungspflichtig einzustufen – unabhängig davon, ob die Überwachung der Arbeitnehmer der eigentliche Zweck, eine mögliche Funktion oder beabsichtigte Nutzung des Systems ist.[12] Klassischerweise gehören zu diesen „mittelbaren Überwachungssystemen“ Personalverwaltungssoftware wie Human Capital Management-Systeme.[13] Aber auch harmlos anmutende IT-Anwendungen wie ein interaktives, digitales Whiteboard zur Kollaboration wird mitbestimmungspflichtig sein,[14] wenn für den BrainstormingProzess erkenntlich gemacht wird, welcher Beschäftigte wann darin gezeichnet hat. Diese IT-Tools unterfallen schon wegen der Aufzeichnung von Log-Daten und der damit einhergehenden Erfassung der die Systeme bedienenden Person der erzwingbaren Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG.[15]
Arbeitgeber stehen heute vor der Herausforderung, für jedes neue IT-Tool eine Betriebsvereinbarung abzuschließen. Zur Vorsorge werden für etwaige Fortentwicklungen von Systemen Rahmenbetriebsvereinbarungen geschlossen, um den Mitbestimmungsprozess durch eine Veränderung des IT-Tools nicht erneut auszulösen.[16] Häufig scheitern betriebliche Verhandlungen, da die Rechtsmaterie an der Schnittstelle zum Datenschutzrecht (und zukünftig KI-Recht) sowie das Verständnis komplexer technischer Zusammenhänge die Betriebsparteien überfordert. Auch in der Einigungsstelle stocken die Verhandlungen erfahrungsgemäß, weil die Frage der allgemeinen Datenschutzkonformität des Systems diskutiert wird – ohne dass der Bezug zum mitbestimmten Überwachungsdruck nach § 87 Abs. 1 Nr. 6 BetrVG deutlich wird.[17] Die Rechtsprechung des BAG hat somit zwar die Rechte der Beschäftigten gestärkt, um dem stetig wachsenden Überwachungsdruck in der Digitalisierung entgegenzutreten. Nebeneffekt ist aber, dass die Mitbestimmung zum Flaschenhals bei der Einführung neuer IT-Systeme geworden ist.[18]
Entsprechend werten viele Stimmen in der Literatur diese Entscheidung des ArbG Hamburg als positiven Impuls. Ähnlich wie bei der jüngsten Entscheidung des Bundesverwaltungsgericht im Personalvertretungsrecht wird Hoffnung für eine Änderung der BAG-Rechtsprechung geschöpft: Dort wurde eine Mitbestimmung abgelehnt, wenn die Auswertung der Nutzungsdaten nach einer Einzelfallabwägung nicht hinreichend wahrscheinlich war.[19] Die Entscheidung des ArbG Hamburg verdeutliche, dass § 87 Abs. 1 Nr. 6 BetrVG „kein Superinterventionsrecht“ mehr sei, es würden sich „Gestaltungsspielräume“ öffnen;[20] ohne „Zugriffsmöglichkeiten auf die [Nutzungs-] Daten“ bestehe nicht einmal die „abstrakte Gefahr eines Überwachungsdruckes durch den Arbeitgeber“.[21]
Doch das ArbG Hamburg und die zustimmenden Stimmen in der Literatur gehen fehl in der Annahme, dass der fehlende direkte Zugriff auf die Log-Daten durch die Arbeitgeberin dazu führe, dass mit dem generativen KI-System ChatGPT keine mitbestimmungspflichtige Überwachungsmöglichkeit für den Arbeitgeber bestehe.
- Mitbestimmungspflicht verkannt: Auswertungsmöglichkeit ist Überwachung
Das Gericht verkennt den Umfang der Mitbestimmungspflicht: Die Rechtsprechung des BAG zur Mitbestimmungspflicht bei der Sammlung von Nutzungsdaten verschob den Fokus, schränkte aber den Anwendungsbereich von § 87 Abs. 1 Nr. 6 BetrVG nicht ein. Nach der Rechtsprechung des BAG ist nicht nur die reine Datensammlung mitbestimmt – oder wie das ArbG Hamburg sagt die Erhebung und Aufzeichnung.[22] Mitbestimmt war nach der höchstrichterlichen Rechtsprechung stets die Möglichkeit zur Datenauswertung.[23]Die vom ArbG Hamburg selbst zitierte Rechtsprechung stellt dies unmissverständlich klar:
„Überwachung i.S.d. § 87 I Nr. 6 BetrVG ist nicht erst das Auswerten oder die weitere Verarbeitung schon vorliegender Informationen, sondern bereits das Sammeln derselben“.[24]
Das BAG begründet dieses Verständnis damit, dass die Auswertung von Daten durch technische Systeme zwar im Grunde nichts anderes sei als der Nachvollzug menschlicher Gedankenarbeit.[25] Allerdings unterscheide sich die technische Auswertung durch ihre Effizienz: Der vergleichsweise geringe Zeit- und Kostenaufwand, der bei einer menschlichen Auswertung praktisch unmöglich wäre, erleichtert die Überwachung derart, dass Beschäftigte jederzeit mit einer Leistungsbewertung rechnen müssten.[26] Diesem Überwachungsdruck soll das Mitbestimmungsrecht des Betriebsrats entgegenwirken.[27] Es kommt für diesen Druck nicht darauf an, ob der Arbeitgeber tatsächlich beabsichtigt, die gewonnenen Erkenntnisse zur Überwachung zu nutzen. Auch ist es unerheblich, ob das System selbst den letzten Schritt der Beurteilung vornimmt oder ob dieser Schritt einem menschlichen Funktionsträger überlassen bleibt: Die bloße Möglichkeit einer automatisierten Beurteilung reicht aus, um den Überwachungsdruck wesentlich zu erhöhen und damit die Mitbestimmungspflicht auszulösen.[28]
Im Hinblick auf regelbasierte IT-Systeme, bei denen die Datenverarbeitung anhand fest programmierter Regeln und ohne eigenständige Lernfähigkeit erfolgt, mochten diese Grundsätze aus den 1980er Jahren zwischenzeitlich überholt wirken; etwa bei der mitbestimmten Excel-Formel[29] oder einem digitalen Whiteboard.[30] Angesichts der beeindruckenden Fähigkeiten generativer KI-Systeme zur selbstständigen Datenanalyse und Mustererkennung erweist sich die BAGRechtsprechung jedoch als überraschend aktuell (dazu sogleich, III. 3.). Daran wird deutlich, dass das ArbG Hamburg die Reichweite der Mitbestimmungspflicht nicht vollständig erfasst hat. Selbst wenn der Arbeitgeber keinen direkten Zugriff auf die Nutzungsdaten hat, eröffnet ihm die Möglichkeit, ChatGPT zur Analyse von Arbeitnehmerdaten einzusetzen, weitreichende Überwachungsmöglichkeiten. Bei Big Data Anwendungen und People Analytics-Tools war das auch anerkannt, bevor diese Systeme als KI beworben worden sind.[31] Die bloße Fähigkeit des Systems, solche Auswertungen vorzunehmen, begründet bereits die Mitbestimmungspflicht.
Diese Rechtsprechung des BAG kann man kritisieren,[32] oder auf einen neuen Impuls hoffen[33] – aber sie gilt.
Indem das ArbG Hamburg sich auf die Frage des Nutzungsdatenzugriffs fokussiert hat, hat es die eigentliche Ratio des § 87 Abs. 1 Nr. 6 BetrVG, nämlich den Schutz des Persönlichkeitsrechts der Arbeitnehmer vor den spezifischen Gefahren der technischen Überwachung, nicht hinreichend beachtet. Nach der Rechtsprechung des BAG hätte das Gericht prüfen müssen, ob ChatGPT aufgrund seiner Funktionalitäten dazu geeignet ist, Verhaltens- und Leistungsdaten der Arbeitnehmer in einer Weise zu verarbeiten und auszuwerten, die eine Überwachung ermöglicht.
Zwar ist dieser Fokus auf Nutzungsdaten durch das ArbG Hamburg und die einschlägige Literatur vor dem historischen Hintergrund der Rechtsprechung zur Mitbestimmung noch nachvollziehbar: IT-Tools die nicht zur Überwachung vermarktet werden, überwachen regelhaft nur durch Nutzungsdatenerfassung. Anders ist dies jedoch bei generativen KI-Systemen.
- Überwachungsszenarien und Gefahren bei generativen KI-Systemen
Generative KI-Systeme bieten ein enormes Potenzial zur Auswertung von Daten und damit auch zur Überwachung von Arbeitnehmern. Selbst wenn der Arbeitgeber keinen direkten Zugriff auf die Nutzungsdaten hat, könnte er ChatGPT gezielt einsetzen, um Informationen über seine Mitarbeiter zu gewinnen. So könnte der Arbeitgeber das generative KI-System nutzen, um Fehlzeiten zu analysieren. Durch die Eingabe entsprechender Prompts wie „Analysiere die angehangenen Fehlzeiten von Mitarbeiter X in den letzten 12 Monaten und zeige Auffälligkeiten“ könnte das System Muster erkennen und einen Verdacht auf Arbeitszeitbetrug begründen. Abhängig von der Datenlage im Unternehmen, steigert sich das Gefährdungspotenzial, wenn generativen Systemen mehr Kontext geliefert wird: „Das Zusammenspiel von Sensorik, Big Data und KI eröffnet Möglichkeiten zur Steuerung und Überwachung […]. Die Bedrohungslage, die daraus resultiert, ist real.“[34]
Auch die Fehleranfälligkeit von LLM-Chatbots durch Halluzinationen spricht für eine Mitbestimmungspflicht bei deren Einführung. Halluzinationen sind ein Phänomen, bei dem generative KI-Systeme wie LLM-Chatbots Antworten generieren, die zwar kohärent und plausibel erscheinen, aber faktisch falsch sind. Das System „halluziniert“ Informationen, die nicht in den zugrunde liegenden Daten enthalten sind oder sogar im Widerspruch dazu stehen. Diese Fehler sind gerade bei LLM-Chatbots im System angelegt:[35] Sie basieren auf maschinellen Lernmodellen, die anhand riesiger Textdatenmengen trainiert werden, um statistisch das wahrscheinlichste nächste Wort in einer Sequenz vorherzusagen. So können diese Systeme bspw. Texte generieren, die (oftmals richtige) logische Schlussfolgerungen ziehen, Analysen und Bewertungen erstellen, indem sie menschliche Texte nachahmen. Trotz dieses Anscheins können diese Systeme eigenständig aber kein kritisches Verständnis für die Inhalte entwickeln oder die Faktizität ihrer Aussagen sicherstellen.[36]
Im Beschäftigungskontext können solche Halluzinationen zu einem erheblichen Überwachungsdruck führen. Wenn ein LLM-Chatbot auf Basis der zur Verfügung gestellten Daten fälschlicherweise feststellt, dass ein Mitarbeiter eine bestimmte Aufgabe nicht erledigt hat, unpünktlich war oder gegen Regeln verstoßen hat, kann dies die Bewertung dieses Mitarbeiters negativ beeinflussen. Selbst wenn die Aussagen des generativen KI-Systems nicht direkt für Entscheidungen herangezogen werden, welche die Arbeitsbedingungen beeinflussen, können sie bei Vorgesetzten und Kollegen einen falschen Eindruck erwecken und das Ansehen des Mitarbeiters schädigen. Das Problem wird dadurch verschärft, dass die von LLM-Chatbots generierten Antworten oft sehr überzeugend wirken. Die Systeme sind darauf trainiert, einleuchtende menschenähnliche Antworten zu geben, die sich natürlich und fundiert anhören.[37] Dadurch entsteht der Eindruck, dass die Aussagen des Chatbots auf tatsächlichen Fakten beruhen, selbst wenn es sich um Halluzinationen handelt. Dies verstärkt die Gefahr, dass falsche Informationen unkritisch übernommen und verbreitet werden. Ob der Arbeitgeber oder ihm zuzurechnende Mitarbeiter diese Anfragen tatsächlich vornehmen, spielt nach der BAG-Rechtsprechung keine Rolle – die bloße Möglichkeit, solche Analysen durchzuführen, begründet bereits die Mitbestimmungspflicht.[38]
Insofern argumentiert werden würde, dass der Einsatz vorliegend nur Arbeitnehmern eröffnet worden ist und gerade nicht der Arbeitgeberin selbst, geht dies an der betrieblichen Realität vorbei: Indem die Arbeitgeberin allen Mitarbeiter den Zugang zu ChatGPT eröffnet hat, unabhängig von ihrer Position im Unternehmen, hat die Arbeitgeberin den LLM-Chatbot unternehmensweit gebilligt. Das heißt nicht nur für Mitarbeiter im operativen Bereich, sondern auch für Beschäftigte auf Ebene der Geschäftsleitung und damit Mitarbeitern in Schlüsselbereichen wie IT, HR und Compliance. Die HR-Abteilung könnte das KI-System nutzen, um anhand von Kommunikationsdaten Arbeitsproben eines Mitarbeiters dessen Leistung und Kompetenz zu bewerten, ohne dass den kaum einsehbaren Bewertungskriterien der KI-Anwendung widersprochen werden kann. Die IT-Abteilung könnte mithilfe des generativen KI-Systems die Netzwerkaktivitäten und Systemnutzung der Beschäftigten analysieren, um ungewöhnliches Verhalten oder potenzielle Sicherheitsrisiken zu identifizieren. Die Compliance-Abteilung könnte das Tool einsetzen, um anhand der Kommunikation und Kalenderdaten eines Mitarbeiters Hinweise auf Interessenkonflikte, Untreue oder andere Gesetzesverstöße zu finden.
- Zwischenfazit: Riskante (und wirkungslose) Mitbestimmungsvermeidung
Daraus folgt, dass auch wenn dem Arbeitgeber die Einsicht in Log-Daten fehlt, ChatGPT zur Leistungsauswertung fähig ist und daher mitbestimmt einzuführen ist. Die kreative Lösung des Hamburger Unternehmens war damit nicht nur ungeeignet, einen Mitbestimmungsprozess zu vermeiden. Sie war auch darüber hinaus risikobehaftet: Als datenschutzrechtlich Verantwortliche haben Arbeitgeber sicherzustellen, dass die Beschäftigten den LLM-Chatbot weisungskonform nutzen – wenn die Richtlinie zu deren Nutzung mangels Kontrollmöglichkeit nicht durchgesetzt werden kann, kann darin eine mangelhafte organisatorische Maßnahme nach Art. 32 DS-GVO vorliegen. Datenschutzwidrige Verarbeitungsvorgänge muss sich der Arbeitgeber auch dann zurechnen lassen, wenn er die Kontrolle hierüber aus der Hand gibt.[39] Wenn er diesen Einsatz nicht kontrollieren kann, begibt er sich auch insofern sehenden Auges in die Non-Compliance. Empfehlenswert ist daher die Bereitstellung von Unternehmensaccounts, welche Beschäftigte nutzen können. Um eine Verantwortung für arbeitnehmerseitige Verstöße zu vermeiden, wird der Arbeitgeber die Einsatzbedingungen regeln und kontrollieren müssen. Hierzu raten auch die Datenschutzaufsichtsbehörden.[40] Da hierbei einsehbare Nutzungsdaten anfallen, ist die Einführung dieser technischen Einrichtung nach § 87 Abs. 1 Nr. 6 BetrVG jedenfalls mitbestimmt.[41] Um die Pflichten der KI-VO einzuhalten, wird es ebenfalls erforderlich sein, die Kontrolle über die betriebenen KI-Systeme zu erhalten.[42] Da mit dem Betrieb generativer KI-Systeme zusätzliche Transparenzpflichten einhergehen[43] und deren Einsatz zur Entscheidungsfindung mit Einfluss auf die Arbeitsbedingungen bereits als dicht regulierter Hochrisiko-Einsatz gilt,[44] wäre es fahrlässig, die Handhabe allein den Arbeitnehmern zu überlassen.
IV. Mitbestimmungspraxis: Verhandlungen und Einigungsstelle
Daraus folgt, dass die Einführung von LLM-Chatbots im Unternehmen regelhaft mitbestimmt ist. Praktisch wird dies Verhandlungen um eine Betriebsvereinbarung nach sich ziehen. Im Rahmen der Mitbestimmungspflicht wird entscheidend sein, inwiefern LLM-Chatbots (nicht) zur Leistungs- und Verhaltenskontrolle der Arbeitnehmer eingesetzt werden.
- Herausforderungen bei Verhandlungen über den Einsatz generativer KI-Systeme
Dabei stehen die Betriebsparteien bei den Verhandlungen in und außerhalb der Einigungsstelle vor einer doppelten Herausforderung: Einerseits besteht die Gefahr, dass die Betriebsparteien bzw. die Einigungsstelle durch eine zu weite Auslegung des Mitbestimmungsrechts überfrachtet werden und ihre Handlungsfähigkeit verlieren. Andererseits droht bei einer zu engen Auslegung, eine Aushöhlung des Mitbestimmungsrechts, indem der durch LLM-Chatbots ausgelöste Überwachungsdruck für die Beschäftigten und die Beeinträchtigung ihres Persönlichkeitsrechts ausgeblendet werden. Hinzu tritt, dass LLM-Chatbots technisch bedingt nur einen sehr eingeschränkten Einblick in ihre Arbeitsweise erlauben: Wie und warum gerade ein bestimmter Output generiert worden ist, kann auch der Entwickler nicht mit an Sicherheit grenzender Wahrscheinlichkeit sagen.[45] In dieser Gemengelage ist es daher wichtig, sich nicht mit in theoretischen Diskussionen oder angrenzenden Rechtsgebieten wie der DS-GVO oder bald der KI-VO zu verheben.
- Abgrenzung von IT-Mitbestimmung zu DS-GVO und KI-VO
Richtigerweise ist im Ausgangspunkt festzuhalten, dass nicht pauschal jeder datenschutzrechtliche Aspekt der Mitbestimmung unterliegt.[46] Gleichzeitig hindert die DS-GVO als vorrangiges Unionsrecht nicht die mitbestimmte Einführung von datenverarbeitenden Systemen.[47] Verhandlungsgegenstand ist daher, ob und inwieweit die konkrete technische Ausgestaltung des KI-Systems geeignet ist, einen Überwachungsdruck auf die Beschäftigten auszuüben und ihre Persönlichkeitsrechte zu tangieren.[48] Dabei können die datenschutzrechtlichen Vorgaben wichtige Anhaltspunkte liefern, um die neuralgischen Punkte zu identifizieren, an denen die Mitbestimmung ansetzen muss.
Um die mitbestimmungsgeeigneten Gegenstände herauszuarbeiten, ist daher die Spreu vom Weizen zu trennen: Nicht mitbestimmt ist die datenschutzrechtliche Rechtsgrundlage für den Einsatz des KI-Systems als solche. Sie kann zwar mit der Betriebsvereinbarung geschaffen werden.[49] Ihr Vorhandensein oder vermeintliches Fehlen löst für sich genommen aber noch keinen Überwachungsdruck aus, sondern eine rechtswidrige Datenverarbeitung.[50] Auch inwiefern die Vorgaben von Art. 22 DS-GVO beim Einsatz eines LLM-Chatbots eingehalten werden, ist nicht Gegenstand von § 87 Abs. 1 Nr. 6 BetrVG. Diese Aspekte kann der Betriebsrat im Rahmen seiner Überwachungsaufgabe rügen, Informationsrechte geltend machen oder bei Aufsichtsbehörden melden.[51] Gleiches gilt für die zukünftigen Pflichten nach der KI-VO.[52]
- Handlungsempfehlung:Fokus auf konkrete Maßnahmen
Entscheidend ist für das Mitbestimmungsrecht die konkrete Implementierung des Systems. Mitbestimmungspflichtig sind daher in erster Linie die technischen und organisatorischen Schutzmaßnahmen, die einen Überwachungsdruck vermeiden sollen. Als Richtschnur kann hier Art. 5 DS-GVO herangezogen werden. Dessen Prinzipien konkretisieren den Schutzgehalt der Privatheit nach Artt. 7, 8 GrCh und korrespondieren mit der informationellen Selbstbestimmung nach Art. 2 Abs. 1, Art. 1 Abs. 1 GG,[53] welche für § 87 Abs. 1 Nr. 6 BetrVG entscheidend ist. Allerdings ist es nicht zielführend, abstrakte Konzepte im Mitbestimmungsverfahren zu verhandeln. Vielmehr müssen konkrete technische und organisatorische Schutzmaßnahmen gefunden werden, die den Anforderungen des jeweiligen Prinzips gerecht werden:[54]
- Transparenz: Durch die Festlegung und Kommunikation der Datenbestände, die zum Training und Einsatz des LLM-Chatbots verwendet werden dürfen, sowie der Protokollierung der Interaktionen zwischen Beschäftigten und Chatbot, wird Sichtbarkeit und Überprüfbarkeit der Datenverarbeitung geschaffen. Dabei ist zu betonen, dass die Eingabe personenbezogener Daten zu vermeiden ist.[55] Auch die Protokollierung der Interaktionen zwischen Beschäftigten und Chatbot kann sinnvoll sein, um die Nachvollziehbarkeit zu gewährleisten. Andererseits hat auch der Arbeitgeber ein berechtigtes Interesse daran, die Funktionsweise und Leistungsfähigkeit des LLM-Chatbots zu überprüfen und etwa auf bekannte Halluzinationen zu kontrollieren, um vor diesen zu warnen. Konkret könnte dies bedeuten, dass systemseitig einsehbare Eingaben, die zu Fehlermeldungen oder anderweitig gemeldet worden sind, ausgewertet werden können, ohne bei weisungskonformer Nutzung eine Zuordnung zu einzelnen Beschäftigten vorzunehmen.
- Zweckbindung: Ein zentraler Punkt in den Verhandlungen sollte die strikte Zweckbindung des LLM-Chatbots sein. Konkret könnte in der Betriebsvereinbarung festgehalten werden, dass das System ausschließlich zur Unterstützung der Arbeitsprozesse, zur internen Wissensweitergabe, zur Fehlerbehebung – aber gerade nicht zur Leistungs- und Verhaltenskontrolle eingesetzt werden darf. Dies entspricht auch der Praxis – wobei Einsätze zur Aufklärung von Straftaten unberührt bleiben sollten, um im Zuge von internen Ermittlungen etwaige Vorwürfe aufzuklären.[56]
- Datenminimierung: Obschon Datenverarbeitungen als solche keine Mitbestimmungspflicht auslösen, kann das Ausklammern personenbezogener Daten aus den Trainingsdaten oder die qua Weisung verbotene Eingabe solcher Daten durch Mitarbeiter den Überwachungsdruck verringern. Gleichzeitig verringert der Arbeitgeber hiermit das DS-GVO-Risiko.
- Richtigkeit & Speicherbegrenzung: Prozesse zur regelmäßigen Löschung alter Chatverläufe, Begrenzung der Speicherdauer und Korrektur fehlerhafter Antworten des Chatbots mindern einerseits den Überwachungsdruck und tragen andererseits zu einer besseren Datenhygiene bei: Durch die regelmäßige Löschung veralteter Informationen und die Korrektur fehlerhafter Antworten wird sichergestellt, dass das KI-System auf dem aktuellen Stand ist, was ggf. fehlerhaftem Output vorbeugen kann.
- Vertraulichkeit: Die Gewährleistung der Vertraulichkeit der Chatverläufe liegt sowohl im Interesse der Beschäftigten als auch des Arbeitgebers. Durch die Einrichtung individueller Unternehmens-Accounts mit Authentifizierungsmechanismen kann sichergestellt werden, dass die Chatverläufe vor unberechtigtem Zugriff geschützt sind. Solche Maßnahmen dienen einerseits dem Schutz der Persönlichkeitsrechte der Beschäftigten, andererseits aber auch der Wahrung von Unternehmensgeheimnissen und der Erfüllung von Compliance-Pflichten durch den Arbeitgeber.
- Bei der Verhandlung über diese Schutzmaßnahmen im Rahmen der Mitbestimmung ist zu berücksichtigen, dass das Grundrecht auf informationelle Selbstbestimmung kein absolutes Verhinderungsrecht statuiert.[57]Hinter jeder Schutzmaßnahme steht letztlich eine Abwägung zwischen zwei Polen: Dem Interesse an der Vermeidung von Überwachungsdruck und der Ermöglichung der für die Funktionsfähigkeit des Systems erforderlichen Datenflüsse. Bei jeder Maßnahme stellt sich daher die Frage, wie dieser Ausgleich durch die Wahl von strengeren oder eher niedrigschwelligen Maßnahmen schonend erreicht werden kann. Genau hierum sollte sich die Verhandlung im Rahmen der Mitbestimmung drehen.
V. Fazit: Generative KI-Systeme können Big Data und People Analytics-Anwendungen sein
Die Einführung von generativen KI-Systemen wie ChatGPT stellt Unternehmen und Betriebsräte vor neue Herausforderungen im Bereich der IT-Mitbestimmung. Der Beschluss des ArbG Hamburg vom 16.01.2024 (24 BVGa 1/24), der die Mitbestimmung für solche Systeme im Eilverfahren verneint hat, greift dabei zu kurz und lässt die BAG-Rechtsprechung zu § 87 Abs. 1 Nr. 6 BetrVG außer Acht. Das Gericht und Teile der Literatur fokussieren sich eindimensional auf die Erfassung von Nutzungsdaten als Anknüpfungspunkt für die Mitbestimmung. Diese Sichtweise ist zwar vor dem historischen Hintergrund der BAG-Rechtsprechung zur Mitbestimmung bei IT-Tools, die nicht primär zur Überwachung dienen, nachvollziehbar. Schließlich werden LLM-Chatbots nicht als Überwachungssysteme vertrieben. Diese Sichtweise wird jedoch nicht den besonderen Einsatzmöglichkeiten von generativen KI-Systemen gerecht. Denn diese Systeme können, selbst wenn der Arbeitgeber ihre Nutzung nicht kontrollieren kann, eine Überwachung von Beschäftigten ermöglichen. Durch die Auswertung von Chatverläufen, E-Mails, Projektdokumentationen und anderen im Unternehmen verfügbaren Daten können diese Systeme Mitarbeiterprofile erstellen, Leistungsanalysen generieren und sogar Vorhersagen über zukünftiges Verhalten treffen. Damit ähneln sie in ihrer Funktionsweise „Big Data“- und „People Analytics“-Systemen, bei denen schon länger anerkannt ist, dass sie der Mitbestimmung unterliegen. Durch die Fehleranfälligkeit generativer Systeme („Halluzinationen“) ist die Gefährdung der Persönlichkeitsrechte von Beschäftigten gesteigert.
Um eine praxisgerechte Einführung von generativen KI-Systemen zu gewährleisten und einen angemessenen Ausgleich zwischen den Interessen des Arbeitgebers und dem Schutz der Beschäftigten vor Überwachung zu schaffen, bedarf es konkreter technischer und organisatorischer Maßnahmen. Als hilfreiche Richtschnur kann hier an Art. 5 DS-GVO angeknüpft werden, um den schwierigen Ausgleich zwischen der Überwachungsgefahr und dem Arbeitgeberinteresse an einem digitalisierten Betrieb zu erzielen. Ein solches Vorgehen kann dazu beitragen, das Potenzial von generativen KI-Systemen grundrechtsschonend auszuschöpfen.
Dr. Markus Wünschelbaum, LL.B. ist Persönlicher Referent für Policy und Digitalstrategie des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.
Dr. Markus Wünschelbaum, LL.B.
ist Persönlicher Referent für Policy und Digitalstrategie des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
* Der Beitrag wurde nicht in dienstlicher Eigenschaft verfasst und gibt ausschließlich die persönliche Auffassung des Autoren wieder.
[1] Hördt, ArbRAktuell 2024, 108; Zöllner, NZA 2024, 386; Möllenkamp, NZA-RR 2024, 137; Witzel, ArbRAktuell 2024, 153; Wahlers, jurisPR-ITR 5/2024 Anm. 6; Sorber, DSB 2024, 99, 100.
[2] Vgl. ArbG Hamburg Beschl. v. 16.01.2024 – 24 BVGa 1/24, NZA-RR 2024, 137 Rn. 29 = RDV 2024, 117.
[3] Vgl. nur Borges/Keil, Rechtshandbuch Big Data, 2024, § 8 Rn. 90; Dzida/Groh, ArbRB 2018, 179, 182.; Holthausen, RdA 2021, 19, 22.
[4] BAG, Beschl. v. 27.09.2005 – 1 ABR 32/04; BAG Urt. v. 23.08.2018 – 2 AZR 235/18
[5] Holthausen, RdA 2023, 261; Kalbfus/Schöberle, NZA 2023, 251; Witteler ZD 2023, 377.
[6] ArbG Hamburg, Beschl. v. 16.01.2024 – 24 BVGa 1/24, RDV 2024, 117.
[7] Vgl. Krülls, RdA 2021, 279
[8] Vgl. Ludwig, NZA 2023, 321, 323; siehe auch die Gesetzesbegründung, BT-Drs. VI/1786, 48f.
[9] BAG, Beschl. v. 13.12.2016 – 1 ABR 7/15; BAG, Beschl. v. 14.11.2006 – 1 ABR 4/06.
[10] BAG, Beschl. v. 13.12.2016 – 1 ABR 7/15, NZA 2017, 657, 660
[11] Hierzu einschränkend im Personalvertretungsrecht aber BVerwG, Beschl. v. 04.05.2023 – 5 P 16.21, NZA 2024, 74
[12] Ludwig, NZA 2023, 321, 323.
[13] Vgl. Dahl/Brink, NZA 2018, 1231
[14] Vgl. hierzu das Produkt „Miro“ von RealtimeBoard Inc., https://miro.com/ workshops-async-collaboration/.
[15] Vgl. Kort, NZA 2011, 1319, 1322
[16] Holthausen, NZA 2023, 1489, 1490.
[17] Ludwig, NZA 2023, 321, 323.
[18] anko, NZA 2024, 174, 176.
[19] BVerwG, Beschl. v. 04.05.2023 – 5 P 16.21, NZA 2024, 74.
[20] Sorber, DSB 2024, 99, 100
[21] Hördt, ArbRAktuell 2024, 108; ähnlich auch Zöllner, NZA 2024, 386; Möllenkamp, NZA-RR 2024, 137; Witzel, ArbRAktuell 2024, 153; Wahlers, jurisPR-ITR 5/2024 Anm. 6.
[22] ArbG Hamburg, Beschl. v. 16.01.2024 – 24 BVGa 1/24, RDV 2024, 117, 118, unter Verweis auf BAG, Urt. v. 03.12.2016 – 1 ABR 7/15).
[23] BAG, Beschl. v. 13.12.2016 – 1 ABR 7/15; BAG, Beschl. v. 14. 11. 2006 – 1 ABR 4/06.
[24] BAG, Beschl. v. 13.12.2016 – 1 ABR 7/15, NZA 2017, 657, 660
[25] BAG, Beschl. v. 14.09.1984 – 1 ABR 23/82, NJW 1985, 450, 452.
[26] BAG, Beschl. v. 14.09.1984 – 1 ABR 23/82, NJW 1985, 450, 452
[27] BAG, Beschl. v. 14.09.1984 – 1 ABR 23/82, NJW 1985, 450, 452.
[28] Vgl. BAG, Beschl. v. 14.09.1984 – 1 ABR 23/82, NJW 1985, 450, 452 f.
[29] Vgl. BAG, Beschl. v. 23.11.2018 – 1 ABN 36/18.
[30] Vgl. oben III. 1.
[31] Borges/Keil, Rechtshandbuch Big Data, 2024, § 8 Rn. 90; Dzida/Groh, ArbRB 2018, 179, 182.; Holthausen, RdA 2021, 19, 22.
[32] Krülls, RdA 2021, 279.
[33] Frank/Heine, NZA-RR 2024, 62 unter Hervorhebung von Besprechung von BVerwG, Beschl. v. 04.05.2023 – 5 P 16.21, NZA 2024, 74.
[34] Waas, RdA 2022, 125, 129.
[35] Kühl, Warum es bisher keine gute Methode gegen KI-Halluzinationen gibt v. 21.02.2024, https://www.heise.de/hintergrund/Kuenstliche-IntelligenzChatbots-bleiben-erfinderisch-9633784.html.
[36] Zur Funktionsweise von LLM-Chatbots eingehend Benedikt/Köhler/Schwartmann/Wünschelbaum, „Was die KI-Verordnung für den digitalen Staat bedeutet“ v. 22.03.2024, https://www.faz.net/aktuell/wirtschaft/kuenstliche-intelligenz/ai-act-was-die-ki-verordnung-fuer-den-digitalen-staatbedeutet-19593072.html
[37] Eingehend hierzu und zum Risiko dieser Halluzinationen für die Wissenschaft äußert sich auch das Oxford Internet Institute besorgt, Mittelstadt/Russell/ Wachter, Nature Human Behaviour 2023, 1830, https://www.nature.com/articles/s41562-023-01744-0.
[38] BAG, Beschl. v. 14.09.1984 – 1 ABR 23/82, NJW 1985, 450, 452 f.
[39] Die Grenze bildet erst der Mitarbeiterexzess, vgl. Wünschelbaum, DSB 2024, 15, 17.
[40] HmbBfDI, Checkliste zum Einsatz LLM-basierter Chatbots v. 13.11.2023, abrufbar unter https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/ Datenschutz/Informationen/20231113_Checkliste_LLM_Chatbots_DE.pdf.
[41] Holler, jurisPR-ArbR 12/2024 Anm. 3
[42] Vgl. Art. 26 Abs. 5 KI-VO.
[43] Vgl. Artt. 50, 53 KI-VO ggf. i.V.m. Art. 25 Abs. 1 c) KI-VO.
[44] Vgl. Art. 6 Abs. 2 KI-VO i.V.m. Anhang III Nr. 4 lit. b) KI-VO.
[45] Vgl. zu den Schwierigkeiten Transparenz herzustellen, Zhao et. al., Towards Uncovering How Large Language Model Works: An Explainability Perspective v. 15.04.2024, https://arxiv.org/pdf/2402.10688.pdf.
[46] Böhm/Brams, NZA-RR 2020, 449, 453; Wünschelbaum, NZA 2023, 542, 546.
[47] Wünschelbaum, NZA 2023, 542, 546; a.A. Ludwig, NZA 2023, 321, 325
[48] Vgl. zum Maßstab der BAG-Rechtsprechung Wünschelbaum, NZA 2023, 542, 546 m.w.N.
[49] Ludwig, NZA 2023, 321, 325
[50] Wünschelbaum, NZA 2023, 542, 546 m.w.N
[51] Weichert, NZA-RR 2023, 393.
[52] Vgl. oben III. 4.
[53] Vgl. Kunig/Kämmerer, in: v. Münch/Kunig, 7. Aufl. 2021, Art. 2 GG, Rn. 79
[54] Es bietet sich an, diese Prinzipien anhand des Lebenszyklus einer Datenverarbeitung zu prüfen und entsprechend an die Implementierung von Referenzschutzmaßnahmen zu denken, vgl. SDM Version 3.0, S. 38, 76 ff., https://www.datenschutzzentrum.de/uploads/sdm/SDM-Methode_V3.pdf (letzter Abruf 17.04.2024).
[55] Vgl. HmbBfDI, Checkliste zum Einsatz LLM-basierter Chatbots v. 13.11.2023, abrufbar unter https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/ Datenschutz/Informationen/20231113_Checkliste_LLM_Chatbots_DE.pdf.
[56] Ludwig, NZA 2023, 321, 324.
[57] Vgl. zum Datenschutzrecht OLG Hamm, Urt. v. 26.04.2023 – 8 U 94/22, ZD 2023, 684, Rn. 60: „Datenschutzrecht ist Ermöglichungsrecht, kein Verhinderungsrecht“.