Kurzfassung

Eine Checkliste mit deutlichem Schwerpunkt auf rechtlichen Fragen (Datenschutz-Grundverordnung und AI-Act der EU) und zu Verfahrensregelungen.


Checkliste für IT-Systeme - traditionelle Ausführung

Laufende Nr:    Datum:

Name des Systems:

Kurze Beschreibung:

Erläuterung des Leistungsumfangs und Einsatzbereichs des neuen Systems - bitte ausfüllen.

Fragen zu einzelnen Leistungsmerkmalen

Verwendungszweck
  Informationen hier eintragen
......
Art der Einführung
Eigenentwicklung Ja Nein
Kaufsoftware (on premise)
Wenn ja: Angaben zum Hersteller/Lieferanten
sowie Land und Hauptsitz des Lieferanten (Datenschutz) 		Ja Nein
Cloud-Lösung
Wen ja: Art der Cloud: public oder private 		Ja Nein
Pilotlösug geplant
Wen ja: Bereich (betroffene Abteilungen, Unternehmensteile)
Dauer des Pilotversuchs und Startdatum, abschließende Bewertung		 Ja Nein
Verarbeitung personenbezogener Daten
Kategorien personenbezogener Daten
direkte Identifizierung von Mitarbeitenden
In den vom System verarbeiteten Daten sind Mitarbeitende direkt persönlich identifiziert.
Eine direkte Identifizierung von Mitarbeitenden wird nur in Systemprotokollen verwendet, z.B. für das Login oder zur Steuerung von Zugriffsberechtigungen.
Mittelbarer Personenbezug
In den vom System verarbeiteten Daten können Mitarbeitende indirekt, d.h. nur mit Hilfe weiterer Informationen (aus dem System oder von außerhalb) identifiziert werden.
Kein Personenbezug
hier klicken für eine kritische Bemerkung

Mit der Beurteilung des Personenbezugs der verarbeiteten Daten tut sich die Arbeitgeberseite oft schwer. Meist sind es Projektverantwortliche, die die datenschutzrechtliche Definition von personenbezogenen Daten nicht so genau kennen. Sie meinen, wenn das System der Verarbeitung von Arbeitsschritten oder sonstigen maschinenbezogene Daten dient, dann handelt es sich nicht um personenbezogene Daten. V.a. in der Produktion ergibt sich der Personenbezug oft nur indirekt. Wenn z.B. die Maschine und der Zeitpunkt eines Vorgangs im Systemerfasst sind, dann lässt sich nahezu immmer auch die Person feststellen.

Es nützt auch meist nur wenig, wenn in der Rahmenbetriebsvereinbarung erklärt ist, was unter personenbezogenen Daten zu verstehen ist, denn dieses Dokument ist in den Köpfen vieler mit dem Proejektmanagement befassten Personen nicht präsent. Oft haben sie die entsprehende Vereinbarung gar nicht gelesen oder ihren Inhalt längst vergessen.
Übermittlung von Beschäftigtendaten an andere Systeme
  Geplante Übermittlung von Beschäftigtendaten an andere interne Systeme (des Betriebes, Unternehmnens oder Konzerns)
Wen ja: Systeme und genauere Beschreibung der übermittelten Daten benennen
ebenso Häufigkeit der Übermittlung
Beschreibung der Übermittlungs-Zwecke
 Ja Nein
  Geplante Übermittlung von Beschäftigtendaten an externe Stellen
oder an interne Dienstleister
wenn ja externe Stellen oder Dienstleister benennen
einschließlich der Zwecke der Übermittlung
und der Häufigkeit der Übermittlung
Handelt es sich um eine Auftragsdatenverarbeitung?
Wenn ja: Liegt ein Auftragsdatenverarbeitungsvertrag nach Art. 28 EU-DGSVO vor?
Liegt eine Funktionsübertragung vor?
Die Übertragung erfolgt in ein Land außerhalb der EU. Wenn ja, wie wird der erforderlidche Datenschutz abgesichert?:
gemäß EU-Standardvertragsklauseln
Angemessenheitsbeschluss der EU-Kommission
Verbindliche interne Datenschutzvorschriften (Binding Coporate Rules)
Sonstiges
ausführliche Erläuterung/span>
Ja Nein
hier klicken für eine kritische Bemerkung

Die Frage nach Schnittstellen war in den Zeiten, in denen große IT-Anwendungen über Datenschnittstellen verbunden waren, sicher berechtigt. Heute findet man in den Unternehmen eher einen Bienenschwarm von vielen unterscheidlich großen und kleinen Softwareprodukten und Apps, die alle über APIs, Application Programming Interfaces (Programmmschnittstellen) und nicht über Datenschnittstellen verbunden sind. Die ITler, die den Fragebogen ausfüllen müssen, werden ihre helle Freude daran haben.

Die EU-Datenschutz-Grundverordnung ist ein Gesetz. Die Unternehmen sind verpflichtet, es auszuführen. Den Betriebsräten obliegt es gemäß Betriebsverfassungsgesetz auch, die Einhaltung der Gesetze zu überwachen. Aber ihre die Mitbestimmung betreffenden Hauptaufgaben sind im § 87 BetrVG wird ausdrücklich ausgeführt, in welchen wichtigen Angelegenheiten der Betriebsrat mitzubestimmen hat - soweit die Angelegenheit nicht durch Gesetz oder Tarifvertrag geregelt ist.DasBetriebsverfassungsgesetz will damit dem Betriebsrat eine Verhandlungsmacht geben, um sich im Rahmen der Mitbestimmung um die Gestaltung der Arbeitswelt zu kümmern.
Künstlichen Intelligenz
  Enthält das geplante System Funktionen der Künstlichen Intelligenz?
wenn ja, welcher Kategorie ist es zuzuordnen
Kategorie A

Das System ist ein reines Informationssystem, die Daten in seinem Zugriff enthalten keinen Bezug auf Beschäftigtendaten. Eine Leistungs- oder Verhaltenskontrolle ist objektiv nicht möglich.Es besteht kein weiterer Regelungsbedearf.
Kategorie B

Das System kann auf Daten aus deen Arbeitsergebnissen einzelner Beschäftigten oder Team zugreifen und kann die Arbeitsweise beeinflussen. Eine Leistungs- oder Verhaltensweise kann technisch möglich sein, ist aber nicht beabsichtigt. Das System dient hauptsächlich der Unterstützun bei er Arbeit. Auf Wunsch einer Seite wird eine zur IT-Rahmenvereinbarung ergänzende Regelung getroffen.
Kategorie C

Das System ist in der Lage, Empfehlungen für die Abwicklung der Arbeit zu erteilen und Aufgaben von Beschäftigten telweise oder ganz zu ersetzen. Es ist zu einer Verhaltens- oder Leistungskontrolle objektiv geeignet. Eine zur IT-Rahmenvereinbarung ergänzende Regelung ist erforderlich.
Ja Nein
  Funktionen und Algorithmen des Systems
Eine kurze Beschreibung ......
  Training des Systems
Wenn ja, wurden Daten mit Bezug auf die Beschäftigten für as Training benutzt? 		Ja Nein
hier klicken für eine kritische Bemerkung

In vielen Checklisten zum Thema Künstliche Intelligenz werden weitere meist von Rechtsanwälten formulierte Fragen aufgeführt, die kaum ein Techniker beantworten kann, z.B.

  • ob ein System mit getestet-gesicherten Eigenschaften „eingefroren“ genutzt wird,
  • ob das System deterministisch sei, will meinen vollständig vorhersehbare Entscheidungen liefere,
  • kob es aus Benutzereingaben laufend lernen kann oder
  • obt das System einem der Grundmodelle aus der KI-Verordnung der EU entspricht usw.

Nach vielen regelungsbedürftigen Aspekten wird so gut wie nicht gefragt, z.B. den konkreten Auswirkungen auf die Beschäftigung und das sich daraus ergebnede Gefährdungspotenzial, den Veränderungen für die Arbeitsabläufe und Arbeitsbeziehungen, eventuell entstehenden neuen Tätigkeiten und insbesondere den veränderten Qualifizierungsauforderungen und geplanten konkreten Qualifizierungsmaßnahmen.
Auswirkungen auf Arbeitsplätze und Betriebsorganisation
  Änderungen der Arbeitsinhalte
wenn ja bitte beschreiben
.... 		Ja Nein
  Änderungen der Abläufe
wenn ja bitte beschreiben
.... 		Ja Nein
  Änderungen der Aufbauorganisation
wenn ja bitte beschreiben
.... 		Ja Nein
Betroffener Personenkreis
Zum Anwenderkreis gehörende Personengruppen
  Organisationseinheit - Stellentyp - Anzahl der betroffenen Personen
bitte ausfüllen ...
......		  
 

Risiken und Nebenwirkungen

Zweck des Arbeitens mit Checklisten war es, einen Überblick über die im Einsatz befindlichen IT-Systeme zu behalten und eine Struktur für as Beteiligungsverfahren festzulegen, so weit so gut. Es gibt einige kritische Punkte:

  • Die Arbeitgeberseite hat die Initiative. Sie nimmt die Erstbewertung des Systems vor, z.B. die Einordnung in eine der Eingruppierungen, die dann unterschiedliche Folgen auslösen.
  • Je ausführlicher und detaillierter die Checkliste, desto unsicherer und spekulativer sind die Beschreibungen. Es gibt beachtliche Unsicherheiten bei der Ersteinschätzung, die danach meist nicht mehr in Frage gestellt wird.
  • Die Dokumentation ist anbetracht des hohen Entwicklungstempos der IT schnell veraltet und wird nur in seltenen Fällen aktualisiert.
  • Fragen der konkreten Gestaltung des Arbeitssystems, in dem das neue System eingesetzt werden soll, bleiben unerwähnt.
  • In vielen Checklisten liegt ein Schwerpunkt auf der Behandlung des Datenschutzes, insbes. der EU-Datenschutz-Grundverordnung und des AI Act der EU. Dies sind Gesetze, die einzuhalten sind und keinen oder nur wenig Regelungsspielraum eröffnen.
  • Die Beantwortung der vielen Fragen entartet schnell zur bloßen Beschäftigungstherapie: Formular ausgefüllt, Mitbestimmungsverfahren abgeschlossen, gestaltender Einfluss auf die Technik: leider Null.

Was Betriebsräte beschäftigt, sind die Themen

  • Schutz vor technischer Überwachung von Leistung oder Verhalten,
  • Erhalt der Beschäftigung und einer zufriedenstellenden Arbeitsqualität,
  • Gewährleistung der erforderlichen Qualifizierung für die sich schnell verändernde Arbeitswelt.

Als Hilfsmittel zur Erreichung dieser Ziele sind Checklisten nicht mehr zeitgemäß. Sie sind statische Dokumente, die der schnellen Änderung der Technik nicht Rechnung tragen.

Beiden Seiten wäre besser gedient, wenn sie sich auf ein einfaches Online-Verfahren verständigen könnten, das die Arbeitgeberseite auf dem aktuellen Stand zu halten hat und den Beriebsräten zur Verfügung steht. Darüber hinaus geht kein Weg daran vorbei, sich zu informieren, wie die Technik tickt, welche Gestaltungsmöglichkeiten sie eröffnet und wo ihre unterstützenswerten Chancen und ihre einzudämmenden Gefahren liegen.

anonym & ks • April 2020