Künstliche Intelligenz im Handel: Der Weg in die Zukunft vs. Datenschutz?

Bei der Digitalisierung des Handels spielt der Einsatz von künstlicher Intelligenz eine immer größere Rolle. Laut der „Executive Summary World Robotics 2020 Industrial Robots“ der International Federation of Robotics (IFR) belegt Deutschland weltweite den fünften Rang beim Einsatz von Industrierobotern – nach China, Japan, den USA und Südkorea.

Nicht zuletzt die Corona-Pandemie bringt den Handel dazu, neue Einsatzmöglichkeiten zu finden: von der automatischen Desinfektion von Einkaufswagen im Supermarkt bis zur Gesichtserkennung bei der Kontrolle vom Tragen einer Mund-Nase-Bedeckung. Im Online-Geschäft wird insbesondere die Analyse des Kaufverhaltens der Kunden verbessert. Cookies und Analysetools auf der Webseite sind aus der Praxis nicht mehr wegzudenken. Daneben werden zum Beispiel Produktbewertungen analysiert, Chatbots eingesetzt und durch Profiling vorhandene Datensilos aufgebrochen oder im Rahmen von Bewerbungsverfahren eingesetzt. Der erfinderischen Phantasie der Industrie sind keine Grenzen gesetzt.

Berücksichtigung datenschutzrechtlicher Vorgaben

Bei der Analyse und Nutzung von Kundendaten sind insbesondere datenschutzrechtliche Anforderungen zu berücksichtigen. Im Grundsatz gilt, dass jede Verarbeitung von personenbezogenen Kundendaten auf einer datenschutzrechtlichen Rechtsgrundlage fußen muss. Hierbei ist im Einzelfall zu ermitteln, ob die Datenverarbeitung bspw. für die Vertragsdurchführung erforderlich ist, ein überwiegendes berechtigtes Interesse darstellt oder eine vorherige Einwilligung des Kunden erfordert.

Zudem sind die betroffenen Kunden über den Einsatz und die Art und Weise der Datenverarbeitungen durch die künstliche Intelligenz gemäß Art. 13 DSGVO zu informieren. Im Online-Geschäft wird dies in der Regel durch die Datenschutzhinweise auf der Webseite erfüllt, wohingegen in Filialen andere Wege der Information gefunden werden müssen, etwa per Aushang am Eingang).

Wenn das eingesetzte KI-System selbst Entscheidungen auf Basis der Datenverarbeitung trifft, wie z. B. beim digitalen Pricing, muss ggf. im Einzelfall nach Maßgabe von Art. 22 DSGVO vorher eine ausdrückliche Einwilligung des Betroffenen eingeholt werden.

Die deutschen Datenschutzbehörden haben sich in einer gemeinsamen Erklärung (sog. Hambacher Erklärung) dahingehend geäußert, dass eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, d. h. eine dokumentierte Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten, für den Einsatz von KI-Systemen zur Interaktion mit Betroffenen oder zur Bewertung persönlicher Aspekte in der Regel erforderlich sein wird.

Beim Einsatz von Robotern oder Systemen, die Daten in der angeschlossenen Cloud außerhalb der EU bzw. dem EWR aufbewahren, müssen geeignete Schutzvorkehrungen getroffen und datenschutzrechtliche Garantien sichergestellt werden, beispielsweise durch die Vereinbarung der EU-Standarddatenschutzklauseln. Seit dem Schrems II-Urteil des EuGH ist allerdings im Einzelfall auch zu prüfen, ob zusätzliche Maßnahmen zur Sicherstellung eines dem in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden müssen.

Erfassung von Arbeitnehmerdaten

Keinesfalls führt die Nutzung von künstlicher Intelligenz im Handel dazu, dass der Einsatz der menschlichen Arbeitskraft nicht mehr erforderlich ist. So werden Softwareprogramme von Entwicklern geschrieben und insbesondere Montage- und Wartungsarbeiten von Ingenieuren durchgeführt. Hierbei ist oftmals die persönliche Identifizierung des Arbeitnehmers erforderlich, sodass auch in diesem Zusammenhang personenbezogene Daten durch den Arbeitgeber erhoben werden.

Aber auch im Personalbereich ist der Einsatz künstlicher Intelligenz auf dem Vormarsch. So werden softwaregesteuerte Programme insbesondere beim Recruiting und der Personalauswahl eingesetzt, um möglichst geeignete Bewerber zeit- und kostensparend auszuwählen.

Durch die systemische Verarbeitung von Arbeitnehmer- und Bewerberdaten können Rückschlüsse auf die Arbeitsweise des Arbeitnehmers gezogen werden. Hierbei setzt jedoch auch das europäische Datenschutzrecht Grenzen. Die Verarbeitung der Arbeitnehmerdaten erfordert einen konkreten Zweck und eine Rechtsgrundlage. Eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO kommt im Beschäftigtenverhältnis dagegen in der Regel aufgrund der fehlenden Freiwilligkeit für den Arbeitnehmer oder Bewerber nicht in Betracht.

Sofern ein Betriebsrat in dem betroffenen Unternehmen gebildet ist, ist insbesondere die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG im Hinblick auf die Überwachung von Leistung und Verhalten des Arbeitnehmers durch technische Einrichtungen eröffnet. Im Rahmen von Bewerbungsverfahren kommen Beteiligungs- und Mitbestimmungsrechte nach §§ 92, 93, 94 BetrVG in Betracht. Der Abschluss einer zwingend erforderlichen Betriebsvereinbarung kann in diesem Zusammenhang auch als datenschutzrechtlicher Erlaubnistatbestand nach Art. 88 DSGVO i. V. m. § 26 Abs. 4 BDSG genutzt werden. In diesem Zusammenhang hat nunmehr auch der Gesetzgeber das Thema künstliche Intelligenz im aktuellen Referentenentwurf des Betriebsrätestärkungsgesetzes aufgegriffen.

Fazit

Der Einsatz von künstlicher Intelligenz bestimmt die Digitalisierung im Handel maßgeblich. Bei allen Vorteilen, die der Einsatz von (Industrie-) Robotern und anderen KI-Systemen mit sich bringt, sind sowohl arbeits- als auch datenschutzrechtliche Regulierungen nicht zu verkennen. Die Vereinbarkeit zwischen der unbegrenzten Möglichkeit der künstlichen Intelligenz und gesetzlichen Grenzen kann im Einzelfall ein Drahtseilakt darstellen, der allerdings nicht unmöglich ist.

Zurück zur Übersicht

Annabelle Marceau

Annabelle Marceau

Junior PartnerinRechtsanwältinFachanwältin für Arbeitsrecht

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 347
M +49 172 4610 760

E-Mail

LinkedIn

Patrick Schwarze

Patrick Schwarze

Junior PartnerRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 406
M +49 1520 2642 548

E-Mail

LinkedIn