Die Automatisierung von Aufgaben der Personalverwaltung unter Verwendung von KI-Systemen steht an der Türschwelle der Unternehmen. Sie heißen “Talent Analytics”, “People Analytics”, “Human Resources Analytics” und versprechen, Ihre Welt zu verändern. Natürlich zum Guten. Denn gegenüber den alten HR-Informationssystemen können sie Zusammenhänge erkennen, die mit dem menschlichen Auge nicht erkennbar wären. Auf diesen erkannten Zusammenhängen aufbauend können nun Entscheidungen getroffen werden:

Bewerber B ist ist die beste Wahl. Diese Aufgabe oder jene Fortbildung ist die bessere für Mitarbeiter M. Die Dauer des Arbeitsverhältnisses mit Arbeitnehmer A ist voraussichtlich kurz, hier sollten Maßnahmen ergriffen werden. Der lange Zeit krank gewesene Arbeitnehmer K ist für die frei gewordene Stelle gut geeignet.

War da nicht etwas? Verbietet nicht die Datenschutzgrundverordnung (DSGVO) automatisierte Entscheidungen?

Art. 22 Abs. 1 DSGVO bestimmt, dass die betroffene Person das Recht hat, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Dies gilt nicht, wenn die Entscheidung

1. für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
2. aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
3. mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

Automatisierte Entscheidungen sind also “nur” grundsätzlich unzulässig. Ausnahmen sind möglich. Diese müssen aber mit der DSGVO und sonstigem Recht in Einklang stehen. Dazu gehören auch die Persönlichkeitsrechte der Bewerber und Mitarbeiter.

Doch mit ein paar blumigen Herstellerversprechen ist die Einführung von KI-Personalmanagementsystemen noch nicht erledigt.

• Der Arbeitgeber muss insbesondere verstehen, was die Software kann und nicht kann, welche positiven UND negativen Auswirkungen sie hat und welche Rechts- sowie Haftungsfolgen damit verbunden sein können.
• Der Betriebsrat bestimmt nach § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mit. Ihm obliegt die Überwachung der Einhaltung von Vorschriften und Betriebsvereinbarungen (§ 80 Abs. 1 Nr. 1 BetrVG) Er muss mindestens auf demselben Wissensstand wie der Arbeitgeber sein. Ohne sachverständigen Rat “von außen” wird der Betriebsrat seine Aufgaben nicht erfüllen können.
• Stellen Sie sich, als Arbeitgeber oder Betriebsrat, folgende Testfragen: Was ist ein Algorithmus? Was ist Künstliche Intelligenz? Was ist Machine Learning? Wie und wo werden die Mitarbeiter- und Bewerberdaten verarbeitet? Woran erkennen Sie, dass das Ergebnis wahr, d.h. nicht verzerrt ist? Können sie nur eine Frage nicht beantworten, benötigen Sie fachkundige Begleitung.

Wie gehe ich im Allgemeinen an die Sache heran?

Ich schaue mir die Software und Herstellerdokumentation sowie die Vertragswerke an. Gegebenenfalls führe ich als Vertreterin erste Gespräche mit dem Anbieter und benenne alternative Anbieter, um Leistungen und Preise vergleichen zu können.

Soweit erforderlich leiste ich Aufklärung, z.B. in Workshops, um eine gemeinsame Gesprächsebene zu schaffen. Was in der Sache nicht verstanden wird, kann hinsichtlich der Rechts- und Haftungsfolgen nicht sachgrecht eingeschätzt werden. Ich unterstütze bei der Einbindung des Betriebsrats.

Vertragsverhandlungen (mit dem Anbieter) unterstütze oder übernehme ich gerne, nachdem Ihre Bedingungen identifiziert worden sind. Regelmäßig besprechen wir Zwischenstände, mögliche Kompromisse und legen ggf. nicht verhandelbare Bedingungen fest.

Gerne bin ich auch neutrale Ansprechpartnerin für Arbeitgeber und Betriebsrat, um sicherzustellen, dass beide Parteien auf demselben Informationsstand sind. Hier biete ich z.B. Informationsmaterialien und Schulungen an.

Mit dem Digitale-Versorgung-Gesetz (kurz DVG) wurde im Dezember 2019 der Grundstein für die Einbindung digitaler Gesundheitsanwendungen (auch DiGAs genannt) in den sog. ersten Gesundheitsmarkt gelegt. Nach dem neuen § 33a Abs. 1 SGB V haben Krankenversicherte nun einen Anspruch auf Versorgung mit Medizinprodukten niedriger Risikoklasse, deren Hauptfunktion wesentlich auf digitalen Technologien beruht und die dazu bestimmt sind, bei den Versicherten oder in der Versorgung durch Leistungserbringer die Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder die Erkennung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen zu unterstützen. 

Der Anspruch umfasst nur solche digitalen Gesundheitsanwendungen, die

1. vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) in das Verzeichnis für digitale Gesundheitsanwendungen nach § 139e aufgenommen wurden und
2. entweder nach Verordnung des behandelnden Arztes oder des behandelnden Psychotherapeuten oder mit Genehmigung der Krankenkasse angewendet werden.

Die Gesundheitsversorgung soll digitaler und zu diesem Zwecke innovationsfreundlicher werden. Im Einklang mit der Schnelllebigkeit des gesundheitlichen Digitalmarktes wurde mit dem DVG das sog. Fast-Track-Verfahren geschaffen − binnen drei Monaten entscheidet das BfArM über die (vorläufige) Aufnahme in das DiGA-Verzeichnis (§ 139e Abs. 3 S. 1 SGB V). Die Flucht in die Health-App, die häufig bewusst nicht als Medizinprodukt auf den Markt gebracht wurde, soll der Vergangenheit angehören. Ob diese Erwartung eintrifft, muss sich noch zeigen. So haben DiGA-Hersteller nach § 139e Abs. 2 S. 2 Nr. 3 SGB V positive Versorgungseffekte nachzuweisen. Ein solcher positiver Versorgungseffekt ist entweder ein medizinischer Nutzen oder eine patientenrelevante Struktur- und Verfahrensverbesserung in der Versorgung. Der Nachweis allein, z.B. durch Studien, kann eine erhebliche zusätzliche Kostenbelastung bedeuten. Nicht zu vergessen ist der begrenzte Zeitraum für die Nachweiserbringung. Kann dieser nicht eingehalten werden, droht ein Ablehnungsbescheid des BfArM und die Streichung aus dem DiGA-Verzeichnis.

Hier ist also gutes Projektmanagement, d.h. von vornherein gut geplantes Vorgehen unverzichtbar. Sinnvoll kann es da erscheinen, mit finanzkräftigen, erfahrenen und etablierten Unternehmen z.B. der Pharmabranche zu kooperieren. Diese verfügen möglicherweise bereits über einen Teil der benötigten Datenbasis, sodass diese nicht mehr mühsam neu aufgebaut werden muss. Möglicherweise sucht das Unternehmen bereits nach einer Lösung wie der des DiGA-Herstellers. Nach dem gemeinsamen Ziel und der gewünschten Aufgabenverteilung sowie Einflussnahmemöglichkeiten richten sich dann die konkreten vertraglichen Verhältnisse.

Während ich DiGA-Hersteller bei der Planung, Vorbereitung und Antragstellung selbst sowie bei der etwaigen Verfolgung des Anspruchs auf Aufnahme in das DiGA-Verzeichnis unterstützen kann, sehe ich meine Aufgabe v.a. in der Prüfung, Vorbereitung, Verhandlung und Gestaltung der Kooperation zwischen DiGA-Hersteller und einem Life-Sciences-Unternehmen. 

Die Blockchain hat keine Zukunft. Dezentralität schon.

Die Aussage mag manchen zunächst aufstoßen, doch mit fortschreitender Zeit wird deutlich: Sie ist korrekt. Warum ist sie korrekt?

Zunächst, weil die Kryptografie, auf der die Integrität ihrer Inhalte fußt, nicht von Dauer ist. Verschlüsselung basiert, einfach gesprochen, nur auf der Schwierigkeit und Dauer, das vor unbefugten Blicken in Form eines Rätsels verborgene Geheimnis herauszufinden. Je schneller Computer Komplexes wie Rätsellösungen berechnen können, desto kürzer ist auch die Berechnungszeit z.B. einer rätselgleichen Passwortphrase. Oder des geheimen Private Keys aus dem Public Key heraus. V.a. der Quantencomputer gilt als das Ende heute eingesetzter Verschlüsselungverfahren. Und damit auch als (ein Grund für das) Ende der Blockchain-Technologie.

Ein Blick in die Geschichte der Kryptografie verrät zudem: Nachrichtendienste sind in Sachen Kryptografie schon einmal schneller gewesen. So hatten nämlich Mitarbeiter der britischen Government Communications Headquarters (GCHQ) die Public-Key-Kryptografie zuerst erfunden. Vor Diffie, Hellman und Merkle bzw. Rivest, Shamir und Adleman. Warum also sollte das Rätsel um die sog. Elliptische-Kurven-Kryptografie (ECC), auf der auch die Bitcoin- oder Ethereum-Blockchain aufbaut, nicht bereits von ihnen oder einem anderen Nachrichtendienst gelöst worden sein? (Lesetipp: Singh, Geheime Botschaften (dtv, 2017, S. 338 ff.)).

Die Blockchain-Technologie ist ausserdem die wohl unökonomischste Datenspeicherform, die man sich vorstellen kann. Alles wird gesammelt, ganz gleich, ob die Daten veraltet, falsch oder unbenötigt sind. Zudem werden diese Daten in hoher Zahl vervielfältigt gespeichert. D.h. nicht nur ein paar wichtige Backups werden erstellt, sondern unzählige Kopien gemacht, die immer und immer größer werden. Die Blockchain ist der digitale Messie. Sie sammelt auch illegale Inhalte – die womöglich auch Sie auf Ihren Rechnern ablegen. 

Der Stromverbrauch des sog. Minings ist nur ein temporäres und, im Verhältnis zu der Menge an Problemen, nur ein kleines Problem der Blockchain-Technologie. Die wachsende Konsolidierung eines Blockchain-Netzwerks ist ein viel größeres – z.B. weil die gehorteten Datenmassen irgendwann nur noch von wenigen Hochleistungsrechnern verarbeitet werden können. Das bedeutet, salopp formuliert: Irgendwann wird jede Blockchain zur klassischen Cloud. Ein etablierter Cloud-Anbieter ist also unter Umständen die bessere, weil erprobtere, sicherere, günstigere und damit nachhaltigere Wahl. Nicht zuletzt hat man ein haftendes Gegenüber wenn doch einmal etwas passiert.

Wer als Unternehmen mit der Blockchain-Technologie arbeiten möchte, z.B. ihren Einsatz im Bereich des Lieferkettenmanagements plant, sollte sich umfassend informieren und v.a. um die der Blockchain immanente begrenzte Lebens- und Einsatzdauer wissen. Nachhaltigkeit kann nicht auf einem Nachhaltigkeitsmangel aufgebaut werden. Verträge mit Blockchain-Dienstleistern sollten entsprechend vorausschauend gestaltet sein. Die eigene Compliance DARF nicht ausschließlich auf einer solchen Technologie fußen.

Microsoft beispielsweise stellt sein Azure-“Blockchain-as-a-Service”-Angebot leise und grundlos zum 10. September 2021 ein. Das 2019 gestartete Angebot hat keine zwei Jahre überdauert.