Im Interview: Rechtsanwältin & Bloggerin Nina Diercks
Im Dschungel digitaler Rechtsfragen -
Wie Unternehmen von pragmatischen Lösungen profitieren können
20.02.2025
Nina Diercks ist seit 2010 als Rechtsanwältin tätig und führt die Anwaltskanzlei Diercks in Hamburg. Sie arbeitet bundesweit in den Bereichen des IT-, Medien-, Datenschutz- und des angrenzenden Arbeitsrechts. Daneben veröffentlicht Nina Diercks regelmäßig Fachbeiträge und betreibt den Blog „Diercks Digital Recht“.
Mein ursprünglicher Traum war es, Journalistik zu studieren und großartige Reportagen, zum Beispiel für „Die Zeit“, zu schreiben. Doch alle Studiengänge, die dafür infrage kamen, hatten zu diesem Zeitpunkt hohe Numerus-Clausus-Grenzen. Mein Abitur war zwar nicht schlecht, aber nicht gut genug für Journalistik. Der einzige offene Studiengang war Jura, und so begann ich notgedrungen dieses Studium. Jura entpuppte sich schnell als weit mehr als eine Notlösung und machte mir tatsächlich viel Freude.
Meine Journalismus-Affinität hat mich nicht losgelassen. Gleich nach dem Abitur begann ich ein Praktikum bei Gruner + Jahr und arbeitete auch während meines Studiums kontinuierlich in den Medien, insbesondere in Internet-Redaktionen. So habe ich die Bereiche Medien, Marketing und Kommunikation von Grund auf kennengelernt. Je weiter mein Jura-Studium fortschritt, desto mehr fiel mir der Gap zwischen Rechtswissenschaften und diesen Themen auf. Juristen wurden oft als „Projektverhinderer“ wahrgenommen, die immer aufzeigen, was alles nicht geht. Viele meiner Kolleg:innen verstanden die digitalen Kommunikationswege und Medienmechanismen nicht. Sie wussten nicht, was Marketing, Personal oder PR wirklich wollen und brauchen. Um dies zu ändern, gründete ich 2010 den Blog „Social Media Recht“.
Im Büro muss der Schreibtisch im richtigen Winkel zum Fenster stehen, die Lichtverhältnisse müssen stimmen, der Schreibtisch darf nicht zu klein sein und so weiter. Doch wie sieht es im Homeoffice aus? Der Arbeitgeber hat keinen Einblick, ob die Mitarbeitenden am Küchentisch oder auf dem Sofa arbeiten. Und natürlich darf die Arbeitssituation im privaten Bereich auch nicht kontrolliert werden.
Der Begriff „Homeoffice“ findet sich in keinem Gesetz. Es gibt Regelungen für Heimarbeit und die digitale Version: die Telearbeit. In diesem Fall muss der Arbeitgeber den Arbeitsplatz zu Hause voll ausstatten. Dann entfällt in der Regel allerdings ein Arbeitsplatz im Büro. Arbeitgeber wollen verständlicherweise keine Telearbeitsplätze in ihren Arbeitsverträgen zusichern, um keine zusätzlichen Arbeitsplätze ausstatten zu müssen. Daher sprechen Juristen vom „mobilen Arbeiten“ oder von der „Arbeit am Vertrauensarbeitsplatz“, was die Möglichkeit impliziert, am Ort der Wahl zu arbeiten. Wenn Mitarbeitende einen ergonomisch optimal ausgerichteten Arbeitsplatz haben möchten, finden sie diesen im Büro. Sie können nicht erwarten, dass der Arbeitgeber ihnen auch im Park einen kompletten Arbeitsplatz aufbaut. Der Arbeitgeber hat eine Fürsorgepflicht, der er mit dem Angebot eines vorschriftsmäßigen Büroarbeitsplatzes oder auch Shared Desks im Unternehmen genügt. Überspitzt formuliert: Wer lieber zu Hause arbeiten möchte und dafür an einem kleinen Küchentisch kauern muss, darf sich über Rückenschmerzen nicht beklagen.
Ein großes Problem sind die gefühlten Vorschriften! Wir haben eine europäische Datenschutzregelung, die für alle EU-Staaten gleichermaßen gilt, daher gibt es in Deutschland nicht mehr oder weniger Anforderungen an den Datenschutz. Was wir in Deutschland allerdings häufig vorfinden, ist eine Mischung aus vorauseilendem Gehorsam, sogenannten Cover-my-Ass-Policies und Bestrebungen, vermutete Anforderungen zu übererfüllen. Ein Beispiel für Übereifer sind die Kästchen auf Webseiten, durch deren Anklicken Bewerber:innen ihre Einwilligung zur Datenverarbeitung geben sollen. Das ist kompletter Unsinn. Ich brauche keine Einwilligung zur Datenverarbeitung. Es gibt klare Rechtsgrundlagen, die es erlauben, Bewerber:innendaten zu verarbeiten. Diese Praxis, die in zehntausenden Bewerbermanagementsystemen implementiert ist, ist grundfalsch und kompliziert die Prozesse erheblich.
Die klare Nummer 1: ungeregelte Privatnutzung der IT-Infrastruktur. Das ist hochproblematisch. Ein pauschales Verbot der privaten Nutzung ist nicht zielführend, denn wir wissen, dass dies im Arbeitsalltag oft ignoriert wird. Ohne Regelungen besteht die Gefahr, dass beispielsweise das eingescannte Ultraschallbild eines Mitarbeiters, der Vater wird, neben einem Personalplanungsdokument landet. Ketzerisch ließe sich sagen, das ist doch großartig, dann weiß die Personalleitung gleich, dass der Mitarbeiter wohl in acht Monaten in Elternzeit gehen wird. Doch so etwas ist natürlich nicht wünschenswert. Das heißt, wenn es hier keine Regelung gibt, verseuchen private Daten die komplette Compliance insoweit, dass das Unternehmen unter Umständen nicht mehr auf die eigenen Unternehmensdaten zugreifen darf, weil eine Verletzung der Privatsphäre der Mitarbeiter:innen vorliegen könnte. Dies ist kein konstruierter Fall, es gibt entsprechende Urteile zu derartigen Fällen. Dabei ist es relativ einfach, die private Nutzung vernünftig zu regeln und Probleme nicht entstehen zu lassen.
Ein weiterer häufiger Fehler ist die mangelhafte Regelung der Nutzung der IT-Infrastruktur an öffentlichen Plätzen. Ein klassisches Beispiel: Wenn ich im ICE fahre, kann ich oft auf diverse Unternehmensgeheimnisse zugreifen oder höre private Details über bevorstehende Kündigungen. Es liegt zum einen im Interesse des Unternehmens, derartige Situationen zu verhindern, und es ist zum anderen gemäß Artikel 32 der DSGVO verpflichtend, organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit zu ergreifen. Wenn ein Unternehmen Richtlinien erlässt, die besagen, dass Laptops an öffentlichen Plätzen nur mit Sichtschutzfolie verwendet, Rechner nicht unbeaufsichtigt gelassen oder keine Business-Telefonate geführt werden dürfen, wenn die Diskretion nicht gewahrt ist, dann kann das Unternehmen solche Datenschutzvorfälle verhindern. Sollte dennoch etwas passieren, kann sich das Unternehmen durch seine Maßnahmen gegebenenfalls exkulpieren.
Ein ebenfalls kritischer Punkt ist die allgemeine Nachlässigkeit in der IT-Sicherheit. Oft werden die Kosten für Sicherheitsmaßnahmen gescheut oder es fehlt an klaren Zuständigkeiten. Doch die Folgen können verheerend sein, wenn ein Unternehmen beispielsweise nach einem Hackerangriff tage- oder wochenlang lahmgelegt wird. Die Einsicht, dass Investitionen in die IT-Sicherheit notwendig sind, kommt oft erst, wenn der Schaden bereits eingetreten ist.
Für den Einsatz von KI im Personalbereich gelten strengere Maßstäbe als in anderen Bereichen.
Mitte Juli 2024 wurde die KI-Verordnung (KI-VO) im europäischen Amtsblatt veröffentlicht. Diese EU-Verordnung gilt unmittelbar und bedarf keiner Umsetzung durch die Mitgliedstaaten. Allerdings gibt es verschiedene Umsetzungsfristen, die bis zu zwei Jahre dauern können. Der HR-Bereich muss sich dennoch zügig mit der Verordnung auseinandersetzen, da sie jeglichen Einsatz von KI im Recruiting, in der Personalauswahl und in der Personalentwicklung regelt. Vereinfacht ausgedrückt wird der gesamte HR-Bereich dabei als „Hochrisikosystem“ qualifiziert. Das bedeutet, dass für den Einsatz von KI im Personalbereich strengere Maßstäbe gelten als in anderen Bereichen. Es ist jedoch wichtig zu beachten, dass es sich tatsächlich um KI handeln muss und nicht nur um eine einfache Software, die eins und eins zusammenzählt. Nach der KI-Verordnung muss KI mithilfe von Machine Learning und/oder wissens- und logikgestützten Konzepten in der Lage sein, eigenständig Schlussfolgerungen auf Basis der Informationen zu ziehen, auf die sie zugreifen kann. Nach der in der KI-VO festgelegten Definition geht KI also über Machine Learning hinaus. Doch über die Fähigkeit, gesetzte Ziele durch eigenständige Schlussfolgerungen zu erreichen, verfügt nach meinem Kenntnisstand bislang keine KI. Wobei man sagen muss, dass noch um die juristische Auslegung gestritten wird und sich auch Tech-Experten hinsichtlich des „Könnens“ von KI und wie diese zu definieren ist uneins sind.
Wenn wir auf HR-Tools zurückkommen, ist die Prüfung mit der Frage, ob KI bei einem solchen Hochrisiko-System eingesetzt wird oder nicht, noch nicht zu Ende. Selbst wenn die Technologie als KI einzuordnen ist, sind weiter Rückausnahmen im Gesetz zu prüfen. So gilt ein System, auch wenn es KI einsetzt, etwa als nicht hochriskant, wenn nur eine eng gefasste Verfahrensaufgabe durchgeführt wird, wie beispielsweise das Parsing eines Lebenslaufs. Oder wenn das System nur dazu bestimmt ist, eine vorbereitende Aufgabe für eine Bewertung durchzuführen. Hier könnte man etwa an Online-Assessments zur Personalauswahl denken, die nur Teil eben jener Personalauswahl sind. Insgesamt ist die KI-VO meines Erachtens sehr intelligent aufgebaut. Beim Einsatz eines KI-Systems ist stets zu prüfen, ob KI im Sinne der KI-VO eingesetzt wird und ob dieses KI-System unter die Hochrisikosysteme fällt. Ist dies der Fall, ist noch einmal zu prüfen, ob eine Rückausnahme vorliegt. Wenn nicht, dann, aber auch nur dann, unterliegen Hersteller, Betreiber und anwendende Unternehmen – zu Recht – dem engen Regulierungskorsett der KI-Verordnung. Daneben gilt natürlich auch weiterhin die DSGVO, die sich allerdings gegenüber den Verpflichtungen, die die KI-VO beim Einsatz von Hochrisikosystemen vorsieht, wie ein Regulierungszwerg geriert.
Hier die typische Juristenantwort: Es kommt darauf an. An dieser Stelle können wir KI ausschließen, da hier einfache Algorithmen verwendet werden. Wenn es sich um standardisierte, strukturierte Interviews handelt, kann dies zu einer höheren Vergleichbarkeit der Bewerber:innen führen. In der Regel wird es nur ein Schritt im gesamten Bewerbungsprozess sein, in den später auch Menschen involviert werden. Die Sinnhaftigkeit dieses Vorgehens kann das Unternehmen sicherlich evidenzbasiert begründen, daher ist es grundsätzlich zulässig. Allerdings stellt sich immer die Frage, ob der Arbeitnehmerdatenschutz verletzt wird. Bei der datenschutzrechtlichen Bewertung sind folgende Fragen entscheidend: Gibt es einen legitimen Zweck? Ist das Mittel geeignet? Gibt es kein milderes Mittel? Und ist es verhältnismäßig im engeren Sinne? Eine direkte Personalentscheidung allein auf Basis eines automatisierten Interviews ist verboten. Gleiches gilt für Entscheidungen, die ausschließlich auf der Grundlage von Graphologie, Stimmanalyse oder Physiognomie getroffen werden. Diese Mittel sind schlicht nicht geeignet, einen legitimen Zweck zu erfüllen, da es keine Evidenz für sie gibt.
Ein wesentlicher Risikofaktor bleibt nach wie vor der Mensch. Ein häufiges Beispiel ist der Fall, wenn eine Mitarbeiterin oder ein Mitarbeiter eine E-Mail erhält, auf einen Anhang klickt und dadurch unbeabsichtigt die Unternehmensdaten verschlüsselt werden. Solche Szenarien erfordern klare Richtlinien und regelmäßige Schulungen, um das Bewusstsein der Teammitglieder für Sicherheitsrisiken zu schärfen. Eine wirkungsvolle Präventionsmaßnahme sind professionelle Penetrationstests (Pentests). Dabei beauftragen Unternehmen externe Spezialist:innen, gefälschte E-Mails zu verschicken, um die Reaktionen der Mitarbeitenden zu überprüfen. Das Ziel dieser Tests ist es nicht, Mitarbeitende abzustrafen, sondern ihre Sensibilität für potenzielle Bedrohungen zu erhöhen und gegebenenfalls gezielte Nachschulungen anzubieten. Zudem ist es wichtig, in robuste IT-Sicherheitsmaßnahmen wie Intrusion-Detection-Systeme zu investieren, um die Unternehmensinfrastruktur zu schützen. Allerdings habe ich auch Fälle erlebt, in denen Unternehmen nach einem Angriff überreagiert und sich durch unverhältnismäßige Sicherheitsmaßnahmen selbst handlungsunfähig gemacht haben.
Weitere Themen:
Superpower: Easy to Work With
Auf welche Qualitäten sollten Unternehmen setzen, um langfristig erfolgreiche Teams aufzubauen?
Teamgeist vor Ego: Die Philosophie von Borussia Dortmund
Interview mit Carsten Cramer, Geschäftsführer des Spitzenclubs Borussia Dortmund
