Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Technische und organisatorische Maßnahmen (TOMs) des Datenschutzes im Kontext von AI

Facility Management: AI » Grundlagen » Rechtlicher Rahmen » Datenschutz: Maßnahmen

Mitbestimmung und KI im Facility Management: Datenschutz und Effizienz vereinen

Mitbestimmung und KI im Facility Management: Datenschutz und Effizienz vereinen

Im Facility Management (FM) werden KI-Systeme zunehmend genutzt, um Prozesse wie Gebäudeverwaltung, Wartung, Energieeffizienz und Sicherheitsmanagement effizienter zu gestalten. Diese Systeme verarbeiten oft personenbezogene und sensible Daten, was umfangreiche technische und organisatorische Maßnahmen (TOMs) erfordert. Zusätzlich spielt die Mitbestimmung von Arbeitnehmervertretungen eine zentrale Rolle, insbesondere wenn KI-Systeme die Arbeitsbedingungen beeinflussen oder Mitarbeitendendaten verarbeiten.

Eine vorausschauende Einbindung der Mitbestimmungsgremien, wie Betriebsräte, ist unerlässlich, um rechtliche Konflikte zu vermeiden und eine vertrauensvolle Zusammenarbeit sicherzustellen.

Datenschutzmaßnahmen für Künstliche Intelligenz: Rechtliche Anforderungen und Best Practices

Die Implementierung von KI-Systemen und den zugehörigen Datenschutzmaßnahmen im FM hat folgende Ziele:

  • Schutz personenbezogener Daten: Vermeidung von Datenschutzverletzungen und Schutz der Privatsphäre.

  • Transparenz und Fairness: Sicherstellung, dass alle Beteiligten, einschließlich der Mitarbeitenden, über den Umgang mit Daten informiert sind.

  • Rechtliche Konformität: Einhaltung der DSGVO und des Betriebsverfassungsgesetzes (BetrVG).

  • Förderung des Vertrauens: Einbindung der Mitbestimmungsgremien, um die Akzeptanz der KI-Systeme zu erhöhen.

Verarbeitung personenbezogener Daten

  • Beispiele: Zutrittsdaten, Belegungsdaten von Arbeitsplätzen, Videoüberwachung, Bewegungs- und Sensordaten.

  • Herausforderung: Sicherstellung der datenschutzkonformen Erhebung, Verarbeitung und Speicherung.

Automatisierte Entscheidungen

  • Beispiele: Vergabe von Zutrittsrechten, automatisierte Arbeitszeiterfassung, KI-gestützte Schichtplanung.

  • Herausforderung: Transparenz und Nachvollziehbarkeit der KI-Entscheidungen sicherstellen.

Einfluss auf Arbeitsbedingungen

  • Beispiele: KI-gestützte Überwachung der Flächennutzung oder Reinigung.

  • Herausforderung: Vermeidung von Überwachungseffekten oder Diskriminierung.

Mitbestimmungspflicht

  • Beispiele: Einführung von Systemen zur Leistungs- oder Verhaltenskontrolle.

  • Herausforderung: Einhaltung der Mitbestimmungsrechte gemäß § 87 Abs. 1 Nr. 6 BetrVG (Überwachungstechnologie).

Verschlüsselung

  • Datenübertragung: Sicherstellung, dass Daten bei der Übertragung (z. B. Zutrittsprotokolle) durch TLS/SSL verschlüsselt sind.

  • Speicherung: Verschlüsselung personenbezogener Daten (z. B. Videoaufzeichnungen, Arbeitszeiten) zur Minimierung des Zugriffsrisikos.

Zugriffskontrollen

  • Rollenspezifische Zugriffsrechte: Festlegung, welche Mitarbeitenden oder Führungskräfte Zugriff auf welche Daten haben.

  • Protokollierung: Dokumentation von Zugriffsversuchen, um Transparenz zu gewährleisten.

Anonymisierung und Pseudonymisierung

  • Anonymisierung: Nutzung anonymisierter Daten für nicht operative Zwecke (z. B. Optimierung der Energieeffizienz).

  • Pseudonymisierung: Verwendung von pseudonymisierten IDs für Zutritts- und Bewegungsdaten, die nur bei berechtigtem Anlass entschlüsselt werden können.

Algorithmen-Transparenz

  • Explainable AI (XAI): Sicherstellung, dass KI-Entscheidungen für Mitarbeitende und Betriebsräte nachvollziehbar und überprüfbar sind.

  • Prüfrechte: Bereitstellung von Mechanismen, die es ermöglichen, Algorithmen von neutralen Stellen prüfen zu lassen.

Monitoring und Auditierbarkeit

  • Echtzeitüberwachung: Erkennung von Datenschutzverletzungen in KI-Systemen durch automatisierte Monitoring-Tools.

  • Regelmäßige Audits: Prüfung der Einhaltung von Datenschutzanforderungen durch interne oder externe Stellen.

Einbindung der Arbeitnehmervertretung

  • Frühe Kommunikation: Betriebsräte bereits in der Planungsphase der Einführung eines KI-Systems einbinden.

  • Transparente Information: Bereitstellung detaillierter Informationen über Zweck, Funktionsweise und Auswirkungen der KI-Systeme.

  • Mitbestimmungsvereinbarung: Gemeinsame Ausarbeitung einer Betriebsvereinbarung, die den Einsatz von KI regelt.

Datenschutzrichtlinien

  • Erstellung spezifischer Richtlinien für die Nutzung von KI-Systemen im FM:

  • Welche Daten werden verarbeitet?

  • Wer hat Zugriff auf die Daten?

  • Wie werden die Daten gespeichert und gelöscht?

Schulung und Sensibilisierung

  • Mitarbeitende: Schulungen zu den Datenschutzanforderungen bei KI, einschließlich ihrer Rechte.

  • Betriebsräte: Schulungen, um die technischen und rechtlichen Aspekte von KI zu verstehen.

Datenschutz-Folgenabschätzung (DSFA)

  • Zweck: Identifikation und Minimierung von Risiken, insbesondere bei automatisierten Entscheidungen oder Videoüberwachung.

  • Einbindung: Betriebsräte und Datenschutzbeauftragte sollten aktiv an der DSFA beteiligt werden.

  • Dokumentation: Ergebnisse und beschlossene Maßnahmen klar dokumentieren und regelmäßig überprüfen.

Incident-Response-Management

  • Entwicklung eines Plans zur schnellen Reaktion auf Datenschutzverletzungen.

  • Regelmäßige Tests der Notfallprozesse, auch unter Einbeziehung der Mitbestimmungsgremien.

Verträge mit Dienstleistern

  • Auftragsverarbeitungsverträge gemäß Artikel 28 DSGVO, die klare Regelungen zur Datenverarbeitung und Verantwortlichkeiten enthalten.

  • Aufnahme von Prüfungsrechten für externe Anbieter in die Betriebsvereinbarung.

Ethik- und Compliance-Gremien

  • Einrichtung eines Gremiums, das den ethischen Umgang mit KI-Systemen im FM überwacht und Empfehlungen für den Datenschutz gibt.

  • Betriebsräte sollten in dieses Gremium eingebunden werden, um Mitbestimmungsrechte zu gewährleisten.

Zutrittskontrollsysteme

  • Technische Maßnahmen: Verschlüsselung und Pseudonymisierung der Zutrittsdaten.

  • Organisatorische Maßnahmen: Abstimmung mit dem Betriebsrat, welche Daten gespeichert werden und wie lange.

Videoüberwachung

  • Technische Maßnahmen: Maskierung von Personen auf Videoaufzeichnungen, um die Privatsphäre zu schützen.

  • Organisatorische Maßnahmen: Betriebsvereinbarung zur Regelung der Speicherdauer und der Zugriffsrechte.

Predictive Maintenance

  • Technische Maßnahmen: Anonymisierung der Sensordaten, um Rückschlüsse auf Personen auszuschließen.

  • Organisatorische Maßnahmen: Festlegung, dass die Daten nicht zur Leistungskontrolle verwendet werden.

Die Einführung von KI-Systemen im Facility Management bringt erhebliche Potenziale, aber auch Datenschutzrisiken mit sich.

Die Umsetzung technischer und organisatorischer Maßnahmen muss daher besonders sorgfältig erfolgen, um die DSGVO einzuhalten und die Rechte der Betroffenen zu schützen.

Die Mitbestimmung von Arbeitnehmervertretungen spielt dabei eine zentrale Rolle. Eine frühzeitige Einbindung und transparente Kommunikation mit den Betriebsräten fördern die Akzeptanz der Systeme und minimieren Konflikte. Betriebsvereinbarungen, die klare Regelungen zu Datenschutz, Transparenz und Zugriffsrechten enthalten, sind ein unverzichtbares Instrument, um den Einsatz von KI rechtssicher und vertrauensvoll zu gestalten.