Fallbeschreibung
Eine dt. NGO A kooperiert mit einer NGO B mit Sitz in den USA. Die NGO B betreibt ein social franchise. Das heißt, sie stellt eine bekannte Marke und Infrastrukturen zur Verfügung, die ready zur lokalen, regionalen oder nationalen Implementierung ist. Von keiner der beiden Akteure fließt Geld an die Gegenseite. Mit dem neuen Jahr hat NGO B ihre Standards weiter gefestigt und fordert, dass im Projekt involvierte Mitarbeitende der NGO auf ihre Eignung hin überprüft werden sollen, um den Kinder- und Jugendschutz abzusichern. Dafür fordert sie NGO A auf, Mitarbeitenden einen BackgroundCheck auf der Plattform checkr.com durchzuführen zu lassen. Ist das DSGVO-konform? Here is what I did.
Anwendungsprüfung DSGVO
Zunächst muss festgestellt werden, ob es sich um Verarbeitung von personenbezogenen, bzw. personenbeziehbaren Daten handelt. checkr.com benötigt nach eigenen Aussagen Name, Social Security Number, Abschlusszeugnisse und Führerscheindaten. In allen genannten Dokumenten ist der Bezug zu Art. 2 Abs. 1 DSGVO gegeben. Räumlich erfüllt der Fall Art. 3 Abs. 1 DSGVO, da Daten von Mitarbeitenden aus Deutschland verarbeitet werden. Es gilt zu klären, wer verantwortlich für die Datenverarbeitung ist. Zwischen beiden Organisationen besteht ein Memorandum of understanding, dass Grundsätze der Kooperation und des social Franchise beschreibt. Da kein Geld fließt, stellt es sich wie folgt dar: Zwar stellt NGO B sachliche Zwecke und Mittel zur Verfügung, sie entscheidet aber letztlich nicht im Sinne von Art. 4. Abs. 7. DSGVO. Vor allem nicht in Hinblick auf die personellen Kapazitäten der NGO A. Eine Vereinbarung nach Art. 26 DSGVO. Liegt nicht vor, genauso wenig wie eine Vereinbarung, die sich aus Art. 28 DSGVO ergeben würde. Für NGO A gilt Art. 88 DSGVO in Verbindung mit §26 BDSG nf. NGO A ist also berechtigt in einem begrenzten Maße diejenigen personenbezogenen Mitarbeitendendaten zu verarbeiten, die es braucht um ihre Pflichten als Arbeitgeber_in zu erfüllen. Es gilt hier jedoch der Grundsatz der Datenminimierung.
Prüfung der Plattform
Ein zweiter Blick richtet sich auf die Plattform checkr.com. Was macht der Service eigentlich? Die Plattform verspricht Unternehmen einen kompletten Background-Check von Menschen (bspw. potentiellen Arbeitnehmenden). Sie verspricht, dass am Ende verifiziert ist, dass, ob die geprüfte Person kriminell verurteilt wurde, sie Zivilprozesse durchlaufen hat, ob die angegebene berufliche Qualifikation tatsächlich erreicht wurde, welche Fahrdelikte im Personenverkehr dokumentiert sind und welchen credit score die geprüfte Person hat. Der gesamte ist Prozess ist nach eigenen Aussagen AI powered und absolut DSGVO konform. Am Ende gibt checkr.com eine Empfehlung, ob der Person zu „trauen“ ist oder nicht. Defacto entscheidet die Plattform somit über Zugänge zur beruflichen Chancen (oder welches Feld auch immer) All die genannten Daten sind in den USA (semi)öffentlich zu erhalten oder zu erwerben. Ob checkr.com diese Daten auch von deutschen Bürger_innen, Behörden oder ehemaligen Arbeitgeber_innen erhalten und verifizieren kann halte ich für fraglich. Ob somit der Grundsatz der Datenrichtigkeit aus Art. 5 Abs 1 Lit. d gegeben ist, ist fraglich. Ebenso ist fraglich, ob der Umfang der Datenverarbeitung angemessen ist (Art. 5 Abs .1 Lit c). In der Privacy Notice von checkr.com wird darüber hinaus nicht hinreichend und nicht eindeutig die Pflicht aus Art. 13 DSGVO. Zur umfangreichen Information über die Datenverarbeitung erfüllt. So schreibt checkr.com selbst, dass sie nicht eindeutig sagen können, ob sie Verantwortlicher oder Auftragsverarbeiter sind. Da NGO A verantwortlich für die Mitarbeitendendaten ist, aber checkr.com nicht beauftragt hat, ist dies ohnehin vakant. Dies ist relevant, weil Mitarbeitende, die überprüft werden, beim Verantwortlichen ihre Rechte einfordern können. Ist nicht klar, wer welche Pflichten in der Umsetzung von Datenschutzrechten hat, sind die von der Datenverarbeitung Betroffenen ihrer Rechte entledigt. Man könnte argumentieren, mit Verweis auf den sich durch Grundgesetz ergebenen Recht auf informationelle Selbstbestimmung, dass den Mitarbeitenden der NGO A ein Grundrecht verweht bleibt. Weiterhin beschreibt checkr.com zwar ausführlich, dass sie standard contructual clauses nutzen, um Daten zwischen den Weltregionen zu versenden, aber eine Liste der (Sub)Auftragnehmer fehlt. Damit fehlt auch ein Einblick in Art und Umfang der Datenverarbeitung und damit ein wesentlicher Bestandteil, damit Betroffene eine informierte Entscheidung über die Datenverarbeitung treffen können.
KI-Verodnung und automatisierte Entscheidungsfindung
Eine Information über die Art und Weise wie AI in den Prozess eingebunden ist für diesen Vorgang hochrelevant. Art. 22 DSGVO fordert dazu auf das automatisierte Entscheidungen nur mit einer Einwilligung zu geschehen haben. Eine Einwilligung ist freiwillig abzugeben (Art. 4 Abs. 11 DSGVO). Ein Umstand der in Arbeitsverhältnissen stets kritisch zu betrachten ist. Ergänzend dazu muss seit kurzem der AI-Act betrachtet werden. Art. 5 Abs. 1 Lit. C KiVo verbietet KI-Anwendungen die Personen oder Personengruppen auf Basis von Sozialverhalten klassifizieren und vorhersagen zu ihrem Verhalten treffen. Man kann annehmen, dass dies auch auf checkr.com zutrifft. Jedoch liefert die Plattform zu wenige öffentliche Informationen zu Logiken ihrer AI-Algorithmen, als dass dazu eine verlässliche Aussage zu treffen ist. Art. 50 KiVo fordert jedoch genau das, eine Beschreibung der Logiken automatisierter Verarbeitungen damit Betroffene verstehen, in welcher Art und Weise Anwendungen der künstlichen Intelligenz ihre Daten verarbeiten.
Weitere Rechtsnormen
Checkr.com ist als Plattform somit aus vieler Gründen für NGO A nicht nutzbar. Wie kann hier eine Lösung des Problems herbeigeführt werden? Dafür ist es wichtig sich darauf zu besinnen, um was es eigentlich geht. Es geht darum nur Personen in einem Bildungskontext einzusetzen, die charakterlich und rechtlich geeignet sind. Dafür gibt es in Deutschland gängige Verfahren. Geprüft wird die fachliche Qualifizierung anhand der Vorlage von Abschlusszeugnissen. Weiterhin können (erweiterte) polizeiliche Führungszeugnisse eingesehenen werden. §72a SGB VIII regelt dazu spezifische Verfahren. Führungszeugnisse dürfen beispielsweise nicht bei der Arbeitgeberin eingereicht und in die Personalakte abgelegt werden. Arbeitgeber_innen dürfen polizeiliche Führungszeugnisse nur vorgelegt bekommen und dokumentieren, wann und wieso sie das Führungszeugnis sahen sowie ob die Person rechtkräftig verurteilt wurde in einem für den Einsatz der Person relevanten Gebiet.
Vorschlag zur Güte
Der Vorschlag, auf den sich NGO A und B also einigten, ist, dass NGO A ein Testat an NGO B abgibt, dass ein Führungszeugnis eingesehen wurde sowie die berufliche Qualifikation der Mitarbeitenden vorliegt.