Datenschutz bei KI für Personal- und Arbeitsplatzsuche

KI für Personal- und Jobsuche. Bitte nicht gleich an den Kopf greifen!

Was den Datenschutz angeht, wäre diese Reaktion aber durchaus angebracht. Gilt der Bereich des Recruiting und der Personalsuche, sogar das Verfassen von Stelleninseraten im Sinne des "AI Act" der Europäischen Union doch als Hochrisikobereich.

{"0": {"src": "/static/bilder/ki-mistral-le-chat-witzig.JPG", "alt": "Bild einer jungen Katze, die halb zusammengerollt auf ihrem Schlafkissen liegt und sich die Augen zuh\u00e4lt.", "beschreibung": "Die Chat-Funktion der franz\u00f6sischen KI Mistral hei\u00dft \"Le Chat\". Bei soviel Wortwitz kann sich eine echte Katze nur mehr an den Kopf greifen.", "id": "6e99dff0-2dcf-41b8-85c4-ff0ddf07858d"}, "1": {"src": "/static/bilder/ki-services-jobsuche-personalsuche.JPG", "alt": "Das Bild zeigt ein aufgeschnittenes, hartgekochtes eckiges Ei. Das Bild ist echt und visualisiert, dass niemand bei der Jobsuche von der KI die Quadratur des Kreises erhoffen soll.", "beschreibung": "Bei allem Hype: bitte nicht zuviel von der KI erwarten. Die Quadratur des Kreises ist noch nicht erfunden. Auch wenn dieses Foto - ganz ehrlich - KEINE FOTOMONTAGE ist.", "id": "7b23004e-5073-4aca-bdf8-0733b39ea61c"}, "2": {"src": "/static/bilder/ki-formulierer-fuer-arbeitswunsch.png", "alt": "Bild eines Formulars, in das Arbeitssuchende in Salzburg Ihren Arbeitswunsch in Stichworten eintragen k\u00f6nnen - und die KI formuliert daraus einen Textvorschlag.", "beschreibung": "Unser KI-Tool f\u00fcr Arbeitssuchende. Kurzes Formular. Stichworte reichen. Oben gibt's Eingabevorschl\u00e4ge. Raus kommt ein fertiger Formulierungsvorschlag f\u00fcr einen Arbeitswunsch.", "id": "eda6e6c1-39da-43e7-9db7-85aed95b5945"}, "3": {"src": "/static/bilder/ki-arbeitsplatz-formulierer.png", "alt": "Das Bild zeigt ein Online-Formular, in das Unternehmen in Salzburg auf Personalsuche in Stichworten Ihre Arbeitsplatzbeschreibung eingeben k\u00f6nnen.", "beschreibung": "Unser KI-Tool f\u00fcr Unternehmen auf Personalsuche. Kurzes Formular mit Eingabetipps oben. Stichworte reichen - Ergebnis ist ein Formulierungsvorschlag f\u00fcr ein Stelleninserat.", "id": "902153bd-ccb5-4dd5-8174-7c1d334286a8"}}

Was heißt das nun für eine regionale Online-Jobbörse im Großraum Salzburg?

Zuerst einmal sollte man bei der Betrachtung auf die Trennung der Themenkreise nicht vergessen:<ul><li>DSGVO - Datenschutzgrundverordnung (bereits seit 2018)</li><li>AI Act der Europäischen Union (seit 2024 - Übergangsregelungen bis 2027)</li></ul>In diesem Artikel beschränken wir uns auf die Datenschutzrechtlichen Überlegungen *********************************Dabei geht es um die EDV-technische Verarbeitung von personenbezogenen Daten. Das fängt beim Erfassen von Daten an, beinhaltet aber auch das Speichern bis hin zur Aufbereitung und Weiterverarbeitung von Daten.Und da grätscht KI natürlich voll rein - vor allem auch, weil der Begriff der "personenbezogenen" Daten alles andere als eng gefasst wird. Nicht nur Name, Adresse **********************Vor allem durch Aufbereitung und Verknüpfung von Daten kann sein, dass eine vorerst noch anonyme Person identifizierbar wird. Z.B. durch:<ul><li>IP-Adresse, mit der im Internet gesurft wird</li><li>e-mail Adresse</li><li>Angaben zu Arbeitsort, Beruf, Ausbildung</li><li>Geo- und Bewegungsdaten</li></ul> Und dann braucht es eine klare Begründung ***************************************Der Verordnungstext spricht hier von "Rechtfertigungstatbeständen".  Das muss nicht zwingend die Einholung einer Erlaubnis (so wie z.b. bei den Cookies) sein, es könnte auch z.B. im Rahmen einer Auftragserfüllung nötig sein und geht dann auch ohne ausdrückliche Zustimmung.Klar ist auf jeden Fall: informiert muss die betroffene Person auf jeden Fall sein. Achtung ausserhalb der EU ************************Es sitzen nun einmal viele Anbieter von KI in den USA. Im Sinne der DSGVO sind dies "Auftragsverarbeiter".Und wer personenbezogene Daten von betroffenen Personen von Dritten außerhalb der EU verarbeiten läßt, braucht in diesem Fall schon: eine ausdrückliche Zustimmung / Erlaubnis.Die jederzeit auch widerrufen werden kann. Was auch heißt: Löschung der verarbeiteten Daten auch beim Auftragsverarbeiter.  Was das technisch und im Sinne einer Dokumentierbarkeit im Klagsfall bedeutet, erfordert auf jeden Fall: fundierte IT-Kenntnisse.Uns ist tatsächlich bei der Recherche ein Unternehmen in San Francisco untergekommen, das sich dazu wirklich Gedanken gemacht hat und das auch Kund:innen in der EU bieten können. Datenschutz ist also nicht allen Amerikaner:innen egal. Wie löst es Jobaktuell? ********************Jobaktuell bietet zwei KI-Werkzeuge für die Job- und Personalsuche an:<ul><li>KI Formulierer für Arbeitswünsche (für Arbeitssuchende)</li><li>KI Formulierer für Arbeitsplätze (für Unternehmen)</li></ul>Aufbereitung von Daten von Unternehmen fällt nicht in die DSGVO. Beim Formulierer von Arbeitswünschen (von Privatpersonen) sehr wohl.Wir setzen dabei auf echte Anonymisierung. Und auf Europa:<ul><li>Die eingegebenen Daten reichen nicht aus, um eine Person identifizierbar zu machen</li><li>Die IP-Adresse über der KI-Service aufgerufen wird, wird nur verschlüsselt gespeichert</li><li>Und zwar so, dass auch wir keine Möglichkeit der Rückrechnung auf die originale Adresse haben (Mit einem sogenannten "Hash")</li><li>Es ist ausserdem nicht möglich, die KI-Services für Arbeitssuchende im eingeloggten Zustand zu nutzen. (Wer einen Account hat, ist nicht mehr anonym - kann es schon nützen, muss sich dazu aber erst ausloggen)</li><li>Last not least - und trotz der netten Firma aus San Francisco - haben wir uns für einen französischen KI-Partner entschieden: Mistral.</li></ul>Es ist nämlich durchaus nicht so, dass die Musik in diesem Bereich nur außerhalb Europas spielt. Gerade in der Grundlagenforschung sind wir ganz vorn dabei.

Zuerst einmal sollte man bei der Betrachtung auf die Trennung der Themenkreise nicht vergessen:<ul><li>DSGVO - Datenschutzgrundverordnung (bereits seit 2018)</li><li>AI Act der Europ&auml;ischen Union (seit 2024 - &Uuml;bergangsregelungen bis 2027)</li></ul>In diesem Artikel beschr&auml;nken wir uns auf die&nbsp;Datenschutzrechtlichen &Uuml;berlegungen *********************************Dabei geht es um die EDV-technische Verarbeitung von personenbezogenen Daten. Das f&auml;ngt beim Erfassen von Daten an, beinhaltet aber auch das Speichern bis hin zur Aufbereitung und Weiterverarbeitung von Daten.Und da gr&auml;tscht KI nat&uuml;rlich voll rein - vor allem auch, weil der Begriff der &quot;personenbezogenen&quot; Daten alles andere als eng gefasst wird.&nbsp;Nicht nur Name, Adresse **********************Vor allem durch Aufbereitung und Verkn&uuml;pfung von Daten kann sein, dass eine vorerst noch anonyme Person identifizierbar wird. Z.B. durch:<ul><li>IP-Adresse, mit der im Internet gesurft wird</li><li>e-mail Adresse</li><li>Angaben zu Arbeitsort, Beruf, Ausbildung</li><li>Geo- und Bewegungsdaten</li></ul>&nbsp;Und dann braucht es eine klare Begr&uuml;ndung ***************************************Der Verordnungstext spricht hier von &quot;Rechtfertigungstatbest&auml;nden&quot;.&nbsp; Das muss nicht zwingend die Einholung einer Erlaubnis (so wie z.b. bei den Cookies) sein, es k&ouml;nnte auch z.B. im Rahmen einer Auftragserf&uuml;llung n&ouml;tig sein und geht dann auch ohne ausdr&uuml;ckliche Zustimmung.Klar ist auf jeden Fall: informiert muss die betroffene Person auf jeden Fall sein.&nbsp;Achtung ausserhalb der EU ************************Es sitzen nun einmal viele Anbieter von KI in den USA. Im Sinne der DSGVO sind dies &quot;Auftragsverarbeiter&quot;.Und wer personenbezogene Daten von betroffenen Personen von Dritten au&szlig;erhalb der EU verarbeiten l&auml;&szlig;t, braucht in diesem Fall schon: eine ausdr&uuml;ckliche Zustimmung / Erlaubnis.Die jederzeit auch widerrufen werden kann. Was auch hei&szlig;t: L&ouml;schung der verarbeiteten Daten auch beim Auftragsverarbeiter.&nbsp; Was das technisch und im Sinne einer Dokumentierbarkeit im Klagsfall bedeutet, erfordert auf jeden Fall: fundierte IT-Kenntnisse.Uns ist tats&auml;chlich bei der Recherche ein Unternehmen in San Francisco untergekommen, das sich dazu wirklich Gedanken gemacht hat und das auch Kund:innen in der EU bieten k&ouml;nnen. Datenschutz ist also nicht allen Amerikaner:innen egal.&nbsp;Wie l&ouml;st es Jobaktuell? ********************Jobaktuell bietet zwei KI-Werkzeuge f&uuml;r die Job- und Personalsuche an:<ul><li>KI Formulierer f&uuml;r Arbeitsw&uuml;nsche (f&uuml;r Arbeitssuchende)</li><li>KI Formulierer f&uuml;r Arbeitspl&auml;tze (f&uuml;r Unternehmen)</li></ul>Aufbereitung von Daten von Unternehmen f&auml;llt nicht in die DSGVO. Beim Formulierer von Arbeitsw&uuml;nschen (von Privatpersonen) sehr wohl.Wir setzen dabei auf echte Anonymisierung. Und auf Europa:<ul><li>Die eingegebenen Daten reichen nicht aus, um eine Person identifizierbar zu machen</li><li>Die IP-Adresse &uuml;ber der KI-Service aufgerufen wird, wird nur verschl&uuml;sselt gespeichert</li><li>Und zwar so, dass auch wir keine M&ouml;glichkeit der R&uuml;ckrechnung auf die originale Adresse haben (Mit einem sogenannten &quot;Hash&quot;)</li><li>Es ist ausserdem nicht m&ouml;glich, die KI-Services f&uuml;r Arbeitssuchende im eingeloggten Zustand zu nutzen. (Wer einen Account hat, ist nicht mehr anonym - kann es schon n&uuml;tzen, muss sich dazu aber erst ausloggen)</li><li>Last not least - und trotz der netten Firma aus San Francisco - haben wir uns f&uuml;r einen franz&ouml;sischen KI-Partner entschieden: Mistral.</li></ul>Es ist n&auml;mlich durchaus nicht so, dass die Musik in diesem Bereich nur au&szlig;erhalb Europas spielt. Gerade in der Grundlagenforschung sind wir ganz vorn dabei.&nbsp;