Die Datenschutz-Grundverordnung (DS-GVO) und das neue BDSG beschäftigen weiterhin nahezu alle Unternehmen. Vor allem technologieaffine Unternehmen nebst ihren Datenschutzbeauftragten und Entscheidern im Management sehen sich vor zahlreiche – höchstrichterlich noch unbeantwortete Fragen gestellt. Konsequenterweise werden sich zukünftig daneben auch die Aufsichtsratsmitglieder der Unternehmen – egal, ob Anteilseigner oder Arbeitnehmervertreter – intensiver mit dem Thema Datenschutz auseinandersetzen müssen. Zum einen stellt sich die Frage, ob und wieweit der Aufsichtsrat die Einhaltung des Datenschutzes im Unternehmen zu überprüfen hat und daher ggf. Verstöße gegen Datenschutzbestimmungen eine Haftungsfrage für die Aufsichtsratsmitglieder darstellen können. Gerade technologische Neuerungen wie die künstliche Intelligenz stellen Aufsichtsräte digitalisierungsgetriebener Unternehmen vor immense Herausforderungen. Zum anderen muss auch im Blick behalten werden, dass im Rahmen der Tätigkeit im Aufsichtsrat, das einzelne Aufsichtsratsmitglied ebenfalls personenbezogene Daten verarbeitet. Heißt das nun, dass das Aufsichtsratsmitglied im Rahmen seiner selbstständigen Tätigkeit verantwortliche Stelle für die Datenverarbeitung ist und folglich vor allem den hohen Geldbußen für Datenschutzverstöße ausgesetzt ist? Wie die aktuellen Praxiserfahrungen zeigen, sind diese Fragen bisher noch wenig diskutiert.^[1] Dem soll im Folgenden Abhilfe verschafft werden.

___STEADY_PAYWALL___

I. Die Aufgaben des Aufsichtsrats bzgl. des Datenschutzmanagements

Die neuen Vorgaben der DS-GVO zwingen die Unternehmen dazu, weitergehende Maßnahmen im Hinblick auf die Einhaltung des Datenschutzes zu treffen. Verstöße gegen Datenschutzbestimmungen und insbesondere gegen die Datenschutzprinzipien aus Art. 5 DS-GVO, wie Rechtmäßigkeit, Transparenz, Datenminimierung oder die Begrenzung der Speicherung von personenbezogenen Daten sind nach neuem Recht mit deutlichen höheren Bußgeldandrohungen versehen, als dies bisher nach dem alten BDSG der Fall gewesen ist. Der neue Bußgeldrahmen reicht bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DS-GVO). Natürlich werden die Aufsichtsbehörden diesen Rahmen nicht bei jedem Verstoß ausschöpfen. Es wird aber zukünftig deutlich empfindlichere Bußgelder geben, als dies bisher der Fall gewesen ist. Damit steigen die finanziellen Risiken im Unternehmen bei Datenschutzverstößen immens. Daneben darf zudem nicht übersehen werden, dass die Meldepflichten für Datenpannen ebenfalls deutlich ausgeweitet wurden (Art. 33 DS-GVO) und somit Datenpannen sowie auch Datenschutzverstöße eine gestiegene öffentliche Aufmerksamkeit erfahren. Imageschäden durch Berichte über Datenpannen im Unternehmen müssen daher tunlichst vermieden werden.

1. Kontrolle des Datenschutz-Managements durch den Aufsichtsrat

Dies alles legt nahe, dass der Aufsichtsrat das Thema Datenschutz nicht mehr ausblenden darf. Zwar obliegt dem Aufsichtsrat nicht die Leitung des Unternehmens. Allerdings soll der Aufsichtsrat die Geschäftsleitung, also je nach Unternehmensform zumeist Vorstand oder Geschäftsführung, überwachen (§ 111 Abs. 1 AktG). Daneben hat der Aufsichtsrat in vielen Fällen heute auch eine beratende Stellung inne.^[2]

Der Rahmen der Kontrollaufgabe erstreckt sich auf die Verhinderung bzw. Aufdeckung von Fehlern.^[3] Die Überwachungsaufgabe bezieht sich dabei auf die Rechtmäßigkeit, Ordnungsmäßigkeit, Zweckmäßigkeit und Wirtschaftlichkeit des Handelns der Geschäftsleitung.^[4]

2. Compliance-Systeme

Bzgl. des Datenschutzes ist insofern von Bedeutung, dass die Geschäftsleitung verpflichtet ist, für die Einhaltung des geltenden Rechts und damit auch der DS-GVO im Unternehmen zu sorgen. Dies wird heute zumeist mit dem englischen Begriff „Compliance“ umschrieben.^[5] Wie die Gesetzmäßigkeit des unternehmerischen Handelns sichergestellt wird, unterliegt zunächst dem Einschätzungsspielraum der Geschäftsleitung. Aufgabe des Aufsichtsrats ist es in diesem Zusammenhang, sich von der Einrichtung eines Überwachungssystems, mit dem die Einhaltung der gesetzlichen Vorgaben sichergestellt werden kann, zu überzeugen und dieses auf Plausibilität zu überprüfen.^[6] Außerdem muss er sich in regelmäßigen Abständen über Compliance-Maßnahmen und eine Evaluation des Systems durch die Geschäftsleitung ein Bild machen.^[7] Letztlich haftet im Rahmen dieser Aufgabendefinition nicht nur die Geschäftsleitung, sondern auch der Aufsichtsrat für Gesetzesverstöße.

3. Informationspflicht

Auf den Datenschutz und die DS-GVO übertragen bedeutet dies, dass der Aufsichtsrat verpflichtet ist, sich über die Maßnahmen, die die Geschäftsführung im Bereich des Datenschutzes getroffen hat, zu informieren und diese Maßnahmen im Rahmen einer Plausibilitätskontrolle insbesondere auf ihre Funktionsfähigkeit hin zu kontrollieren. Der Aufsichtsrat sollte also zum Beispiel gezielt Berichte zum Stand des Datenschutz-Managements im Unternehmen anfordern. Es bietet sich zudem an, sich aktuelle Audit-Berichte des Datenschutzbeauftragten vorlegen zu lassen und nach Datenpannen oder Beschwerden von Betroffenen im Berichtszeitraum zu fragen.

4. Kontrolltiefe

Natürlich kann der Aufsichtsrat auch beim Thema Datenschutz nicht jegliche Maßnahmen der Geschäftsleitung bis ins Detail überprüfen. Auch insofern gilt folgender Maßstab: Die Aufsichtsratsmitglieder sind verpflichtet, sich über den Umgang mit den Vorgaben der DS-GVO im Unternehmen, ggf. anhand von Unterlagen oder Berichten des Datenschutzbeauftragten, zu informieren und die Maßnahmen bzw. Berichte auf Geeignetheit und Plausibilität zu überprüfen. Danach ist regelmäßig zu kontrollieren, ob die Geschäftsführung die Funktionsfähigkeit des Datenschutz-Managements evaluiert. Also die implementierten Prozesse auf ihre Umsetzung und Geeignetheit überprüft.

Sollte den Berichten der Geschäftsleitung zu entnehmen sein, dass im Berichtszeitraum Datenpannen oder Beschwerden von Betroffenen vorgekommen sind, muss sich der Aufsichtsrat nach den getroffenen Gegen- und Vorsorgemaßnahmen sowie nach dem Stand etwaiger behördlicher oder gerichtlicher Verfahren erkundigen. An dieser Stelle ist es Aufgabe des Aufsichtsrates zu überprüfen, ob die Geschäftsleitung angemessen auf Datenpannen oder Beschwerden reagiert hat, insbesondere Maßnahmen ergriffen wurden, die zukünftige Datenpannen oder Beschwerden verhindern. Es gilt allerdings wiederum der Maßstab einer informierten Plausibilitäts- und Geeignetheitskontrolle, so dass nicht erwartet werden kann, dass jede Maßnahme bis ins letzte Detail aufgearbeitet wird.

Achtung Haftung! Dies bedeutet, dass für die Arbeitnehmervertreter im Aufsichtsrat Kenntnisse über die Grundstruktur eines Datenschutz-Managements unerlässlich sind! Erkennen sie hier Schwachstellen im Unternehmen nicht oder reagieren sie nicht auf Datenschutzverstöße, indem sie die Gegenmaßnahmen des Unternehmens überwachen, können auch sie für verhängte Bußgelder im Rahmen der §§ 116 S. 1, 93 AktG unter Umständen haften.

5. Beispiel: Überwachung des Datenschutzes bei Einsatz Künstlicher Intelligenz

Die Überwachungspflichten des Aufsichtsrats werden in der Praxis umso mehr relevant bei einem Einsatz neuartiger und immer komplexer werdender Technologien, wie der viel diskutierten sog. Künstlichen Intelligenz („KI“ oder „Artificial Intelligence“ – “AI“). Bis heute ist ungeklärt, was KI eigentlich ist. Diskutiert wird KI v.a. in Form von maschinenlernenden Systemen, also technischen Systemen, die so konzipiert sind, „dass sie Probleme eigenständig bearbeiten und sich dabei selbst auf veränderte Bedingungen einstellen können. Diese Systeme haben die Eigenschaft, aus neuen Daten zu lernen“.^[8] KI entwickelt sich demnach selbstständig fort.

Der Einsatz von KI, bisher lediglich in Form „schwacher“ KI zur technischen Problemlösung^[9], ist bislang schon weit verbreitet und wird sich zukünftig weiter vergrößern. KI wird von den Unternehmen vor allem im Bereich des Profiling, z.B. im Bewerbungsverfahren^[10], und der Kundenkommunikation^[11] über sog. Chatbots und digitale Assistenten eingesetzt, die bereits jetzt im Alltag vieler Menschen integriert sind. Auch zur Einhaltung und Verbesserung von Qualitätsmanagements – z.B. in Krankenhäusern, oder im Bereich der Polizeiarbeit wird KI in Zukunft wohl verstärkt genutzt werden.^[12] Der Einsatz solcher Mechanismen ist jedoch in vieler Hinsicht problematisch und insbesondere im Hinblick auf die Verknüpfung mit der DS-GVO ergeben sich einige, bisher nicht höchstrichterlich gelöste Fragen.

Damit Künstliche Intelligenz in Gestalt maschinenlernender Systeme funktionieren kann, ist der Einsatz großer Datenmengen erforderlich. Hierbei müssen vor allem auch personenbezogene Daten eingesetzt werden. Mithilfe dieser Daten soll das System Probleme erkennen und lösen können (sog. machine learning), also auf diese Weise Muster erkennen und „entscheiden“.^[13] Je mehr Daten dem System zum „Lernen“ bereit gestellt werden, desto besser werden die erzielten Ergebnisse.

Dass der Einsatz der erforderlichen Datenmengen für das „Lernen“ der KI den Grundgedanken der DS-GVO zunächst jedenfalls widerspricht, erscheint naheliegend. Im Sinne der DS-GVO muss die Verarbeitung personengebundener Daten stets zweckgebunden, transparent, sicher und sparsam erfolgen (Art. 5 DS-GVO). Darüber hinaus gibt die DS-GVO in Art. 25 Abs. 1 vor, dass der Verantwortliche geeignete technisch-organisatorische Maßnahmen zu treffen hat, die darauf ausgelegt sind, dass die Datenschutzgrundsätze, wie etwa die Datenminimierung, umgesetzt werden und die notwendigen Garantien in die Verarbeitung aufgenommen sind, um den Anforderungen der DS-GVO zu genügen (Datenschutz durch Technikgestaltung, „Privacy-by-Design“).

Wenn KI-Systeme jedoch teilweise autonom arbeiten, ist der Prozess der Entscheidungsfindung für den Menschen unter Umständen nicht mehr in Gänze nachvollziehbar (sog. Black-Box-Phänomen).^[14] So kann allein das Ergebnis der Verarbeitung noch überprüft werden. Diese Tatsache lässt sich schwerlich mit der DS-GVO in Einklang bringen.

Wenn in zahlreichen Fällen schon für die Entwickler eines solchen KI-geprägten Systems der Prozess der Verarbeitung personenbezogener Daten und der Entscheidungsfindung nicht mehr nachvollziehbar ist, wie soll dann die Unternehmensleitung, geschweige denn der Aufsichtsrat, im Rahmen seiner Aufgabenwahrnehmung eine praktikable Kontrolle vornehmen?

In der Praxis gilt es für die Aufsichtsratsmitglieder vor allem, wachsam zu sein und sich nicht mit Lobeshymnen der Geschäftsleitung auf die einzuführenden oder gar selbst entwickelten KI-Systeme abzufinden. Es muss hinterfragt werden, ob die Geschäftsleitung die Risiken und Chancen des Einsatzes von KI im Unternehmen nachvollziehbar und in informierter Weise – unter Hinzuziehung des Datenschutzbeauftragten und ggf. weiterer externer Sachverständigen – geprüft und gegeneinander abgewogen hat. Vor allem haben sich die Aufsichtsratsmitglieder auch davon zu überzeugen, dass die Geschäftsleitung die datenschutzrechtlichen Vorgaben der DS-GVO einhält, z.B. eine Datenschutz-Folgenabschätzung durchgeführt und dem Grundsatz Privacy-by-Design (Datenschutz durch Technikgestaltung) Rechnung getragen wurde, um datenschutzrechtliche Haftungsrisiken zu vermeiden.

Wird der Aufsichtsrat dieser Kontrollpflicht bei der Einführung von Systemen, die mit Künstlicher Intelligenz arbeiten, nicht gerecht, können sich beachtliche Haftungsrisiken auch für die Aufsichtsratsmitglieder ergeben.

II. Das Aufsichtsratsmitglied als datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr.7 DS-GVO?

Die Aufsichtsratsmitglieder üben ihr Amt im Rahmen einer selbstständigen Tätigkeit aus. Das Aufsichtsratsmandat selbst wird mehrheitlich als korporationsrechtliches Rechtsverhältnis angesehen.^[15] Bei den Arbeitnehmervertretern im Aufsichtsrat sind Aufsichtsratsmandat und Arbeitsverhältnis strikt voneinander zu trennen. Anders als beim Betriebsrat, handelt es sich bei der Aufsichtsratstätigkeit nicht kraft Gesetzes um ein Ehrenamt. In den allermeisten Fällen erhalten nicht nur die Anteilseignervertreter, sondern auch die Arbeitnehmervertreter im Aufsichtsrat eine – wenn auch oft eher überschaubare – Vergütung für ihre Arbeit als Aufsichtsratsmitglied. Zumindest wird ein Aufwendungsersatz in Form eines Sitzungsgeldes bezahlt.^[16]

Damit lässt sich zunächst festhalten, dass die Tätigkeit im Aufsichtsrat nicht Inhalt des zumeist mit dem Unternehmen bestehenden Arbeitsverhältnisses ist, sondern ein davon zu trennendes gesellschaftsrechtliches Rechtsverhältnis.^[17]

Im Rahmen dieser rechtlichen Beziehung erhält das einzelne Aufsichtsratsmitglied auch Zugang zu personenbezogenen Daten, die es für die Amtsausübung benötigt. Praktisch jedes Aufsichtsratsprotokoll enthält allein eine Vielzahl von personenbezogenen Daten und seien es auch nur die Äußerungen einzelner Mitglieder im Rahmen der Aufsichtsratssitzung.

1. Teil einer verantwortlichen Stelle oder eigenständiger Verantwortlicher?

Die Aufsichtsratsmitglieder müssen sich also zwangsläufig auch selbst die Frage stellen, wie sie mit diesen Daten umzugehen haben. Vor allem geht es um die Frage, ob die selbstständige Tätigkeit dazu führt, dass ein Aufsichtsratsmitglied selbst Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO für die Datenverarbeitung wird – mit der Konsequenz, dass jedes einzelne Aufsichtsratsmitglied für die Einhaltung der DS-GVO im Rahmen seiner Verarbeitung von personenbezogenen Daten als Aufsichtsrat verpflichtet wäre und bei Verstößen persönlich den entsprechenden Haftungs- und Bußgeldrisiken ausgesetzt wäre.

Verantwortlich im Sinne der DS-GVO ist jede natürlich oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Damit knüpft auch die DS-GVO an die Entscheidungshoheit über die Zweckdefinition und die Vorgabe der Mittel der Verarbeitung an. Grundsätzlich ist der Begriff des Verantwortlichen nach Auffassung des EuGH weit zu verstehen.^[18] Ziel der Bestimmung sei es, einen umfassenden und wirksamen Schutz der betroffenen Person sicherzustellen. Der EuGH geht davon aus, dass es bereits für Verantwortlichkeit ausreichen kann, wenn eine natürliche Person aus Eigeninteresse auf Zweck und Mittel der Datenverarbeitung Einfluss nimmt.

Ein Eigeninteresse der Aufsichtsratsmitglieder liegt zumindest bei einer Speicherung von Protokollen der Aufsichtsratssitzungen, etwa auf dem eigenen Laptop oder PC vor. Schließlich benötigt es die Protokolle ggf. um sich gegen Schadensersatzforderungen des Unternehmens zur Wehr setzen zu können. Nutzt das Aufsichtsratsmitglied auch eigene Mittel für die Datenverarbeitung, entscheidet es also selbst über die Anschaffung z.B. von Laptop oder Festplatten für Sicherungskopien, spricht viel für eine Verantwortlichkeit des Aufsichtsratsmitgliedes.

Werden dem Aufsichtsratsmitglied die Mittel für die Datenverarbeitung vom Unternehmen zur Verfügung gestellt, etwa ein Dienstlaptop oder auch ein sog. Board Room, d.h. eines online-basierten Systems zur Verwaltung und Freigabe von Aufsichtsratsdokumenten, entscheidet das Aufsichtsratsmitglied dagegen nicht über die Mittel der Datenverarbeitung. Allerdings besteht auch in diesen Fällen ein Eigeninteresse des Aufsichtsratsmitgliedes an der Verarbeitung, was, wie dargestellt, nach der Auffassung des EuGH bereits ausreichen kann, auch wenn die Person gar nicht selbst die Datenverarbeitung vornimmt. Zudem ist das Aufsichtsratsmitglied gegenüber dem Unternehmen bei der Wahrnehmung seines Mandates nicht weisungsgebunden.^[19] Aus letzterem Gesichtspunkt heraus scheidet wohl auch die Annahme der Konstellation der Auftragsverarbeitung zwischen Aufsichtsratsmitglied und Unternehmen aus.

Auf der anderen Seite darf nicht verkannt werden, dass die Tätigkeit im Aufsichtsrat natürlich auch und primär im Interesse des Unternehmens erfolgt.^[20] Der Zweck der Datenverarbeitung ist durch die Ausrichtung auf das sog. Unternehmensinteresse vorbestimmt. Das Unternehmensinteresse ist aber gerade nicht gleichzusetzen mit dem Interesse der Gesellschafter, sondern es definiert sich nach mittlerweile überwiegender Auffassung dadurch, dass auch Interessen z.B. der Arbeitnehmer, der Öffentlichkeit und das Interesse an der Rentabilität und am Fortbestand des Unternehmens berücksichtigt werden können – und müssen. Auch hier steht am Ende eine weisungsfreie Entscheidung des einzelnen Aufsichtsratsmitgliedes.

Vorgegeben ist natürlich, dass die Datenverarbeitung nur im Rahmen des Aufsichtsratsmandats erfolgen darf. Nur hierfür übermittelt das Unternehmen die Daten an das einzelne Aufsichtsratsmitglied. Dies ändert aber wohl nichts daran, dass das Aufsichtsratsmitglied innerhalb des gesetzlichen Rahmens (Aufsichtsratstätigkeit) den Zweck der Datenverarbeitung selbst bestimmen kann. Insbesondere ist es auf Grund der weitgefassten Regelung des § 90 Abs. 3 AktG jedem Aufsichtsratsmitglied (auch in der GmbH, vgl. § 25 Abs. 1 Nr. 2 MitbestG, § 1 Abs. 1 Nr. 3 DrittelbG, § 52 Abs. 1 GmbHG) möglich, Berichte an den Aufsichtsrat zu verlangen, die in vielen Fällen auch personenbezogene Daten beinhalten dürften. Durch diesen Hebel nimmt das Aufsichtsratsmitglied durchaus Einfluss auf die Datenverarbeitung, also z.B. welche Inhalte der Bericht durch die Geschäftsleitung aufweisen soll.

Eine Einordnung als eigenständiger Verantwortlicher nimmt der Landesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg für den Betriebsrat als Gremium vor.^[21]

Um eine Verantwortlichkeit des einzelnen Aufsichtsratsmitgliedes zu verneinen bliebe also letztlich noch die Abgrenzung zum Betriebsratsmitglied, das, nach der herrschenden Meinung, als Mitglied eines gesellschaftsrechtlichen Organs ein unselbstständiger Teil der verantwortlichen Stelle Unternehmen ist und über keine eigenständige Entscheidungskompetenz hinsichtlich der Zwecke und Mittel der Datenverarbeitung verfügt.^[22] Demgegenüber ist das Aufsichtsratsmitglied dem Unternehmen gegenüber selbständig und hat die Möglichkeit, über den Zweck, unter Umständen auch die Mittel der Datenverarbeitung selbst, zu bestimmen.

Mag man bei der Frage, ob der Betriebsrat eigenverantwortliche Stelle im Sinne der DS-GVO ist, noch auf die Vermögenslosigkeit des Betriebsrats, den Ehrenamtscharakter und die Unbekanntheit des Gremiums Betriebsrat in den anderen Mitgliedsstaaten der EU verweisen, ist die Stellung des Aufsichtsratsmitgliedes doch eine andere. Jedes Aufsichtsratsmitglied ist gehalten und verpflichtet, bei der Entscheidungsfindung sämtliche vorliegende Daten selbstständig und eigenverantwortlich zu prüfen und eine selbstbestimmte Entscheidung zu treffen. Dies bezieht sich auch auf die Frage, welche Daten ggf. noch erhoben werden müssen.

2. Gemeinsame Verantwortlichkeit – zusammen mit dem Unternehmen?

Somit spricht im Ergebnis viel dafür, dass es sich auch bei der Zusammenarbeit von Aufsichtsratsmitglied und Unternehmen im Rahmen der Aufsichtsratstätigkeit um eine gemeinsame Verantwortlichkeit handelt, da beide gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Art. 26 Abs. 1 DS-GVO sieht für diesen Fall vor, dass die gemeinsam Verantwortlichen in einer Vereinbarung in transparenter Form festhalten, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. Für die Praxis würde dies vor allem bedeuten, dass Betroffenenrechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend gemacht werden können, vgl. Art. 26 Abs. 3 DS-GVO.

3. Konsequenzen für die Praxis

Damit muss sich jedes Aufsichtsratsmitglied selbst Gedanken machen, wie es die Vorgaben des Datenschutzrechtes einhält. Es muss u.a. die Datenschutzgrundsätze nach Art. 5 DS-GVO umsetzen, ein Verarbeitungsverzeichnis führen und ggf. eine Datenschutz-Folgeabschätzung durchführen.

V

V

* Der Autor Dr. Christian Velten ist Fachanwalt für Arbeitsrecht in der Kanzlei Jota Rechtsanwälte und externer Datenschutzbeauftragter. Er berät in allen Bereich des Arbeits- und Datenschutzrecht. Hierbei bildet u.a. die Beratung von Arbeitnehmervertreter im Aufsichtsrat einen Tätigkeitsschwerpunkt.

Die Autorin Spriesterbach ist Jurastudentin an der Justus-Liebig-Universität Gießen mit dem Schwerpunkt Arbeits- und Sozialrecht.

V

^[1]  Im aktuellen „Handwörterbuch für Aufsichtsräte“ von Thüsing/Giebeler/Hey, 1. Auflage 2018, finden sich gerade einmal 2 Seiten zum Thema „Datenschutz“ bei einem Umfang von über 1500 Seiten. 

^[2]  BGH, 25.03.1991 – II ZR 188/89, BGHZ 114, 127 (130); Habersack in: MüKoAktG, 5. Auflage 2019, § 111 Rn. 12.

^[3]  Lutter/Krieger/Verse, Rechte und Pflichten des Aufsichtsrats, 6. Auflage 2014, Rn. 63.

^[4]  Forst in Thüsing/Giebeler/Hey, Handwörterbuch für Aufsichtsräte, Stichwort Überwachung des Vorstandes, Rn. 4.

^[5]  Schild in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Teil II, Kap. 5, Rn. 8.

^[6]  Lutter/Krieger/Verse, Rn. 75.

^[7]  Lutter/Krieger/Verse, Rn. 75.

^[8]  BT-Drs. 19/1982.

^[9]  Siehe dazu Dimartino, Das goldene Kalb KI – Herausforderungen beim Einsatz von KI in der Arbeitswelt, in diesem Heft; Schindler, ZD 2019, 06647.

^[10]  Siehe dazu Dimartino, Das goldene Kalb KI – Herausforderungen beim Einsatz von KI in der Arbeitswelt, in diesem Heft.

^[11]  Siehe dazu: Gauseling, Künstliche Intelligenz im digitalen Marketing, ZD 2019, 335ff.

^[12]  Vgl. Schindler, ZD-Aktuell 2019, 06647.

^[13]  Dettling/Krüger, Erste Schritte im Recht der Künstlichen Intelligenz, MMR 2019, 211, 212.

^[14]  https://politik-digital.de/news/kuenstliche-intelligenz-155485/ (zuletzt abgerufen am 9. August 2019).

^[15]  Habersack in: Habersack/Henssler, Mitbestimmungsrecht, § 25 MitbestG, Rn. 82 m.w.N.

^[16]  Habersack in: Habersack/Henssler, Mitbestimmungsrecht, § 25 MitbestG Rn. 86.

^[17]  BAG, 23.10.2008 – 2 ABR 59/07, NZA 2009, 855ff.; Henssler in: Habersack/Henssler, Mitbestimmungsrecht, § 26 MitbestG Rn. 4.

^[18]  EuGH, 10.07.2018 – C-25/17 – Zeugen Jehovas, ZD 2018, 469ff.

^[19]  Koberski in: Wlotzke/Wißmann/Koberski/Kleinsorge, Mitbestimmungsrecht, § 25 MitbestG, Rn. 77.

^[20]  Habersack in: Habersack/Henssler Mitbestimmungsrecht, § 25 MitbestG Rn. 70.

^[21]  Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Tätigkeitsbericht 2018, S. 37, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/LfDI-34.-Datenschutz-Tätigkeitsbericht-Internet.pdf (zuletzt abgerufen am 9. August 2019).

^[22]  Althoff, ArbRAktuell 2018, 414, 416; Jung/Hansch, ZD 2019, 143, 147.