KERNER Rechtsanwälte – Rufen Sie uns an: 0511 27 900 80

Mo - Do von 9 - 16 Uhr & Fr 9 - 14 Uhr

Leisewitzstraße 28, 30175 Hannover

Manager zeichnet auf ein Glasboard
16. Mai 2024 / by Kanzlei Kerner

Die KI-Verordnung – Das ist neu für Arbeitgeber

KI am Arbeitsplatz breitet sich rasant aus, schließlich sind die Einsatzbereiche nahezu unendlich; das ehemals mühselige Befüllen von Tabellen, die Erschaffung kreativer Texte, die Erstellung von Präsentationen oder die automatisierten Beantwortung von E-Mails sind nur einige davon. Ob Künstliche Intelligenz, vor allem ChatGPT, am Arbeitsplatz genutzt werden darf, war daher bereits Thema in diesem Blog (hier zum Blogbeitrag). Aber bei aller Aufbruchsstimmung – wer achtet darauf, dass der Einsatz Künstlicher Intelligenz nicht versehentlich Menschen schädigt, Menschen diskriminiert, Ergebnisse verwendet, deren Zustandekommen niemand mehr nachvollziehen kann? Die Europäische Union nimmt auf Initiative der Kommissionspräsidenten Ursula von der Leyen eine Vorreiterrolle ein: Am 13.04.2024 hat das Europäische Parlament die „Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz“ erlassen, die weltweit erste umfassende Regulierung des Einsatzes von Künstlicher Intelligenz. Wird im Arbeitsleben KI genutzt, betreffen diese Regelungen Arbeitgeber und mittelbar auch Arbeitnehmer. Schauen wir auf die Inhalte der Verordnung und die fünf wichtigsten neuen Regelungen.

Wen betrifft die neue Verordnung?

Die Verordnung richtet sich an die Nutzer Künstlicher Intelligenz. Dies trifft auf Sie zu, wenn Sie ein KI-System in eigener Verantwortung im Rahmen Ihrer beruflichen Tätigkeit verwenden (Art. 3 Nr. 4).

Womit befasst sich die Verordnung?

Die Grundregel der Verordnung lautet: Je größer das Risiko eines durch Künstliche Intelligenz entstehenden Schadens, umso strenger die Regeln zu ihrem Einsatz. Entsprechend reguliert die Verordnung Risiko- bzw. Hochrisiko-KI, um z.B. Verhaltensmanipulationen durch KI zu minimieren. Außerdem enthält die Verordnung Regeln zur Förderung von Transparenz und Datenschutz sowie Haftung.

Welche Systeme gelten als riskant?

 Manche Nutzungsarten sind künftig in der EU schlichtweg verboten. Hierunter fällt zum Beispiel die Nutzung eines KI-Systems zur unterschwelligen Beeinflussung in der Weise, dass Personen zu Schaden kommen können und das Ausnutzen einer körperlichen oder geistigen Behinderung oder einer schutzbedürftigen Zielgruppe (Art. 5).

Für andere riskante Nutzungsarten, so genannte (Hoch-)Risiko-KI gelten umfassende neue Regeln. Hochrisiko-KI-Systeme sind in der Anlage zur Verordnung benannt, hierunter fallen auch bewertende KI-Systeme bei der automatisierten Einstufung im Personalmanagement. Beispiele:

  •  Ranking im Bewerbungsprozess
  • Einstufungen des bestehenden Personals, z.B. zur Entscheidung über Beförderungen oder Kündigungen

 

Bei vielen Systemen, die im Bereich Human Resources (HR) eingesetzt werden, wird es sich demnach um Hochrisiko-KI-Systeme handeln.

Weitere Hochrisiko-KI-Systeme können nach der Verordnung benannt werden, wenn

  • das KI-System in einem sensiblen Bereich eingesetzt wird und
  • das KI-System ein Risiko der nachteiligen Auswirkungen auf die Grundrechte birgt, das den bereits ausdrücklich benannten Hochrisiko-KI-Systemen mindestens gleicht.

 

Welche Folgen können Verstöße gegen die Verordnung haben?

Eine Marktüberwachungsbehörde wird die Einhaltung der KI-Verordnung überwachen. Wie auch die Datenschutzverordnung sieht die KI-Verordnung hohe Bußgelder vor. Der Einsatz verbotener KI kann mit einem Bußgeld in Höhe von 35 Millionen Euro geahndet werden, andere Verstöße gegen die neuen Pflichten mit einer Geldbuße in Höhe von 15 Millionen Euro.

 

Welche Pflichten haben Arbeitgeber jetzt?

 

  1. Einsatz von KI im Personalmanagement – Einige neue Pflichten

Bei einer Nutzung von KI im Bereich des Personalmanagements handelt es sich oftmals um Hochrisiko-KI (siehe oben unter „welche Systeme gelten als riskant?“). In diesem Fall muss das System entsprechend der Gebrauchsanweisung genutzt werden, es dürfen also nur Daten eingespeist werden, die dem Systemzweck entsprechen und es muss eine menschliche Aufsicht bestehen. Außerdem müssen die verpflichtend automatisch erzeugten Protokolle für einen angemessen Zeitraum aufbewahrt und der Händler informiert werden, wenn eine schwerwiegende Fehlfunktion festgestellt wird.

 

  1. Automatisiertes Bewerbermanagement – Der letzte Schritt muss manuell erfolgen

KI wird insbesondere im Bewerbermanagement verstärkt genutzt, denn die Software ist gut geeignet zum Analysieren und Vorsortieren von Bewerbungsunterlagen. Das bleibt nach der neuen Verordnung erlaubt, wenn die dargestellten „Hochrisiko-KI“-Pflichten eingehalten werden.  Neben der neuen Verordnung bleibt aber selbstverständlich der bisherige Datenschutz in Kraft. Nach Art. 22 Abs. 1 DSGVO dürfen Entscheidungen, die gegenüber dem Betroffenen eine rechtliche Wirkung entfalten oder ihn erheblich beeinträchtigen, nicht allein auf Grundlage einer automatisierten Datenverarbeitung getroffen werden. Das bedeutet, die Entscheidung, ob auf eine Bewerbung eine Zu- oder Absage folgt, muss im letzten Schritt einem Menschen vorbehalten bleiben.

 

  1. Transparenz- und Offenlegungspflicht

 Die Verordnung sieht für die Generierung bestimmter KI-Inhalte Offenlegungspflichten vor. Nutzer eines KI-Systems, das Bild-, Ton- oder Videoinhalte erzeugt oder manipuliert, die wirklichen Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen merklich ähneln und einer Person fälschlicherweise als echt oder wahrhaftig erscheinen würden („Deepfake“), müssen offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden (Art. 52 Abs. 3).

 

  1. Betriebsrat einbeziehen

Diesen Punkt regelt das Betriebsverfassungsgesetz und nicht die KI-Verordnung, er sollte aber nicht vergessen werden: Künstliche Intelligenz kann weitreichende Auswirkungen auf die betrieblichen Arbeitsabläufe haben, über § 87 Abs. 1 Nr. 6, 7 Betriebsverfassungsgesetz (BetrVG) hat der Betriebsrat daher Mitbestimmungsrechte bei der Einführung von KI-Systemen und kann hierbei einen Sachverständigen hinzuziehen (§ 80 Abs. 3 BetrVG). Insbesondere, wenn Richtlinien über die personelle Auswahl bei Einstellungen, Versetzungen, Umgruppierungen und Kündigungen aufgestellt werden sollen, hat der Betriebsrat ein Mitbestimmungsrecht; in dem neuen § 95 Abs. 2a BetrVG ist klargestellt, dass das auch gilt, wenn diese Richtlinien von einem KI-System aufgestellt werden. Ist das KI-System geeignet, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, kann auch ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG ausgelöst werden.

 

  1. KI-System für Personalmanagement selbst entwickeln lassen – Noch umfangreichere neue Pflichten

Gibt ein Arbeitgeber ein KI-System zum Einsatz in seinem Betrieb in Auftrag, ist er Anbieter. Handelt es sich um ein als Hochrisiko-KI eingestuftes System, weil es zur automatisierten Einstufung z.B. im Bewerberbermanagement genutzt wird, entstehen umfangreiche Anforderungen an das Risikomanagement. Anbieter von Hochrisiko-KI-Systemen müssen gemäß Art. 16 ff. der Verordnung unter anderem

  • sicherstellen, dass das System dem in der Verordnung vorgesehenen Konformitätsbewertungsverfahren unterzogen wurde,
  • über ein Qualitätsmanagementsystem verfügen und
  • die technische Dokumentation des Hochrisiko-KI-Systems erstellen.

 

Geben Sie künftig ein KI-System in Auftrag, wird vermutlich ein professioneller Anbieter diese Arbeitsschritte anbieten, Überwachungspflichten werden jedoch bestehen bleiben.

 

Fazit

Fragt Sie jemand nach der neuen KI-Verordnung, können Sie mit dem Schlagwort „risikobasierter Ansatz“ auf jeden Fall punkten. Im Arbeitsleben wird die Verordnung vor allem im Bereich des Personalmanagements relevant werden, denn bei den dort verwendeten KI-Systemen handelt es sich nach der neuen Kategorisierung oftmals um Hochrisiko-KI und damit fällt – insbesondere auf Hersteller-, aber auch auf Nutzerseite – ein Bündel neuer Pflichten an. Es bleibt außerdem zu beobachten, welche KI-Systeme künftig noch der Liste der Hochrisiko-KI hinzugefügt werden. Da es sich um eine Verordnung handelt, sind die Regelungen noch nicht unmittelbar bindend, werden jedoch in deutsches Recht umgesetzt werden.