10. Mai 2024
Künstliche Intelligenz Arbeit
Künstliche Intelligenz

KI-Verordnung – Was Arbeitgeber wissen müssen

Der folgende Beitrag stellt die wichtigsten Regelungen der KI-VO vor, auf die sich Arbeitgeber einstellen sollten.

Die bevorstehende finale Abstimmung des Rats zur KI-Verordnung ist ein bedeutender Meilenstein in der Regulierung künstlicher Intelligenz. Diese Verordnung wird weitreichende Auswirkungen auf Unternehmen in ganz Europa haben, insbesondere in Bezug darauf, wie Arbeitgeber Technologien einsetzen, die auf künstlicher Intelligenz basieren. Angesichts dieser Entwicklungen ist es entscheidend, dass Arbeitgeber* verstehen, welche Anforderungen und Verpflichtungen mit dieser neuen Gesetzgebung einhergehen.

Dieser Blogbeitrag zielt darauf ab, einen Überblick über die wichtigsten Aspekte der KI-Verordnung zu geben, die für Arbeitgeber besonders relevant sind. Wir werden untersuchen, welche Kategorien von KI unter die Verordnung fallen, wie diese klassifiziert werden, und welche spezifischen Compliance-Anforderungen für Unternehmen entstehen.

Ziel der KI-VO

Mit der KI-VO wird das Ziel verfolgt, menschenzentrierte und vertrauenswürdige KI zu fördern und ein hohes Schutzniveau für Gesundheit, Sicherheit, Demokratie, Rechtsstaatlichkeit und Umwelt zu gewährleisten. Gleichzeitig soll die Verordnung zur Entwicklung von Innovationen beitragen.

Zur Koordination dieser Zielrichtungen sieht die KI-VO einen risikobasierten Ansatz aus einem abgestuften System mit entsprechenden Verpflichtungen, abhängig vom jeweiligen Einsatz der KI, vor: Während für Hochrisiko-KI-Systeme und für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) spezifische Anforderungen gelten, finden grundlegende Transparenzvorschriften Anwendung auf ein breiteres Spektrum von KI-Systemen. Bestimmte KI-Praktiken, die das Verhalten einer Person durch unterschwellige Manipulations- oder Täuschungstechniken verzerren, Schwachstellen einer Person ausnutzen oder Personen auf der Grundlage ihres Sozialverhaltens im Hinblick auf nachteilige Auswirkungen bewerten (sog. Social Scoring), sind vollständig verboten.

Arbeitgeber nutzen KI-Systeme regelmäßig als Betreiber

Parlament und Rat stützen sich bei ihrer Definition von KI auf das Konzept der OECD. Demnach ist gemäß Art. 3 Nr. 1 ein KI-System ein maschinengestütztes System, das für einen in wechselndem Maße autonomen Betrieb ausgelegt ist, das nach seiner Einführung anpassungsfähig sein kann, und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ergebnisse wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen hervorgebracht werden, die physische oder virtuelle Umgebungen beeinflussen können.

Der persönliche Geltungsbereich der Verordnung umfasst in erster Linie Anbieter und Betreiber (beide Akteure) von KI-Systemen. Soweit Arbeitgeber lediglich fremdentwickelte KI-Systeme in eigener Verantwortung verwenden, gelten sie als Betreiber im Sinne der KI-VO. Ein Arbeitgeber ist nur dann als Anbieter zu qualifizieren, wenn er ein KI-System entwickelt oder entwickeln lässt und dieses System unter eigenem Namen zum Eigengebrauch in Betrieb nimmt oder wesentliche Änderungen an einem Hochrisiko-KI-System oder dem Verwendungszweck eines KI-Systems, so dass dieses zu einem Hochrisiko-KI-System wird, vornimmt.

Der betriebliche Einsatz von KI kann als hochriskant eingestuft werden

Wenn Arbeitgeber keine KI-Modelle entwickeln, die in der Lage sind, eine breite Palette unterschiedlicher Aufgaben auszuführen, sondern KI lediglich betreiben (insbesondere generative KI-Anwendungen) oder KI nur für spezifische Anwendungszwecke am Arbeitsplatz einsetzen, kommt es auf die Anforderungen an Anbieter von GPAI-Modellen gemäß Art. 53 nicht im Detail an. Vielmehr liegt der Schwerpunkt für Arbeitgeber darauf, festzustellen, ob ein KI-System als hochriskant einzustufen ist. 

In Bezug auf die Beschäftigung und das Personalmanagement sind darunter gemäß Art. 6 Abs. 2 in Verbindung mit Anhang III solche Systeme zu fassen, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu sichten oder zu filtern und Bewerber zu bewerten. Ebenfalls als hochriskant gilt KI, die bestimmungsgemäß für Entscheidungen, die die Bedingungen von Arbeitsverhältnissen Beförderungen und Kündigungen von Arbeitsvertragsverhältnissen beeinflussen, für die Zuweisung von Aufgaben aufgrund des individuellen Verhaltens oder persönlicher Merkmale oder Eigenschaften oder für die Beobachtung und Bewertung der Leistung und des Verhaltens von Personen in solchen Beschäftigungsverhältnissen verwendet werden soll.

Dem liegt die Überlegung zugrunde, dass diese Systeme die künftigen Berufsaussichten, Lebensgrundlagen und Rechte der betroffenen Arbeitnehmer spürbar beeinflussen können (Erwägungsgrund 57). Insbesondere wirkt sich der Einsatz zur Überwachung der Leistung und des Verhaltens auf den Datenschutz und die Privatsphäre aus. Zudem besteht die Gefahr, dass historisch bedingte Diskriminierungsmuster, beispielsweise gegenüber Frauen, fortgeschrieben werden.

KI-Kompetenz und Transparenz sind Grundvoraussetzungen

Unabhängig vom konkreten Risikograd sind Arbeitgeber als Anbieter oder Betreiber eines KI-Systems nach Art. 4 verpflichtet, Maßnahmen zu ergreifen, um sicherzustellen, dass ihre Arbeitnehmer über ein ausreichendes Maß an KI-Kompetenz verfügen. Dabei sind vorhandene technische Kenntnisse, Erfahrungen, Aus- und Weiterbildungen sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, zu berücksichtigen. Darüber hinaus ergeben sich aus Art. 50 allgemeine Transparenzpflichten bei direkter Interaktion des KI-Systems mit natürlichen Personen sowie bei Veröffentlichung von bestimmten KI-generierten Texten. 

Die umfangreichsten Pflichten gelten für Hochrisiko-KI-Systeme

Betreiber von Hochrisiko-KI-Systemen sind in Art. 26 zu einer Reihe von Pflichten verpflichtet, um die Sicherheit, Transparenz und Fairness im Umgang mit diesen Technologien zu gewährleisten. Zunächst müssen sie angemessene technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass das KI-System gemäß der Gebrauchsanweisung genutzt wird. Zudem besteht die Verpflichtung, dafür zu sorgen, dass die Eingabedaten der Zweckbestimmung des Hochrisiko-KI-Systems entsprechen und in Bezug auf die vorgesehene Verwendung „ausreichend repräsentativ“ sind.

Information, Speicher- und Aufsichtspflichten

Wenn Arbeitnehmer am Arbeitsplatz von einem Hochrisiko-KI-System betroffen sind, müssen sie vorab informiert werden. Existiert ein Betriebsrat, besteht ebenfalls eine Informationspflicht. Ungeachtet dessen müssen die bestehenden unionsrechtlichen und nationalen Regelungen beachtet werden, einschließlich der im Betriebsverfassungsgesetz (BetrVG) festgelegten Verpflichtungen zur Unterrichtung und Anhörung des Betriebsrats.

Des Weiteren sind Betreiber von Hochrisiko-KI-Systemen zur umfassenden Dokumentation angehalten. Dazu gehört die Speicherung von automatisch erzeugten Protokollen für mindestens sechs Monate.

Eine Herausforderung stellt auch die Pflicht zur menschlichen Aufsicht dar, da diese nicht durch jede Person durchgeführt werden kann, sondern die natürliche Person stattdessen über die erforderliche Kompetenz, Ausbildung und Befugnis verfügen soll und die Betreiber dieser die erforderliche Unterstützung zukommen lassen müssen.

Eine besondere Informationspflicht besteht, wenn Hochrisiko-KI-Systeme Entscheidungen über natürliche Personen treffen oder bei diesen Entscheidungen unterstützen. Betroffene haben in solchen Fällen ein neues Recht auf Erklärung einer Einzelfallentscheidung, wie es in Art. 86 der KI-Verordnung festgelegt ist.

Kontrollpflichten 

Die fortlaufende Überwachung des KI-Systems nach Maßgabe der Gebrauchsanweisung und die Sicherstellung seiner Außerbetriebnahme bei der begründeten Annahme, dass die Anwendung zu einem unverhältnismäßigen Risiko für Gesundheit, Sicherheit oder Grundrechte führt, sind ebenfalls wesentliche Aspekte. Zudem besteht eine Meldepflicht bei schwerwiegenden Vorfällen.

Zusammengefasst tragen Betreiber von Hochrisiko-KI-Systemen eine bedeutende Verantwortung, die nicht nur die technische und organisatorische Implementierung betrifft, sondern auch den Schutz und die Information der betroffenen Personen sowie die Überwachung und Kontrolle des Systems umfasst, um dessen sicheren und gerechten Einsatz zu gewährleisten.

Pflichten als Anbieter

In dem wohl weniger häufigen Fall, dass ein Arbeitgeber ein Hochrisiko-KI-System als Anbieter entwickelt oder entwickeln lässt, unterliegt er den Pflichten der Art. 16-21. Er muss Maßnahmen ergreifen, die es den Betreibern ermöglichen, wiederum ihre Verpflichtungen erfüllen zu können. Darüber hinaus muss ein Risikomanagementsystem zur regelmäßigen systematischen Überprüfung des KI-Systems und der Datenverwaltung eingerichtet werden. Anbieter sind verpflichtet, sich und ihre Systeme in einer EU-Datenbank registrieren zu lassen, bevor sie ein Hochrisiko-KI-System am Arbeitsplatz in Betrieb nehmen (Art. 49).

Bei Verstößen gegen die KI-VO drohen Bußgelder

Verstößt ein Arbeitgeber gegen die Art. 16 oder 26, kann er mit Geldbußen von bis zu EUR 15.000.000 oder bis zu 3 % seines gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr belegt werden.

Arbeitgeber müssen vorbereitet sein

Der Entwurf muss nun noch vom Rat förmlich gebilligt werden und wird 20 Tage nach der Veröffentlichung im Amtsblatt in Kraft treten. Die KI-VO würde dann gemäß Art. 113 Abs. 2 zwei Jahre nach ihrem Inkrafttreten anwendbar werden, mit Ausnahme einiger spezifischer Bestimmungen: Verbote werden bereits nach sechs Monaten gelten, während die Vorschriften für KI mit allgemeinem Verwendungszweck erst nach 12 Monaten gelten werden und Vorschriften hinsichtlich Hochrisiko-KI sogar erst nach 36 Monaten. Um nicht von den umfassenden Regelungskonzept der KI-VO überrascht zu werden, sollten sich Arbeitgeber bereits jetzt mit dem auf sie zukommenden Pflichtenkatalog vertraut machen.

In unserem CMS-Blog halten wir Sie mit unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend zu diesem Thema auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: EU-Parlament: Grünes Licht für die KI-VOMithilfe Künstlicher Intelligenz plötzlich Urheber?Robo Advisor als Zukunft der GeldanlageKünstliche Intelligenz und der Journalismus der ZukunftWettbewerbsrechtliche Zulässigkeit von KI-gestützter Werbung. Sehen Sie zudem gern: Eigene KI-Sprachmodelle von Unternehmen (cms.law).

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

Unseren englischsprachigen Ausblick auf die KI-VO finden Sie hier: Looking ahead to the EU AI Act (cms.law).

This article is also available in English.

Jetzt registrieren und teilnehmen: AI Regulations in the EU, UK, and Asia: Essential Insights for HR and Employers

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Tags: Arbeitsrecht KI-Verordnung künstliche Intelligenz