Künstliche Intelligenz, Daten und transformative Technologien

Der Einsatz von KI im HR-Bereich und die Regulierung durch die KI-VO

Veröffentlicht am 27th Feb 2024

Das Gesetzgebungsverfahren zur Verordnung über Künstliche Intelligenz (KI-VO) steht kurz vor dem Abschluss. Gerade im HR-Bereich gibt es zahlreiche Use Cases für den Einsatz von KI, die zukünftig strengeren Regeln unterfallen werden. Bei Verstößen drohen Arbeitgebern empfindliche Geldbußen.

Man in suit signing a document

Risikobasierter Ansatz

Die KI-VO folgt einem risikobasierten Ansatz: Der Einsatz von KI wird umso strenger reguliert, je höher das Risiko für die Betroffenen ist.

Ganz grundlegend ist für den HR-Bereich zu unterscheiden zwischen (i) verbotenen KI-Systemen, die nicht eingesetzt werden dürfen, (ii) Hochrisiko-KI-Systemen, deren Einsatz streng reguliert ist und (iii) KI-Systemen ohne besonderer Risikoklasse, für die ggf. besondere Transparenzpflichten nach Art. 52 KI-VO gelten. Sog. „General Purpose“-KI (Art. 52a ff. KI-VO) spielt hier hingegen regelmäßig keine Rolle.

Verbotene Systeme im HR-Bereich

Im Ausgangspunkt verboten ist der Einsatz von KI-Systemen, die Emotionen von Menschen am Arbeitsplatz erkennen sollen (Art. 5 Abs. 1 lit. (dc) KI-VO). Das gilt nicht, soweit die Emotionserkennung ausschließlich medizinischen oder Sicherheitszwecken dient.

Hochrisiko-KI-Systeme im HR-Bereich

Der Einsatz von KI beim Recruiting und bei Entscheidungen und Maßnahmen in Bezug auf bestehende Arbeitsverhältnisse unterfällt idR. den Regelungen für Hochrisiko-KI-Systeme. Konkret gilt dies nach Art. 6 Abs. 2 KI-VO iVm. Annex III Nr. 4, wenn KI für die folgenden Zwecke eingesetzt werden soll:

  • Einstellung und Auswahl von Bewerbenden (inkl. gezielter Stellenausschreibung, Analyse und Filtern von Bewerbungen und Beurteilung der Person).
  • Entscheidungen über Beförderungen und Entlassungen, Aufgabenzuweisung sowie Überwachung und Bewertung von Leistung und Verhalten von Beschäftigten.

Die Ausnahme nach Art. 6 Abs. 2a KI-VO für untergeordnete Unterstützungsleistungen durch KI wird hier regelmäßig nicht greifen. Die oben genannten Entscheidungen im HR-Bereich sind typischerweise mit einem Profiling verbunden, also der automatisierten Bewertung persönlicher Aspekte (wie Arbeitsleistung, Eignung für eine Position o.ä.). Das schließt die Ausnahme aus.

Der Einsatz KI-gestützter Biometriesysteme, z.B. bei der Videoüberwachung am Arbeitsplatz, kann als Hochrisiko-KI streng reglementiert sein (Art 6 Abs. 2 KI-VO iVm. Annex III Nr. 1). Das betrifft nicht solche Systeme, die nur zur Verifizierung der Identität dienen (z.B. bei Zugangskontrollen).

Pflichten der KI-VO für Anbieter und Betreiber von Hochrisiko-KI-Systemen

Arbeitgeber, die selbst-entwickelte KI-Systeme einsetzen, unterliegen den Pflichten eines „Anbieters“ (v.a. Art. 16-25 KI-VO).

Arbeitgeber, die fremd-entwickelte / vortrainierte KI-Systeme nur einkaufen und nutzen, unterliegen idR. den Pflichten eines „Betreibers“ (v.a. Art. 29 KI-VO). Wird eine fremde KI für eigene Zwecke angepasst, sind ggf. auch Anbieterpflichten zu erfüllen.

Kern der Anbieter- und Betreiberpflichten beim Einsatz von Hochrisiko-KI-Systemen sind:

  • Angemessenes Risikomanagement;
  • Bereitstellung einer technischen Dokumentation, Aufbewahrung von Logs;
  • Information der Betroffenen;
  • Prüfung der Auswirkungen des KI-Einsatzes auf Rechte Dritter;
  • Überwachung der KI-Systeme;
  • Incident Management, Meldung von Verstößen.

Bei der Entwicklung müssen Anbieter außerdem sicherstellen, dass die Anforderungen der KI-VO für Hochrisiko-KI-Systeme (Art. 8 ff. KI-VO) erfüllt werden. Das umfasst etwa die Einrichtung eines speziellen Risikomanagement-Systems, hinreichend hohe Qualität der einbezogenen Daten und Daten-Governance, menschliche Aufsicht sowie Fehlerfreiheit, Robustheit und Sicherheit des KI-Systems.

Was droht bei Verstößen gegen die KI-VO?

Beim Einsatz eines verbotenen KI-Systems drohen Geldbußen von bis zu EUR 35 Mio. oder bis zu 7 % des weltweiten Jahresumsatzes.

Bei einem Verstoß gegen andere Pflichten können idR. Geldbußen von bis zu EUR 15 Mio. oder bis zu 3 % des weltweiten Jahresumsatzes verhängt werden.

Verstöße gegen die KI-VO dürften in der Praxis vielfach durch die in der KI-VO vorgesehene Möglichkeit einer Beschwerde bei der zuständigen Behörde bekannt werden. Nach den Erfahrungen mit der DSGVO ist durchaus damit zu rechnen, dass Arbeitnehmer solche Beschwerden in arbeitsrechtlichen Streitigkeiten als Hebel nutzen werden.

Verhältnis der KI-VO zu anderen Vorschriften

Die KI-VO stellt keine abschließende Regelung für den Einsatz von KI im HR-Bereich dar; v.a. die Anforderungen des BetrVG, des AGG und der DSGVO sind weiter zu beachten.

Es ist insbesondere zu prüfen, (i) ob der Betriebsrat bei der Einführung des KI-Systems zu beteiligen ist, (ii) ob eine diskriminierungsfreie Auswahlentscheidung mithilfe von KI trotz möglicher „Biases“ des KI-Systems möglich ist und (iii) ob eine negative Entscheidung den engen Grenzen einer „automatisierten Einzelfallentscheidung“ nach Art. 22 DSGVO unterliegt.

 

Sie können den Artikel hier als PDF herunterladen.

Teilen

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Interested in hearing more from Osborne Clarke?