Die KI-VO richtet sich zwar in erster Linie an die Anbieter eines KI-Systems, also denjenigen, der ein KI-System entwickelt oder entwickeln lässt, um es unter ihrem eigenen Namen oder Marke zu vertreiben oder zu benutzen. Als Betreiber kommt aber auch in Betracht, wer ein KI-System in eigener Verantwortung verwendet. Es sei denn, dies erfolgt allein zu persönlichen, nicht beruflichen Tätigkeiten. Arbeitgeber, die KI-Systeme im HR-Bereich verwenden, sind danach grundsätzlich Betreiber.
Es ist damit zu rechnen, dass verschiedene Spielarten des KI-Einsatzes im Personalbereich nach Inkrafttreten als Hochrisiko-KI eingestuft und damit strengeren Anforderungen unterworfen werden, vgl. Tabelle oben. Denn gerade Arbeitnehmerrechte werden in der Verordnung an verschiedenen Stellen gesondert hervorgehoben:
- Die Auswirkungen von KI-Systemen auf Grundrechte, einschließlich Arbeitnehmerrechte, sind bei der Einstufung als hochriskant besonders wichtig.
- KI-Systeme im Bereich Beschäftigung und Personalmanagement, die Karriereaussichten und Lebensgrundlagen von Personen beeinflussen können, sollten als hochriskant eingestuft werden. Dies betrifft auch die Überwachung und Bewertung von Arbeitnehmern.
- Die Verordnung berührt nicht die Pflichten der Arbeitgeber, Arbeitnehmer oder ihre Vertreter über die Nutzung von KI-Systemen zu informieren und anzuhören.
- Vor der Nutzung eines Hochrisiko-KI-Systems am Arbeitsplatz müssen Arbeitgeber die Arbeitnehmervertreter und betroffenen Arbeitnehmer informieren.
- Betreiber von Hochrisiko-KI-Systemen müssen Informationen gemäß Art. 13 verwenden, um ihrer Pflicht zur Datenschutz-Folgenabschätzung nachzukommen, was auch Arbeitnehmer betreffen kann.
Hochrisiko-KI-Systeme werden folglich sein:
KI-Systeme, die in den Bereichen Beschäftigung und Personalmanagement eingesetzt werden, insbesondere für die Einstellung und Auswahl von Personen, für Entscheidungen über die Bedingungen des Arbeitsverhältnisses sowie die Beförderung und die Beendigung von Arbeitsvertragsverhältnissen, für die Zuweisung von Arbeitsaufgaben auf der Grundlage von individuellem Verhalten, persönlichen Eigenschaften oder Merkmalen sowie für die Überwachung oder Bewertung von Personen in Arbeitsvertragsverhältnissen.
Als Betreiber in Betracht kommt gemäß Art. 3 Nr. 4 KI-VO, wer ein KI-System in eigener Verantwortung verwendet (es sei denn, dies erfolgt allein zu persönlichen, nicht beruflichen Tätigkeiten). Arbeitgeber, die KI-Systeme etwa im Personalbereich einsetzen, wären danach zwar grundsätzlich "nur" als Betreiber einzuordnen. Verändern Arbeitgeber aber die Zweckbestimmung eines KI-Systems oder nehmen sie eine wesentliche Änderung hieran vor, können sie vom Betreiber zum Anbieter im Sinne der KI-VO mit entsprechenden Pflichten werden.
3.1 Pflichten für Arbeitgeber ("Betreiber") nach der KI-Verordnung
Auf Unternehmen, die Hochrisiko-KI-Systeme einsetzen, kommen vor allem folgende Pflichten zu:
- Menschliche Aufsicht durch kompetente, ausgebildete und befugte Personen sicherstellen und erforderliche Unterstützung gewähren.
- Information der Arbeitnehmervertreter und betroffenen Arbeitnehmer vor Inbetriebnahme oder Verwendung eines Hochrisiko-KI-Systems am Arbeitsplatz.
Sicherstellen, dass Eingabedaten der Zweckbestimmung des KI-Systems entsprechen und ausreichend repräsentativ sind.
Beispiel: In ein KI-System, dass aus Lebensläufen und Zeugnissen Prognosen über die berufliche Geeignetheit machen soll, werden Gesprächsnotizen und persönliche Motivationsschreiben eingegeben.
Überwachung des Betriebs gemäß Betriebsanleitung, Information der Anbieter bei Risiken oder schwerwiegenden Vorfällen, Aussetzung der Verwendung bei Risikoannahme.
Beispiel: Durchführen von Stichproben in regelmäßigen Abständen, ggf. Eingabe künstlicher Daten, um das System zu testen.
- Aufbewahrung der automatisch erzeugten Protokolle für mindestens 6 Monate oder gemäß geltendem Recht.
- Ggf. Verwendung von über das KI-System bereitgestellten Informationen, um ggf. eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen.
- Offenlegung, dass Inhalte künstlich erzeugt oder manipuliert wurden, bei KI-Systemen, die Bild-, Ton- oder Videoinhalte erzeugen oder manipulieren, Offenlegung von Deepfake-Inhalten oder ggf. sogar bei künstlich erzeugten Texten.
- Einhaltung aller Anforderungen aus Abschnitt III KI-VO, wenn Betreiber auch als Anbieter der KI gelten (Fälle hiervon sind aufgezählt in Art. 25 KI-VO). Werden Betreiber als Anbieter eingestuft, müssen sie zusätzlich umfangreiche Pflichten erfüllen, wie die Einrichtung eines Qualitätsmanag...