Zusammenfassung
Der Beitrag beleuchtet die geplante EU-Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-Verordnung, engl.: AI Act) mit speziellem Blick auf Personalthemen und geht hierbei auf mögliche Auswirkungen und Verantwortlichkeiten bei Unternehmen ein.
1 Einführung
Die KI-Verordnung der Europäischen Union verfolgt das Ziel, einen umfassenden rechtlichen Rahmen für den Einsatz von künstlicher Intelligenz zu schaffen. Sie soll vor allem Transparenz und Rechtssicherheit gewährleisten, die Akzeptanz von KI-Technologien erhöhen und diese mit europäischen Werten und Grundrechten in Einklang bringen. Gleichzeitig strebt die EU an, auch global einen Standard für den ethischen Einsatz von KI zu setzen.
Die Verordnung verfolgt einen risikobasierten Ansatz. Risikobasiert bedeutet, dass KI-Systeme entsprechend der potenziellen Risiken, die sie für die Gesellschaft oder den Einzelnen darstellen, unterschiedlich reguliert werden. Also bspw. etwa nicht nach der technischen Ausgestaltung oder des Wirtschaftszweigs.
Von zentraler Bedeutung ist, wie genau der Gesetzgeber "KI-Systeme" für die Verordnung definiert. Nach der finalen Fassung lautet die Definition:
"... ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben, wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können."
Die (neue) Definition ist enger gefasst als die Definition im ursprünglichen Entwurf. Dieser schien nahezu jedes Softwareprodukt zu umfassen, einschließlich völlig vorhersehbar agierender Systeme. Die nun geltende Definition soll sich offenbar nicht auf solche Systeme erstrecken, die ausschließlich nach von Menschen aufgestellten Regeln operieren. In einfachsten Worten gefasst muss das System also in gewisser Hinsicht selbstständig auch mit unbekannten Sachverhalten umgehen können ("Ableitungskomponente"). Die Ergebnisse des Systems müssen Auswirkungen auf reale Vorgänge haben können, also physische oder virtuelle Aktionen initiieren und Veränderungen auslösen können ("Veränderungskomponente"). Ein KI-System im Sinne der Verordnung läge also nicht vor, wenn es – auch wenn es auf maschinellem Lernen basiert – nur analytische Daten generiert, ohne dass dies weitere virtuelle oder physische Prozesse oder Veränderungen auslöst.
2 Überblick über die Verordnungsinhalte
Risikoklassen für KI-Systeme und ihre Implikationen mit besonderem Augenmerk auf den Bereich HR:
Klassifizierung |
Beispiel |
Rechtsfolgen/Pflichten für Unternehmen als Betreiber |
Verbotene KI-Systeme/sog. unannehmbares Risiko |
u. A.:
- Techniken der unterschwelligen Beeinflussung oder manipulative/täuschende Techniken zur wesentlichen Verhaltensänderung mit Schaden für die Person (bspw. KI-Systeme, die Arbeitnehmer unterbewusst zu einer erhöhten Arbeitsleistung anhalten sollen, indem sie Tastaturanschläge/Mausklicks analysieren, um herauszufinden, wann die Arbeitsleistung absinkt und sodann anhand dieser Informationen bestimmte Ereignisse auslösen, um das Absinken zu vermeiden)
- KI-Systeme zur Bewertung des Risikos einer Straftatbegehung basierend auf Profiling (ggf. KI-Tools, die ohne objektive oder überprüfbare Tatsachen die Wahrscheinlichkeit prognostizieren, dass ein Mitarbeiter sich strafbar verhalten oder Compliance-Regeln verletzen könnte)
- KI-Systeme zur Ableitung von Emotionen am Arbeitsplatz (z. B.: KI-gestützte Überwachungssysteme, die Emotionen von Mitarbeitern während der Arbeit analysieren, um deren Produktivität oder Arbeitszufriedenheit zu beurteilen, ohne medizinische bzw. sicherheitstechnische Gründe)
- KI-Systeme zur biometrischen Kategorisierung (z. B. Analyse biometrischer Daten wie Gesichtserkennung zur Einschätzung von Merkmalen wie Rasse oder sexuelle Orientierung bei der Personalrekrutierung oder -verwaltung)
- Soziale Bewertungssysteme, die zu Schlechterstellung oder Benachteiligung führen
|
Der Betrieb ist gänzlich untersagt. |
Hochrisiko-KI-Systeme/Erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte von natürlichen Personen |
Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit z. B.:
- Einstellung oder Auswahl von Bewerbern (Sichten oder (Vor-)Filtern von Bewerbungen und das Bewerten von Bewerbern)
- Entscheidungen über Beförderungen und über Kündigungen von Arbeitsvertragsverhältnissen, für die Aufgabenzuweisung auf Grundlage des individuellen Verhaltens sowie für die Überwachung und Bewertung der Leistung und des Verhaltens von Personen
|
u. A.:
- Überwachen anhand Betriebsanleitung
- Sorge tragen, dass Eingabedaten dem Zweck entsprechen/ausreichend repräsentativ sind
- Aufbewahrung von Protokollen
- Weitere Pflichten, insb., wenn Unternehmen nicht nur Betreiber, sondern Anbieter i. S. d. KI-VO i...
|