Kurzbeschreibung
Die Arbeitshilfe gibt einen Überblick über die Pflichten und Handlungsempfehlungen, die mit dem Inkrafttreten der KI-Verordnung für Arbeitgeber entstehen.
Vorbemerkung
Die Inhalte der Verordnung werden stufenweise umgesetzt. Die ersten Regelungen gelten ab dem 2.2.2025.
Die KI-Verordnung richtet sich zwar in erster Linie an die Anbieter eines KI-Systems, also denjenigen, der ein KI-System entwickelt oder entwickeln lässt, um es unter seinem eigenen Namen oder seiner Marke zu vertreiben oder zu benutzen. Arbeitgeber, die KI-Systeme im HR-Bereich verwenden, sind aber grundsätzlich Betreiber. Denn als Betreiber kommt in Betracht, wer ein KI-System in eigener Verantwortung verwendet. Es sei denn, dies erfolgt allein zu persönlichen, nicht beruflichen Tätigkeiten. Verändern Arbeitgeber die Zweckbestimmung eines KI-Systems oder nehmen sie eine wesentliche Änderung hieran vor, können sie vom Betreiber zum Anbieter im Sinne der KI-VO mit entsprechenden Pflichten werden.
Verschiedene Spielarten des KI-Einsatzes im Personalbereich werden nach Inkrafttreten als Hochrisiko-KI eingestuft. Hochrisiko KI-Systeme unterliegen strengeren Anforderungen. Insbesondere Arbeitnehmerrechte werden in der Verordnung an verschiedenen Stellen gesondert hervorgehoben. Aus der Verordnung lassen sich die im folgenden aufgeführten Pflichten und Handlungsempfehlungen, je nach Risikostufe des KI-Systems, für Arbeitgeber entnehmen.
Pflichten für Arbeitgeber bei der Nutzung von KI-Systemen mit geringem Risiko
KI-Systeme mit minimalem Risiko sind in der Personalpraxis:
- Chatbots für direkte Interaktion mit den Mitarbeitern zur Information der Mitarbeiter (z.B. Onboarding)
- KI-Systeme mit eng gefassten Aufgaben, z.B. die Klassifizierung von Dokumenten
- Vorbereitung von Bewertungen im Wege der Text- und Sprachverarbeitung oder Datenverknüpfung
Pflichten für Arbeitgeber
Bei der Nutzung von KI mit geringem Risiko bestehen für Arbeitgeber keine strengen Pflichten, wie etwa bei Hochrisiko-KI-Systemen. Maßnahmen, die getroffen werden sollten sind:
- Ggf. (besondere) Transparenzpflichten, wie etwa die Information der Arbeitnehmer darüber, dass mit KI gearbeitet wird und welche Ergebnisse auf KI beruhen. In jedem Fall muss auch hier der Datenschutz eingehalten werden.
- Freiwillige Richtlinien, wie etwa Nutzungsbedingungen für ChatGPT
Pflichten für Arbeitgeber bei der Nutzung von Hochrisiko-KI-Systemen bzw. mit erheblichem Risiko für Gesundheit, Sicherheit oder Grundrechte von natürlichen Personen
Hochrisiko-KI-Systeme sind in der Personalpraxis:
KI-Systeme im Rahmen von Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit, zum Zwecke der
- Einstellung oder Auswahl von Bewerbern (Sichten oder (Vor-)Filtern von Bewerbungen und das Bewerten von Bewerbern)
- Entscheidungen über Beförderungen und über Kündigungen von Arbeitsvertragsverhältnissen, für die Aufgabenzuweisung auf Grundlage des individuellen Verhaltens sowie für die Überwachung und Bewertung der Leistung und des Verhaltens von Personen
Pflichten für Arbeitgeber:
- Menschliche Aufsicht durch kompetente, ausgebildete und befugte Personen sicherstellen und erforderliche Unterstützung gewähren.
- Information der Arbeitnehmervertreter und betroffenen Arbeitnehmer vor Inbetriebnahme oder Verwendung eines Hochrisiko-KI-Systems am Arbeitsplatz.
Sicherstellen, dass Eingabedaten der Zweckbestimmung des KI-Systems entsprechen und ausreichend repräsentativ sind.
Beispiel:
In ein KI-System, das aus Lebensläufen und Zeugnissen Prognosen über die berufliche Geeignetheit machen soll, werden Gesprächsnotizen und persönliche Motivationsschreiben eingegeben.
Überwachung des Betriebs gemäß Betriebsanleitung, Information der Anbieter bei Risiken oder schwerwiegenden Vorfällen, Aussetzung der Verwendung bei Risikoannahme.
Beispiel:
Durchführen von Stichproben in regelmäßigen Abständen, ggf. Eingabe künstlicher Daten, um das System zu testen.
- Aufbewahrung der automatisch erzeugten Protokolle für mindestens 6 Monate oder gemäß geltendem Recht.
- ggf. Verwendung von über das KI-System bereitgestellten Informationen, um ggf. eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen.
- Offenlegung, dass Inhalte künstlich erzeugt oder manipuliert wurden, bei KI-Systemen, die Bild-, Ton- oder Videoinhalte erzeugen oder manipulieren, Offenlegung von Deepfake-Inhalten oder ggf. sogar bei künstlich erzeugten Texten.
- Einhaltung aller Anforderungen aus Abschnitt III KI-VO, wenn Betreiber auch als Anbieter der KI gelten (Fälle hiervon sind aufgezählt in Art. 25 KI-VO). Werden Betreiber als Anbieter eingestuft, müssen sie zusätzlich umfangreiche Pflichten erfüllen, wie die Einrichtung eines Qualitätsmanagementsystems oder die Durchführung von Risikobewertungen.
Ein ausformulierter Pflichtenkatalog findet sich in Art. 26 KI-VO, daneben ist insbesondere Art. 4 sowie Erwägungsgrund 132 und Art. 50 für Betreiber relevant.
Weitere Vorbereitungen können Folgendes beinhalten: