Mit der Zustimmung des Rates Europäischen Union vom 21. Mai 2024 wurde die KI-Verordnung (AI Act) offiziell verabschiedet. Sie ist das weltweit erste Gesetz das gezielt künstliche Intelligenz (KI) reguliert und ergänzt die bereits bestehenden Vorgaben.
Risikobasierter Ansatz
Die KI-Verordnung verfolgt einen risikobasierten Ansatz. Das bedeutet, dass die Anforderungen an die Compliance von der Risikostufe abhängen, die ein KI-System für die Gesellschaft darstellt. Dabei gilt: Je höher das Risiko, desto höher werden die Compliance-Anforderungen.
Das Risiko wird in vier verschiedene Stufen eingeteilt:
1. KI-Systeme mit minimalem Risiko, für die grundlegende Anforderungen gelten (z.B. Spamfilter)
2. KI-Systeme mit begrenztem Risiko, an die besondere Transparenzanforderungen gestellt werden (z.B. Chatbots)
3. KI-Systeme mit hohem Risiko, für die strenge Auflagen gelten (z.B. KI-Systeme, die Bewerbungen sichten oder filtern)
4. KI mit unannehmbarem Risiko, die gänzlich verboten sind (z.B. Social Scoring)
KI-Anwendungen im Betrieb
Bei jeder Nutzung von KI-Systemen gilt: Der Arbeitgeber muss die Beschäftigten im Umgang mit den KI-Systemen schulen und kontinuierlich weiterbilden, wenn KI-Tools im Arbeitsverhältnis genutzt werden sollen. Diese Schulungen werden durch die KI-Verordnung explizit vorgeschrieben. Zusätzlich verpflichtet das Arbeitsschutzgesetz den Arbeitgeber zur ausreichenden Unterweisung bei der Einführung neuer Arbeitsmittel und Technologien. Darüber hinaus müssen Arbeitgeber Transparenz gewährleisten, wenn KI-Systeme im Einsatz sind, insbesondere wenn diese direkt mit Arbeitnehmern interagieren.
Besondere Vorsicht ist beim Einsatz von KI-Systemen im Personalwesen geboten, die beispielsweise bei der Einstellung und Auswahl von Bewerbern, der Bewertung von Mitarbeiterleistungen oder der Entscheidungsfindung über Beförderungen und Kündigungen eingesetzt werden. Diese Systeme sind regelmäßig Hochrisiko-Systeme, sodass Arbeitgeber strenge Compliance Vorschriften befolgen müssen. Zu diesen Anforderungen gehören unter anderem:
- Die Nutzung und Überwachung des KI-Systems gemäß der Gebrauchsanweisung.
- Gegebenenfalls die Aufbewahrung automatisch erzeugter Protokolle.
- Die Durchführung einer Datenschutz-Folgenabschätzung, wenn notwendig.
- Die Implementierung menschlicher Aufsicht abhängig von der Kontrolle des Arbeitgebers über das Hochrisiko-KI-System und zudem Sicherzustellung, dass die beteiligten Personen kompetent und ausreichend qualifiziert sind.
- Die Kooperation mit den zuständigen Behörden.
Bußgelder bei Verstößen
Bei Verstößen gegen die Bestimmungen der KI-Verordnung müssen Unternehmen mit erheblichen Strafen rechnen. Es drohen Bußgelder von bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes. Neben den Geldbußen sind auch Klagen von Wettbewerbern oder Schadensersatzansprüche von betroffenen Personen möglich. Es ist daher essentiell, dass Arbeitgeber die neuen Vorschriften ernst nehmen und entsprechende Maßnahmen zur Einhaltung ergreifen, um die Risiken durch automatisierte Systeme zu minimieren.
Fazit
Für Arbeitgeber in Deutschland und der gesamten EU bringt die KI-Verordnung neue Herausforderungen, aber auch Chancen mit sich. Der risikobasierte Ansatz stellt sicher, dass die strengsten Regeln für die gefährlichsten Anwendungen gelten, während weniger riskante Anwendungen weniger strengen Vorschriften unterliegen. Arbeitgeber müssen sich jetzt intensiv mit den neuen Anforderungen auseinandersetzen, insbesondere bei der Nutzung von Hochrisiko-KI-Systemen im Personalwesen, um rechtliche und finanzielle Risiken zu vermeiden und gleichzeitig von den Vorteilen der KI-Technologie zu profitieren.
Ein Beitrag von Rebekka Finnern, juristische Mitarbeiterin unserer Kanzlei, und Dieter Gräf, Rechtsanwalt und Fachanwalt für Arbeitsrecht.