AI Act – die weltweit erste umfassende Verordnung über die künstliche Intelligenz

Die am 1. August 2024 in Kraft getretene Verordnung (AI Act – Artificial Intelligence Act; dt. Verordnung über künstliche Intelligenz – KI-VO) regelt die Voraussetzungen für die Entwicklung und Verwendung einer KI sowie die Nutzung spezifischer KI-Anwendungen, abhängig von ihrem Einsatzbereich. Diese Verordnung richtet sich insbesondere an Anbieter und Betreiber von KI-Systemen. Als Betreiber bezeichnet die KI-VO die Anwender von KI-Systemen, also auch Unternehmen und ihre Arbeitnehmer*innen, soweit die KI für die berufliche Tätigkeit verwendet wird. Zudem werden die Anwendungen und Systeme Risikokategorien zugeordnet. Bei Verstößen gegen die Pflichten aus der KI-VO, auch für Betreiber von KI, sieht die Verordnung darüber hinaus empfindliche Geldbußen vor.

Risikokategorien

Anwendungen und Systeme werden Risikokategorien zugeordnet, woraus sich Pflichten oder auch Verbote ergeben. Diese erstrecken sich von einem niedrigen bis zu einem unannehmbaren Risiko. Bei der Einstufung einer KI-Anwendung als unannehmbares Risiko führt dies zu einem Verbot der Verwendung, Inbetriebnahme und des Inverkehrbringens. Zu diesen Anwendungen gehören manipulative oder täuschende Techniken zur Beeinflussung des menschlichen Verhaltens, der Ausnutzung persönlicher Schwächen sowie die Verwendung biometrischer Systeme, die zur Ableitung sensibler persönlicher Daten genutzt werden.

Hochrisiko-KI-Systeme unterliegen nach der KI-VO bereits in der Entwicklung vielen Pflichten. Jedoch müssen auch die Betreiber von Hochrisiko-KI-Systemen einige Anforderungen erfüllen, wie etwa den Betrieb der KI überwachen und geeignetes Personal für die (menschliche) Aufsicht über die KI beschäftigen, nebst weiteren Transparenz- und Überwachungspflichten. KI-Systeme mit niedrigem Risiko unterliegen ebenfalls gewissen Transparenzpflichten, diese fallen jedoch weit weniger umfangreich aus als die für Hochrisiko-KI-Systeme.

Generative KI-Systeme, mit sogenanntem allgemeinem Verwendungszweck, können ein systemisches Risiko darstellen und unterliegen noch einmal eigenen Pflichtenkatalogen, welche jedoch insbesondere die Anbieter dieser Systeme betreffen.

KI-Systeme im Arbeitsverhältnis

Die Verwendung von künstlicher Intelligenz ist in allen Phasen des Arbeitsverhältnisses möglich, also in der Anbahnungs-/Begründungs-, Durchführungs und Beendigungsphase.

In der Anbahnungsphase kann die KI zur Identifikation geeigneter Kandidat*innen für offene Stellen eingesetzt werden, indem sie Lebensläufe, Bewerbungen und Social-Media-Profile analysiert und diese Analysen mit den Anforderungen der Position verknüpft. Weiterhin kann die KI durch historische Daten eine Vorauswahl im Bewerbungsverfahren treffen und im Rahmen KI-basierter Vorstellungsgespräche Antworten sowie Soft Skills der Bewerber*innen bewerten, um eine Entscheidung über die Eignung der Kandidat*innen zu unterstützen.

In der Durchführungsphase kann die KI genutzt werden, um den Qualifikationsbedarf durch die Analyse von Mitarbeiterprofilen und Stellenanforderungen zu ermitteln und darauf basierend Schulungs- und Weiterbildungsprogramme zur Beseitigung von Fähigkeitsengpässen zu entwickeln. Zudem ermöglicht die KI die Erfassung und Auswertung von Leistungsdaten der Arbeitnehmer* innen, um Entscheidungen über Beförderungen, Gehaltsanpassungen und die Identifizierung von Leistungsdefiziten zu unterstützen. Ferner können Markttrends und branchenspezifische Gehaltsbenchmarks durch KI-Systeme ausgewertet werden, um Gehaltsstrukturen zu optimieren und eine leistungsbezogene Vergütung auf Basis von Leistungsdaten zu realisieren.

Anwendung der KI-Systeme und Beteiligungsrechte des Betriebsrats

Der Arbeitgeber kann den Arbeitnehmer*innen die Anwendung von KI-Systemen erlauben, muss jedoch einen sicheren Umgang gewährleisten. Dafür empfehlen sich etwa betriebliche Richtlinien, die Vorgaben zur Nutzung und zum Umgang beinhalten.

Hierbei stellt sich jedoch auch die Frage des Mitbestimmungsrechts des Betriebsrats, § 87 BetrVG. Grundsätzlich besteht wohl immer dann ein Mitbestimmungsrecht, wenn der Arbeitgeber Maßnahmen ergreift, die eine Überwachung der Arbeitnehmer*innen ermöglicht. Ein Mitbestimmungsrecht des Betriebsrates kann aber wohl nach neuster Rechtsprechung des Arbeitsgerichts Hamburg dann verneint werden, wenn die Nutzung von Systemen oder Anwendungen über private Accounts erfolgt und der Arbeitgeber somit keinen Zugriff auf die damit erzeugten Daten hat (eine ausführliche Besprechung dieser Entscheidung finden Sie in unserem Newsletter Menschen im Unternehmen 1/2024). Auch Anweisungen, die lediglich das Arbeitsverhältnis betreffen, ohne Regelungen zum Ordnungsverhalten festzulegen, unterliegen nicht der Mitbestimmung.

KI-Systeme und Datenschutz

Bei der Diskussion um die Auswirkungen der KI-VO darf die Datenschutz-Grundverordnung (DSGVO) nicht außer Acht gelassen werden. Die DSGVO bleibt von der KI-VO unberührt, sodass in jedem Fall auch ihre Vorgaben einzuhalten sind, wenn das KI-System personenbezogene Daten verarbeitet. Entschließt sich ein Unternehmen zum Einsatz von KI, sollten in einem ersten Schritt Compliance-Regeln erstellt werden. Es empfiehlt sich, klar zu definieren, ob und unter welchen Voraussetzungen KI-Tools genutzt werden dürfen. Ohne verbindliche Vorgaben besteht das Risiko, dass sich Beschäftigte eigenmächtig und unkontrolliert der neuen Hilfsmittel bedienen. Dies ist nicht nur eine Gefahr für personenbezogene Daten, sondern auch für Geschäftsgeheimnisse und Urheberrechte. Abhilfe schaffen kann hier die oben erwähnte betriebliche KI-Richtlinie.

Wird ein bestimmter KI-Dienstleister ins Auge gefasst, sollte dieser umfassend auf Datenschutz und Datensicherheit überprüft werden. Auch die regelmäßig notwendigen Auftragsverarbeitungsverträge müssen geprüft und gegebenenfalls verhandelt werden. Schließlich wird häufig die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) notwendig sein, bei der die Risiken der Datenverarbeitung überprüft und die unternommenen und geplanten Abhilfemaßnahmen beschrieben und bewertet werden.

Praxishinweise für Unternehmen

Die KI kann ein praktikables Instrument zur Förderung der Digitalisierung in Ihrem Unternehmen darstellen. Dazu ist eine dynamische Gestaltung für einen sozial verantwortlichen und gesetzeskonformen Einsatz von KI erforderlich. Vorab sollte hierzu identifiziert werden, ob bereits eine KI im Unternehmen eingesetzt wird. Diese sollte sodann vor dem Hintergrund der KI-VO in eine Risikokategorie eingestuft werden, um so die weiteren Handlungsverpflichtungen für das Unternehmen ableiten zu können.

Des Weiteren empfiehlt sich die Einführung eines Risikomanagements im Unternehmen sowie das Erstellen interner betrieblicher Richtlinien, die es dem Arbeitgeber erleichtern, den Arbeitnehmer*innen eine gewissenhafte Nutzung von KI, unter Berücksichtigung der unternehmerischen Risiken, zu ermöglichen.

Selbstverständlich unterstützen wir Sie gerne bei der sicheren und umfassenden Einführung von KI in Ihrem Unternehmen und stehen Ihnen bei jedem Schritt beratend zur Seite.

Dies ist ein Beitrag aus unserem Newsletter „Menschen im Unternehmen“ 2-2024. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.