Handlungsbedarf bei der Nutzung von KI-Systemen im Personalwesen

Handlungsbedarf beim Einsatz von KI-Systemen im HR-Bereich

Die Verhandlungen zwischen dem Europäischen Parlament und dem Rat der EU über einen regulatorischen Rahmen für den Umgang mit künstlicher Intelligenz (KI) dauerten über drei Jahre. In diesem Zeitraum gab es umfangreiche Diskussionen über die Herausforderungen der Regulierung und deren Auswirkungen auf den europäischen Markt. Der schrittweise Inkrafttreten des Gesetzes über künstliche Intelligenz (AI Act), das aus den umstrittenen Verhandlungen hervorgegangen ist, begann im Februar 2025.

Das AI Act basiert auf einem produktbezogenen Sicherheits- und Risikomanagementansatz. Eines der Hauptziele des AI Act ist es, die grundlegenden Rechte und die Sicherheit zu schützen und gleichzeitig Innovationen zu fördern und rechtliche Klarheit zu schaffen. Zu diesem Zweck werden KI-Systeme in vier verschiedene Risikoklassen eingeteilt: Verbotene KI-Praktiken, hochriskante KI, Allzweck-KI und eingeschränkte KI-Systeme.

Arbeitgeber sind nun gefordert, da die allgemeinen Bestimmungen des AI Act und seine Vorschriften zu verbotenen KI-Praktiken am 2. Februar 2025 in Kraft traten und Anforderungen an KI-Systeme im HR-Sektor auferlegten.

Was bereits gilt

Vorschriften zu verbotenen KI-Praktiken

Artikel 5 des AI Act betrifft KI-Systeme, die aufgrund ihrer Funktionalität ein inakzeptables Risiko für die Sicherheit, die Rechte oder das Wohlergehen von Personen darstellen und deren Inverkehrbringen, Inbetriebnahme oder Nutzung daher verboten ist. Der AI Act unterteilt diese verbotenen KI-Praktiken in acht grundlegende Kategorien:

1. Verwendung von subliminalen, manipulativen oder täuschenden Techniken, die das Verhalten einer Person verzerren könnten;
2. Schädliche Ausbeutung von Schwächen;
3. Soziales Scoring: Bewertung basierend auf sozialem Verhalten oder Persönlichkeitsmerkmalen;
4. Vorhersage von Straftaten: individuelle Risikobewertung und Vorhersage von Straftaten;
5. Erstellung von Datenbanken zur Gesichtserkennung durch untargeted Bewertungen;
6. Emotionserkennung;
7. Biometrische Kategorisierung;
8. Biometrische Fernidentifizierung in Echtzeit.

Um einen rechtlich konformen Umgang beim Klassifizieren einer KI-Praktik als verbotene Praxis zu erleichtern, veröffentlichte die EU die Leitlinien zu verbotenen KI-Praktiken, die durch die Verordnung (EU) 2024/1689 (AI Act) festgelegt wurden. Diese Leitlinie soll rechtliche Klarheit schaffen und Einblicke in die Auslegung der Verbote in Artikel 5 des AI Act bieten, um deren konsistente, effektive und einheitliche Anwendung zu gewährleisten.

Die Vorschriften zu verbotenen KI-Praktiken sind auch für Arbeitgeber von Bedeutung. Seit dem 2. Februar 2025 ist die Nutzung von KI-Systemen, beispielsweise im Bewerbungsprozess, die Kameras, Sprachanalysen oder Sensoren zur Erfassung physiologischer Signale, Emotionen und zur Bestimmung und Bewertung von Informationen über Stresslevel, Zufriedenheit oder Gesundheitsstatus erfassen, ausdrücklich verboten.

Die Nichteinhaltung des Verbots kann mit Geldbußen von bis zu 35.000.000 EUR oder, wenn der Täter ein Unternehmen ist, bis zu 7% seines gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist, geahndet werden.

Vorschriften zur KI-Kompetenz

Laut Artikel 4 des AI Act müssen Anbieter und Betreiber von KI-Systemen sicherstellen, dass ihre Mitarbeiter und andere Personen, die mit dem Betrieb und der Nutzung von KI-Systemen in ihrem Namen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Diese Verpflichtung gilt für alle Unternehmen, die ein KI-System entwickeln (Anbieter) oder eines eigenverantwortlich nutzen (Betreiber). Arbeitgeber sind daher Betreiber, wenn sie KI-Systeme eigenverantwortlich nutzen.

Daher sollten Arbeitgeber ihre Mitarbeiter im operativen Umgang mit KI-Systemen schulen, damit sie die Fähigkeiten, Kenntnisse und das Verständnis entwickeln, um KI-Systeme informativ zu nutzen. Darüber hinaus soll die Schulung ein Bewusstsein für die Chancen und Risiken von KI sowie mögliche Schäden vermitteln. Die Schulungsanforderungen hängen von den technischen Kenntnissen, Erfahrungen, der Ausbildung und dem Kontext ab, in dem die KI-Systeme eingesetzt werden. Je höher die Risikoklassifizierung des KI-Systems ist, desto umfassender muss die Schulung in KI-Kompetenz ausfallen.

Abstrakte technische Definition als praktische Schwierigkeit

Praktische Schwierigkeiten bei der Umsetzung und Einhaltung der rechtlichen Anforderungen des AI Act ergeben sich teilweise aus der unklaren Definition von KI-Systemen. Artikel 3 Nr. 1 des AI Act definiert ein KI-System als “ein maschinenbasiertes System, das entwickelt wurde, um mit unterschiedlichen Autonomiegraden zu operieren und das nach der Bereitstellung Anpassungsfähigkeit aufweisen kann und das zur Erreichung expliziter oder impliziter Ziele aus den erhaltenen Eingaben ableitet, wie man Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert, die physische oder virtuelle Umgebungen beeinflussen können.” Diese Definition ist nicht sehr anschaulich.

Die EU hat darauf reagiert, indem sie die Leitlinien zur Definition eines KI-Systems veröffentlicht hat, um die effektive Anwendung der Vorschriften des AI Act zu erleichtern. Eine detaillierte Erklärung der Kernelemente von KI-Systemen und der ausdrücklichen Ausschluss von Systemen, die ausschließlich auf von natürlichen Personen definierten funktionalen Regeln basieren, sollen den Betreibern bei der Klassifizierung der Systeme, die sie verwenden, als KI-Systeme unterstützen.

Ausblick

Während die Klassifizierung als hochriskantes KI-System unter den Bedingungen des Artikels 6 Absatz 1 des AI Act erst am 2. August 2027 gelten wird, treten die übrigen Bestimmungen des Gesetzes am 2. August 2026 in Kraft, einschließlich der Vorschriften zu hochriskanter KI in der Beschäftigung und Mitarbeiterverwaltung gemäß Artikel 6 Absatz 2 des AI Act sowie Anhang III. Besondere Verpflichtungen werden dann für Betreiber von hochriskanten KI-Systemen gelten, da diese Systeme im Falle von Fehlern oder Missbrauch erheblichen Schaden verursachen können.

Für diese Systeme müssen Betreiber, d.h. Arbeitgeber, die solche Systeme eigenverantwortlich nutzen, sicherstellen, dass:

• das System gemäß den Anweisungen des Anbieters verwendet wird,
• das System von ausreichend kompetenten und geschulten natürlichen Personen überwacht wird,
• die verwendeten Eingabedaten ausreichend relevant und repräsentativ in Bezug auf den beabsichtigten Zweck sind,
• das System kontinuierlich gemäß den Anweisungen überwacht wird,
• automatisch generierte Protokolle mindestens sechs Monate lang gespeichert werden,
• die von einem hochriskanten KI-System betroffenen Mitarbeiter und deren Vertreter im Voraus informiert werden.

Auch in diesem Zusammenhang müssen Arbeitgeber ihre Verpflichtungen in Bezug auf hochriskante KI-Systeme nicht nur erfüllen, wenn sie Systeme verwenden, deren primäres Geschäftsmodell eines der in Anhang III genannten Zwecke wie die Analyse und Filterung von Bewerbungen umfasst. Der Einsatz von Allzweck-KI-Systemen wie ChatGPT, Gemini oder Microsoft Copilot kann ebenfalls zur Klassifizierung als hochriskante KI führen, wenn sie entsprechend eingesetzt werden.

Zusammenfassung

Der AI Act macht Arbeitgeber verantwortlich für den Einsatz von KI-Systemen am Arbeitsplatz. Das Management und das HR-Personal müssen daher aktiv werden. Der erste Schritt besteht darin, Mitarbeiter, die am Betrieb und der Nutzung von KI-Systemen im Auftrag des Arbeitgebers beteiligt sind, über ein ausreichendes Maß an Expertise im Umgang mit den Systemen zu verfügen.

In Zukunft müssen KI-Systeme, die im Bewerbungsprozess oder in der Durchführung des Beschäftigungsverhältnisses eingesetzt werden, auch im Einklang mit den Verpflichtungen für hochriskante Systeme betrieben werden.