Transparenz, gute Daten und Dokumentation: Wie HR das EU AI-Gesetz navigieren kann
Mit der Einbeziehung von Arbeitsplatz-KI unter die verbotenen Anwendungen des EU-Gesetzes über künstliche Intelligenz (AI Act) sind die Personalabteilungen nun gefordert, ihre verschiedenen KI-Anwendungen zu überdenken, um den Compliance-Anforderungen gerecht zu werden.
KI, die im Beschäftigungs- und Arbeitsumfeld eingesetzt wird, gilt als „hochriskant“ und unterliegt somit rechtlichen Bestimmungen, wenn sie die Gesundheit und Sicherheit oder die Beschäftigung einer Person betreffen kann. Ihr Einsatz in emotionalen Erkennungssystemen am Arbeitsplatz ist verboten.
Nicht alle HR-zentrierten KI-Einsätze werden als hochriskant angesehen, wie Cian O’Brien, der stellvertretende Datenschutzkommissar der irischen Datenschutzkommission, feststellt. Um diese Unterscheidung zu treffen, sollten Unternehmen in Betracht ziehen, wie die Regulierungsbehörden KI bereits durch bestehende Vorschriften, insbesondere die EU-Datenschutz-Grundverordnung (DSGVO), angegangen sind.
Die Datenschutzbehörden nehmen die Verpflichtung zur Durchführung von Datenschutz-Folgenabschätzungen (DPIAs) im Kontext von KI-Systemen sehr ernst. Dies wurde während einer Podiumsdiskussion auf der IAPP AI Governance Global Europe 2025 in Dublin deutlich.
Seien Sie so transparent wie möglich
Die Offenheit darüber, warum Daten gesammelt werden und wofür sie verwendet werden, kann viele potenzielle Probleme frühzeitig klären. Die Transparenz hilft, das Argument für legitime Interessen selbst bei einer niedrigriskanten KI-Nutzung zu untermauern. Diese Klarheit unterstützt auch das Konzept des freiwillig erteilten Einvernehmens für die Datenerhebung, ein Grundpfeiler der DSGVO.
Es gibt Präzedenzfälle, die dies belegen, wie die Entscheidung des Nanterre-Gerichts in Frankreich, dass ein Unternehmen den Sozial- und Wirtschaftsausschuss nicht ordnungsgemäß konsultiert hatte, bevor KI-Tools in größerem Umfang eingeführt wurden. Der Oberste Gerichtshof ordnete daraufhin die Streichung des gesamten KI-Einsatzes an und forderte das Unternehmen auf, die Arbeitnehmervertretung einzubeziehen und zu informieren.
Denken Sie sorgfältig über Anonymisierung nach
Das Entfernen identifizierbarer Merkmale aus den Trainingsdaten eines KI-Modells wird als eine Möglichkeit angesehen, Datenschutz zu gewährleisten. Allerdings kann die Art und Weise, wie dies geschieht, Raum für Re-Identifizierung lassen, was die Verarbeitung anfällig für Überprüfungen macht.
Die Anonymisierung ermöglicht die dauerhafte Entfernung von Identifikatoren, doch Kamp warnt, dass KI die wahre Anonymisierung für HR-Abteilungen noch herausfordernder machen könnte. Unternehmen müssen sicherstellen, dass die Daten, die sie in der KI verwenden, vertraulich bleiben und skeptisch gegenüber den Behauptungen der Anbieter über nicht zurückverfolgbare Informationen sein.
„Eine gute Geschichte“
Nachdem entschieden wurde, ob ein bestimmter KI-Einsatz als hochriskant gilt und die Trainingsdaten ausreichend geschützt sind, müssen die HR-Abteilungen einen klaren Fall dafür darlegen, wie die Entscheidungen zur Nutzung einer Anwendung getroffen wurden. Die nachträgliche Erklärung eines Ansatzes ist gemäß der DSGVO nicht ausreichend, da zeitnahe Dokumente erforderlich sind, um die Begründung zu rechtfertigen.
Der AI Act verlangt zudem, dass hochriskante Systeme über eine Dokumentation verfügen, die beschreibt, wie sie funktionieren und welche Risiken sie darstellen können. O’Brien hebt hervor, dass DPIAs die besten Mittel sind, um einen Anwendungsfall zu unterstützen, da sie den Regulierungsbehörden helfen, alle Facetten des Entscheidungsprozesses zu verstehen.
Insgesamt zeigt sich, dass Transparenz, gute Daten und eine sorgfältige Dokumentation unerlässlich sind, um die Herausforderungen des EU AI-Gesetzes im HR-Bereich zu meistern.
