Herzlich willkommen!

Im Workplace Blog schreiben wir über Themen aus der Workplace Law und HR Welt: Wir besprechen wichtige Gerichtsentscheidungen, nehmen uns Glaubenssätze vor, geben praktische Tipps und vieles mehr…

Unser Workplace Blog lebt von Ihren Kommentaren und Feedback. In diesem Sinne freuen wir uns auf den Austausch mit Ihnen!

Ihr PWWL-Redaktionsteam

Christine Wahlig (Rechtsanwältin – Redaktionelle Leitung Blog) & Alice Tanke (Marketing Managerin)

Spotlights

Die KI-Verordnung – kann ich als Arbeitgeber noch abwarten?

MW_PWWL_AltColor_73

Einleitung

Vielen mag das Begriffspaar „künstliche Intelligenz“ (KI) neu erscheinen, tatsächlich wurde der Begriff aber schon in den 50er Jahren des letzten Jahrhunderts geprägt. KI ist aber erst durch die Veröffentlichung von ChatGPT Ende 2022 ins Bewusstsein einer breiten Masse gekommen. Seither vergeht kein Tag mehr ohne Berichte über KI und was sich in der Arbeitswelt alles rasant durch KI verändern wird. Ob die Hoffnungen der einen und die Ängste der anderen, die mit der Verbreitung von KI einhergehen, tatsächlich Realität werden, bleibt abzuwarten. Nicht allzu gewagt ist die Prognose, dass KI unseren Alltag zunehmend durchdringen wird. Das macht auch vor der Arbeitswelt nicht halt.

Auch der Gesetzgeber hat reagiert. Die KI-Verordnung (VO 2024/1689) ist am 1. August 2024 in Kraft getreten. Vollständig Geltung wird sie aber erst am 2. August 2026 entfalten.

Bis dahin scheint noch viel Zeit zu sein. Aber kennen Sie als Arbeitgeber schon die Pflichten, die auf Sie zukommen, wenn Sie KI einsetzen? Auch wenn das Jahr 2026 noch weit weg zu sein scheint, ist es an der Zeit, sich damit bereits jetzt eingehend zu befassen.

Was ist eigentlich KI?

Für die Frage, welche Pflichten ein Arbeitgeber hat, der KI einsetzt, ist die Begriffsbestimmung von Künstlicher Intelligenz in der KI-VO relevant. Dort heißt es in Art. 3 Nr. 1 KI-VO:

„… ein maschinengestütztes System, das für einen in unterschiedlichem Grad autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite und implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.

Die Definition ist bewusst weit gehalten, um möglichst viele Anwendungsfälle von KI zu erfassen.

Damit stehen Arbeitgeber vor der schwierigen Situation beurteilen zu müssen, ob ein bestimmtes System KI im Sinne der Verordnung ist oder nicht. Das gilt sowohl bei der Neueinführung von KI als auch bei den Bestandssystemen.

Die Definition enthält mehrere unbestimmte Rechtsbegriffe:

  • „maschinengestützt“
  • „für explizite und implizite Ziele“
  • „Beeinflussung physischer und virtueller Umgebungen“
  • „anpassungsfähig“
  • „in unterschiedlichem Grade autonom“
  • „aus den erhaltenen Eingaben (…) ableitet“

Die Kommission hat den Auftrag „Leitlinien für die praktische Umsetzung dieser Verordnung“ zu erarbeiten (Art. 96 KI-VO). Die Leitlinien sollen sich u.a. auf die „Anwendung der Definition eines KI-Systems“ beziehen.

Leider enthält die KI-VO keine Frist, bis wann die Leitlinie erarbeitet sein muss. Bis dahin müssen die Rechtsanwender (Arbeitgeber) mit den Schwierigkeiten bei der Auslegung des KI Begriffs leben.

Daneben gibt es noch KI-Modelle, die den Kern eines KI-Systems bilden. Ein KI-Modell kann dabei in mehreren KI-Systemen zum Einsatz kommen (z.B. GPT in ChatGPT oder in Copilot).

Welche KI-Systeme und KI-Modelle unterscheidet die KI-VO?

Die KI-VO hat einen risikobasierten Ansatz. Das kennen wir bereits aus der DSGVO. In Abhängigkeit von der Klassifizierung eines KI-Systems ergeben sich dann die beim Betrieb einzuhaltenden Anforderungen.

Welche Risikoklassen finden sich in der KI-VO?

  • Verbotene Praktiken (Kapitel II – Art. 5 KI-VO)
  • Hochrisiko-KI-Systeme (Kapitel III – Art. 6 – 49 KI-VO)
  • KI-Systeme mit beschränktem Risiko (Kapitel IV – Art. 50 KI-VO)
  • KI-Modelle mit allgemeinem Verwendungszweck mit/ohne systemisches Risiko (Kapitel V – Art. 51 -55 KI-VO)

Außerhalb dieser Klassifizierung bewegen sich KI-Systeme mit geringem Risiko. Für diese ist in Art. 95 KI-VO nur eine freiwillige Anwendung der für die Hochrisiko-KI-Systeme geltenden Anforderungen vorgesehen.

Praxishinweis

Die Einordnung eines Systems kann schwierig sein. Umso wichtiger ist es für Arbeitgeber, sich bereits jetzt mit den Bestandssystemen zu befassen.

Verbotene Praktiken

Bereits ab dem 2. Februar 2025 ist der Einsatz verbotener Praktiken untersagt. Kapitel II der KI-VO, also die Regelung zu den verbotenen Praktiken, entfaltet damit vor allen anderen Regelungen zu KI-Systemen Geltung.

Art. 5 Abs. 1 KI-VO enthält einen Katalog der verbotenen Praktiken. Insbesondere die Praktiken in Buchstabe a und f können im Arbeitsleben eine Rolle spielen.

Hochrisiko-KI-Systeme

Für die Einstufung als Hochrisiko-KI-System findet sich im Anhang III eine beispielhafte Aufzählung von KI-Systemen. Die Kommission hat das Recht, diesen Anhang zu ändern. Damit soll sichergestellt sein, dass auch bei schnellen technologischen Entwicklungen die KI-VO weiterhin den gesamten Bereich der Anwendung von KI regelt.

Für Arbeitgeber maßgeblich sind die in Anhang III Nummer 4 unter der Überschrift „Beschäftigung, Personalmanagement und Zugang zur Selbständigkeit“ genannten Systeme:

  1. KI-Systeme, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu sichten oder zu filtern und Bewerber zu bewerten;
  2. KI-Systeme, die bestimmungsgemäß für Entscheidungen, die die Bedingungen von Arbeitsverhältnissen, Beförderungen und Kündigungen von Arbeitsvertragsverhältnissen beeinflussen, für die Zuweisung von Aufgaben aufgrund des individuellen Verhaltens oder persönlicher Merkmale oder Eigenschaften oder für die Beobachtung und Bewertung der Leistung und des Verhaltens von Personen in solchen Beschäftigungsverhältnissen verwendet werden sollen.

Welche Pflichten treffen Arbeitgeber?

Die Pflichten, die einen Arbeitgeber im Zusammenhang mit einem Hochrisiko-KI-System treffen, hängen davon ab, ob Arbeitgeber ein KI-System selbst entwickeln oder eine externe KI-Lösung nutzen. Die Definition der einzelnen Akteure finden sich in den Ziffern 3 bis 7 der KI-VO. Da Arbeitgeber in den meisten Fällen externe KI-Lösungen einsetzen werden, sind sie „Betreiber“ eines KI-Systems (vgl. Art. 3 Nr. 4 KI-VO).

Das Gute daran ist, dass Betreiber wesentlich weniger Pflichten treffen als Anbieter.

Aber was haben Arbeitgeber für Pflichten beim Betrieb eines Hochrisiko-KI-Systems?

Die Antwort liefert Art. 26 KI-VO.

Art. 26 Abs. 1 KI-VO

Arbeitgeber müssen geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass das KI-System entsprechend der dem System beigefügten Betriebsanleitungen und den Abs. 3 und 6 verwendet werden. Damit kommt den Vorgaben der Anbieter der KI-Systeme entscheidende Bedeutung zu.

Art. 26 Abs. 2 KI-VO

Hochrisiko-KI-Systeme dürfen nur unter der Aufsicht natürlicher Personen angewendet werden. Arbeitgeber müssen natürlichen Personen, die über die erforderliche Kompetenz, Ausbildung und Befugnis verfügen, diese Aufsicht übertragen und ihnen die erforderliche Unterstützung zukommen lassen. Das müssen nicht notwendigerweise eigene Beschäftigte, es können auch externe Dienstleister sein.

Diese Verpflichtung müssen die Anbieter bereits bei der Entwicklung von Hochrisiko-KI-Systemen berücksichtigen. Sie müssen so konzipiert und entwickelt sein, dass ihre Verwendung wirksam beaufsichtigt werden kann (Art. 14 Abs. 1 KI-VO).

Das Ziel der menschlichen Aufsicht besteht in der „Verhinderung oder Minimierung der Risiken für Gesundheit, Sicherheit oder Grundrechte, die entstehen können, wenn ein Hochrisiko-KI-System im Einklang mit seiner Zweckbestimmung oder im Rahmen einer vernünftigerweise vorhersehbaren Fehlanwendung verwendet wird“ (vgl. Art. 14 Abs. 2 KI-VO).

Art. 4 KI-VO verpflichtet auch Betreiber von KI-Systemen (unabhängig von ihrer Klassifizierung) Maßnahmen zu ergreifen, um sicherzustellen, dass die Beschäftigten, die mit dem Betrieb oder der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.

Art. 26 Abs. 4 KI-VO

Die Betreiber müssen weiter dafür sorgen, dass die Eingabedaten, die ihrer Kontrolle unterliegen, der Zweckbestimmung des Hochrisiko-KI-Systems entsprechen und hinreichend repräsentativ sind.

Art. 26 Abs. 5 KI-VO

Der Betrieb eines Hochrisiko-KI-Systems muss anhand der Betriebsanleitung überwacht werden. Bei Vorliegen bestimmter Voraussetzungen bestehen Informationspflichten gegenüber dem Anbieter und der Überwachungsbehörde. Ggf. muss der Betrieb ausgesetzt werden.

Art. 26 Abs. 6 KI-VO

Vom System automatisch erzeugte Protokolle sind für die Dauer von mindestens 6 Monaten zu speichern.

Art. 26 Abs. 7 KI-VO

Vor der Inbetriebnahme oder Verwendung eines Hochrisiko-KI-Systems müssen Arbeitgeber die Arbeitnehmervertreter (Betriebsräte) und die betroffenen Arbeitnehmer darüber informieren, dass sie der Verwendung eines Hochrisiko-KI-Systems unterliegen werden.

Art. 27 KI-VO

Bestimmte in Art. 27 KI-VO aufgeführte Betreiber haben vor Inbetriebnahme eines Hochrisiko-KI-Systems eine Grundrechte-Folgeabschätzung vorzunehmen.

Dabei handelt es sich um folgende Betreiber:

  • Einrichtungen des öffentlichen Rechts
  • Private Einrichtungen, die öffentliche Dienste erbringen
  • Betreiber von Hochrisiko-KI-Systemen gemäß Anhang III Nr. 5 Buchstabe b und c

Kann ein Betreiber zum Anbieter werden?

Ja!

Art. 25 Abs. 1 KI-VO regelt die Fälle, in denen ein Betreiber als Anbieter eines Hochrisiko-KI-Systems gilt und den Anbieterpflichten des Art. 16 KI-VO unterliegt.

Das soll dann der Fall sein, wenn

  1. der Betreiber ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Hochrisiko-KI-System mit seinem Namen oder seiner Handelsmarke versieht;
  2. der Betreiber eine wesentliche Veränderung an dem System vornimmt und das System weiterhin ein Hochrisiko-KI-System bleibt;
  3. der Betreiber ein KI-System so verändert, dass es durch die Veränderung zu einem Hochrisiko-KI-System wird.

Drohende Sanktionen

Wie wir es bereits aus der DSGVO kennen, sieht auch die KI-VO erhebliche Sanktionen für Verstöße gegen die Verordnung vor.

So kann zB die Nutzung verbotener Praktiken mit einer Geldbuße von bis zu 35.000.000 EUR oder von bis zu 7% des weltweiten Jahresumsatzes geahndet werden (Art. 99 Abs. 3 KI-VO). Aber auch bei einem Verstoß gegen die Pflichten eines Betreibers aus Art. 26 KI-VO drohen empfindliche Geldbußen: sie können bis zu 15.000.000 EUR oder 3% des weltweiten Jahresumsatzes reichen.

Fazit

Es ist noch ausreichend Zeit, sich auf die Geltung der KI-VO vorzubereiten. Diese Zeit sollten Arbeitgeber aber nutzen, um

  • zu prüfen, welche genutzten Systeme KI im Sinne der Verordnung sind,
  • Beschäftigte im Umgang mit der KI zu schulen,
  • Mitbestimmungsrechte des Betriebsrats zu berücksichtigen und
  • alle weiteren technischen und organisatorischen Maßnahmen rechtzeitig in die Wege zu leiten. 
Dr. Michael Witteler
Dr. Michael Witteler

Dr. Michael Witteler ist spezialisiert auf datenschutzrechtliche Angelegenheiten an der Schnittstelle von Arbeitsrecht und Datenschutz. Er ist Head der PWWL Practice Group Data & Privacy.

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments