Herzlich willkommen!
Im Workplace Blog schreiben wir über Themen aus der Workplace Law und HR Welt: Wir besprechen wichtige Gerichtsentscheidungen, nehmen uns Glaubenssätze vor, geben praktische Tipps und vieles mehr…
Unser Workplace Blog lebt von Ihren Kommentaren und Feedback. In diesem Sinne freuen wir uns auf den Austausch mit Ihnen!
Ihr PWWL-Redaktionsteam
Vielen mag das Begriffspaar „künstliche Intelligenz“ (KI) neu erscheinen, tatsächlich wurde der Begriff aber schon in den 50er Jahren des letzten Jahrhunderts geprägt. KI ist aber erst durch die Veröffentlichung von ChatGPT Ende 2022 ins Bewusstsein einer breiten Masse gekommen. Seither vergeht kein Tag mehr ohne Berichte über KI und was sich in der Arbeitswelt alles rasant durch KI verändern wird. Ob die Hoffnungen der einen und die Ängste der anderen, die mit der Verbreitung von KI einhergehen, tatsächlich Realität werden, bleibt abzuwarten. Nicht allzu gewagt ist die Prognose, dass KI unseren Alltag zunehmend durchdringen wird. Das macht auch vor der Arbeitswelt nicht halt.
Auch der Gesetzgeber hat reagiert. Die KI-Verordnung (VO 2024/1689) ist am 1. August 2024 in Kraft getreten. Vollständig Geltung wird sie aber erst am 2. August 2026 entfalten.
Bis dahin scheint noch viel Zeit zu sein. Aber kennen Sie als Arbeitgeber schon die Pflichten, die auf Sie zukommen, wenn Sie KI einsetzen? Auch wenn das Jahr 2026 noch weit weg zu sein scheint, ist es an der Zeit, sich damit bereits jetzt eingehend zu befassen.
Für die Frage, welche Pflichten ein Arbeitgeber hat, der KI einsetzt, ist die Begriffsbestimmung von Künstlicher Intelligenz in der KI-VO relevant. Dort heißt es in Art. 3 Nr. 1 KI-VO:
„… ein maschinengestütztes System, das für einen in unterschiedlichem Grad autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite und implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.
Die Definition ist bewusst weit gehalten, um möglichst viele Anwendungsfälle von KI zu erfassen.
Damit stehen Arbeitgeber vor der schwierigen Situation beurteilen zu müssen, ob ein bestimmtes System KI im Sinne der Verordnung ist oder nicht. Das gilt sowohl bei der Neueinführung von KI als auch bei den Bestandssystemen.
Die Definition enthält mehrere unbestimmte Rechtsbegriffe:
Die Kommission hat den Auftrag „Leitlinien für die praktische Umsetzung dieser Verordnung“ zu erarbeiten (Art. 96 KI-VO). Die Leitlinien sollen sich u.a. auf die „Anwendung der Definition eines KI-Systems“ beziehen.
Leider enthält die KI-VO keine Frist, bis wann die Leitlinie erarbeitet sein muss. Bis dahin müssen die Rechtsanwender (Arbeitgeber) mit den Schwierigkeiten bei der Auslegung des KI Begriffs leben.
Daneben gibt es noch KI-Modelle, die den Kern eines KI-Systems bilden. Ein KI-Modell kann dabei in mehreren KI-Systemen zum Einsatz kommen (z.B. GPT in ChatGPT oder in Copilot).
Die KI-VO hat einen risikobasierten Ansatz. Das kennen wir bereits aus der DSGVO. In Abhängigkeit von der Klassifizierung eines KI-Systems ergeben sich dann die beim Betrieb einzuhaltenden Anforderungen.
Außerhalb dieser Klassifizierung bewegen sich KI-Systeme mit geringem Risiko. Für diese ist in Art. 95 KI-VO nur eine freiwillige Anwendung der für die Hochrisiko-KI-Systeme geltenden Anforderungen vorgesehen.
Die Einordnung eines Systems kann schwierig sein. Umso wichtiger ist es für Arbeitgeber, sich bereits jetzt mit den Bestandssystemen zu befassen.
Bereits ab dem 2. Februar 2025 ist der Einsatz verbotener Praktiken untersagt. Kapitel II der KI-VO, also die Regelung zu den verbotenen Praktiken, entfaltet damit vor allen anderen Regelungen zu KI-Systemen Geltung.
Art. 5 Abs. 1 KI-VO enthält einen Katalog der verbotenen Praktiken. Insbesondere die Praktiken in Buchstabe a und f können im Arbeitsleben eine Rolle spielen.
Für die Einstufung als Hochrisiko-KI-System findet sich im Anhang III eine beispielhafte Aufzählung von KI-Systemen. Die Kommission hat das Recht, diesen Anhang zu ändern. Damit soll sichergestellt sein, dass auch bei schnellen technologischen Entwicklungen die KI-VO weiterhin den gesamten Bereich der Anwendung von KI regelt.
Für Arbeitgeber maßgeblich sind die in Anhang III Nummer 4 unter der Überschrift „Beschäftigung, Personalmanagement und Zugang zur Selbständigkeit“ genannten Systeme:
Die Pflichten, die einen Arbeitgeber im Zusammenhang mit einem Hochrisiko-KI-System treffen, hängen davon ab, ob Arbeitgeber ein KI-System selbst entwickeln oder eine externe KI-Lösung nutzen. Die Definition der einzelnen Akteure finden sich in den Ziffern 3 bis 7 der KI-VO. Da Arbeitgeber in den meisten Fällen externe KI-Lösungen einsetzen werden, sind sie „Betreiber“ eines KI-Systems (vgl. Art. 3 Nr. 4 KI-VO).
Das Gute daran ist, dass Betreiber wesentlich weniger Pflichten treffen als Anbieter.
Die Antwort liefert Art. 26 KI-VO.
Arbeitgeber müssen geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass das KI-System entsprechend der dem System beigefügten Betriebsanleitungen und den Abs. 3 und 6 verwendet werden. Damit kommt den Vorgaben der Anbieter der KI-Systeme entscheidende Bedeutung zu.
Hochrisiko-KI-Systeme dürfen nur unter der Aufsicht natürlicher Personen angewendet werden. Arbeitgeber müssen natürlichen Personen, die über die erforderliche Kompetenz, Ausbildung und Befugnis verfügen, diese Aufsicht übertragen und ihnen die erforderliche Unterstützung zukommen lassen. Das müssen nicht notwendigerweise eigene Beschäftigte, es können auch externe Dienstleister sein.
Diese Verpflichtung müssen die Anbieter bereits bei der Entwicklung von Hochrisiko-KI-Systemen berücksichtigen. Sie müssen so konzipiert und entwickelt sein, dass ihre Verwendung wirksam beaufsichtigt werden kann (Art. 14 Abs. 1 KI-VO).
Das Ziel der menschlichen Aufsicht besteht in der „Verhinderung oder Minimierung der Risiken für Gesundheit, Sicherheit oder Grundrechte, die entstehen können, wenn ein Hochrisiko-KI-System im Einklang mit seiner Zweckbestimmung oder im Rahmen einer vernünftigerweise vorhersehbaren Fehlanwendung verwendet wird“ (vgl. Art. 14 Abs. 2 KI-VO).
Art. 4 KI-VO verpflichtet auch Betreiber von KI-Systemen (unabhängig von ihrer Klassifizierung) Maßnahmen zu ergreifen, um sicherzustellen, dass die Beschäftigten, die mit dem Betrieb oder der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.
Die Betreiber müssen weiter dafür sorgen, dass die Eingabedaten, die ihrer Kontrolle unterliegen, der Zweckbestimmung des Hochrisiko-KI-Systems entsprechen und hinreichend repräsentativ sind.
Der Betrieb eines Hochrisiko-KI-Systems muss anhand der Betriebsanleitung überwacht werden. Bei Vorliegen bestimmter Voraussetzungen bestehen Informationspflichten gegenüber dem Anbieter und der Überwachungsbehörde. Ggf. muss der Betrieb ausgesetzt werden.
Vom System automatisch erzeugte Protokolle sind für die Dauer von mindestens 6 Monaten zu speichern.
Vor der Inbetriebnahme oder Verwendung eines Hochrisiko-KI-Systems müssen Arbeitgeber die Arbeitnehmervertreter (Betriebsräte) und die betroffenen Arbeitnehmer darüber informieren, dass sie der Verwendung eines Hochrisiko-KI-Systems unterliegen werden.
Bestimmte in Art. 27 KI-VO aufgeführte Betreiber haben vor Inbetriebnahme eines Hochrisiko-KI-Systems eine Grundrechte-Folgeabschätzung vorzunehmen.
Dabei handelt es sich um folgende Betreiber:
Ja!
Art. 25 Abs. 1 KI-VO regelt die Fälle, in denen ein Betreiber als Anbieter eines Hochrisiko-KI-Systems gilt und den Anbieterpflichten des Art. 16 KI-VO unterliegt.
Das soll dann der Fall sein, wenn
Wie wir es bereits aus der DSGVO kennen, sieht auch die KI-VO erhebliche Sanktionen für Verstöße gegen die Verordnung vor.
So kann zB die Nutzung verbotener Praktiken mit einer Geldbuße von bis zu 35.000.000 EUR oder von bis zu 7% des weltweiten Jahresumsatzes geahndet werden (Art. 99 Abs. 3 KI-VO). Aber auch bei einem Verstoß gegen die Pflichten eines Betreibers aus Art. 26 KI-VO drohen empfindliche Geldbußen: sie können bis zu 15.000.000 EUR oder 3% des weltweiten Jahresumsatzes reichen.
Es ist noch ausreichend Zeit, sich auf die Geltung der KI-VO vorzubereiten. Diese Zeit sollten Arbeitgeber aber nutzen, um
