KI-Compliance: HR und Künstliche Intelligenz

Die KI-Verordnung tritt in Kraft und bringt unmittelbare Pflichten für Anwender von KI-Anwendungen mit sich. Besonders betroffen ist die Personalverwaltung, ein typisches Einsatzgebiet von KI. Hier sind die Anforderungen der KI-Verordnung besonders streng, da viele HR-Anwendungen als sogenannte "Hochrisiko-KI" eingestuft werden.

Für Unternehmen, die bereits KI in der Personalverwaltung nutzen oder dies planen, ist es entscheidend, sich frühzeitig mit den neuen Compliance-Anforderungen auseinanderzusetzen.

Obwohl es Übergangsfristen gibt, bis die bußgeldbewährten Anforderungen der KI-Verordnung verpflichtend werden, drohen erhebliche Strafen, sobald die Pflichten "scharfgestellt" sind. Nach Art. 99 Abs. 3 bis 5 KI-VO können Bußgelder von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes verhängt werden, insbesondere bei Einsatz verbotener Praktiken der KI.

KI-Compliance ist insofern schon wegen des hohen Bußgeldrisikos eine besonders wichtige Compliance-Pflicht, die frühzeitig und nachhaltig adressiert werden sollte, um einerseits ethischen und rechtlichen Standards gerecht zu werden und andererseits auch Haftungsrisiken perspektivisch zu reduzieren.

Im Vordergrund der Diskussion stehen allerdings vielfach nur die Pflichten von Anbietern von Hochrisiko-KI. Aus dem Blick gerät all zu schnell, dass auch Anwender (!), das heißt Betreiber, von Hochrisiko-KI umfangreiche Pflichten haben.

Mit dem Kauf der besten KI ist es also nicht getan. Die KI-Verordnung nimmt auch die Nutzer in die Pflicht, um einen menschenzentrierten und ethischen Umgang mit KI sicherzustellen.

Anwender von Hochrisiko-KI, zu denen häufig KI im HR-Bereich zählt, müssen unter anderem:

• geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass diese Systeme gemäß den beigefügten Betriebsanleitungen verwendet werden,

• natürliche Personen einsetzen, die über die erforderliche Kompetenz, Ausbildung und Befugnis verfügen, die menschliche Aufsicht über die KI auszuüben,

• soweit Hoheit über Eingabedaten besteht, sicherstellen, dass diese zweckgemäß und ausreichend repräsentativ sind.

Schauen wir uns die Details an:

Was ist KI (laut der Verordnung)?

Der KI-Begriff ist in der KI-Verordnung sehr weit gefasst. Nach § 3 Abs. 1 KI-Verordnung ist ein KI-System:

Nach dem Erwägungsgrund 12 der KI-Verordnung dient die Definition allein zur Abgrenzung im Hinblick auf die einfacheren herkömmlichen Softwaresysteme und Programmierungsansätze. Keine KI stellen damit Systeme dar, die auf ausschließlich von natürlichen Personen definierten Regeln für das automatische Ausführen von Operationen beruhen. Beispielhaft zu nennen sind hier einfache Entscheidungsbäume, wie sie als Expertensysteme verwendet werden (”Wenn” > “Dann”). Im Gegensatz hierzu ist alles KI, was die Fähigkeit zur “Ableitung” hat.

Wann ist KI im HR-Bereich “Hochrisiko-KI”?

Einige Anwendungen werden ganz verboten, weil sie ein unannehmbares Risiko darstellen. Im Übrigen hängen die einschlägigen Compliance-Pflichten nach der KI-Verordnung vom Risiko ab, das vom genutzten KI-System ausgeht.

Es gilt ein sog. “risikobasierter Ansatz”.

Mit dem Risiko für die Güter von Betroffenen, aber auch mit dem Risiko für die staatliche Ordnung (Rechtsstaat und Demokratie) steigen die Anforderungen an das KI-System.

Die Risikostufe entscheidet also über den Pflichtenkatalog des Anwenders.

Ist das System “gefährlich”, darf es nur in den Verkehr gebracht und betreiben werden, wenn dieses Risiko auch “gemanagt” wird. Hierfür sieht die KI-Verordnung drei Risikostufen vor, an deren unterem Ende keine Regulierung eingreift und am oberen Ende - bei der Hochrisiko-KI - der Schwerpunkt der Regulierung liegt.

Für den Bereich HR (Beschäftigung, Personalmanagement) beurteilt die KI-Verordnung folgende KI-Systeme als “hoch riskant”:

• KI-Systeme, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu sichten oder zu filtern und Bewerber zu bewerten;

• KI-Systeme, die bestimmungsgemäß für Entscheidungen, die die Bedingungen von Arbeitsverhältnissen, Beförderungen und Kündigungen von Arbeitsvertragsverhältnissen beeinflussen, für die Zuweisung von Aufgaben aufgrund des individuellen Verhaltens oder persönlicher Merkmale oder Eigenschaften oder für die Beobachtung und Bewertung der Leistung und des Verhaltens von Personen in solchen Beschäftigungsverhältnissen verwendet werden soll.

Welche Pflichten haben Betreiber solcher Hochrisiko-KI?

Für die Unternehmen als Betreiber solcher Hochrisiko-KI listet Art. 26 KI-VO zahlreiche Pflichten auf, unter anderem:

• das Ergreifen geeigneter technischer und organisatorischer Maßnahmen, um sicherzustellen, dass diese Systeme gemäß den beigefügten Betriebsanleitungen verwendet werden,

• den Einsatz natürlicher Personen, die über die erforderliche Kompetenz, Ausbildung und Befugnis verfügen, die menschliche Aufsicht auszuüben, und

• soweit Hoheit über Eingabedaten besteht, müssen diese zweckgemäß und ausreichend repräsentativ sein etc.

Allein diese Auswahl der wichtigsten Pflichten für Betreiber zeigt, dass mit dem Kauf eines KI-Systems für die Personalverwaltung eine Anpassung des Compliance-Systems des Unternehmens geprüft und ggf. durchgeführt werden sollte.

Zentral für die Erfüllung der Compliance-Pflichten ist der Aufbau von “KI-Kompetenz” in der Organisation

Die hier exemplarische aufgeführten (wichtigsten) Betreiber-Pflichten haben eins gemeinsam: Alle Pflichten setzen voraus, dass diejenigen, die das System anwenden, idealerweise schon vor der Beschaffung eines KI-Systems partizipativ eingebunden und im Hinblick auf die Anwendung von KI geschult sind.

Man spricht hier von sog. “AI-Literacy”, das heißt “KI-Kompetenz”:

Dass KI-Kompentenz in der Organisation das Kernelement der KI-Compliance ist, ergibt sich auch aus der KI-Verordnung selbst, dort heißt es in Artikel 4 KI-VO:

Mesoebene: Organisatorische Voraussetzungen für den Aufbau von KI-Kompetenz im Unternehmen

Für den nachhaltigen und effektiven Aufbau von KI-Kompetenz in Organisationen, Unternehmen, Behörden oder auch Gemeinden werden vier Schlüsselbereiche als maßgeblich betrachtet:

• die Unternehmenskultur, die innovationsoffen, menschenzentriert, datenschutzbewusst und partizipativ sein sollte;

• die adäquate Ressourcenplanung im Hinblick auf Weiterbildungsbudgets für Mitarbeiter und den Einsatz qualifizierter Experten,

• die Phase vor der Beschaffung und Einführung von KI, in der der Kenntnisstand von relevanten Mitarbeitern ermittelt, Fehlannahmen und Ängste im Hinblick auf den Einsatz von KI adressiert werden und die allgemeine Akzeptanz für den Einsatz erhöht wird und

• die konkrete Planung und Durchführung verhaltenspsychologisch fundierter Trainings unter Einsatz von Storytellings und Gamification.

Unseren Experten Rechtsanwalt Dr. Tony Rostalski sehen und treffen sie übrigens auch in der On compliance Fachkundeschulung für Meldestellenbeauftragte nach § 15 Abs. 2 S. 1 HinSchG.

Der Online-Kurs mit Zertifikat bietet Ihnen eine detaillierte Einführung und praktische Anleitung, um als Meldestellenbeauftragte/r mit Fachkunde im Sinne des § 15 Abs. 2 S. 1 HinSchG tätig werden zu können. Neben dem Vertraulichkeitsgebot und seinen Ausnahmen lernen Sie im Kurs u.a.

• wie eine Meldestelle wirksam nach HinSchG eingerichtet wird,

• welche datenschutzrechtlichen Anforderungen beim Betrieb der Meldestelle zu beachten sind,

• wie Meldungen Schritt für Schritt rechtssicher bearbeitet werden und

• wie eine Interne Untersuchung rechtskonform geplant und durchgeführt wird.

Jetzt gleich unverbindlich für den ONC-Campus einschreiben und das erste Modul der Fachkundeschulung kostenfrei durcharbeiten.