electronic key system in futuristic style, electronic board combined with shape of a key

Das neue EU-Gesetz zur KI

Das neue EU-Gesetz zur Regulierung von Künstlicher Intelligenz in der EU wurde verabschiedet und wird nun sukzessive In Kraft treten. Es ist das weltweit erste Gesetz, dass die Anwendung von KI-Systemen regelt. Ziel der Verordnung ist es, klare Regeln für den Umgang mit KI-gesteuerten Systemen aufzustellen, um eine Nutzung sicherzustellen, die die Grundrechte der Bürgerinnen und Bürger in der EU respektiert. Gleichzeitig soll der Wettbewerb in der EU gefördert und die Position Europas im globalen KI-Wettbewerb gestärkt werden.

Aufgrund der umfassenden Regelungen der KI-Verordnung lohnt es sich für Arbeitgeber schon jetzt, sich mit dem Pflichtenkatalog vertraut zu machen.

Folgende Regularien sieht das KI-Gesetz vor:

  1. Anwendungsbereich

Die KI-Verordnung definiert ein KI-System als ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie arbeitet und das für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen.

Adressaten der KI-Verordnung sind zunächst Anbieter eines KI-Systems, also natürliche oder juristische Personen, die ein KI-System entwickeln oder entwickeln lassen, um es unter ihrem eigenen Namen beziehungsweise einem eigenen Markennamen in den Verkehr zu bringen oder in Betrieb zu nehmen. Aber auch Betreiber eines KI-Systems werden verpflichtet. Betreiber werden als natürliche oder juristische Personen definiert, die in eigener Verantwortung ein KI-System verwenden, es sei denn die Verwendung erfolgt allein zu persönlichen Tätigkeiten. Arbeitgeber werden in der Regel Betreiber im Sinne der Verordnung sein, soweit sie KI-Systeme im Personalbereich einsetzen. Etwas anderes kann jedoch gelten, wenn Arbeitgeber die Zweckbestimmung eines KI-System ändern oder wesentliche Änderungen an einem KI-System vornehmen. Dann könnten Sie auch als Anbieter im Sinne der Vorschrift gelten und den entsprechenden Regelungen für Anbieter unterliegen. Räumlich gilt das Gesetz für alle Unternehmen mit Sitz innerhalb der EU. Darüber hinaus gilt das Gesetz auch unabhängig vom Standort des Betreibers, wenn der Einsatz des KI-Systems für Nutzer in der EU erfolgt.

  1. Pflichtenkatalog

Die KI-Verordnung verfolgt einen risikobasierten Ansatz, der KI-Systeme in drei Risikokategorien einordnet. Das Pflichtenprogramm der KI-Verordnung für Anbieter und Betreiber ist abhängig von der Risikostufe des KI-Systems. Hierbei unterscheidet die Verordnung im Wesentlichen zwischen Systemen mit einem unannehmbaren Risiko, Systemen mit einem hohen Risiko und Systemen mit einem geringen oder minimalen Risiko.

a) KI-Systeme mit einem unannehmbaren Risiko:

Die Verordnung verbietet das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen, die als unvereinbar mit den Grundrechten der Europäischen Union angesehen werden. Das sind beispielsweise KI-Systeme, die auf Manipulation von Verhalten und auf die Ausnutzung von Schwächen abzielen. Auch KI-Systeme die Menschen anhand von persönlichen Merkmalen wie Rasse, Geschlecht, Religion oder politische Überzeugung bewerten, unterfallen diesem Verbot. Darüber hinaus könnten hierunter beispielsweise Systeme fallen, die Arbeitnehmer, etwa durch „Belohnungsprogramme“ zu einer erhöhten Arbeitsleistung anhalten sollen. Darüber hinaus könnte das Verbot in Fällen greifen, in denen Arbeitgeber KI-Systeme zur Bewertung von Arbeitnehmern einsetzen wollen, um beispielsweise zu entscheiden, den Arbeitnehmer freizustellen oder zu versetzen. Eine solche Praxis könnte gegen das Verbot des sogenannten „Social Scorings“ verstoßen. Auch KI-Systeme, die Emotionen einer natürlichen Person am Arbeitsplatz und in Bildungsrichtungen ableiten, gelten als unannehmbares Risiko und sind verboten.

Arbeitgeber werden künftig prüfen müssen, ob das von Ihnen verwendete KI-System ggf. gegen die oben beschriebene Verbotstatbestände verstößt. Dies insbesondere im Hinblick darauf, dass bei einem Verstoß empfindliche Bußgelder drohen können. Die KI-Verordnung sieht Geldbußen von bis zu 35 Mio. oder 7 % des gesamten weltweiten Jahresumsatzes eines Unternehmens im vorangegangenen Geschäftsjahr vor.

b) KI-Systeme mit einem hohen Risiko

An KI-Systeme mit einem hohen Risiko stellt die KI-Verordnung strenge Anforderungen und Pflichten für Anbieter, Betreiber, Händler und Einführer sowie andere Beteiligte entlang der KI-Wertschöpfungskette. Diese Systeme dürfe im arbeitsrechtlichen Kontext besonders relevant sein.

Unter die Kategorie der Hochrisikosysteme fallen KI-Systeme, die selbst Produkte oder Sicherheitskomponenten von Produkten sind, die unter die in Anhang II der KI-Verordnung aufgeführten Harmonisierungsrechtsvorschriften der EU fallen und als Produkte oder Sicherheitskomponenten eines Produkts im Hinblick auf das Inverkehrbringen oder Inbetriebnehmen nach den Harmonisierungsvorschriften des Anhangs der Verordnung einer Konformitätsprüfung im Hinblick auf Gesundheit und Sicherheit durch Dritte unterzogen werden müssen. Hierunter fallen beispielsweise Pkw, Flugzeuge, Aufzüge und auch Spielzeug. Darüber hinaus können hierunter auch generative KI-Modelle, wie virtuelle Assistenten und personalisierte Empfehlungen fallen. Des Weiteren werden in Anhang III der KI-Verordnung KI-Systeme normiert, die ebenfalls unter den Begriff der Hochrisikosysteme fallen. Dazu zählen Systeme, die der biometrischen Fernidentifizierung dienen, die für die biometrische Kategorisierung nach sensiblen oder geschützten Attributen oder Merkmalen auf der Grundlage der Rückschlüsse auf diese Attribute oder Merkmale verwendet werden sollen und Systeme, die für die Erkennung von Emotionen eingesetzt werden sollen. Darüber hinaus -und im arbeitsrechtlichen Kontext deutlich relevanter – umfasst der Anhang auch KI-Systeme, die zur Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere zur Schaltung gezielter Stellenanzeigen, zur Analyse und Filterung von Bewerbungen und zur Bewertung von Bewerbern; Systeme, die dazu bestimmt sind, Entscheidungen zu treffen, die sich auf die Bedingungen von Arbeitsverhältnissen, die Förderung oder Beendigung von Arbeitsverhältnissen auswirken, Aufgaben auf der Grundlage von individuellem Verhalten oder persönlichen Eigenschaften oder Merkmalen zuzuweisen oder die Leistung und das Verhalten von Personen in solchen Verhältnissen zu überwachen und zu bewerten.

Die Pflichten, die Unternehmen in Bezug auf Hochrisiko-Systeme treffen, bestimmt sich nach der Rolle, die das Unternehmen beim Einsatz von KI-Systemen mit hohem Risiko spielt.

Anbieter von Hochrisikosystemen müssen unter anderem

  • vor Einführung eines KI-Systems mit hohem Risiko eine detaillierte technische Dokumentation erstellen und auf dem neuesten Stand halten. Die Dokumentation sollte nachweisen, dass das KI-System die Anforderungen des Gesetzes erfüllt,
  • ein Risikomanagementsystem einrichten und unterhalten,
  • sicherstellen, dass die Möglichkeit besteht, dass das System während der Nutzung durch eine natürliche Person überwacht wird.

Betreiber von Hochrisikosystemen müssen

  • durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die KI-Systeme nach den beigefügten Gebrauchsanweisungen verwendet werden;
  • eine hierzu ausgebildete Person mit der menschlichen Aufsicht über das System betrauen und ihr die erforderliche Unterstützung zukommen lassen. Aufgrund des Wortlauts der Vorschrift muss es sich hierbei voraussichtlich nicht um einen Mitarbeiter handeln, die Aufgabe könnte grundsätzlich auch an einen externen Dritten übertragen werden;
  • die betroffenen Arbeitnehmer und ggf. Arbeitnehmervertreter (hierunter dürfte bspw. der Betriebsrat fallen) vor Inbetriebnahme beziehungsweise Verwendung eines KI-Systems mit einem hohen Risiko am Arbeitsplatz davon unterrichten, dass ein KI-System verwendet wird.
  • betroffene Arbeitnehmer darüber informieren, dass sie einem Hochrisiko-KI-System unterliegen, welches Entscheidungen in Bezug auf ihre Person trifft bzw. bei solchen Entscheidungen Unterstützung leistet.

Darüber hinaus haben betroffene Personen einen Auskunftsanspruch über die Rolle des Systems im Entscheidungsverfahren und die wesentlichen Entscheidungselemente. Voraussetzung für diesen Auskunftsanspruch ist, dass der Arbeitgeber als Betreiber die Entscheidung auf Grundlage der Daten aus einem Hochrisiko-KI-System getroffen hat; diese Entscheidung rechtliche Wirkung entfaltet oder den Betroffenen in ähnlicher Weise erheblich beeinträchtigt und der Betroffene erklärt hat, dass die Entscheidung seiner Meinung nach nachteilige Auswirkungen auf seine Gesundheit, Sicherheit oder Grundrechte hat. Verstöße gegen Betreiberpflichten können eine Geldstrafe von bis zu 15 Millionen Euro oder 3 % des weltweiten Umsatzes nach sich ziehen.

c) KI-Systeme mit einem geringem oder minimalem Risiko

Hierunter fallen KI-Systeme wie beispielsweise Chatbots. KI-Systeme mit einem geringen Risiko unterliegen weniger strengen Anforderungen. Allerdings müssen auch diese so konzipiert sein, dass die Interaktion mit ihnen für die Nutzer offensichtlich ist.

Die Verordnung trat am 01.08.2024, zwanzig Tage nach ihrer Veröffentlichung am 12.07.2024 im Amtsblatt der Europäischen Union, in Kraft und ist 24 Monate nach ihrem Inkrafttreten, bis auf wenige Ausnahmen, uneingeschränkt anwendbar. Das Verbot von KI-Systemen, die unannehmbare Risiken darstellen, wird bereits sechs Monate nach dem In Kraft treten der Verordnung gelten, Verhaltenskodizes neun Monate nach dem In Kraft treten, Regeln für künstliche Intelligenz mit allgemeinen Verwendungszweig zwölf Monate und Verpflichtungen für Hochrisikosysteme 36 Monate nach dem Inkrafttreten

Haben Sie weitere Fragen zu diesen oder anderen Themen? Unsere Experten unterstützen Sie gerne mit individuell auf Ihre Bedürfnisse zugeschnittenen Lösungen.