KI-Verordnung: Was Arbeitgeber wissen müssen

Künstliche Intelligenz (KI) wird in Unternehmen immer häufiger genutzt – ob im Kundenservice, in der Produktion oder im Personalwesen. Diese zunehmende Verbreitung bringt rechtliche Anforderungen mit sich, auf die Unternehmen sich einstellen müssen. Die europäische KI-Verordnung (KI-VO), die weltweit erste umfassende Regulierung von KI, wird ab 2026 in vollem Umfang anwendbar sein. Arbeitgeber sollten sich rechtzeitig auf die neuen Vorgaben vorbereiten, um Risiken zu vermeiden und Chancen zu nutzen. Dieser Beitrag erklärt, was auf Unternehmen im Personalwesen zukommt.

KI-VO und Personalwesen

Die KI-VO betrifft alle Unternehmen, die KI nutzen oder planen, dies zu tun. Besonders im Personalwesen spielt KI eine zunehmende Rolle, etwa bei der Bewerberauswahl oder der Analyse von Mitarbeiterleistungen. Hier müssen Arbeitgeber sicherstellen, dass KI nicht nur effizient, sondern auch gesetzeskonform eingesetzt wird – insbesondere im Hinblick auf das Allgemeine Gleichbehandlungsgesetz (AGG) und die Datenschutz-Grundverordnung (DSGVO).

Risikoklassen und verbotene Praktiken

Die KI-VO definiert vier Risikokategorien: verbotene KI, Hochrisiko-KI, begrenzt risikobehaftete KI und KI mit geringem Risiko. Die Hochrisiko-Kategorie umfasst insbesondere Anwendungen, die direkte Auswirkungen auf Menschen haben, wie etwa Systeme in der Personalgewinnung oder Mitarbeiterüberwachung. Diese Einstufung von HR-Systemen ist in Artikel 6 der KI-Verordnung hinterlegt. Hochrisiko-KI-Systeme unterliegen strengen Anforderungen hinsichtlich Transparenz, Sicherheit und menschlicher Überwachung, um sicherzustellen, dass die Grundrechte der betroffenen Personen geschützt werden.

Unabhängig von der Risikoklasse sind bestimmte Praktiken generell verboten. Dazu zählen:

  • Manipulative Systeme: KI-Systeme, die Techniken der unterschwelligen Beeinflussung einsetzen, um das Verhalten von Menschen zu verändern, sind verboten, wenn diese Beeinflussung darauf abzielt, den betroffenen Personen oder anderen erheblichen Schaden zuzufügen. Diese Systeme nutzen die Schwächen der menschlichen Entscheidungsfähigkeit aus, ohne dass die Betroffenen sich dessen bewusst sind.

  • Ausbeutung vulnerabler Gruppen: Systeme, die gezielt die Schutzbedürftigkeit bestimmter Gruppen aufgrund von Alter, Behinderung oder sozialer und wirtschaftlicher Situation ausnutzen, sind ebenfalls verboten. Diese Systeme nutzen die besondere Verletzlichkeit dieser Gruppen aus, um deren Verhalten zu beeinflussen, was oft zu einer Benachteiligung oder Schädigung führt.

  • Bewertung von Personen (Social Scoring): Verboten sind Systeme, die Menschen auf der Grundlage ihres sozialen Verhaltens, ihrer persönlichen Eigenschaften oder ihrer sozialen Interaktionen bewerten. Dieses sogenannte Social Scoring kann dazu führen, dass Menschen in unangemessener Weise benachteiligt werden, z. B. durch den Entzug von Leistungen oder Chancen, die ihnen eigentlich zustehen.

  • Emotionserkennung: Der Einsatz von KI zur Emotionserkennung ist in bestimmten Bereichen, wie am Arbeitsplatz oder in Bildungseinrichtungen, grundsätzlich untersagt. Ausnahmen bestehen nur, wenn die Nutzung zu medizinischen oder sicherheitsrelevanten Zwecken erforderlich ist. Diese Einschränkung soll sicherstellen, dass keine unzulässigen Eingriffe in die Privatsphäre der betroffenen Personen stattfinden.

Pflichten für Arbeitgeber

Arbeitgeber, die insbesondere hochriskante KI-Systeme einsetzen oder dies planen, müssen eine Reihe von Pflichten erfüllen, um sicherzustellen, dass die Vorgaben der KI-Verordnung eingehalten werden. Diese Pflichten betreffen insbesondere Transparenz, Risikobewertung und Dokumentation, um sowohl die Rechte der Arbeitnehmer zu schützen als auch die Compliance-Anforderungen zu erfüllen.

  • Risikobewertung und Dokumentation: Bevor ein KI-System im Unternehmen eingesetzt wird, muss eine umfassende Risikobewertung vorgenommen werden. Dabei geht es darum, die potenziellen Auswirkungen des Systems auf die Arbeitnehmer zu analysieren, insbesondere in Bezug auf Diskriminierung oder ungerechtfertigte Benachteiligung. Die Ergebnisse dieser Bewertung müssen dokumentiert und regelmäßig überprüft werden, um sicherzustellen, dass keine unvorhergesehenen Risiken auftreten. Die Risikobewertungen müssen kontinuierlich durchgeführt werden. Dauerhafte Überwachung und regelmäßige Audits sind besonders bei Hochrisiko-Systemen vorgeschrieben.

  • Technische und organisatorische Maßnahmen: Arbeitgeber sind verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit und den Schutz der Arbeitnehmerrechte zu gewährleisten. Dazu gehört beispielsweise die regelmäßige Überprüfung der KI-Systeme auf ihre Einhaltung der rechtlichen Anforderungen sowie die Sicherstellung, dass stets eine menschliche Kontrolle vorhanden ist, insbesondere bei Hochrisiko-KI-Systemen. Die KI-VO verlangt, dass Menschen stets in der Lage sein müssen, KI-basierte Entscheidungen zu überprüfen und, falls nötig, zu revidieren. Dies gilt besonders für automatisierte Entscheidungen, die wesentliche Auswirkungen auf Arbeitnehmer haben. Diese menschliche Kontrolle muss in den organisatorischen Prozessen klar festgelegt und regelmäßig überprüft werden.

  • Transparenz und Information: Eine der wichtigsten Pflichten für Arbeitgeber ist die Transparenz gegenüber den Arbeitnehmern. Mitarbeiter müssen darüber informiert werden, wenn ein KI-System zur Unterstützung der Entscheidungsfindung eingesetzt wird, besonders bei Entscheidungen, die wesentliche Auswirkungen auf das Arbeitsverhältnis haben, wie Einstellungen, Beförderungen oder Kündigungen. Die betroffenen Arbeitnehmer sollten außerdem verstehen können, auf welcher Grundlage die KI-Systeme Entscheidungen treffen, um nachvollziehen zu können, wie die Ergebnisse zustande kommen. Arbeitnehmer haben das Recht, automatisierte Entscheidungen anzufechten. Betroffene Mitarbeiter müssen mindestens eine menschliche Intervention anfordern können, wenn sie der Meinung sind, dass eine Entscheidung, die auf KI basiert, unzutreffend oder unfair ist.

Mitbestimmungsrechte des Betriebsrats

Der Betriebsrat hat ein Mitspracherecht, wenn KI-Systeme eingeführt werden, die die Arbeitsbedingungen oder die Überwachung der Arbeitnehmer betreffen. Das Betriebsverfassungsgesetz (BetrVG) sieht in solchen Fällen umfassende Mitbestimmungsrechte des Betriebsrats vor. Dies gilt insbesondere bei Systemen zur Leistungsüberwachung oder personalrelevanten Entscheidungen. Hier muss der Betriebsrat gemäß § 87 Abs. 1 Nr. 6 BetrVG mitbestimmen. Dies bedeutet, dass der Betriebsrat bei der Einführung solcher Systeme von Anfang an eingebunden werden sollte, um Konflikte zu vermeiden und eine transparente Nutzung sicherzustellen.

Arbeitgeber müssen den Betriebsrat frühzeitig in die Planung und Implementierung von KI-Systemen einbeziehen. Dies gilt insbesondere für Systeme, die dazu verwendet werden, Mitarbeiterleistungen zu überwachen oder Entscheidungen über Einstellungen und Beförderungen zu treffen.

Der Einsatz neuer Technologien lässt sich auch über Betriebsvereinbarungen regeln. Durch diese können individuelle Regelungen zum Einsatz von KI-Systemen getroffen werden, die den spezifischen Bedürfnissen und Strukturen des jeweiligen Unternehmens gerecht werden. Dadurch lässt sich eine rechtssichere und transparente Nutzung von KI-Technologien im Arbeitsumfeld erzielen.

Umsetzung der KI-VO

Arbeitgeber sollten eine umfassende Compliance-Strategie entwickeln, um den Einsatz von KI im Unternehmen rechtssicher zu gestalten. Ein erster Schritt zur Einhaltung der KI-VO ist die Überprüfung, ob und welche KI-Systeme künftig im Unternehmen eingesetzt werden sollen, und deren Klassifizierung nach den Risikokategorien der Verordnung. Bevor ein Hochrisiko-KI-System implementiert wird, sollten entsprechende Risikobewertungen durchgeführt und Dokumentationsprozesse etabliert werden. Unternehmen sollten zudem klare Zuständigkeiten festlegen, wer für die Einhaltung der KI-Vorgaben verantwortlich ist. Die Benennung eines KI-Beauftragten kann helfen, Verantwortlichkeiten zu klären.

Regelmäßige Audits und Schulungen sind zentrale Bestandteile der Strategie. Audits helfen dabei, die Konformität von KI-Systemen kontinuierlich zu überwachen, während Schulungen sicherstellen, dass alle relevanten Mitarbeiter (insbesondere Führungskräfte und HR-Mitarbeiter) über den richtigen Umgang mit KI-Systemen und die gesetzlichen Vorgaben informiert sind. Diese Schulungen sollten nicht nur technische Aspekte abdecken, sondern auch die ethischen Implikationen und potenziellen Risiken der KI-Nutzung im Personalwesen umfassen. Sensibilisierungsmaßnahmen, insbesondere für HR-Abteilungen und Führungskräfte, sind notwendig, um Diskriminierung und Datenschutzverletzungen vorzubeugen und sicherzustellen, dass die Mitarbeiter in der Lage sind, die KI-Systeme verantwortungsvoll zu nutzen.

Eine risikobasierte Dokumentation ist erforderlich, um sicherzustellen, dass die eingesetzten Systeme den rechtlichen Anforderungen entsprechen.

Sanktionen bei Verstößen

Verstöße gegen die KI-VO können empfindliche Strafen nach sich ziehen: Bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Unternehmen sollten daher alle Vorgaben einhalten und ihre Maßnahmen dokumentieren. Auch die Kooperationsbereitschaft des Unternehmens und die ergriffenen Maßnahmen zur Schadensbegrenzung werden bei der Bemessung der Strafen berücksichtigt. Unternehmen, die proaktiv Maßnahmen zur Einhaltung der KI-VO ergreifen, können so möglicherweise Sanktionen mindern.

Bei der Bemessung der Bußgelder wird insbesondere berücksichtigt, inwieweit der Verstoß vorsätzlich oder fahrlässig begangen wurde und welche Maßnahmen das Unternehmen zur Einhaltung der Vorgaben unternommen hat. Um hohe Bußgelder zu vermeiden, sollten Unternehmen daher sicherstellen, dass sie alle relevanten Compliance-Anforderungen der KI-VO erfüllen und entsprechende Dokumentationen vorhalten.

Fazit

Die KI-VO stellt Arbeitgeber vor neue Herausforderungen beim Einsatz von KI-basierten Systemen. Für Arbeitgeber ist es wichtig, sich frühzeitig mit den Anforderungen der Verordnung auseinanderzusetzen und entsprechende Maßnahmen zur Einhaltung der teils hohen Anforderungen zu ergreifen.

Mehr zum Thema KI und Arbeitsrecht:

Erkan Elden, Bachelor of Science, Fachanwalt für Steuerrecht, Fachanwalt für Familienrecht
elden@web-partner.de

Dr. Daniel Kögel,
Fachanwalt für Urheber- und Medienrecht
koegel@web-partner.de