Im Blickpunkt: EU-Kommission legt ersten Entwurf zur Verordnung für künstliche Intelligenz vor

Artikel als PDF (Download)

Künstliche Intelligenz (KI) gewinnt immer mehr an Bedeutung für die deutsche Wirtschaft. Sie wird vermehrt von Unternehmen eingesetzt, um Prozesse zu vereinfachen und zu beschleunigen. Insbesondere ihr Einsatz im HR-Bereich, etwa im Rahmen von Bewerbungsprozessen, hat deutlich zugenommen. Während die Technik stetig voranschritt, stolperte das Recht bislang jedoch noch hinterher. Dies scheint sich langsam zu ändern. So hat sich die EU des Themas „Künstliche Intelligenz“ angenommen, insbesondere auch der Schaffung eines geeigneten Rechtsrahmens. Ende April 2021 legte die EU-Kommission einen „Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union“ (im Folgenden KI-Verordnung) vor – und damit den nach eigener Aussage „weltweit ersten Rechtsrahmen für KI“. Was aber soll damit genau geregelt werden? Welche Auswirkungen für den HR-Bereich können mit der KI-Verordnung einhergehen? Die Verordnung – sollte sie in der jetzigen Fassung verabschiedet werden – wird erhebliche Auswirkungen auf Unternehmen haben, die KI in der Personalarbeit einsetzen möchten. Der nachfolgende Beitrag zeigt, worauf sich Unternehmen einstellen müssen.

KI-Verordnung und Einsatz von KI im Personalwesen

KI soll das HR-Management einfacher, schneller und objektiver machen. Auch im HR-Management werden zunehmend lernende Algorithmen und ähnliche KI-Anwendungen eingesetzt. Somit können immer mehr HR-Prozesse automatisiert werden, beispielsweise die Bearbeitung von Mitarbeiteranfragen, die Suche nach geeigneten Kandidaten oder die Koordinierung von Trainingsinhalten. Darüber hinaus lassen sich Wahrscheinlichkeitsvorhersagen generieren, die bei HR-Entscheidungen hilfreich sein können. In Zukunft soll KI Unternehmen in die Lage versetzen, Vorhersagen darüber zu treffen, was passieren wird. Allerdings haben einige Fälle in der jüngsten Vergangenheit gezeigt, dass die eingesetzte KI durchaus auch Gefahren birgt. So können Algorithmen „voreingenommen“ und diskriminierend sein. Aufgrund einer fehlerhaften Datenbasis oder falscher Programmierung können Algorithmen zu einer mittelbaren Benachteiligung von Bewerbern führen, zum Beispiel wegen ihres Geschlechts. Bekannt wurde insbesondere der Fall eines Onlineversandhändlers: Das von ihm genutzte Bewerbungstool filterte eher Bewerberinnen heraus, da der eingesetzte Algorithmus geschlussfolgert hatte, dass sich vor allem Männer für das Unternehmen begeistern und daher die geeigneteren Bewerber seien.
Die KI-Verordnung will nun einen Ausgleich zwischen Nutzen und Risiken von KI-Technologien schaffen. Ausweislich der Begründung zum Vorschlag enthält die KI-Verordnung einen Regulierungsansatz für KI, „der die Verhältnismäßigkeit wahrt und auf die Mindestanforderungen beschränkt ist, die zur Bewältigung der in Verbindung mit KI auftretenden Risiken und Problemen notwendig ist, ohne die technologische Entwicklung übermäßig einzuschränken oder zu behindern oder anderweitig die Kosten für das Inverkehrbringen von KI-Lösungen unverhältnismäßig in die Höhe zu treiben“. Der Vorschlag enthält dementsprechend harmonisierte Vorschriften für die Entwicklung, das Inverkehrbringen und die Verwendung von KI-Systemen in der Union. Hauptziel ist, durch deren Festlegung für ein reibungsloses Funktionieren des Binnenmarkts zu sorgen. Der Vorschlag folgt einem risikobasierten Ansatz, nach dem KI-Systeme nach ihrem potentiellen Risiko in Kategorien eingruppiert werden: unannehmbares Risiko, hohes Risiko und geringes oder minimales Risiko. Verstöße gegen die Verordnung sollen – je nach Schwere – mit Bußgeldern bis zu 30 Millionen Euro oder 6% des gesamten weltweiten Vorjahresumsatzes geahndet werden.

KI-Verordnung enthält weite KI-Definition

Der KI-Verordnung liegt ein weites Verständnis von KI zugrunde. KI-Systeme werden legal definiert als „eine Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren.“ Zu den in Anhang I aufgeführten Techniken und Konzepten zählen das maschinelle Lernen, Logik- und wissensgestützte Konzepte sowie statistische Ansätze und bayesianische Schätz-, Such- und Optimierungsmethoden. Kritiker erkennen hier mehrere auslegungs- und konkretisierungsbedürftige Merkmale. Gewissermaßen könne man jegliche aufwendigere Software hierunter fassen, so dass mit der Definition eine gewisse Konturlosigkeit einhergehe.
Vor dem Hintergrund der weiten KI-Definition in der Verordnung, die alle Arten algorithmischer Entscheidungs- und Empfehlungssysteme erfasst, dürfte eine große Anzahl von bereits heute verwendeten HR-Systemen unter den Anwendungsbereich der Verordnung fallen. Es dürfte kaum noch ein Unternehmen geben, das nicht zumindest „einfache“ algorithmische Entscheidungssysteme im HR-Bereich einsetzt, wie etwa die die Optimierung von Stellenanzeigen oder die Analyse von Lebensläufen. Daher sind Anbieter und Nutzer gut beraten – sozusagen eine Lehre aus der DSGVO-Reform –, frühzeitig einen Compliancecheck bezüglich der eingesetzten HR-Systeme und deren Konformität mit der KI-Verordnung durchzuführen.

Persönlicher Anwendungsbereich der KI Verordnung

Die KI-Verordnung nimmt alle Teilnehmer entlang der KI-Wertschöpfungskette in die Pflicht, wobei für Anbieter (zum Beispiel Entwickler eines Auswertungsprogramms für Lebensläufe) und Nutzer (zum Beispiel eine Versicherung, die die ses Programm anschafft) die meisten Pflichten gelten. Zu beachten ist, dass die Verordnung nicht für eine rein private, nichtgewerbliche Verwendung gilt.

HR-KI-Systeme als hochriskante KI-Systeme

Nach der Verordnung werden KI-Systeme, die in den Bereichen Beschäftigung, Personalmanagement und Zugang zur Selbständigkeit eingesetzt werden, als hochriskant eingestuft, da diese Systeme die künftigen Karriereaussichten und die Lebensgrundlagen dieser Personen spürbar beeinflussen können.

Bevor solche KI-Systeme, die mit hohem Risiko behaftet sind, in der EU in Verkehr gebracht oder anderweitig in Betrieb genommen werden dürfen, müssen sie einer Konformitätsprüfung unterzogen werden. Für Hochrisiko-KI sind während des gesamten Lebenszyklus des KI-Systems Risikomanagementsysteme einzurichten, anzuwenden, zu dokumentieren und aufrechtzuerhalten. Die Anbieter müssen insofern strenge Vorgaben erfüllen, bevor sie KI-Systeme mit hohem Risiko auf den Markt bringen dürfen: Sind angemessene Risikobewertungs- und Risikominderungssysteme vorhanden? Wurde die KI-Software mit qualitativ hochwertigen Datensätzen gespeist, um diskriminierende Ergebnisse zu vermeiden? Gibt es eine ausführliche Dokumentation zum KI-System und seinem Zweck für die Behörde sowie Informationen für die Nutzer? Werden die Vorgänge des Systems aufgezeichnet, um ungewöhnliche Ergebnisse rückverfolgen zu können? Gibt es eine menschliche Aufsicht, die das System überwacht und notfalls ausschalten kann? Ist das System robust, genau und vor Cyberrisiken geschützt?

Aber auch die Nutzer treffen Pflichten. Sie müssen insbesondere bei Verwendung von HR-KI-Systemen die Bedienungshinweise des Anbieters befolgen. Zudem ist sicherzustellen, dass die benutzten Daten für den Verwendungszweck relevant sind, soweit die Nutzer die Kontrolle über Eingabewerte haben. Auch sind die Informationen aus den Bedienungshinweisen zur Durchführung von Datenschutzfolgeabschätzungen gemäß Art. 35 DSGVO zu verwenden. Auf betroffene Unternehmen dürfte somit ein überaus umfassender und komplexer Umsetzungsaufwand zukommen.

Fazit

Die EU-Kommission hat mit dem Verordnungsvorschlag einen fundamentalen Grundstein für die Regulierung von KI in der EU gelegt. Er hat das Potential, die Entwicklung, das Inverkehrbringen und die Verwendung von einem großen Teil der KI-Systeme in der Union einer umfassenden und komplexen Regulierung zu unterwerfen. Bis zum Erreichen eines endgültigen Rechtsrahmens steht der EU noch eine Mammutaufgabe bevor: Der Verordnungsentwurf muss im Gesetzgebungsverfahren nun durch das Europäische Parlament und weitere EU-Gremien, die er nicht ohne Änderungen und wahrscheinlich erst nach jahrelangem, zähem Ringen passieren dürfte. Klar ist aber schon jetzt: Die KI-Verordnung, sollte sie in der jetzigen Form verabschiedet werden, stellt die HR-Abteilungen – auch, wenn sie „nur“ Nutzer von KI-Systemen sind – vor große Herausforderungen. Unternehmen sollten sich daher frühzeitig einen Überblick verschaffen, welche Systeme zur Anwendung kommen und ob oder welcher Handlungsbedarf sich daraus mit Blick auf die KI-Verordnung ergibt.

a.foerster@taylorwessing.com

Aktuelle Beiträge