Blog: Arbeit.Geber.Recht.

KI-Verordnung beschlossen – Was kommt auf Arbeitgeber zu?

Künstliche Intelligenz (KI) und die mit ihrem Einsatz verbundenen rechtlichen Fragen beschäftigen die EU schon seit einigen Jahren. Nachdem im März 2024 bereits das Europäische Parlament den Entwurf einer KI-Verordnung angenommen hat, gab am 21.5.2024 nun auch der Europäische Rat dazu seine Zustimmung. In den kommenden Tagen wird die KI-Verordnung im Amtsblatt der Europäischen Union veröffentlicht werden und in weiterer Folge in Kraft treten (mit Übergangsregelungen).

Was sind KI-Systeme?

Die EU definiert ein KI-System als ein “maschinengestütztes System, das für einen in wechselndem Maße autonomen Betrieb ausgelegt ist, das nach seiner Einführung anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ergebnisse wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen hervorgebracht werden, die physische oder virtuelle Umgebungen beeinflussen können”. KI ist also im Wesentlichen die Fähigkeit einer Maschine, menschliche Fertigkeiten, wie logisches Denken, Lernen, Planen und Kreativität, nachzuahmen und Inhalte zu erstellen oder Entscheidungen zu treffen. Sie kommt im Alltag etwa bei Suchmaschinen wie Google, bei personalisierter Werbung auf Social Media Plattformen oder bei Übersetzungssystemen wie DeepL zum Einsatz.

Oft ist nicht erkennbar, ob und inwieweit KI zum Einsatz kam, oder weitergehend warum ein KI-System eine Entscheidung oder Vorhersage und eine bestimmte Maßnahme getroffen hat (sogenannte Blackbox-Problematik). Dieser Mangel an Transparenz birgt natürlich mannigfaltige Risiken. Vor diesem Hintergrund haben die Mitgliedstaaten der EU die KI-Verordnung verhandelt und beschlossen.

Was ist Kern der KI-Verordnung?

Die KI-Verordnung verfolgt einen risikobasierten Ansatz und definiert im Wesentlichen vier Risikostufen für KI-Anwendungen, für die unterschiedlich strenge Anforderungen gelten:

–      unannehmbares Risiko

–      hohes Risiko (Hochrisiko-KI-Systeme)

–      begrenztes Risiko und

–      minimales und/oder kein Risiko

Systeme, die ein unannehmbares Risiko mit sich bringen, sind verboten. Darunter fallen zum Beispiel die biometrische Kategorisierung auf der Grundlage sensibler Merkmale und das ungezielte Auslesen von Gesichtsbildern aus dem Internet. Verboten sind auch Social-Scoring-Systeme, die Menschen anhand ihres Sozialverhaltens oder anderer persönlicher Merkmale bewerten. Gleiches gilt für Emotionstracking am Arbeitsplatz oder in der Schule.

Hochrisiko-Anwendungen, wie beispielsweise biometrische Erkennungssysteme, sind dagegen nur mit hohen Auflagen einsetzbar. Anbieter solcher Lösungen müssen etwa eine “Konformitätsbewertung” durchführen bzw allenfalls sogar von Dritten (notifizierten Stellen) erstellen lassen. Sie müssen eine Folgenabschätzung für die Grundrechte verfassen (die auch Beschwerdemechanismen berücksichtigt) und ein Risikomanagement einführen sowie strenge Dokumentationspflichten erfüllen.

Zu den Systemen, von denen ein minimales Risiko ausgeht, zählen etwa Chatbots, die Informationen über Unternehmen, Produkte oder Karrieremöglichkeiten geben. Sie unterliegen allerdings den für bestimmte KI-Systeme vorgesehenen Transparenzpflichten und sollten als KI-generiert gekennzeichnet sein.

Konsequenzen für den Personalbereich

In vielen Fällen werden für den Personalbereich in Frage kommende KI-Systeme Hochrisikosysteme sein. Als solche nennt Anhang III Punkt 4. der KI-Verordnung etwa KI-Systeme, die bestimmungsgemäß für die Einstellung oder Auswahl verwendet werden sollen oder solche, die für Entscheidungen betreffend die Bedingungen von Arbeitsverhältnissen, Beförderungen und Kündigungen verwendet werden. Diese Systeme müssen bestimmten Anforderungen genügen, was schon der Anbieter sicherstellen muss. Auch die sie einsetzenden Unternehmen müssen aber bestimmte Pflichten erfüllen, etwa für eine ausreichende Kompetenz und Kenntnis der sie einsetzenden Beschäftigten sorgen, vom Anbieter vorgegebene Sicherheits- bzw Kontrollmaßnahmen umsetzen, Dokumentationspflichten sowie Informationspflichten erfüllen. KI-Anwendungen mit geringem Risiko unterliegen dagegen kaum Einschränkungen durch den KI-Verordnung. Sie müssen lediglich bestimmten Transparenzpflichten genügen, die die Arbeitnehmer über den Einsatz von KI informieren sollen.

Werden KI-Systeme zur Verarbeitung von Beschäftigtendaten eingesetzt, sind also künftig neben datenschutzrechtlichen und arbeitsverfassungsrechtlichen Aspekten nunmehr auch die Vorgaben der KI-Verordnung zu beachten. Unternehmen haben daher einerseits insbesondere die Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung zu prüfen und sicherzustellen sowie gegebenenfalls den Betriebsrat von der Verarbeitung der Beschäftigtendaten zu informieren (§ 91 Abs 2 ArbVG). Insbesondere auch die Notwendigkeit einer Betriebsvereinbarung nach § 96a Abs 1 Z 1 ArbVG (Personaldatenverarbeitungssysteme) oder sogar § 96 Abs 1 Z 3 ArbVG (Kontrollmaßnahmen) bzw in Betrieben ohne Betriebsrat das Erfordernis einer Zustimmung der Arbeitnehmer nach § 10 AVRAG (Kontrollmaßnahme) sind zu prüfen. Andererseits sind nunmehr beim Einsatz der KI-Systeme aus der KI-Verordnung folgende Pflichten einzuhalten. Kommen KI-Systeme bei Personalentscheidungen zum Einsatz, müssen schließlich auch noch allenfalls ungewollte Diskriminierungen vermieden und auf eine ebensolche ausschließende Vorgehensweise geachtet werden.

Selbst wenn aber KI-Systeme nicht zur Verarbeitung von Beschäftigtendaten eingesetzt werden, die Beschäftigten selbst sie aber einsetzen können oder sollen oder gerade nicht sollen, ergibt sich für Arbeitgeber Handlungsbedarf und es sollten klare Vorgaben für deren Einsatz gemacht werden. Dies auch, damit sie ihren eigenen Verpflichtungen aus Geheimhaltungsvereinbarungen und im Hinblick auf Datenschutz nicht verletzten und es nicht zur Preisgabe eigener Geschäftsgeheimnisse kommen kann.

Der Einsatz von KI-Systemen im Personalbereich muss folglich umfassend geprüft und abgesichert werden. Gerne beraten und unterstützen wir Sie in diesem Zusammenhang.

Kontakt

Dr. Patricia Burgstaller │ patricia.burgstaller@bpr.at │ +43 1 532 85 80LinkedIn