KI-Verordnung: Arbeitsrecht & Künstliche Intelligenz

| Arbeitsrecht

Überblick

Die Weiterentwicklung von Künstlicher Intelligenz (KI) ist kaum aufzuhalten. Nahezu täglich erscheinen neue Systeme auf dem Markt und verändern Alltag und Arbeitswelt. Sogar Microsoft Office enthält inzwischen KI-unterstützte Systeme, wie etwa das Werkzeug „Vorgeschlagene Antworten“, mit dem Benutzer bei eingehenden E-Mails eine passende Antwort auswählen können. Bei der Benutzung verwendet Outlook ein Modell des maschinellen Lernens, um die Genauigkeit der Vorschläge laufend zu verbessern.

Das „Gesetz über Künstliche Intelligenz“ (KI-Gesetz), das auch KI-Verordnung (KI-VO) genannt wird, wurde am 13. März 2024 vom Europäischen Parlament verabschiedet. Damit hat die Europäische Union einen bedeutenden Schritt unternommen, um die Regulierung des Einsatzes von Künstlicher Intelligenz zu stärken und verantwortungsbewusst zu lenken. Die Verordnung wird 20 Tage nach der Veröffentlichung im Gesetzblatt in Kraft treten – nach derzeitigem Stand im Laufe des Jahres 2024.

Ein KI-System im Sinne des EU-Recht zeichnet sich durch die Fähigkeit zu eigenen Schlussfolgerungen aus, d.h. es kann Vorhersagen und Entscheidungen produzieren, die reale und virtuelle Umgebungen beeinflussen. Dies wird unter anderem durch Techniken wie maschinelles Lernen und logikbasierte Ansätze ermöglicht. KI-Systeme variieren in ihrer Autonomie stark und können entweder unabhängig oder integriert in Produkte genutzt werden, wobei sie sich durch Nutzung stetig selbstständig anpassen können.

Die Definition von KI im Sinne der Verordnung ist weit gefasst, was zwangsläufig dazu führt, dass eine große Bandbreite unterschiedlicher Systeme unter den Geltungsbereich der Verordnung fällt. Allerdings ist in den Erwägungsgründen zur Erläuterung der Verordnungstexte des KI-Gesetzes klargestellt, dass die Definition nicht einfache herkömmliche Softwaresysteme oder Programmieransätze umfasst, die ausschließlich auf von natürlichen Personen festgelegten Regeln zur automatischen Ausführung von Vorgängen beruhen.

Die KI-Verordnung verfolgt hinsichtlich der Regulierung des Einsatzes von KI-Systemen einen risikobasierten Ansatz: Je höher das (potenzielle) Risiko ist, desto strenger sind auch die Pflichten der für den Einsatz der Systeme Verantwortlichen. Für die Überwachung der Einhaltung von Pflichten sollen Aufsichtsbehörden eingerichtet werden. Das KI-Gesetz selbst droht sehr hohe Bußgelder für Verstöße an.

Hieran anknüpfend können sich primär Pflichten für KI-Anbieter, jedoch daraus abgeleitet auch Sekundärpflichten für Arbeitgeberinnen und Arbeitgeber als KI-Nutzer ergeben.

Rechtslage im nationalen Recht

Nach derzeitiger Rechtslage wird der Einsatz von KI in Unternehmen in erster Linie unter den Aspekten der betrieblichen Mitbestimmung und des Datenschutzes behandelt.

1. Mitbestimmungsrechte im Betriebsverfassungsgesetz und den Personalvertretungsgesetzen

Soweit der Betriebsrat zur Durchführung seiner Aufgaben die Einführung oder Anwendung von KI beurteilen muss, gilt nach § 80 Abs. 3 S. 2 BetrVG insoweit die Hinzuziehung eines Sachverständigen als erforderlich.

Weiter ist § 95 Abs. 2a BetrVG zu beachten, wonach Richtlinien über die personelle Auswahl bei Einstellungen, Versetzungen, Umgruppierungen und Kündigungen auch dann der Zustimmung des Betriebsrats bedürfen, wenn bei ihrer Aufstellung Künstliche Intelligenz zum Einsatz kommt. Auswahlrichtlinien sind abstrakt-generelle Grundsätze, die insbesondere zur Entscheidungsfindung bei personellen Einzelmaßnahmen wie der Einstellung dienen, wenn mehrere Bewerber:innen in Betracht kommen.

Der Einsatz von KI kann in bestimmten Fällen auch unter das Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG fallen. Danach besteht ein Mitbestimmungsrecht hinsichtlich der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Nach der Rechtsprechung des Bundesarbeitsgerichts fallen darunter nicht nur solche Einrichtungen, die direkt eine Überwachung bezwecken, sondern auch solche, die zur Überwachung lediglich objektiv geeignet sind (ständige Rspr. seit BAG 09.09.1975 – 1 ABR 20/74, BAGE 27, 256 = NJW 1976, 261).

Vergleichbare Beteiligungsrechte für Personalräte, welche sich explizit auf den Einsatz von Künstlicher Intelligenz beziehen, bestehen in den Personalvertretungsgesetzen des Bundes und der Länder soweit ersichtlich derzeit nicht. Grundsätzlich anwendbar sind jedoch die allgemeinen Mitbestimmungstatbestände der Personalvertretungsgesetze, z.B. nach §§ 78 ff. BPersVG, soweit deren Anwendungsbereich durch KI-Systeme eröffnet wird.

2. DS-GVO & BDSG

Daneben sind insbesondere die Vorschriften der DS-GVO und des BDSG hervorzuheben.

Diese kommen schon jetzt zur Anwendung, wenn personenbezogene Daten durch eine KI verarbeitet werden. Die datenschutzrechtlichen Problemstellungen sind vielfältig, wobei regelmäßig vorrangig zu prüfen ist, ob die Datenverarbeitung in KI-Systemen im konkreten Fall zulässig ist. Danach ist zu fragen, ob ein Fall von verbotener automatisierter Entscheidung im Einzelfall gem. Art. 22 DS-GVO vorliegt. Schließlich sind die Informationspflichten des Arbeitgebers und das Auskunftsrecht des von der Datenverarbeitung Betroffenen zu beachten.

EU KI-Verordnung

Durch die KI-Verordnung wird eine neue, ergänzende Regulierungsebene eingeführt.

1. Risikobasierter Ansatz

Während KI-Systeme mit einem inakzeptablen Risiko gänzlich verboten werden und für Hochrisiko-KI-Systeme strenge technische und organisatorische Anforderungen gelten, unterliegen Anwendungen mit geringem Risiko nach der KI-Verordnung lediglich bestimmten Transparenz- und Informationspflichten.

Für KI-Systeme, deren potenzielle Gefahren als minimales Risiko für Leben, Körper, Gesundheit, Rechte und Freiheiten eingeschätzt werden, gibt es keine spezifischen Vorschriften. Es besteht jedoch grundsätzlich die Möglichkeit sich freiwillig Verhaltenskodizes zu unterwerfen, vgl. Art 95 KI-VO. Bei den Systemen dürfte es sich um solche handeln, die lediglich simple Unterstützungsaufgaben übernehmen und keine eigenen Entscheidungen treffen (z.B. Spamfilter, Zeiterfassungssystem, etc.).

Grundsätzliche Transparenzanforderungen werden insbesondere an KI-Systeme gestellt, die direkt mit natürlichen Personen interagieren. Tritt eine natürliche Person etwa mit einem Chatbot eines Unternehmens in Kontakt, so muss dieser sich als Künstliche Intelligenz offenbaren.

Das Gesetz stuft dabei unter anderem folgende Anwendungsbereiche in die hohe Risikokategorie und damit als grundsätzlich erlaubt ein:

  • Bewertung von Schülern
  • Zugangsprüfungen zur Universität
  • Bewerbungsverfahren, Beförderungen und Kündigungen
  • Anspruch auf Sozialhilfe

Insoweit dürfte insbesondere Software im HR-Bereich von der KI-Verordnung betroffen sein. Vorstellbar wären Systeme, welche bei Einstellungen zur Auswahl der Bewerber:innen genutzt werden, dabei selbstständig Unterlagen sichten und die Betroffenen darauf basierend bewerten. Weiter sind auch Systeme denkbar, welche Entscheidungen über die Ausgestaltung des Arbeitsplatzes eines Beschäftigten auf Basis von dessen individuellen Verhalten macht.

Als KI-System mit inakzeptablem Risiko nannte das Ministerium das Social Scoring mithilfe Künstlicher Intelligenz und die Emotionserkennung am Arbeitsplatz. Beides werde es in Europa nicht geben. Zur zweiten Kategorie der Hochrisiko-KI-Systeme gehöre die biometrische Fernidentifikation etwa in Form von Gesichtserkennungssoftware, die Bilder von Überwachungskameras auswerte. Eine flächendeckende biometrische Überwachung solle es nicht geben.

2. Auswirkungen auf die Praxis

Primärpflichten ergeben sich aus der KI-VO nur für die sog. Anbieter. Dies meint diejenigen Personen bzw. Unternehmen, die ein KI-System entwickeln oder entwickeln lassen, um es unter ihrem eigenen Namen oder ihrer eigenen Marke – entgeltlich oder unentgeltlich – in Verkehr zu bringen oder in Betrieb zu nehmen, Art. 3 Nr. 2 KI-VO.

Für Nutzer der KI-System werden aber regelmäßig sog. Sekundärpflichten einschlägig sein. Handelt es sich bei dem im Unternehmen eingesetzten System um ein Hochrisikosystem, so ist insbesondere der in Art. 26 KI-VO normierte Pflichtenkatalog zu beachten. Dieser umfasst unter anderem folgende Pflichten:

  • Das System muss entsprechend der Gebrauchsanweisung verwendet werden, Art. 26 Abs. 1.
  • Qualifizierten Mitarbeiter:innen muss die menschliche Aufsicht übertragen und erforderliche Unterstützung dazu gewährt werden, Art. 26 Abs. 2.
  • Die eingegebenen Daten müssen der Zweckbestimmung des Systems entsprechen, Art. 26 Abs. 4.
  • Betreiber müssen das System anhand der Gebrauchsanweisung überwachen und bei der Gefahr von Risiken im Sinne der KI-VO den Anbieter informieren, Art. 26 Abs. 5.
  • Aufbewahrung automatisch erzeugter Protokolle für mindestens 6 Monate, Art. 26 Abs. 6.
  • Vor der Inbetriebnahme oder Verwendung des Systems am Arbeitsplatz informieren Betreiber die Arbeitnehmervertreter und die betroffenen Arbeitnehmer darüber, dass sie Gegenstand des Einsatzes des Hochrisiko-KI‑Systems sein werden, Art. 26 Abs. 7.
  • Betreiber arbeiten mit den zuständigen nationalen Behörden bei allen Maßnahmen zusammen, die diese Behörden im Zusammenhang mit dem System zur Umsetzung dieser Verordnung ergreifen, Art. 26 Abs. 12.

3. Sanktionen

Die KI-VO sieht in Art. 99 Abs. 4 KI-VO vor, dass Unternehmen pro Verstoß mit Geldbußen von bis zu 3 % ihres weltweiten Jahresumsatzes oder 15 Millionen Euro – je nachdem, welcher Betrag im Einzelfall höher ist – bedacht werden können, wenn ein Verstoß gegen Pflichten aus Art. 26 KI-VO erkannt wird. Diese Bußgelder können von der EU-Kommission oder den einzurichtenden nationalen Behörden verhängt werden, je nachdem, welche Zuständigkeit aufgrund der Art des Verstoßes gegeben ist.

Werden notifizierten Stellen oder zuständigen nationalen Behörden auf deren Auskunftsersuchen hin falsche, unvollständige oder irreführende Informationen bereitgestellt, so werden Geldbußen von bis zu 7.500.000,00 EUR oder – im Falle von Unternehmen – von bis zu 1 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist, Art. 99 Abs. 5 KI-VO.

Fazit

Für Arbeitgeber werden in Zukunft neben den nationalen Bestimmungen weitergehende Pflichten im Rahmen des Einsatzes von Künstlicher Intelligenz zu beachten sein. Sie haben hierbei zunächst zu prüfen, welcher Risikokategorie das gewünschte System in ihrem Betrieb zuzuordnen ist. Aus der Bewertung des Risikos leitet sich der Anforderungskatalog an die Arbeitgeber ab. Besonders umfassend sind die zu beachtenden Auflagen im Rahmen sog. Hochrisikosysteme, welche überwiegend im Bereich der Personalplanung zur Anwendung kommen dürften. Bei Verstößen ist mit massiven Geldbußen zu rechnen.

Zurück zur Übersicht

Autor*in dieses Artikels:

Dr. Uwe Simon

Rechtsanwalt,
Fachanwalt für Arbeitsrecht

+ Vita

Schwerpunkte:

  • Arbeitsrecht
  • Sozialversicherungsrecht
  • Betriebsrentenrecht