Der massenhafte Einsatz von künstlicher Intelligenz (KI) ist ein noch vergleichsweise junges technisches Phänomen. Doch bereits jetzt ist absehbar, dass KI alle Bereiche des Wirtschaftslebens grundlegend beeinflussen wird. Das gilt auch für den Personalbereich. Verschiedene Unternehmen machen sich KI bereits im Recruiting oder in der Personaladministration zunutze. Darüber hinaus spielt HR eine wichtige Rolle, um die Verwendung von KI durch Beschäftigte zu regeln und zu begleiten.
KI ist bereits reguliert
Entgegen einem weitverbreiteten Irrtum unterliegt der Einsatz von KI gerade im HR-Bereich schon heute detaillierten rechtlichen Vorgaben. Datenschutzrechtlich müssen sich Unternehmen intensiv mit der Funktionsweise des jeweiligen KI-Tools beschäftigen und müssen diverse Maßnahmen treffen. In jedem Fall sind Beschäftigte oder Bewerber und Bewerberinnen über die Verarbeitung im Kontext des KI-Tools ausreichend zu informieren. Das muss jeweils zwingend vor der Datenverarbeitung erfolgen. Daneben ist im Arbeitsverhältnis nach Artikel 22 der Datenschutz-Grundverordnung (DSGVO) die Vollautomatisierung von Entscheidungen beschränkt, insbesondere bei der Auswahl oder der Bewertung von Mitarbeitenden. Das Datenschutzrecht verbietet nämlich sogenannte automatisierte Einzelentscheidungen, die für die Bewerber oder Beschäftigten erhebliche beeinträchtigende Wirkungen haben. Hier sollten Unternehmen ihre Prozesse sorgfältig derart ausgestalten, dass derartige kritische Entscheidungen im Ergebnis nur von Menschen getroffen werden. Darüber hinaus ist beim Einsatz von KI im Personalbereich regelmäßig eine sogenannte Datenschutz-Folgenabschätzung vorgeschrieben. Das ist eine besonders intensive Prüfung der fraglichen Datenverarbeitung auf etwaige Risiken. Besonders professionelle Anbieter von KI-Tools helfen ihren Kunden mit diesen Anforderungen oder können jedenfalls kurzfristig die Informationen bereitstellen, die erforderlich sind, um die datenschutzrechtlichen Vorgaben zu erfüllen.
Diese datenschutzrechtlichen Vorgaben sind beileibe nicht theoretischer Natur. Vielmehr haben die deutschen Datenschutzbehörden schon diverse Hinweispapiere und Richtlinien veröffentlicht, die speziell den Einsatz von KI in Unternehmen adressieren. Diesen Hinweisen kommt gerade im Bereich der HR eine große praktische Relevanz zu. Denn im Beschäftigtenkontext führen Beschwerden der Mitarbeiterinnen und Mitarbeiter regelmäßig dazu, dass Datenschutzbehörden die jeweiligen Sachverhalte beim Arbeitgeber nachverfolgen. In derartigen Situationen drohen erhebliche Bußgelder und/oder Ansprüche auf Schadensersatz, wenn das jeweilige Unternehmen die einschlägigen Hinweise der Aufsicht missachtet hat. Vorgaben des Rechts des geistigen Eigentums sind zu beachten, wenn Beschäftigte mit IP-rechtlich geschützten Inhalten Dritter arbeiten. Das ist insbesondere beim Einsatz generativer KI denkbar. Eine unbedachte Nutzung geschützter Inhalte kann rechtliche Schritte des Rechteinhabers (zum Beispiel eine Abmahnung oder Schadensersatzforderungen) nach sich ziehen.
Im „originären“ Arbeitsrecht sind die Vorgaben des Allgemeinen Gleichbehandlungsgesetzes zu beachten – automatisierte Entscheidungen anhand persönlicher Merkmale wie Alter oder Geschlecht können insoweit rechtlich angreifbar sein. Darüber hinaus spielt die betriebliche Mitbestimmung eine große Rolle, die für jeden Einsatz von KI zu beachten ist.
Die neue Verordnung – was HR wissen muss
Diese ohnehin geltenden generellen Vorgaben ergänzt der europäische Gesetzgeber nun durch eine spezifische KI-Regulierung. Im Dezember 2023 gelang ein Abschluss der Verhandlungen auf EU-Ebene über die Inhalte der neuen EU-KI-Verordnung (EU AI Act), der am 13. März 2024 in Kraft getreten ist*. Dieser Text ist das weltweit erste Gesetz, das gezielt umfassende Vorgaben für den Einsatz von KI gibt. Die Regelung wird den KI-Einsatz grundlegend prägen und auch für den Personalbereich von zentraler Bedeutung sein. Erinnerungen werden wach an 2018, als die Datenschutz-Grundverordnung in Kraft trat und die Praxis der Datenerhebung und -verarbeitung grundlegend beeinflusste. Die KI-Verordnung verfolgt einen sogenannten risikobasierten Ansatz. Die Intensität der Regulierung hängt also von dem Risiko ab, das mit dem Einsatz des jeweiligen KI-Systems verbunden ist. Gewisse KI-Systeme sind generell verboten. Das betrifft insbesondere KI-Systeme, die der Staat einsetzt. Für den Einsatz von KI-Systemen mit einem geringen Risiko werden künftig primär Transparenzpflichten gelten. Besonders umfassend sind hingegen die Vorgaben für die Nutzung von KI-Systemen, mit deren Einsatz ein hohes Risiko verbunden ist.
Die im HR-Kontext zum Einsatz kommenden KI-Anwendungen werden häufig als derartige Hochrisikosysteme einzuordnen sein. Eine in der EU AI Act definierte Gruppe derartiger Hochrisikosysteme sind nämlich KI-Systeme in den Bereichen Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit. Hochrisikosysteme sollen alle Systeme sein, die entweder die Einstellung oder die Auswahl von Mitarbeitern und Mitarbeiterinnen oder deren Bewertung, Überwachung, Beförderung oder Kündigung betreffen. Das wird naturgemäß also im HR-Bereich zahlreiche KI-Systeme betreffen.
Die Vorgaben der KI-Verordnung für Hochrisikosysteme sind sehr detailliert und gehen sogar über die datenschutzrechtlichen Vorgaben hinaus. Insbesondere müssen Unternehmen ein Risikomanagementsystem einrichten, Qualitätsmanagement- und Informationspflichten erfüllen, die Genauigkeit, Robustheit und Sicherheit des Systems sicherstellen und das System laufend überwachen und gegebenenfalls korrigieren. Die Pflichten sind also umfassend und außerordentlich weitreichend. Sie betreffen die Governance, technische Maßnahmen und die Dokumentation. Es ist zu erwarten, dass die Anbieter von KI-Systemen ihre Kunden bei der Erfüllung dieser Pflichten unterstützen werden. Allerdings zeigen die Erfahrungen mit der DSGVO, dass nichtsdestoweniger ein erheblicher Aufwand bei den Unternehmen verbleiben wird.
Eine Missachtung der normierten Vorgaben kann zu erheblichen Sanktionen führen. Der EU-Gesetzgeber sieht vor, dass Geldbußen von bis zu sieben Prozent des Umsatzes des jeweiligen Unternehmens festgelegt werden können. Der Bußgeldrahmen ist also sogar höher als in der DSGVO vorgesehen.
Herausforderungen bei der Umsetzung
Die Kenntnis der regulatorischen Vorgaben ist nur eine, wenn auch zentrale Voraussetzung für die erfolgreiche Einführung neuer KI-Systeme. HR kommt darüber hinaus – gemeinsam mit den Führungskräften – eine zentrale Rolle dabei zu, die Belegschaft „abzuholen“ und Vorbehalten vorzubeugen. Die wesentliche weitere Herausforderung liegt in der erfolgreichen Einbindung des Betriebsrats. Die Nutzung von KI wird im Regelfall der betrieblichen Mitbestimmung unterliegen. Wie schon bei der Mitbestimmung zu IT-Systemen kann der Mitbestimmungsprozess einige Zeit und Ressourcen in Anspruch nehmen. Mutmaßlich nochmals aufwendiger wird das Verfahren, weil der Betriebsrat nach Paragraf 80 Absatz 2 S. 2 Betriebsverfassungsgesetz bei der Einführung von KI stets einen Sachverständigen hinzuziehen darf. Sofern und soweit kein Mitbestimmungsrecht besteht, wird häufig jedenfalls das Unterrichtungs- und Beratungsrecht nach Paragraf 90 Absatz 1 Nr. 3 Betriebsverfassungsgesetz (Planung von Arbeitsverfahren und -abläufen einschließlich des Einsatzes von KI) greifen.
Neben dieser rechtlichen Vorgabe und dem damit verbundenen zeitlichen und finanziellen Aufwand stellen die bisher häufig festzustellenden generellen Vorbehalte der Betriebsräte gegen KI die wesentliche Schwierigkeit dar. KI wird auf der Betriebsratsseite bisweilen als unkontrollierbares Instrument des Arbeitgebers gesehen, und die Sorge vor Überwachung und Sanktionierung der Beschäftigten ist groß. Diese Unsicherheit führt als Reflex schnell zu einer allzu kritischen und umfassenden Prüfung der Anwendung. Arbeitgeber sollten hier zwei Ansätze verfolgen: einerseits die transparente und frühzeitige Information – idealerweise unter Einbindung der fachlichen Experten oder gar Ansprechpartner des KI-Anbieters. Andererseits höflich darauf hinzuweisen, was im Regelfall (nur) der Inhalt der Mitbestimmung ist, nämlich die Bewertung der Auswirkungen auf die Persönlichkeitsrechte der Belegschaft.
Ausblick: Die EU-KI-Verordnung als Handwerkszeug
Eine Kenntnis der Grundsätze der neuen Verordnung ist für Personalverantwortliche von unerlässlicher Bedeutung. Darüber hinaus werden der Personalbereich und das Datenschutz- und/oder AI-Governance-Team künftig immer enger zusammenrücken (müssen). Nur so kann HR seiner wichtigen Rolle bei der Einführung und Nutzung von KI gerecht werden.
*Aktualsiert am 14. März 2024.
Weitere Beiträge zum Thema:
- „Ich habe mich oft wie ein Ausreißer im Datensatz gefühlt“
- Gerechtere Chancen mit KI?
- Wie verändert sich die Arbeitsmoral durch KI?
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe Miteinander. Das Heft können Sie hier bestellen.
Christoph Seidler
