Es ist damit zu rechnen, dass verschiedene Spielarten des KI-Einsatzes im Personalbereich künftig als Hochrisiko-KI eingestuft und damit strengeren Anforderungen unterworfen werden sollen, vgl. Tabelle oben.
"Betreiber" im Sinne der Verordnung ist jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet.[1] Also auch Unternehmen als Arbeitgeber. Betreiber hießen im ursprünglichen Entwurf noch "Nutzer".[2]
3.1 Potentielle Pflichten für Arbeitgeber ("Betreiber") nach der KI-Verordnung
Auf Unternehmen, die Hochrisiko-KI einsetzen, kommen nach aktuellem Stand insbesondere folgende Pflichten zu:
Sicherstellen, dass Eingabedaten der Zweckbestimmung des KI-Systems entsprechen.
Beispiel: In ein KI-System, dass aus Lebensläufen und Zeugnissen Prognosen über die berufliche Geeignetheit machen soll, werden Gesprächsnotizen und persönliche Motivationsschreiben eingegeben.[1]
Überwachen des Betriebs des KI-Systems entsprechend der Gebrauchsanweisung: Funktionsweise des KI-Systems und dessen Ergebnisse überprüfen und dabei die Vorgaben des Anbieters in der Gebrauchsanweisung beachten.
Beispiel: Durchführen von Stichproben in regelmäßigen Abständen, ggf. Eingabe künstlicher Daten, um das System zu testen.[2]
- Aufbewahrung von Protokollen, wenn dies der Kontrolle des Betreibers unterliegt: Wenn der Betreiber für die Speicherung der automatisch erzeugten Log-Dateien des KI-Systems zuständig ist, muss er diese ordnungsgemäß aufbewahren und administrieren.[3]
- Ggf. Verwendung von über das KI-System bereitgestellten Informationen[4], um ggf. eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen.
- Einhaltung aller Anforderungen aus Art. 8-15 KI-VO-E, wenn Betreiber auch als Anbieter der KI gelten (Fälle hiervon sind aufgezählt in Art. 28 KI-VO-E). Werden Betreiber als Anbieter eingestuft, müssen sie zusätzlich umfangreiche Pflichten erfüllen, wie die Einrichtung eines Qualitätsmanagementsystems oder die Durchführung von Risikobewertungen.
3.2 Potentielle Handlungsempfehlungen
Unternehmen, die KI-Anwendungen der o. g. Art einsetzen oder einen solchen Einsatz in Zukunft in Betracht ziehen, können sich bereits jetzt auf die kommenden Regelungen und die o. g. Pflichten für Betreiber von KI-Systemen vorbereiten, indem Sie u.A.:
- Schulungen zum technischen Grundverständnis und zum verantwortungsvollen Umgang mit KI-Systemen für die Belegschaft anbieten,
- auf die Bildung von interdisziplinären Teams hinwirken (z. B. Informatik, Recht, u. a. Fachbereiche),
- ggf. einen Beauftragten für KI-Systeme benennen, der die Aktivitäten bündelt und als Ansprechpartner zur Verfügung steht,
- für den Einsatz von KI im HR-Bereich, insbesondere bei der Auswahl von Bewerbern und Bewertung von Mitarbeitern, ein Risk Assessment durchführen, um Funktionsweisen, Ziele und Risiken des KI-Systems zu bewerten, Risiken gering zu halten und zu dokumentieren,
- den risikobasierten Ansatz bei Planung, Entwicklung oder Einsatz von KI-Systemen bereits jetzt berücksichtigen, das heißt, je nach Risikopotenzial einer KI-Anwendung strenge Richtlinien und Prozesse implementieren,
- interne Richtlinien für den Umgang mit KI-Systemen wie ChatGPT oder allgemeine Richtlinien formulieren, s.h. Muster "Künstliche Intelligenz, Allgemeine Richtlinien"
- beim In Betracht ziehen neuer KI-Systeme verstärkt auf europäische Anbieter achten, da deren Systeme die Anforderungen der KI-Verordnung eher erfüllen könnten,
- den Betriebsrat frühzeitig in geplante Maßnahmen zur KI-Nutzung einbinden und ggf. Sachkompetenzen auch in den Gremien aufbauen, um schnellere Entscheidungen in der Zukunft zu ermöglichen.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen