Wie die KI-Verordnung die Schulungspflichten für Arbeitgeber seit 2. Februar 2025 erweitert und was bei Verstößen droht, lesen Sie hier.
Die im August 2024 in Kraft getretene KI-Verordnung (»AI Act« – VO 2024/1689) enthält diverse Anforderungen an das Anbieten und Betreiben von KI-Systemen, die auch den Bereich Human Resources (HR) betreffen. Der folgende Artikel behandelt insbesondere die bereits ab Februar 2025 geltenden Schulungspflichten für Arbeitgeber betreffend von diesen eingesetzte KI-Systeme, deren Ausgestaltung und mögliche Auswirkungen eines Verstoßes.
Abgrenzung und Geltungsbeginn
Die KI-VO nimmt eine risikobasierte Einstufung von KI-Systemen vor und sieht je nach Einstufung einen zeitlich abgestuften Start der Geltung von Bestimmungen vor. Die Regelungen für laut KI-VO verbotene KI-Systeme, deren Nutzung eingestellt werden muss, gelten seit 2. Februar 2025. Weitere Pflichten aus der KI-VO gelten ab August 2026, während für Hochrisiko-KI-Systeme verlängerte Übergangsfristen bis August 2027 gelten. Arbeitgeber sind hinsichtlich der Anwendung von KI-Systemen im Rahmen des Arbeitsverhältnisses als »Betreiber« im Sinne der KI-VO zu verstehen. Verboten sind im Personalbereich u. a. KI-Anwendungen, die biometrische Kategorisierungssysteme oder sensible Merkmale wie politische oder religiöse Überzeugungen, sexuelle Orientierung und ethnische Zugehörigkeit nutzen. Ebenfalls verboten sind KI-Anwendungen zur Emotionserkennung am Arbeitsplatz ohne medizinische oder sicherheitsrelevante Gründe, Programme zur Manipulation von menschlichem Verhalten oder »Social Scoring«.
Schaffung von KI-Kompetenz
Eine der zentralen Verpflichtungen in Art 4 KI-VO ist, dass Mitarbeiter und andere (in ihrem Auftrag tätige) Personen, die mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichende KI-Kompetenz verfügen. Dabei sind ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung, sowie der Kontext und die Personen(gruppen), bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen. Was unter KI-Kompetenz zu verstehen ist, wird in Art 3 Nr. 56 der KI-VO definiert. Dabei handelt es sich um die Fähigkeiten, Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen im Rahmen ihrer Rechte und Pflichten nach der KI-VO ermöglichen, KI Systeme sachkundig einzusetzen. Des Weiteren sollen Nutzern hierdurch die Chancen, Risiken und möglichen Schäden, die die KI verursachen kann, bewusst werden. Die KI-Kompetenz soll sohin ein allgemeines Verständnis für KI sowie Kenntnisse über deren Funktionsweise, Nutzung, Risiken und die rechtlichen Rahmenbedingungen der KI-VO bei den Verantwortlichen schaffen.
Adressat der Schulungspflicht
Die erforderlichen KI-Kompetenzen sollen laut KI-VO allen einschlägigen Akteuren der KI-Wertschöpfungskette vermittelt werden. Die Verpflichtung zur Schulung trifft dabei explizit Anbieter und Betreiber von KI-Systemen. AG müssen daher sicherstellen, dass ihre Mitarbeiter entsprechend geschult sind und die potenziellen Risiken und Verantwortlichkeiten im Umgang mit den KI-Systemen kennen. Dies betrifft sowohl die technische Ebene (wie den Umgang mit spezifischen KI-Modellen und deren Sicherheit) als auch ethische Aspekte (z. B. die Auswirkungen von KI-Entscheidungen auf einzelne Mitarbeiter oder die Belegschaft, aber eben auch betreffend verbotener Anwendungen). Die Verpflichtung zur Schulung tritt – neben einigen allgemeinen Regelungen zum Anwendungsbereich und zu Begriffsbestimmungen der KI-Verordnung – bereits mit Februar 2025 in Kraft. Vor der Nutzung bzw. Einführung von KI im Unternehmen haben AG somit dafür zu sorgen, dass die Mitarbeiter die nötigen Kenntnisse für den Umgang mit der KI haben. Sind diese Kenntnisse nicht vorhanden, haften die rechtlichen Vertreter des Unternehmens bzw. die Verantwortlichen für die Nichteinhaltung.
Inhalt der Schulung und Kontrolle
Zur Umsetzung der Vorgaben zur Schulung laut KI-VO ist einerseits zu empfehlen, KI-Guidelines zu erlassen und den Mitarbeitern diese nachweislich zur Kenntnis zu bringen. In diesen Richtlinien sollte sowohl über die möglichen Risiken der KI, als auch die Verantwortlichkeiten im Umgang mit KI-Systemen und die Erkennung von verbotenen KI-Praktiken (wie oben ausgeführt), aufgeklärt werden. Überdies sollten Mitarbeiter über die Identifikation von Hochrisiko-KI-Systemen und über die Transparenzpflichten gemäß KI-VO informiert und zu deren Einhaltung verpflichtet werden. Die entsprechende Information hat sowohl die technischen Aspekte (wie z. B. den Umgang mit spezifischen KI-Modellen und datenschutzrechtliche Fragen) als auch ethische Aspekte (z. B. die Auswirkungen von KI-Entscheidungen auf einzelne Mitarbeiter oder die Belegschaft) zu umfassen. Die Inhalte der Guidelines sollten zum besseren Verständnis zusätzlich in Form von Informationsveranstaltungen zur konkreten Nutzung oder in Form von (Online-) oder Präsenzschulungen vertieft werden. Spezifische Vorgaben zur direkten Form der »Schulung« enthält die KI-VO nicht.
Entscheidend ist für den Aufbau der »Schulung« zunächst die Risikoklassifizierung des eingesetzten KI-Systems, da viele gängige Anwendungen, wie beispielsweise Chatbots, »KI-Systeme mit begrenztem Risiko« sind, die im Wesentlichen bloß die Einhaltung von Transparenzpflichten erfordern. Aufgabe der Arbeitgeber ist es sicherzustellen, dass die Mitarbeiter darüber informiert werden, bei welchen Tätigkeiten bzw. Schritten sie es mit KI zu tun haben und was zu deren regelkonformen Einsatz erforderlich ist. Die eingesetzten KI-Systeme dürfen keine diskriminierenden, irreführenden oder unangemessenen Inhalte erzeugen. Entsprechend problematische Ergebnisse sind daher zu verhindern bzw. umgehend zu entfernen. Die Mitarbeiter sind im Rahmen der erwähnten Schulung darüber zu informieren, wie KI-Tools intern einzusetzen sind und welche Daten sie (im Hinblick auf Datenschutz und die obigen Vorgaben der KI-VO) in die Systeme fließen lassen dürfen. Für die Einbindung von personenbezogenen Daten in KI-Systeme bedarf es der Zustimmung der betroffenen Personen bzw. entsprechender Sicherheitsmaßnahmen. Die Arbeitgeber haben zudem die jederzeitige regelkonforme Nutzung durch entsprechende Kontrollen, durch Updates bei rechtlichen Änderungen, sowie durch ergänzende Schulungen sicherzustellen.
Vorgaben iS Hochrisikosysteme
Die Einstufung von KI-Systemen als Hochrisikosystem hängt maßgeblich von der Zweckbestimmung, den Verwendungsmodalitäten sowie den möglichen Gefahren für Grundrechtseinschränkungen bei den Nutzern ab. Im Anhang zur KI-VO sind konkrete Anwendungsfälle für den HR-Bereich aufgelistet, die ausdrücklich als Hochrisikosystem eingestuft werden. Das gilt im Bereich Recruiting unter anderem für KI-Systeme, die gezielt Stellenanzeigen schalten, Bewerbungen sichten oder filtern, Bewerber bewerten oder für die Zuweisung von Aufgaben an Mitarbeiter zuständig sind. Des Weiteren gilt dies sowohl für KI-Systeme, welche für die Beobachtung und Bewertung der Leistung oder des Verhaltens von Mitarbeitern genutzt werden, als auch für jene, welche zur Beeinflussung von Entscheidungen zu individuellen Gehaltsanpassungen, Beförderungen, Abmahnungen oder Kündigungen dienen.
Andererseits kann insbesondere im Recruiting-Bereich, aber auch darüber hinaus, der Einsatz von KI-Systemen anhand objektiver Daten und Kriterien dazu beitragen, faire und z. B. diversitätsfördernde Abläufe zu schaffen. Die Pflicht zur KI-Kompetenz umfasst beim Betreiben von Hochrisikosystemen, laut Art 26 KI-VO, u. a. entsprechende technische Kenntnisse des Personals im Umgang mit KI-Systemen, sowie das Bewusstsein über Risiken und mögliche Schäden (wie z. B. die Vorgaben betreffend die Kennzeichnung von Deepfakes). Personen, die KI-Systeme nutzen, müssen zudem die notwendige Erfahrung haben, um diese verstehen und entsprechend der KI-VO kontrollieren zu können. Der Einsatz des Hochrisikosystems ist zudem durch menschliche Aufsicht zu überwachen, wobei Arbeitgeber gewährleisten müssen, dass die Aufsichtspersonen (KI-Beauftragte) über die erforderliche Ausbildung (z.B. durch Trainings) verfügen.
Für die Hochrisikosysteme bestehen umfassende zusätzliche Pflichten zur Überwachung (um bei Fehlern schnellstmögliche Korrekturen und die Wiederherstellung der Sicherheit zu ermöglichen) und Protokollierung, betreffend die Information der Arbeitnehmer über den Einsatz des Systems, sowie über die Registrierung des Systems bei den Behörden.
Sanktionen und Auswirkungen
Mit 2. August 2025 treten die Bestimmungen i.S. Bußgelder laut KI-VO in Kraft. Bei schwerwiegenden Verstößen gegen grundlegende Verbote – wie beispielsweise die Verletzung von Grundrechten – drohen Geldstrafen bis zu 35 Mio Euro oder bis zu 7 % des weltweiten Jahresumsatzes. Pflichtverletzungen durch Anbieter, und Anwender von KI-Systemen können Bußgelder von bis zu 15 Mio Euro oder 3 % des weltweiten Jahresumsatzes nach sich ziehen, während falsche oder irreführende Informationen Bußgelder von bis zu 7,5 Mio Euro oder 1 % des weltweiten Jahresumsatzes auslösen können. Verstöße gegen die Schulungspflichten führen regelmäßig zu den letztgenannten Bußgeldern (die je nach den Umständen des Einzelfalls maximal ausfallen können).
Fazit und Empfehlung
Aufgrund der bereits in Kraft tretenden Schulungspflichten sind alle Arbeitgeber angehalten, den Einsatz von KI-Systemen bei der Arbeit zu evaluieren und entsprechende Policies zu erlassen (und durch Informations- und Schulungsveranstaltungen zu ergänzen). Zudem sollte das Bewusstsein in puncto KI geschärft und die Einhaltung der Vorgaben der KI-VO kontrolliert werden, um Bußgelder zu vermeiden. Die KI-VO wird dabei durch die weiterhin bestehenden Anforderungen der DSGVO ergänzt, wenn personenbezogene Daten mithilfe von KI-Systemen verarbeitet werden. Durch die konsequente Umsetzung der Pflichten können Arbeitgeber die Chancen von KI-Systemen nutzen und dennoch die Interessen der betroffenen Personen schützen, wobei der verantwortungsvolle Einsatz von KI ebenfalls einen Wettbewerbsvorteil für Unternehmen bedeuten kann.
