open search
close
Digitalisierung in Unternehmen Neueste Beiträge

Regulierung von ChatGPT und Co? – Aktueller Stand zur KI-Verordnung

Print Friendly, PDF & Email
KI

In den vergangenen Wochen und Monaten wurde viel über ChatGPT gesprochen und wie diese und andere KI-Anwendungen die Arbeitswelt und unsere Gesellschaft verändern werden. Die zuletzt durch künstliche Intelligenz geschaffenen Bilder von Donald Trump bei dessen Verhaftung zeigen, was künstliche Intelligenz aktuell schon schaffen kann. Auch wenn das Europäische Parlament und der Rat die Verordnung zur KI noch nicht verabschiedet haben, haben sie sich früh mit dem Thema beschäftigt. Bereits seit April 2021 liegt ein Entwurf zur Regulierung und Harmonisierung im Bereich KI vor.

Was ist eine KI?

Das Europäische Parlament und der Rat versuchen, in ihrem Vorschlag zur KI-Verordnung künstliche Intelligenz zu definieren:

„System der künstlichen Intelligenz (KI-System) – eine Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren.“

Diese in Artikel 3 Nr. 1 der KI-Verordnung vorgeschlagene Definition ist sehr umfassend. Sie hat daher bei der Bewertung der KI-Verordnung im Rahmen der Anhörung im Ausschuss für Digitales im Deutschen Bundestag (Sachverständige bewerten EU-Verordnung zur KI unterschiedlich) bereits für Kritik gesorgt. Nach dieser Definition würde bereits ein Taschenrechner eine KI darstellen und dies dürfte nicht gewollt sein.

Ziel der Verordnung

Die KI-Verordnung definiert nicht nur KI, sondern soll eine Vereinheitlichung der Regelungen in der EU schaffen. Dabei sollen bestimmte Anwendungsfälle verboten werden, etwa die unterschwellige Beeinflussung durch KI (Art. 5 Abs. 1 lit. a) der KI-Vorordnung). Gleichzeitig soll Transparenz geschaffen werden, insbesondere bezogen auf die Verarbeitung von Daten. Folglich spielt der Datenschutz eine große Rolle in der KI-Verordnung. Der Nutzer soll wissen, was mit seinen Daten passiert. Derzeit ist dies oft nicht möglich, wie das Beispiel ChatGPT zeigt. Gleichzeitig geht es in dem Entwurf der Verordnung auch um technische Dokumentationen und Aufzeichnungspflichten, die ebenfalls Transparenz schaffen sollen.

Ferner soll die Verordnung klarstellen, wann Hochrisikosysteme vorliegen. Dazu müssen die folgenden beiden Punkte kumulativ vorhanden sein:

„das KI-System soll als Sicherheitskomponente eines unter die in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union fallenden Produkts verwendet werden oder ist selbst ein solches Produkt;“

und

„das Produkt, dessen Sicherheitskomponente das KI-System ist, oder das KI-System selbst als Produkt muss einer Konformitätsbewertung durch Dritte im Hinblick auf das Inverkehrbringen oder die Inbetriebnahme dieses Produkts gemäß den in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union unterzogen werden.“

Diese Definition in Art. 6 Abs. 1 KI-Verordnung ist sehr technisch, wobei das Ziel war, möglichst viele Systeme in der Zukunft abbilden zu können. Praxisorientiert ist der Anhang III zu Art. 6 Abs. 2 der KI-Verordnung mit den Aufzählungen von Hochrisikosystemen. Dazu zählen KI-Systeme im Bereich der Verwaltung und Betriebe kritischer Infrastrukturen (Nr. 2) oder im Bereich Migration, Asyl und Grenzkontrollen (Nr. 7). Liegen Hochrisikosysteme vor, hat der Verwender dieser KI-Systeme weitere Maßnahmen zu beachten. Dazu zählen umfassendere Dokumentationspflichten sowie weitere Pflichten beim Risikomanagement. Ziel ist es, einen höheren Schutz bei sensiblen Daten oder in bestimmten sensiblen Bereichen zu schaffen.

Neben der Verarbeitung bestimmter Daten, etwa biometrischer Daten, werden auch ganze Bereiche als Hochrisikobereiche klassifiziert, etwa wenn bestimmte Daten, wie Personaldaten, verarbeitet werden und/oder die KI zur Entscheidungsfindung in bestimmten Bereichen genutzt wird. Dazu zählen neben dem Bereich der Strafverfolgung auch Teile des Arbeitsrechtes. Dies wird in Anhang 3 zu Artikel 6 Abs. 2 des Vorschlages zu einer KI-Verordnung wie folgt beschrieben:

„KI-Systeme, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere für die Bekanntmachung freier Stellen, das Sichten oder Filtern von Bewerbungen und das Bewerten von Bewerbern in Vorstellungsgesprächen oder Tests;“

„KI-Systeme, die bestimmungsgemäß für Entscheidungen über Beförderungen und über Kündigungen von Arbeitsvertragsverhältnissen, für die Aufgabenzuweisung sowie für die Überwachung und Bewertung der Leistung und des Verhaltens von Personen in solchen Beschäftigungsverhältnissen verwendet werden sollen;“

Diese beiden Definitionen zeigen, wann und wie im Rahmen von Beschäftigungsverhältnissen KI-Systeme bereits jetzt eingesetzt werden können. Gleichzeitig möchte der europäische Gesetzgeber Regelungen schaffen, um Betroffene zu schützen und mehr Transparenz zu schaffen – vor allem um Diskriminierung zu vermeiden (vgl. Blogbeitrag zum Thema Robot Recruiting – Mit Hilfe von KI zu einem objektivierten Bewerbungsverfahren?). Dabei muss der Arbeitgeber, der diese Systeme nutzen möchte, vor allem für Transparenz sorgen.

Ausblick

Inwieweit der Entwurf der Verordnung noch nachgebessert wird, insbesondere bezüglich der schnellen Fortentwicklung der Fähigkeiten von KI, bleibt abzuwarten. Ursprünglich war die Idee des Europäischen Parlamentes und des Rates, zu Beginn dieses Jahres die Verordnung zu verabschieden. Dies ist bisher noch nicht gelungen. Es wird wohl noch einige Zeit dauern, bis die Verordnung verabschiedet werden wird. Nichtsdestotrotz sollte man die Verordnung, gerade wenn man als Unternehmen KI-Systeme im Personalbereich einsetzt, etwa im Bewerbungsverfahren, beachten und sich regelmäßig zum aktuellen Stand informieren, da durch die Verordnung vermutlich einige Beschränkungen und Anpassungen in Prozessen mit KI-Systemen erfolgen werden. Dies gilt auch für Unternehmen, die KI-Systeme außerhalb des Personalmanagements einsetzen.

Jakob Friedrich Krüger

Rechtsanwalt

Counsel
Jakob F. Krüger berät nationale und internationale Unternehmen. Ein Schwerpunkt seiner Tätigkeit liegt in der Vorbereitung von Kündigungen und anschließender Prozessführung. Zudem berät er Mandanten in der Gestaltung von Anstellungs-, Aufhebungs- und Abwicklungsverträgen sowie zu Fragen des Betriebsverfassungsrechts. Jakob F. Krüger ist ein aktives Mitglied der International Practice Group für Data Privacy bei Ius Laboris, dem Zusammenschluss der international führenden Arbeitsrechtskanzleien, und berät häufig an der Schnittstelle zwischen Arbeitsrecht und Datenschutz, z.B. bei der Einführung von IT-Systemen. Aufgrund dieser Expertise ist er Mitglied der Fokusgruppe „Digitalisierung von Unternehmen“. Ferner unterstützt er die Entwicklung von Legal Tech Anwendungen als Mitglied des Innovation Teams.
Verwandte Beiträge
Datenschutz Digitalisierung in Unternehmen Neueste Beiträge

Schadensersatz nach der DSGVO für Bagatellen?

Der Schadensersatzanspruch nach Art. 82 DSGVO setzt keine Erheblichkeit des Schadens voraus. Dies hat der EuGH am 4.5.2023 (Az: C-300/21) entschieden. Wenngleich die Entscheidung in der juristischen Argumentation nachvollziehbar ist, hat der EuGH doch die Gelegenheit verpasst, den Ersatz von Bagatellschäden auszuschließen. Jedoch hat das Gericht die Kriterien für die Schadensbemessung in die Hände der nationalen Gerichte gelegt. Das gibt Anlass zur Hoffnung, dass ausufernden…
Digitalisierung Internationales Arbeitsrecht Neueste Beiträge

Generative AI in the workplace: time for a cyber-supervisor?

The launch of ChatGPT in November 2022 brought generative AI technology firmly into mainstream consciousness, astonishing us with its ability to generate human-like answers at the click of a button. Its potential is enormous, but how can this technology be harnessed in the world of work? The self-stated goal of ChatGPT is ‘to provide a more natural and efficient way of communicating with computers and…
Compliance Datenschutz Neueste Beiträge

Beschäftigtendatenschutz – Alles auf Anfang?

Die einzige deutsche gesetzliche Regelung zum Beschäftigtendatenschutz war bisher § 26 BDSG. Das Bundesarbeitsgericht bescheinigte dieser Vorschrift eindeutige Europarechtskonformität. In der Wissenschaft wurde der § 26 BDSG seit Inkrafttreten als unzureichend kritisiert. Zu ungenau und unpraktikabel sei er, ein „echtes“ Beschäftigtendatenschutzgesetz werde gebraucht, erst recht im Zeitalter der KI. Nun setzt der Europäische Gerichtshof dem Ganzen die Krone auf mit seinem Urteil vom 30.03.2023 Az….
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.