Gastbeitrag:KI-Regulierung

Status quo vadis: Grenzen beim Einsatz von künstlicher Intelligenz

Ein konkreter Rechtsrahmen existiert für den Einsatz künstlicher Intelligenz in Europa noch nicht. Dennoch gibt es rechtliche Hürden bei der Nutzung zu beachten.

Status quo vadis: Grenzen beim Einsatz von künstlicher Intelligenz

Gastbeitrag

Status quo vadis: Grenzen beim Einsatz von künstlicher Intelligenz

Die Fantasie kennt keine Grenzen.“ Beim Einsatz künstlicher Intelligenz (KI) scheint die Technik der Fantasie auch kaum mehr Grenzen zu setzen. Diesen Eindruck erwecken jedenfalls die täglichen Medienberichte über ChatGPT, eine generative KI, die Texte und Gedichte verfassen, schnelle Recherchen ermöglichen und Examen an amerikanischen Eliteuniversitäten bestehen kann.

Thomas Block

MBA, Rechtsanwalt
bei AC Tischendorf 
Rechtsanwälte

Viele Unternehmer fragen sich, wie sie den technisch scheinbar grenzenlosen Nutzen „mitdenkender“ Software und Algorithmen sinnvoll in ihren Unternehmen, vor allem auch im Arbeitsleben, einsetzen können. Vier Einsatzbereiche stechen ins Auge: KI zur Personalanalytik („people analytics“) dient der Leistungsbewertung und Eignungsprüfung für neue Stellen bei der Kandidatensuche oder Weiterqualifizierung von Talenten. KI zum „algorithmic management“ zielt auf die optimale Einsatzplanung und Steuerung von Mitarbeiteraktivitäten. KI zur Automatisierung von Aufgaben („task automation“) übernimmt einfachere Tätigkeiten eigenständig. Schließlich nutzen Mitarbeiter zunehmend ChatGPT, um Vorlagen für Texte, Programmierungen oder Ähnliches zu erhalten. Doch kennen Fantasie und Technik wirklich keine Grenzen oder bestehen rechtliche Hürden, die einen Einsatz risikoreich machen?

Ein konkreter Rechtsrahmen existiert für den Einsatz künstlicher Intelligenz in Europa noch nicht. Spannend ist, dass die EU-Kommission im April 2021 einen ersten Verordnungsentwurf zum Einsatz künstlicher Intelligenz (KI-VO) vorgelegt hat, der – nach aktuellem Stand – möglicherweise dieses Jahr verabschiedet werden könnte. Ein genauer Blick in diesen Entwurf lohnt, um zu verstehen, in welche Richtung die gesetzgeberischen Bestrebungen gehen. Der Verordnungsgeber legt beispielsweise eine sehr weite KI-Definition zugrunde. Danach könnten simple Automatisierungsprozesse in den Anwendungsbereich der KI-VO fallen. Eine Vielzahl bereits jetzt im Einsatz befindlicher Systeme wäre anhand der KI-VO zu überprüfen.

In der KI-VO werden vier Risikoklassen definiert (unannehmbar, hoch, gering und minimal), die einer unterschiedlich strengen Regulatorik unterliegen. KI-Praktiken, die als unannehmbar gelten, etwa, weil sie fundamentale Werte der EU verletzen, sind verboten (Art. 5 KI-VO). Beispiel: Bewertung des sozialen Verhaltens (Social Scoring). Für KI-Systeme mit einem hohen Risiko gelten Mindestanforderungen (Art. 8 ff. KI-VO), welche Anbieter und Nutzer der Systeme erfüllen müssen (Art. 16 ff. KI-VO). Daneben gelten unabhängig von der Risikoklasse insbesondere Transparenzvorgaben (Art. 52 KI-VO). KI-Systeme mit einem geringen oder minimalen Risiko unterliegen demgegenüber keiner gesonderten Regulierung.

Anbieter solcher Systeme können sich freiwillig an Verhaltenskodizes orientieren (Art. 69 KI-VO). Vorausschauende Unternehmer könnten bereits jetzt geplante sowie bereits erfolgte Nutzung von KI anhand der Regulatorik validieren, was den Einsatz rechtlich sicherer machen dürfte. Die KI-VO liefert wichtige und aktuelle Hinweise, wie sich die EU-Kommission den Einsatz von KI rechtlich vorstellt.

Aber welche rechtlichen Hürden gelten beim scheinbar grenzenlos möglichen Einsatz von KI aktuell? Anwendbar sind vor allem die Datenschutzgrundverordnung (DSGVO), Anti-Diskriminierungs-Regeln, Vorschriften zu Verbraucherschutz und Produktsicherheit sowie die Mitbestimmung. Setzt ein Unternehmen etwa die Sprachanalyse-Software von Precire ein, um die Eignung von Bewerbern aufgrund ihrer Sprachkompetenz automatisiert analysieren zu lassen, oder baut er auf die Videoanalysefunktion von Hirevue, um Persönlichkeitsprofile zu erstellen, empfiehlt sich eine vorherige Datenschutzanalyse und -dokumentation. Nach dem möglicherweise gegen EU-Recht verstoßenden § 26 BDSG muss die Datenverarbeitung (i) geeignet sein, den vorher definierten Zweck zu erreichen, (ii) sie muss erforderlich sein, es darf also kein milderer Eingriff in Persönlichkeitsrechte existieren, und (iii) die Interessen der Beteiligten sind gegeneinander abzuwägen.

DSGVO und Anti-Diskriminierung

Die Erstellung von Persönlichkeitsprofilen ist in der Regel unzulässig, es sei denn, sachliche Gründe rechtfertigen dies im Einzelfall aufgrund besonderer Anforderungen im Stellenprofil. Nach Art. 22 DSGVO darf die Software die Personalentscheidung (z. B. Einstellung, Beförderung, Kündigung) nicht selbst treffen, sondern nur eine Entscheidungshilfe liefern. Um einen diskriminierungsfreien Einsatz von Analysesoftware zu gewährleisten, sollte der Softwareanbieter erläutern, welche Vorkehrungen er getroffen hat, um AGG-Risiken zu vermeiden. Schließlich sind die aktuellen Urteile des EuGH vom 30.03.2023 und 04.05.2023 zu berücksichtigen, um in jedem Einzelfall auf die richtige Rechtsgrundlage für die Personaldatenverarbeitung zurückzugreifen.

Bußgeld in Millionenhöhe droht

Als Fazit lässt sich festhalten, dass neben der Fantasie auch die Technik der Nutzung von KI immer geringere Grenzen setzt und die Anwendung praxistauglicher wird. Jedoch sollte der Einsatz rechtlich vorher gut durchdacht sein, um dauerhaft vom technischen Fortschritt profitieren zu können. Sonst droht unliebsame Post von der Aufsichtsbehörde. Vor dem Hintergrund der Bußgelder in zweistelliger Millionenhöhe, die bei Datenschutzverstößen in Deutschland verhängt wurden, ist schließlich dringend zu empfehlen, vor dem Einsatz künstlicher Intelligenz eine Datenschutzfolgenabschätzung durchzuführen und zu dokumentieren.

Thomas Block, MBA, ist Rechtsanwalt bei AC Tischendorf Rechtsanwälte.