Die Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz – Artificial Intelligence Act, – zielt darauf ab, einheitliche Regelungen für die Nutzung von KI-Systemen innerhalb der Europäischen Union zu schaffen. Diese Verordnung hat tiefgreifende Auswirkungen auf Arbeitgeber, die KI-Technologien einsetzen oder entwickeln. Hier sind die wichtigsten Aspekte und ihre konkreten Implikationen für Arbeitgeber, die ab dem 01. August 2024 schrittweise umgesetzt werden:
Wichtige Bestimmungen der KI-Verordnung
1. Kategorisierung von KI-Systemen nach Risiko:
-
- Unzulässige KI-Systeme: KI-Systeme, die unannehmbare Risiken darstellen (z.B. Social Scoring durch staatliche Behörden), sind verboten.
- Hochrisiko-KI-Systeme: Systeme, die wesentliche Rechte und Freiheiten betreffen (z.B. in der Personalrekrutierung, Kreditvergabe oder kritischen Infrastrukturen), unterliegen strengen Anforderungen.
- Geringes Risiko: Systeme, die Transparenzanforderungen erfüllen müssen, wie Chatbots, die sich als solche identifizieren müssen.
- Minimales Risiko: Systeme, die kaum reguliert sind, wie einfache Spam-Filter.
2. Anforderungen an Hochrisiko-KI-Systeme:
-
- Strenge Konformitätsbewertung: Vor dem Einsatz müssen Hochrisiko-KI-Systeme eine strenge Bewertung durchlaufen, um sicherzustellen, dass sie den EU-Vorschriften entsprechen.
- Dokumentation und Berichterstattung: Arbeitgeber müssen umfassende technische Dokumentationen führen, um die Sicherheit und ethische Nutzung der KI zu gewährleisten.
- Risikomanagement: Implementierung von Prozessen zur Identifikation, Bewertung und Minimierung von Risiken, die durch die KI entstehen können.
- Echtzeitüberwachung: Kontinuierliche Überwachung und Protokollierung der Leistung von Hochrisiko-KI-Systemen im Betrieb.
3. Transparenzanforderungen:
-
- Benutzerinformation: Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren, insbesondere wenn persönliche Daten verarbeitet werden.
- Erklärbarkeit: Hochrisiko-KI-Systeme müssen in der Lage sein, ihre Entscheidungen nachvollziehbar zu erklären.
4. Aufsichtsbehörden und Durchsetzung:
-
- Nationale Aufsichtsbehörden: Jedes EU-Mitgliedsland wird eine oder mehrere Behörden benennen, die die Einhaltung der Verordnung überwachen.
- Sanktionen: Bei Verstößen gegen die Verordnung können erhebliche Geldbußen verhängt werden.
Konkrete Auswirkungen auf Arbeitgeber
1. Compliance und Anpassung von Prozessen:
-
- Systemklassifizierung: Arbeitgeber müssen ihre bestehenden und neuen KI-Systeme entsprechend den Kategorien der Verordnung nachweislich klassifizieren und bewerten.
- Prozessanpassungen: Anpassung interner Prozesse zur Sicherstellung der Konformität mit den neuen Regelungen.
2. Dokumentation und Berichterstattung:
-
- Technische Dokumentation: Erstellung und regelmäßige Aktualisierung detaillierter technischer Dokumentationen für Hochrisiko-KI-Systeme.
- Risikobewertungen: Regelmäßige Durchführung und Dokumentation in Textform von Risikobewertungen und -management.
3. Transparenz und Kommunikation:
-
- Aufklärung der Arbeitnehmer: Klar kommunizieren, wo und wann KI-Systeme eingesetzt werden, und sicherstellen, dass Arbeitnehmer und Nutzer über die Verarbeitung ihrer Daten informiert sind.
- Erklärbarkeit der KI: Systeme sind so zu gestalten, dass sie ihre Entscheidungsprozesse erklären können und Arbeitnehmer dies erkennen und verstehen können.
4. Schulung und Sensibilisierung der Arbeitnehmer:
-
- Weiterbildung: Schulung der Arbeitnehmer im Umgang mit KI-Systemen und den damit verbundenen ethischen und rechtlichen Implikationen.
- Bewusstsein: Förderung eines Bewusstseins für Datenschutz und ethische Nutzung von KI innerhalb des Unternehmens.
5. Datenschutz und Sicherheit:
-
- Datenschutzkonformität: Sicherstellen, dass alle KI-Systeme den Datenschutzanforderungen entsprechen, insbesondere der DSGVO.
- Sicherheitsmaßnahmen: Implementierung von Maßnahmen zum Schutz vor Datenlecks und unbefugtem Zugriff auf sensible Daten.
6. Verantwortung und Haftung:
-
- Interne Verantwortlichkeiten: Klare Definition von Verantwortlichkeiten innerhalb des Unternehmens zur Überwachung der Einhaltung der KI-Verordnung.
- Haftung: Vorbereitung auf mögliche Haftungsfragen im Falle von Verstößen oder Problemen mit KI-Systemen.
Zeitplan der Umsetzung der EU-KI-Verordnung für Arbeitgeber in Deutschland
Die EU-Verordnung über Künstliche Intelligenz wurde im Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und tritt am 1. August 2024 in Kraft. Die Umsetzung erfolgt schrittweise wie folgt:
1. 6 Monate nach Inkrafttreten (Februar 2025):
-
- Verbotene KI-Praktiken: Bestimmungen zu verbotenen KI-Systemen werden wirksam. Dazu gehören KI-Systeme, die manipulative Techniken oder die Verwundbarkeit von Personen ausnutzen.
2. 12 Monate nach Inkrafttreten (August 2025):
-
- Benannte Stellen und allgemeine KI-Anwendungen: Anforderungen an benannte Stellen und allgemeine KI-Anwendungen werden wirksam. Nationale Behörden müssen eingerichtet und operative Regelungen geschaffen werden.
3. 24 Monate nach Inkrafttreten (August 2026):
-
- Hochrisiko-KI-Systeme: Die meisten Bestimmungen für Hochrisiko-KI-Systeme werden anwendbar. Dies betrifft KI-Systeme in Bereichen wie biometrische Identifizierung, kritische Infrastrukturen und Arbeitsrecht.
4. 36 Monate nach Inkrafttreten (August 2027):
-
- Erweiterte Pflichten für Hochrisiko-KI-Systeme: Pflichten für Hochrisiko-KI-Systeme, die als Sicherheitskomponenten verwendet werden, treten in Kraft.