KI im Personalwesen

29. März 2024

Was sagt die KI-Verordnung dazu?

„KI-Systeme revolutionieren die (Personal-)Arbeit!“ so schallt es aus HR-Blogs, Fachmagazinen und Leitmedien. Kaum ein Anbieter digitaler HR-Anwendungen kommt noch ohne das Schlagwort “Künstliche Intelligenz“ aus. Gleich ob Programmatic Advertiser wie Jobvector, Bewerber- und Personalmanagementsysteme wie Rexx, Workday oder Personio oder Personalentwicklungsplattformen wie Zavvy, Sie alle werben mit KI in ihren Anwendungen. Sei es, dass die Schaltung von Stellenanzeigen „KI-optimiert“, das Lebenslauf-Parsing „KI-unterstützt“ oder das Personalcontrolling „KI-basiert“ erfolgt.

Dazu hat der europäische Gesetzgeber ein Gesetz zur Regelung von künstlicher Intelligenz, die KI-Verordnung, verabschiedet. Die Verordnung enthält unter anderem spezielle Vorschriften für KI-Systeme im HR-Kontext.

Infolgedessen müssen sich Personalverantwortliche sowie (Rechts-)Berater*innen intensiv mit dem Thema KI und der KI-Verordnung auseinandersetzen.

1. Was ist KI?

Alle reden von KI. Doch was ist darunter tatsächlich zu verstehen?

Die nachfolgende Beschreibung der „Künstlichen Intelligenz“ ist recht verständlich und ähnelt inhaltlich dem Begriff der KI, wie ihn die KI-Verordnung definiert (siehe dazu weiter unten): Künstliche Intelligenz ist der Überbegriff für Anwendungen, bei denen Maschinen menschenähnliche Intelligenzleistungen wie Lernen, Urteilen und Problemlösen erbringen. Die Technologie des maschinellen Lernens (ML) – ein Teilgebiet der künstlichen Intelligenz – lehrt Computer aus Daten und Erfahrung zu lernen und Aufgaben immer besser auszuführen. Ausgefeilte Algorithmen können in unstrukturierten Datensätzen wie Bildern, Texten oder gesprochener Sprache Muster erkennen und anhand dieser Entscheidungen selbstständig treffen.

1.1. KI im allgemeinen Sprachgebrauch

Im allgemeinen Sprachgebrauch wird nicht zwischen KI und Machine Learning (ML) unterschieden. Vielmehr wird der Begriff „künstliche Intelligenz“ dafür genutzt, einfache bis komplexe Algorithmen zu beschreiben. Dabei wird häufig von schwacher und starker KI gesprochen. Eine schwache KI ist etwa ein Lebenslauf-Parsing, bei dem ein Algorithmus anhand von Faktoren wie einer Schulnote Lebensläufe vorsortiert. Eine starke KI beschreibt dem gegenüber einen weit komplexeren Algorithmus, der etwa die Identifikation von erfolgreichen Mitarbeitern auf Basis von vorliegenden Performance-Daten und unter vorgegebenen Parametern vornimmt. Deutlich wird hier jedoch, dass stets mathematische Algorithmen im Raum stehen. Algorithmen basieren auf Wenn-Dann-Beziehungen und sind von den (durch Menschen) vorgegebenen mathematischen Rechenwegen und die vorhandene Datenbasis beschränkt beziehungsweise von diesen abhängig.

Auch ChatGPT wird im allgemeinen Sprachgebrauch als KI bezeichnet. Dabei handelt es sich um ein Large Language Model. Ein solches LLM errechnet auf einer sehr großen Datenbasis Wahrscheinlichkeiten, welche Wörter statisch am wahrscheinlichsten hinter einem anderen auftaucht. Nach welchen Wörtern ChatGPT dabei zu suchen hat, hängt von der Eingabe, dem Prompt ab. ChatGPT ist also auch nur ein – zugegeben komplexer – Algorithmus, der nach vorgegebenen Rechenwegen Wahrscheinlichkeiten berechnet.

ChatGPT kann selbst aber keine Inhalte erkennen und bewerten und insoweit auch keine Schlussfolgerungen treffen. (Eine andere Frage ist, ob das was ChatGPT, Midjourney & Co am Ende ausgeben nach menschlichem Verständnis „kreativ“ ist und in irgendeiner Form rechtlich geschützt sein könnte).

1.3. KI nach der KI-Verordnung

Sehen wir uns nun einmal an, wie Art. 3 Nr. 1 der KI-VO 7 „künstliche Intelligenz Systeme“ definiert:

„Ein KI-System ist ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann und nach seiner Einführung Anpassungsfähigkeit zeigt, und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen können.“

In Erwägungsgrund 6 (eine Interpretationshilfe des EU-Gesetzgebers zum neuen Gesetz) heißt es unter anderem weiter:

[…] Zu den Techniken, die beim Aufbau eines KI-Systems Inferenzen [logische Schlussfolgerungen] ermöglichen, gehören Ansätze des maschinellen Lernens, die aus Daten lernen, wie bestimmte Ziele erreicht werden können, sowie logik- und wissensbasierte Ansätze, die aus kodiertem Wissen oder einer symbolischen Darstellung der zu lösenden Aufgabe Inferenzen [Schlussfolgerungen] ziehen. Die Fähigkeit eines KI-Systems, Schlüsse zu ziehen, geht über die grundlegende Datenverarbeitung hinaus und ermöglicht Lernen, Schlussfolgerungen oder Modellierung.“

Erwägungsgrund 6 enthält auch eine Negativdefinition:

„[…] Der Begriff KI-Systeme […] sollte nicht für Systeme gelten, die ausschließlich auf von natürlichen Personen festgelegten Regeln zur automatischen Ausführung von Vorgängen beruhen […].“

Aus all dem folgt, dass ein KI-System eben ein „Mehr“ sein muss als Maschine Learning oder wissens- und logikgestützte Konzepte. Ein KI-System muss Schlussfolgerungen treffen können, die nicht auf von Menschen vorher festgelegten Regeln (Algorithmen oder Konzepten) beruhen, es muss diese selbst lernen, also ableiten können.

Meiner Auffassung nach existiert damit derzeit (auf dem Markt) keine KI im Sinne der KI-Verordnung. Aber das kann sich zum einen sehr schnell ändern. Zum anderen kann man über die These, es gäbe noch keine KI im Sinne der KI-Verordnung naturgemäß trefflich streiten und – schon aufgrund der offensichtlich vorhanden Graubereiche – wohl andere Auslegungen vertreten.

Dabei erlaube ich mir aber an dieser Stelle den Hinweis, dass auch ChatGPT als sogenanntes „General Purpose Artificial Intelligence System“, kurz GPAI, derzeit vermutlich noch nicht unter die KI-Verordnung fällt. Hier wird nämlich eine regulierungsbedürftige KI vermutet, wenn die gemessenen Floating Point Operations (FLOPs) größer als 10^25 sind. Es wird derzeit geschätzt, dass ChatGPT 4 bei 10^23 bis maximal 10^25 FLOPs liegt und demnach eben auch nicht unter die KI-Verordnung fiele.

Anders ausgedrückt: Die Definition von KI in der KI-Verordnung ist zukunftsgerichtet und soll verhindern, dass jede Software-Anwendung künftig sogleich als (regelungsbedürftiges) KI-System betrachtet wird.

2. Warum muss sich gerade HR mit der KI-Verordnung beschäftigen?

Neben der Frage, ob überhaupt ein KI-System im Sinne der Verordnung vorliegt, ist eine zweite Frage hochrelevant. Nämlich, die, ob ein „High Risk AI-System“, also ob ein Hochrisiko-KI-System vorliegt. Denn nur über diese (sowie die GPAI-Systeme) breitet die KI-Verordnung ein strenges Reglementierungskorsett aus.

2.1. KI-Systeme im Personalbereich gelten als Hochrisiko-KI-Systeme

Die KI-Verordnung definiert nicht nur, was im Rahmen der Verordnung als KI gilt, sondern auch in Art. 6 Abs. 2 in Verbindung mit Annex III, wann beziehungsweise in welchen Bereichen ein KI-System als Hochrisiko-System zu betrachten ist. Hier heißt es in Annex III, Ziffer 4:

4) Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit

  1. KI-Systeme, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere zur Schaltung gezielter Stellenanzeigen, zur Analyse und Filterung von Bewerbungen und zur Bewertung von Bewerbern;
  2. KI-Systeme, die dazu verwendet werden sollen, Entscheidungen zu treffen, die sich auf die Bedingungen des Arbeitsverhältnisses, die Beförderung und die Beendigung von Arbeitsvertragsverhältnissen auswirken, Aufgaben auf der Grundlage von individuellem Verhalten oder persönlichen Eigenschaften oder Merkmalen zuzuweisen und die Leistung und das Verhalten von Personen in solchen Verhältnissen zu überwachen und zu bewerten sowie das Verhalten von Personen in entsprechenden Beschäftigungsverhältnissen zu beobachten und zu bewerten.

KI-Systeme im Personalbereich gelten also grundsätzlich als Hochrisiko-Systeme.

2.2. Pflichten beim Betreiben von Hochrisiko-KI-Systemen

Die Betreiber von Hochrisiko-KI-Systemen unterliegen mannigfaltigen Anforderungen. Diese können im Rahmen dieses Artikels nicht alle dargestellt werden. Aber allein die nachfolgend beschriebenen „Allgemeinen Pflichten“ der Art. 9 bis 15 KI-VO geben einen guten Eindruck davon, wie regelungsintensiv der Einsatz von Hochrisiko-KI – zu Recht – sein wird:

Nach Art. 9 ist ein Risikomanagement zur steten Ermittlung von Risiken und dem schnellen Ergreifen von Maßnahmen als iterativer Prozess über den gesamten Lebenszyklus der KI zu betreiben.

Art. 10 verlangt eine strenge Data-Governance. Die Trainings-, Validierungs- und Testdatensätze müssen hohe Qualitätskriterien hinsichtlich der Herkunft, etwaiger Anreicherungen, der Relevanz und Zweckbezogenheit sowie der Vollständigkeit erfüllen. Dazu sind Merkmale berücksichtigen, die für das spezifische geografische, kontextuelle, verhaltensbezogene oder funktionale Umfeld des Zwecks des KI-Systems bedeutsam sind.

Vor dem Inverkehrbringen des Hochrisiko-Systems ist nach Art. 11 eine umfassende technische Dokumentation zu erstellen.

Während des gesamten Lebenszyklus ist nach Art. 12 eine fortlaufende Log-Protokollierung vorzunehmen, um die Funktionsweise der KI rückverfolgen und so gegebenenfalls Fehler erkennen und beseitigen zu können.

Art. 13 verlangt wiederum, Hochrisiko Systeme derart transparent zu entwickeln, das Nutzer des Systems die Ergebnisse interpretieren und – mittels beizuliegenden Gebrauchsanweisungen – ihrerseits den Endnutzern gegenüber ihren Informationspflichten nachkommen können. Weiter muss ein solches System gemäß Art. 14 durch eine kompetente menschliche Aufsicht, die in der Lage sein muss, Anomalien zu erkennen sowie zu beheben, fortlaufend überwacht werden. Und schließlich muss die IT-Sicherheit, hier Cybersicherheit genannt, fortlaufend gem. Art. 15 gewährleistet sein.

2.3. Folgen bei Verstößen gegen die KI-Verordnung

Verstöße gegen die vorgenannten Pflichten sind mit Bußgeldern von bis zu 15 Millionen Euro oder bis zu 3 Prozent des weltweiten Jahresumsatzes bewehrt. Daneben sind auch andere Maßnahmen wie die Untersagung der weiteren Verwendung von KI-Systemen möglich.

2.4. Ab wann gilt das alles?

Die KI-Verordnung soll im April 2024 vom EU-Parlament verabschiedet werden und tritt voraussichtlich im Frühsommer in Kraft. Regelungen in Bezug auf Hochrisiko-Systeme erlangen aber erst nach weiteren 36 Monaten Geltung.

2.5. Gibt es keine Ausnahmen?

Schon in der Universität wird den Student*innen eingebläut, Paragrafen bis zum Ende zu lesen. Schließlich kann sich in einem der hinteren Absätze immer noch eine Ausnahme verbergen, so auch hier. Im derzeitigen Art. 6 Abs. 2a KI-VO heißt es:

(2a) Abweichend von Absatz 2 gelten KI-Systeme nicht als mit hohem Risiko behaftet, […] wenn eines oder mehrere der folgenden Kriterien erfüllt sind:
a) Das KI-System ist dazu bestimmt, eine enge verfahrenstechnische Aufgabe zu erfüllen;
b) das KI-System ist dazu bestimmt, das Ergebnis einer zuvor ausgeführten menschlichen Tätigkeit zu verbessern;
c) das KI-System ist dazu bestimmt, Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und ist nicht dazu bestimmt, die zuvor durchgeführte menschliche Bewertung, ohne angemessene menschliche Überprüfung zu ersetzen oder zu beeinflussen; oder
d) das KI-System soll eine vorbereitende Aufgabe für eine Bewertung übernehmen, die für den Zweck der in Anhang III aufgeführten Anwendungsfälle relevant ist.

Gerade im Bereich der Personalarbeit sind Anwendungen denkbar, die unter diese Ausnahmen fallen können: Ein Lebenslauf-Parsing nach Noten wäre etwa eine enge verfahrenstechnische Aufgabe. Der Einsatz eines Online-Assessments könnte unter Ziffer b) fallen, da es hilft, den Auswahlprozess zu verbessern, in dem Bauchgefühle durch wissenschaftlich validierte Eignungsdiagnostik ersetzt werden. KI im Personalcontrolling könnte gegebenenfalls genderbasierte Abweichungen in Gehaltserhöhungen erkennen (Ziffer c)) oder aber Beschäftigte für Personalentwicklungsmaßnahmen identifizieren (Ziffer d)).

Selbst wenn eine KI-Anwendung also die Personalarbeit unterstützen sollte, bedeutet das nicht zwingend, dass eine solche als Hochrisiko-KI-Anwendung einzustufen ist. Gemäß Art. 6 Abs. 2b KI-VO muss eine solche Einschätzung allerdings dokumentiert und auf Anforderungen den Behörden übergeben werden.

3. Was bedeutet das alles konkret für das Personalwesen

Entscheidend ist bei all dem natürlich nicht, ob eine Anwendung mit „KI“ in den Marketingunterlagen wirbt, sondern ob es sich um KI im Sinne der KI-Verordnung handelt. Es ist daher auch davon auszugehen, dass der derzeitige Hype, jeden hilfreichen Algorithmus als „KI“ zu bewerben, mit Geltung der KI-Verordnung nachlassen wird.

Doch wie dem auch sei, wenn im Personalwesen „KI“-Anwendungen eingesetzt werden sollen, muss vor der Geltung der KI-Verordnung beziehungsweise, sollte die KI-Verordnung bereits Geltung erlangt haben, vor der Anschaffung und dem Einsatz der jeweiligen Anwendung zwingend geprüft werden, ob es sich dabei um

  • ein KI-System im Sinne der KI-Verordnung handelt.

Wenn dies eindeutig nicht der Fall ist, muss die Software-Anwendung nur die üblichen datenschutz- und arbeitsrechtlichen Anforderungen erfüllen. Wenn die Frage, ob es sich um ein KI-System im Sinne der KI-Verordnung handelt, nicht hinreichend verneint werden kann, dann muss weiter geprüft werden,

  • ob es sich um ein Hochrisiko-KI-System handelt, das ausnahmsweise nach Art. 6 Abs. 2a KI-VO nicht als mit hohem Risiko behaftet gilt.

Wenn auch dies verneint werden muss und es sich somit um eine Hochrisiko-KI im Bereich der Personalarbeit handelt, sind alle (oben genannten) Anforderungen und Pflichten der KI-Verordnung zu erfüllen.

Anders ausgedrückt: Personalleiterinnen obliegen bei der Nutzung oder Einführung von Software-Anwendungen, die KI-Systeme beinhalten könnten, neuen Verantwortlichkei- ten nach der KI-Verordnung zum Schutz ihrer Beschäftigten einschließlich der Bewerberinnen. Kommen sie diesen nicht nach, kann das erhebliche Folgen für die Arbeit in der Personalabteilung sowie aufgrund der im Raum stehenden Bußgelder für das gesamte Unternehmen haben. In diesem Sinne: Digitale Personalarbeit mit Hilfe von KI bleibt tatsächlich wie rechtlich spannend!

Über die Autorin

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.