KI-Systeme haben sich rasant weiterentwickelt. Texte und Bilder sind schnell erstellt, doch um vor Missbrauch zu sch眉tzen, mussten regulierende Ma脽nahmen ergriffen werden. Am 1. August 2024 ist der AI Act in Kraft getreten. Zeit, zu kl盲ren was die KI-Verordnung听besagt und welche Auswirkungen der AI Act auf den 亿兆体育 HR Assistant hat. F盲llt dieser unter die Verordnung? Clemens Dorner, Senior Data Privacy Expert und Rechtsanwalt bei der 亿兆体育 Group hat die Antworten und erkl盲rt, was es rund um den AI Act zu wissen gibt.听听
Hinweis:听KI-Modell vs. KI-System
In der Verordnung wird zwischen KI-Modellen und KI-Systemen differenziert. Als sog. gro脽es Sprachmodell (engl. large language model, kurz: LLM) stellt z.B. OpenAI GPT 4 bereit. Darauf basieren verschiedene KI-Systeme, wie z.B. ChatGPT oder der Microsoft Copilot. Die Regulierung im听AI Act bezieht sich regelm盲脽ig auf KI-Systeme.
Der AI Act ist eine Verordnung der Europ盲ischen Union zur Regulierung von K眉nstlicher Intelligenz. Es ist ein Produktregulierungsgesetz. Anders als die Datenschutz-Grundverordnung (DSGVO), die die Betroffenen prim盲r sch眉tzen und den Umgang mit Daten regulieren soll, zielt der AI Act auf Produkte ab, auf KI-Modelle, auf KI-Systeme. Erst in zweiter Linie zielt es auf den Schutz von Personen und deren Daten ab.听听
Der Schutz der Nutzer:innen ist auf jeden Fall mitgedacht, weil die KI-Verordnung einen risikobasierenden Ansatz hat, wenn es um die Kategorisierung von KI-Systemen geht. Es ist vergleichbar mit dem Medizinproduktegesetz. Das setzt auch Standards f眉r Sicherheit, f眉r die Entwicklung von Medizinprodukten wie z.B. H枚rger盲te oder Sehhilfen und der gewollte Nebeneffekt ist nat眉rlich, dass man die Menschen, die mit diesen Medizinprodukten in Ber眉hrung kommen, sch眉tzt.听
Das ist eine sehr gute Frage und Kritik kam nat眉rlich vor allem aus der Wirtschaft, weil wieder ein Bereich reguliert wird, der in den letzten Jahren gro脽e Schritte gemacht hat. Plakativ gesagt, macht der AI Act da nun den Deckel drauf. Oft hei脽t es: China und Amerika sind Vorreiter im Bereich der KI-Entwicklung und Europa im Bereich der KI-Regulierung.听听
Doch diese Regulierung kommt nicht von ungef盲hr. Jeder kennt inzwischen Beispiele der Nutzung von KI und wei脽, welchen Einfluss sie auf die reale Welt haben kann, sei es durch Falschinformationen in schriftlicher oder auch in Form von Bildern. Hat man fr眉her ein Video oder ein Bild gesehen, dann war das Beweis genug, dass ein Ereignis wie dargestellt stattgefunden hat 鈥 diese Sicherheit gibt es nicht mehr, weil alles mit KI reproduzierbar ist. Die KI-Verordnung sieht in solchen F盲llen vor, dass man verpflichtet ist, mit KI generierte Inhalte als solche zu kennzeichnen.听
In HR-Abteilungen kann ein KI-Modell beispielsweise bei der Sortierung von Bewerbungen helfen. Wurde das System mit Lebensl盲ufen aus dem Unternehmen trainiert, 鈥瀢ei脽鈥 die KI, welche Lebensl盲ufe eher den Vorstellungen des Unternehmens entsprechen鈥 das kann zum einen der Wohnort sein, es kann aber auch schnell ein Bias entstehen, wenn das Unternehmen bislang wenig Wert auf Diversit盲t in der Belegschaft gelegt hat. Die KI-Verordnung soll so etwas verhindern.听听
KI-Systeme sind f眉r die Verordnung nach Art. 3 Abs. 1 AI Act wie folgt definiert worden:听听
"ein maschinengest眉tztes System, das f眉r einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsf盲hig sein kann und das aus den erhaltenen Eingaben f眉r explizite oder implizite Ziele ableitet, wie Ausgaben, wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen k枚nnen."听
Aktuell ist der HR Assistant kein KI-System und damit nicht vom AI Act betroffen. Ein KI-System zeichnet sich auch dadurch aus, dass es antizipiert, was Nutzer:innen wissen m枚chten und die Antwort dann generiert bzw. aus den Trainingsdaten ableitet. Der HR Assistant folgt einem Entscheidungsbaum. Wie in einer Bibliothek, greift der HR-Chatbot in ein Regal und gibt dem Nutzenden die bereitgestellte Antwort.
Mit der Umstellung vom Machine Learning auf ein LLM (Large LanguageModel) f盲llt der Chatbot unter Artikel 3 des AI Act. Dann ist der n盲chste Schritt zu pr眉fen in welche Risikokategorie das System f盲llt. Darin gibt es vier Kategorien - die unzul盲ssigen sind bspw. auf Verhaltensmanipulation oder Social Scoring ausgerichtet. Darunter fallen auch KI-Systeme, die Vorhersagen zur m枚glichen Straff盲lligkeit machen soll 鈥 sie analysiert einen Menschen, guckt sich sein Verhalten an, seine Historie, was er aktuell macht und sagt wie wahrscheinliches ist, dass er straff盲llig wird.听
Geht man beispielsweise davon aus, dass man mithilfe eines KI-Systems eine Person sucht, die vermisst wird oder wegen des Verdachts einer Straftat gesucht wird, dann w眉rde es sich dabei um ein Hochrisiko-KI-System handeln, jedoch kein unzul盲ssiges. Denn die KI w眉rde die Person nur identifizieren, aber keine eigenst盲ndige Bewertung durchf眉hren.听听
Der HR-Chatbot w眉rde wahrscheinlich in die Kategorie 鈥濳I-Systeme mit hohem Risiko鈥 fallen. Man muss das allerdings nicht als Warnsignal sehen. Es ist die Kategorie f眉r KI-Systeme mit h枚heren Anforderungen an Anbieter und Betreiber. Weitere ausschlaggebende Faktoren f眉r die Klassifizierung sind auch Personalmanagement und der berufliche Kontext, in dem es zum Tragen kommt.听听
Die zwei Hauptakteure sind der Anbieter, in diesem Fall also 亿兆体育, und der Betreiber. Der Betreiber ist derjenige oder das Unternehmen, das das KI-System zur Nutzung bereitstellt. Das ist nicht die IT oder Personalabteilung 鈥 die juristische Person ist das Unternehmen. Es ist wirklich ein gro脽er Blumenstrau脽 an Pflichten 鈥 zu viele, um sie hier aufzuz盲hlen. Doch die Pflichten sind gestaffelt 眉ber einen l盲ngeren Zeitraum. Der Betreiber hat viele unterschiedliche Pflichten, aber nicht so viele wie der Anbieter:听
Man darf sich von der Angst nicht l盲hmen lassen, 听
denn KI kann eine Menge Arbeit abnehmen.听
In meinem vorherigen Job als externer Datenschutzbeauftragter habe ich mir von der KI eine Datenschutzerkl盲rung erstellen lassen. Nat眉rlich habe ich es noch auf Kundenbed眉rfnisse angepasst und etwas 眉berarbeitet, aber das Grundger眉st stand und ich habe mir eine Stunde Arbeit gespart. Und das ist auch eine Pflicht 鈥搈an muss den Mitarbeitenden zeigen, was das System kann und wie es wirklich helfen kann.听听
Nein, gar nicht! Wir arbeiten ja auch bei KI-Systemen so, dass sie nicht mit personenbezogenen Daten oder sensiblen Informationen trainiert werden und vor allem werden die Daten der Kunden und Kundinnen nicht f眉r Trainingszwecke genutzt. OpenAI wurde das ja vorgeworfen. Sind Daten einmal in dem LLM, k枚nnen sie nicht wieder 鈥瀡ergessen鈥 werden.听听
Hochrelevantes geistiges Eigentum von Unternehmen darf nicht in die Welt entlassen werden, daf眉r unterschreiben wir Vertraulichkeitsvereinbarungen (NDA) und ein Versto脽 h盲tte dann arbeitsrechtliche Konsequenzen. Um das zu verhindern, gibt man der KI vor, dass sie keine Eingabedaten f眉r Trainingszwecke verwendet. Wenn die KI 眉bergeben wird, ist sie voll trainiert. Sie nimmt dann keine Information mehr aus den Anfragen an und reproduziert sie dann an anderer Stelle. Je nach KI-Modell kann z. B. der HR-Chatbot aber noch speziell mit Trainingsinformationen ausger眉stet und auf das Unternehmen angepasst werden. So bekommen Mitarbeitende dann z. B. die richtige Ansprechperson im Unternehmen genannt.听听
Es gibt einen ordentlichen Bu脽geldkatalog, 盲hnlich dem der DSGVO. Strafen m眉ssen demnach auch wirksam, verh盲ltnism盲脽ig und abschreckend sein. Je nach Versto脽 drohen Geldbu脽en bis zu 35 Mio. Euro oder bis zu 7 Prozent des weltweit erzielten Vorjahresumsatz 鈥 je nachdem welcher der beiden Betr盲ge h枚her ist. Bei international agierenden gro脽en Konzernen kann das eine enorm hohe Summe sein. Meta hat zuletzt wegen Verletzungen der DSGVO eine Strafe in Milliardenh枚he zahlen m眉ssen. Bei Google war es immerhin ein zweistelliger Millionenbetrag. Anbieter riskieren genau solche Strafen, wenn sie sich nicht an den AI Act halten. Die Bu脽gelder sollen aber auch eine abschreckende Wirkung haben, damit Anbieter nicht wie Meta und Google ohne zu fragen Kundendaten nutzen, um ihre LLM zu trainieren und diese Daten in die Welt entlassen.听
Aber Betreiber brauchen sich keine Sorgen machen, vor allem weil die KI-Verordnung eine Vielzahl an Compliance- und Governance-Pflichten beinhaltet. Nat眉rlich k枚nnen Bu脽gelder verh盲ngt werden, die aber nat眉rlich verh盲ltnism盲脽ig sind, wenn ein Unternehmen vors盲tzlich gegen den AI Act verst枚脽t.听听
Wie schon erw盲hnt, muss es eine regulierende Instanz geben 鈥 eine kompetente, ausgebildete und befugte Person. Anders als in der DSGVO, die explizit einen Datenschutz-Beauftragten erforderlich macht, ist die Position eines KI-Beauftragten im AI Act nicht explizit genannt, aber in Art. 4 angedeutet. Die Verantwortung kann auf mehreren Schultern verteilt werden. So ein KI-Team besteht dann z. B. aus einer Kollegin aus der Personalabteilung, die wei脽 wie die KI zum Einsatz kommt, einem IT-Kollegen, der sich mit den Schnittstellen auskennt und sich um die Protokolle k眉mmert und jemandem aus dem Datenschutz oder der Rechtsabteilung. Nat眉rlich gibt es dann unz盲hlige Schulungen zur KI-Verordnung.听听
Anbieter k枚nnen Kunden und Kundinnen unterst眉tzen, indem sie Dokumentationen mitliefern und bei der Einbindung tiefergehend unterst眉tzen. Sie听 k枚nnen Betreiber 眉ber ihre Pflichten aufkl盲ren, wie sie diese Pflichten umsetzen und z. B. Leitf盲den an die Hand geben. Formulare k枚nnen beispielsweise direkt eingebunden werden, um die Dokumentation zu erleichtern. 听
Maresa Lohmann arbeitet als Content Marketing Managerin in der 亿兆体育 Group. Ihr Fachwissen und ihre Praxiserfahrung aus der Personalarbeit nutzt sie, um komplexe Themen einfach zu erkl盲ren. Mit Freude setzt sie unterschiedliche digitale Medienformate ein, um Themen wie HR-Management, Digitale Personalakte, New Work oder Informationen rund um den HR-Chatbot zielgruppenspezifisch zu entwickeln.
