Am 01. August 2024 ist die KI-VO in Kraft getreten. Diese soll einen verantwortungsbewussten Umgang mit Künstlicher Intelligenz sicherstellen. Die wichtigsten Regelungen möchten wir Ihnen in diesem und den folgenden Beiträgen näherbringen. In diesem Beitrag widmen wir uns der Risiko-Klassifizierung.
Risiko-Klassifizierung
Die KI-VO verfolgt einen risikobasierten Ansatz. KI-Systeme werden anhand ihrer Risiken gruppiert. Für jede Risiko-Gruppe sieht die KI-VO einen eigenen Pflichtenkatalog vor. Konkret wird unterschieden zwischen: Verbotenen KI-Systeme (inakzeptables Risiko), Hochrisiko-KI-Systeme (hohes Risiko) und KI-Systeme mit Transparenzpflichten (Transparenzrisiko). Zu beachten ist allerdings, dass KI-Systeme mit Transparenzpflichten zugleich auch Hochrisiko-KI-Systeme sein können, diese Einordnung also nicht die Einordnung zu einer anderen weiteren Gruppierung ausschließt. Bei verbotenen KI-Systemen werden die Transparenzpflichten allerdings obsolet.
KI-Systeme, die unter keine der genannten Risikogruppen fallen, gelten als KI-Systeme mit geringem bzw. normalem Risiko. Neben der Pflicht zur Sicherstellung einer KI-Kompetenz bei allen Beschäftigten, die diese Systeme nutzen, gelten für diese KI-Systeme keine spezifischen regulatorischen Anforderungen. Die Pflicht zur Sicherstellung einer KI-Kompetenz werden wir im nächsten Beitrag näher durchleuchten. Diese gilt unabhängig von der Risikoeinstufung für jedes KI-System.
Für Entwickler von KI-Modellen (also des algorithmischen Kerns eines KI-Systems) sind weitere Besonderheiten zu beachten, die im Folgenden allerdings nicht weiter thematisiert werden.
KI-Systeme, deren Einsatz mit einem inakzeptablen Risiko einhergeht, sind verboten (Vgl. Art. 5 KI-VO). Dazu gehören z.B. KI-Systeme, die Emotionen der Mitarbeitenden am Arbeitsplatz ableiten oder Social-Scoring-Systeme, also KI-Systeme, die eine Bewertung oder Einstufung von Personen oder Gruppen von Personen auf der Grundlage ihres sozialen Verhaltens oder bekannter, abgeleiteter oder vorhergesagter persönlicher Eigenschaften oder Persönlichkeitsmerkmale vornehmen.
KI-Systeme, mit deren Einsatz ein hohes Risiko einhergeht (Vgl. Art. 6 Abs. 1, 2 KI-VO i. V. m. Anhang I und III KI-VO) sind zulässig, sofern bei deren Einsatz der damit einhergehende umfangreiche Pflichtenkatalog aus der KI-VO eingehalten wird. Sofern ein solches KI-System eingesetzt werden soll, müssen u.a. neben Dokumentations- und Informationspflichten auch konkrete Aufsichtspflichten erfüllt werden. Der damit einhergehende Pflichtenkatalog ist allerdings so umfangreich, dass hier eine tiefergehende Auseinandersetzung mit dem KI-System und der KI-VO erforderlich sein wird. Beispiele für hochriskante KI-Systeme sind KI-Systeme, die für die Auswahl von Bewerbern eingesetzt werden sollen (z.B. Bewertung oder Filterung von Bewerbungen), KI-Systeme, die Entscheidungen treffen sollen, die die Bedingungen von Arbeitsverhältnissen, Beförderungen und Kündigungen beeinflussen, KI-Systeme, die die Leistung von Mitarbeitenden beobachten und bewerten sollen oder KI-Systeme, die zur Zuweisung von Aufgaben aufgrund von individuellem Verhalten oder persönlichen Merkmalen und Eigenschaften eingesetzt werden sollen.
Transparenzpflichten
Zudem gibt es für bestimmte KI-Systeme Transparenzpflichten (Vgl. Art. 50 KI-VO). Sofern beispielsweise mithilfe einer KI Texte erzeugt werden, die veröffentlicht werden sollen, können damit ggf. Transparenzpflichten einhergehen. Konkret meint dies, dass der Text als von einer KI erzeugt gekennzeichnet werden muss. Ebenso können Transparenzpflichten bei der Erzeugung oder der Manipulation von Bild-, Ton- oder Videoinhalten entstehen. Dies betrifft sogenannte „Deepfakes“, wobei zu beachten ist, dass Deepfakes nicht nur in Bezug auf Personen, sondern auch in Bezug auf Gegenstände, Orte, Einrichtungen oder Ereignisse generiert werden können.
Fazit
Wenn Sie als Betriebsrat über die geplante Einführung eines KI-Systems informiert werden, sollte Ihre erste Frage lauten: In welche Risiko-Gruppe lässt sich das KI-System bzw. die im Unternehmen geplante Nutzung einordnen? Entstehen dadurch zusätzliche Pflichten und werden diese eingehalten? Insbesondere KI-Systeme, die Mitarbeitende in irgendeiner Form bewerten sollen, können schnell ein hohes oder sogar inakzeptables Risiko darstellen. Die Kenntnis Risiko-Klassifizierung ist für den Betriebsrat daher besonders wichtig.
Im nächsten Beitrag widmen wir uns dem Thema KI-Kompetenz und Schulungspflichten für Beschäftigte.