Einleitung
Der Vormarsch der „Künstlichen Intelligenz“ ist längst kein Thema, das nur Hollywood beschäftigt, sondern gehört inzwischen zum Unternehmensalltag. Auch in der Arbeitswelt wird zukünftig die Nutzung von KI-gestützten Systemen immer mehr an Bedeutung erlangen. Ob es sich um die Vorauswahl von Bewerbungen, die Erstellung von Schichtplänen oder die Leistungsbewertung der Mitarbeiter handelt, die KI kann hier zum hilfreichen und zeitsparenden Tool für jeden Personaler werden. Damit wird die KI auch die Arbeit im Personalbereich zukünftig nachhaltig verändern und einen Großteil der Arbeit übernehmen.
Bereits jetzt sollten Unternehmen sich darüber bewusst werden, welche Systeme im täglichen Einsatz sind und gegebenenfalls, welches Risiko sich hier hinter verbergen kann. Eine frühzeitige Schaffung von entsprechenden unternehmensinternen Compliance-Strukturen wird dazu führen, Rechtssicherheit für eine konforme Nutzung und Vertrauen der Beschäftigten in die Nutzung zu schaffen. Hierbei sollte Transparenz gegenüber den Mitarbeitern, eine enge Abstimmung mit dem Betriebsrat und eine sorgfältige Dokumentation berücksichtigt werden.
Die Europäische Union hat insoweit erkannt, dass die Nutzung der KI sowohl eine Chance, hierneben aber auch ein gewisses Risiko birgt und versucht einen rechtlichen Rahmen für die rechtskonforme Nutzung entsprechender Systeme zu schaffen. Ziel der KI-Verordnung ist es hierbei, die Grundrechte einzelner Personen zu schützen, Rechtssicherheit für die Unternehmen zu schaffen und die Innovation in Bezug auf die Nutzung von KI-Systemen zu fördern. Gerade in der Arbeitswelt ist dieses Thema aber auch mit Vorsicht zu genießen. Personalentscheidungen können über berufliche Chancen sowie Existenzen entscheiden, zu Diskriminierung führen und damit eine nicht unbeachtliche Grundrechtsrelevanz entwickeln.
Nachfolgender Text soll einen kurzen Überblick über den Inhalt der inzwischen verabschiedeten KI-Verordnung (auch „AI-Act“) im Hinblick auf das Thema Personalwesen verschaffen:
Überblick über die Verordnung (Risikobasierter Ansatz im HR)
Grundsätzlich lässt sich festhalten, dass die KI-Verordnung einen risikobasierten Ansatz wählt und die jeweiligen KI-Systeme entsprechenden Risikokategorien zuordnet. Je höher das Risiko für rechtswidrige Eingriffe in die Grundrechte, Gesundheit oder Sicherheit eingestuft wird, desto strenger werden die hieraus resultierenden Pflichten der Unternehmen. Die KI-Verordnung kennt insoweit vier verschiedene Kategoriestufen:
-
Verbotene KI
-
Hochrisiko-KI
-
KI mit begrenztem Risiko
-
KI mit minimalem Risiko
a) Verbotene KI-Praktiken (gem. Art. 5 AI-Act)
Dem Gesetzgeber der EU war wichtig im Rahmen der KI-Verordnung kein reines Verbotsgesetz, sondern vielmehr einen Regulierungsrahmen zur Nutzung von KI zu erschaffen. Die KI-Verordnung verbietet insoweit grundsätzlich die Anwendung bestimmter KI-Systeme, die aufgrund des tiefgreifenden Eingriffs in Grundrechte mit unserer Rechtsordnung nicht vereinbar wären. Hierunter fallen u. a.:
-
Soziales Scoring: Bewertung des sozialen Verhaltens von Bürgern mit Folgen für Rechte und Chancen.
-
Subliminale (unterbewusste) Manipulation: KI, die Menschen unterbewusst beeinflusst, um Verhalten erheblich zu verändern.
-
Ausnutzung von Schwächen: Systeme, die Schwächen ausnutzen, bspw. wenn Kinder oder ältere Menschen gezielt manipuliert werden.
-
Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (z. B. Gesichtserkennung in Innenstädten) – nur sehr enge Ausnahmen (z. B. Terrorabwehr).
Diese Verbote spielen im HR weniger eine Rolle, sind aber wichtig, um die Grenzen des Zulässigen zu verstehen. Übertragen auf die arbeitsrechtliche Praxis wären, somit insbesondere Systeme zur Emotionserkennung oder biometrischen Kategorisierung im HR-Kontext tabu.
Beispiele für eventuelle Kernverbote im arbeitsrechtlichen Zusammenhang:
-
Manipulation & Ausnutzung von Vulnerabilitäten: KI, die mit unterschwelligen bzw. gezielt manipulativen/dezeptiven Techniken das Verhalten wesentlich verzerrt und dadurch voraussichtlich erheblichen Schaden verursacht, ist untersagt; ebenso das Ausnutzen von Alter, Behinderung oder sozialer/ökonomischer Lage.
-
Sozialbewertung („Social Scoring“): Bewertung oder Klassifizierung von Personen über einen längeren Zeitraum anhand ihres Sozialverhaltens bzw. (vermeintlicher) Persönlichkeitsmerkmale mit nachteiligen Folgen ist verboten. Für die HR-Praxis: „Punktesysteme“ über Mitarbeiterverhalten quer über Kontexte sind unzulässig.
-
Emotionserkennung in Arbeitsverhältnissen: Klares HR-Verbot – der Einsatz von KI zur Emotionserkennung am Arbeitsplatz ist untersagt; z. B. „Stimmungs-Detektoren“ in Call-Centern.
-
Verbotene biometrische Kategorisierung: KI, die Menschen anhand biometrischer Daten nach sensiblen Kategorien (z. B. rassische/ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, Religion, Sexualleben/-orientierung) einordnet oder daraus schließt, ist unzulässig.
b) Hochrisiko-KI-Systeme (gem. Art. 6 ff. AI-Act)
Den größten rechtlichen Rahmen zeichnet die KI-Verordnung für die sogenannten Hochrisiko-KI-Systeme. Diese Systeme stellen den Kernbereich der Verordnung dar. Ein KI-System wird als hochrisikorelevant eingestuft, wenn dieses in besonders sensiblen Bereichen eingesetzt wird und Fehlfunktion oder Missbrauch der Systeme zu erheblichen Konsequenzen führen kann.
Sobald ein Tool also spürbar in Rechte von Menschen eingreift und nicht bereits nach Art. 5 verboten ist, fällt es in der Regel in die Hochrisiko-Kategorie, was damit zur Anwendbarkeit der strengen Anforderungen des Gesetzes für Hochrisiko-KI-Systeme führt. Welche Pflichten hieraus resultieren, kommt darauf an, ob man als Anbieter oder Betreiber der Software fungiert (s.u.).
Unter diese Kategorie fällt zum Beispiel KI, die in Produkten, der in Anhang I der Verordnung aufgeführten EU-Rechtsvorschriften, implementiert wird und hierdurch gewisse Sicherheitsrelevanz aufweist oder selbst solche Produkte , der in Anhang I der Verordnung aufgeführten EU-Rechtsvorschriften, darstellt (bspw. KI in Medizinprodukten, Fahrzeugen, Maschinen etc.).
Hierneben werden bestimmte, im Anhang III zur KI-Verordnung gelistete KI-Anwendungen als hochrisikorelevant für persönliche Grundrechte eingestuft. Hierunter fallen u. a. auch zahlreiche Anwendungen im HR- bzw. Personalbereich, da der Bereich Beschäftigung/Arbeitnehmermanagement ausdrücklich in Anhang III genannt wurde.
Gerade im HR-Bereich wird man mit diesen KI-Systemen also häufig konfrontiert sein.
Beispiele für Hochrisiko-KI (HR-Praxis)
1) Lebenslauf-Vorsortierung (ATS-Ranking, Hochrisiko)
Ein System sortiert z. B. 300 Bewerbungen nach klaren Jobkriterien: „Java-Erfahrung ≥ 2 Jahre“, „Deutsch mindestens B2“, „Bereitschaft für Rufbereitschaft“. Die Software erstellt eine Top-Liste; die ersten 20 Profile werden immer von einer Person geprüft und können überstimmt werden. Im Karriereportal steht ein kurzer Hinweis: „Zur Vorauswahl wird KI genutzt; eine Person prüft jeden Fall.“ Protokolliert werden Score, Datum, Prüfer:in und ggf. kurze Begründung für Abweichungen („Weiterbildung erkennbar, System nicht erkannt“).
2) Video-Interview (ohne Emotionserkennung, Hochrisiko)
Die Software transkribiert Antworten und vergleicht sie mit einer einfachen Bewertungsmatrix (z. B. „Frage: Debugging-Vorgehen – erwartete Punkte A/B/C“). Gefühle aus Mimik oder Stimme werden nicht erfasst; solche Funktionen sind deaktiviert bzw. nicht vorhanden. Wer kein Video möchte, kann stattdessen schriftlich antworten. Vor Start erscheint ein Klartext-Hinweis: „Transkription und fachlicher Abgleich, keine Emotionserkennung.“ Videos werden nur sehr kurz gespeichert (z. B. maximal 14 Tage), Transkripte bis zum Abschluss des Verfahrens.
3) Produktivitäts-Dashboard (Leistungs-/Verhaltensdaten, Hochrisiko)
Angezeigt werden vor allem Arbeitskennzahlen wie erledigte Tickets, Durchlaufzeiten oder Rückstände – keine Tastenanschläge, keine Dauer-Screenshots. Auffälligkeiten erscheinen als Hinweis (z. B. Ampel), werden immer von einer Person im Kontext geprüft und führen nicht automatisch zu Maßnahmen. Beschäftigte sehen ihre eigenen Kennzahlen und können Erklärungen hinterlegen („Störung, viele Rückfragen“). Sichtrechte, Speicherfristen (z. B. 90 Tage) und ein Einspruchsweg sind festgelegt und dokumentiert.
4) Schicht- und Aufgabenplanung (algorithmische Zuteilung, Hochrisiko)
Die Planung folgt festen Regeln: gesetzliche Ruhezeiten, Qualifikationen, faire Rotation (z. B. max. zwei Wochenenden im Monat). Die KI macht Vorschläge; Disposition oder Teamleitung kann jederzeit korrigieren und gibt kurz einen Grund an („Tausch wegen Kinderbetreuung“). In einer Testphase werden KI-Vorschläge mit der bisherigen Planung verglichen. Regelmäßige Auswertungen prüfen, ob bestimmte Gruppen unbeabsichtigt benachteiligt werden; bei Auffälligkeiten werden Gewichte/Regeln angepasst.
Betreiber – Pflichten (Art. 26 AI-Act)
Setzt man solche KI unter eigener Verantwortung ein, werden einem als Nutzer dem sog. „Deployer“ (Betreiber) besondere Pflichten auferlegt (Art. 26 AI-Act). Im Folgenden wird ausschließlich auf den Deployer eingegangen, weil diese Anwenderrolle im HR-Bereich regelmäßig die praxisrelevantere Variante gegenüber dem Anbieter von KI-Systemen darstellt. Unter die Pflichten des Deployer fallen u. a.:
-
Der Betreiber muss durch Ergreifung technischer und organisatorischer Maßnahmen sicherstellen, dass die Systeme so genutzt werden, wie es der Anbieter in der Gebrauchsanweisung dokumentiert hat.
-
Weiterhin muss eine menschliche Aufsicht gewährleistet werden. Insoweit müssen Menschen mit ausreichender Kompetenz, Ausbildung und Befugnissen eingesetzt werden, welche die Entscheidung der KI verstehen, prüfen und übersteuern können. Hierbei muss es sich nicht unbedingt um Arbeitnehmer handeln, vielmehr können dies auch externe Dienstleister sein.
-
Weiterhin ist der Betreiber verpflichtet, den Betrieb des Systems zu überwachen und gegebenenfalls den Anbieter der KI-Systeme über entsprechende Risiken zu informieren.
-
Weiterhin sind Betreiber zur Aufbewahrung der erzeugten Logdaten beziehungsweise Protokolle für mindestens sechs Monate verpflichtet.
-
Ebenfalls sind die Beschäftigten im Unternehmen zu informieren. D. h. vor Inbetriebnahme am Arbeitsplatz sind die betroffenen Beschäftigten und Arbeitnehmervertreter darüber zu informieren, dass entsprechende KI-Systeme mit Hochrisikorelevanz eingesetzt werden, sowie die Arbeitnehmer darüber zu informieren, dass sie den Entscheidungen einer Hochrisiko-KI in Bezug auf die Personen unterliegen.
-
Weiterhin können Betroffene vom Arbeitgeber eine verständliche Erklärung verlangen, wie ein KI-System bei einer Entscheidung mitgewirkt hat und welche Gründe ausschlaggebend waren. Das gilt, wenn die Entscheidung auf einem Hochrisiko-KI-System beruht, rechtliche oder erhebliche Auswirkungen hat und als nachteilig für Gesundheit, Sicherheit oder Grundrechte empfunden wird.
-
Ebenso sollte darauf geachtet werden, dass der Betriebsrat einbezogen und ggf. eine Betriebsvereinbarung über KI festgehalten wird.
Hochrisiko-Compliance im Unternehmen
Um eine entsprechende Hochrisiko-Compliance im Unternehmen zu etablieren, sollte also eine saubere Bestandsaufnahme der Systeme durchgeführt werden. Insbesondere sollte geprüft werden, welche Systeme wofür eingesetzt werden, wohin die Daten jeweils fließen, welche Rechte betroffen sind oder welche Entscheidungen beeinflusst werden.
Beispielhafte Aufführung von Punkten in einer gedanklichen Checkliste:
-
Bestandsaufnahme: Welche KI nutzen wir wofür? Betrifft das Bewerber:innen/Mitarbeitende? Entscheidet die KI mit? Kann ich die Entscheidung selbst überblicken?
-
Unterlagen vom Anbieter: Konformität/CE, Anleitung, Grenzen, Genauigkeit, Support bei Vorfällen.
-
Aufsicht festlegen: Wer prüft? Ab welchen Entscheidungen ist eine Zweitmeinung Pflicht? Wie dokumentieren wir Overrules?
-
Transparenztexte: Kurzer Hinweis im Karriereportal/Handbuch.
-
Protokolle & Monitoring: Logs sichern, Fehlerquoten und mögliche Benachteiligungen regelmäßig prüfen.
-
Betriebsrat & Datenschutz: Früh einbeziehen, kurze Vereinbarung/Policy schreiben, Datenschutzfolgenabschätzung falls nötig.
-
Rote Linien: Emotionserkennung, biometrische Kategorisierung sensibler Merkmale, Social Scoring – verboten und intern ausdrücklich untersagt.
- etc……..
c) KI mit begrenztem Risiko und KI mit minimalem Risiko
Neben den vorgenannten KI-Systemen gibt es auch noch die KI-Systeme mit begrenztem oder minimalen Risiko.
KI mit begrenztem Risiko betrifft Anwendungen, die direkt genutzt werden, aber keine weitreichenden Personalentscheidungen auslösen. Dazu zählen etwa interne HR-FAQ-Assistenten, einfache Chat-Antworten zu Prozessen oder Tools, die Texte verständlicher machen. Wichtig ist eine nachvollziehbare Nutzung und die Möglichkeit, jederzeit an eine Person zu übergeben; Scores oder Profile über einzelne Personen sollten hier nicht entstehen.
KI mit minimalem Risiko sind alltägliche Hilfen wie Rechtschreib- und Grammatikprüfungen, Übersetzungshilfen oder Spam-Filter, die keine personalrelevanten Bewertungen erzeugen. Diese Systeme können grundsätzlich frei eingesetzt werden. Gute Praxis bleibt trotzdem: Datensparsamkeit, IT-Sicherheit und transparente interne Regeln, damit der Einsatz nachvollziehbar bleibt.
Ab wann gilt die KI-Verordnung (Zeitplan)
Die KI-Verordnung ist mit dem 1.08.2024 in Kraft getreten. Die KI-Verordnung beinhaltet insoweit jedoch eine schrittweise Durchsetzung. So sind bspw. ab Februar 2025 die Regelungen zu den verbotenen KI-Systemen in Kraft getreten und Unternehmen sind seitdem ebenfalls dazu angehalten, eine KI-Kompetenz-Struktur innerhalb des Unternehmens, bspw. durch Schulungen, vorzunehmen. Ab dem 2.08.2025 gelten zusätzliche Vorgaben für Grundmodelle (GPAI) und Governance-Strukturen. Ab dem 2.08.2026 wird der Großteil der übrigen Pflichtenanwendbar (einschließlich Hochrisiko-Regime). Weitere Übergangsfristen laufen bis zum 2.08.2027.