KI-Anwendungen sind in aller Munde und versprechen Revolutionen, sei es im Kleinen beim Schreiben von E-Mails oder im Großen bei der Steuerung von Lieferketten. Der Hype hat auch die Niederungen des Arbeitsrechts erreicht, wie eine Entscheidung des Arbeitsgerichts Hamburg (Az.: 24 BVGa 1/24) zeigt. Diese soll als Anlass für einen Überblick dienen, worauf es bei der Einführung von KI-Systemen aus betriebsverfassungsrechtlicher und KI-rechtlicher Sicht ankommen kann.
Der Inhalt im Überblick
Wer wollte welche KI im Betrieb einsetzen?
Der Entscheidung lag eine Standardkonstellation zugrunde. Der Arbeitgeber plante die Einführung von Chat GPT zur Unterstützung der Arbeitnehmer. Indes verlangte der Betriebsrat postwendend die Abschaltung, da die Einführung ohne Mitbestimmung seine Rechte u.a. in folgenden Bereichen verletze:
Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung (…) zu überwachen (§ 87 Abs. 1 Nr. 6 BetrVG)
und
(…) Planung (…) von Arbeitsverfahren und Arbeitsabläufen einschließlich des Einsatzes von Künstlicher Intelligenz (§ 90 Abs. 1 Nr. 3 BetrVG).
Mangels Einigung in der Frage beantragte der Betriebsrat die Unterlassung der Zurverfügungstellung.
Durfte die KI im Betrieb eingeführt werden?
Das Arbeitsgericht Hamburg wies, in dem von uns zuvor besprochenem Urteil, den Antrag des Betriebsrats als unbegründet zurück. Zusammengefasst meinte es, die betriebliche Nutzung von Chat GPT über private Accounts der Mitarbeiter untergrabe keine absoluten Mitbestimmungsrechte des Betriebsrats.
Weitere Anforderung an die Einführung von KI im Betrieb
Ist damit alles gesagt, was bei der Einführung von KI im Betrieb zu beachten ist? Nein, denn anders als das Arbeitsgericht Hamburg darf sich der Arbeitgeber nicht auf die arbeitsrechtliche Perspektive beschränken, sondern muss das gesamte Regelungsumfeld von KI berücksichtigen. Vorbehaltlich speziellerer Gesetze sind das primär die KI-Verordnung (KI-VO) und die DSGVO. Auf die DSGVO wird im weiteren nicht speziell eingegangen, um den Artikel nicht zu überfrachten.
Maßstäbe der KI-Verordnung bei der betrieblichen Einführung von KI
Folgende Maßstäbe ergeben sich aus der KI-Verordnung bei der betrieblichen Einführung von KI:
Ist KI drin oder steht nur KI drauf?
Die KI-VO ist nur dann relevant, wenn nicht nur KI draufsteht, sondern nach der Definition der KI-VO auch KI drin ist. Dies ist nach der selbstverständlichen Definition der Verordnung der Fall, wenn ein maschinengestütztes System
„(…) das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“ (Art. 3 Nr. 1 KI-VO).
Bricht man die Definition herunter, stellt sich die zentrale Frage nach dem Grad der Autonomie der Anwendung. Diese Frage dürfte sich aber vor allem im Rahmen der Entwicklung von KI stellen, weniger aber für den Käufer solcher Systeme.
Wer bin ich, wie viele und was will ich mit der KI machen
Wie in Richard III – einem famosen Drama von Shakespeare – kennt die KI-Verordnung ein Geflecht von Rollen. Firmen, die KI für Betriebszwecke nutzen wollen, dürften zumeist entweder
- Anbieter (Art. 3 Nr. 3 KI-VO),
- oder Betreiber (Art. 3 Nr. 4 KI-VO) sein.
Als Technokraten der KI-Revolution sind Anbieter am strengsten reguliert. Anbieter ist jede
„(…) Stelle, die ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickelt oder ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickeln lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht.“
Dem steht der weniger regulierte Betreiber als Endnutzer gegenüber: Betreiber ist eine
„(…) die ein KI‑System in eigener Verantwortung verwendet, es sei denn, das KI‑System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet.“
Diese werden mit den anderen Akteuren der KI-VO unter dem Begriff „Akteur“ zusammengefasst (Art. 3 Nr. 8 KI-VO).
Als Faustformel kann gelten, wer mit KI arbeitet ist Betreiber, wer KI bearbeitet, Anbieter. Will man Vermutungen anstellen dürften die meisten Arbeitgeber Betreiber sein. Bei den Anbietern mag sich über Zeit eine hochgradige Spezialisierung auf bestimmte Arten von KI herausbilden.
Wann will ich beginnen?
So sehr die KI-Verordnung auch in aller Munde ist, ist sie noch nicht anwendbares Gesetz. Vielmehr richtet sich die Anwendbarkeit nach einem System gestaffelter Übergangsfristen (Art. 113 KI-VO).
Die KI-Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft, also am 2. August 2024. Inkrafttreten bedeutet, dass die KI-Verordnung zwar Gesetz geworden ist, ihre Regelungen aber noch nicht befolgt werden müssen. Vielmehr ist eine stufenweise Einführung gewollt, die grob wie folgt ablaufen soll: Zunächst gelten 6 Monate nach Inkrafttreten die Regelungen zu den verbotenen KI-Systemen. 24 Monate nach Inkrafttreten soll der Großteil der Regelungen der KI-VO gelten, wie z.B. die Transparenzpflichten für generative KI-Systeme. Eine Ausnahme bilden die Pflichten für Hochrisiko-KI-Systeme, für die differenziert eine Übergangsfrist von 36 Monaten nach Inkrafttreten für KI-Systeme nach Art. 6 Abs. 1 KI-VO und von 24 Monaten nach Inkrafttreten für KI-Systeme nach Art. 6 Abs. 2 KI-VO gilt.
Welches Risiko habe ich und welche Konzepte brauche ich?
Kernstück – qua die Piemont-Kirsche – der KI-VO ist ein risikobasierter Ansatz, laut dem KI mehr oder minder streng reguliert sein soll. Unterschieden wird zwischen folgenden Risikoklassen:
- inakzeptables Risiko (Kapitel II)
- hohes Risiko (Kapitel III)
- Anforderungen unabhängig vom Risiko (Kapitel IV)
Darüber hinaus führt die Verordnung Regelungen für KI-Modelle für allgemeine Zwecke ein (Kapitel V).
Während der in Kapitel II beschriebene Einsatz von KI generell verboten ist, treffen Betreiber nach den Kapiteln III bis IV Pflichten zur Dokumentation, Transparenz und Sicherheit. Beispielhaft genannt müssen Betreiber von Hochrisiko-KI nach Kapitel III:
- KI-Kompetenzen aufbauen und nur kompetenten Personen die Benutzung erlauben (26 Abs. 2 KI-VO),
- Überwachungskonzepten (Art. 26 Abs. 5 KI-VO)
- Aufbewahrungskonzepten für die Betriebsprotokolle (Art. 26 Abs. 6 KI-VO).
- Prozesse zur Aufklärung von Arbeitnehmern (Art. 26 Abs. 7 KI-VO)
- und zur Aufklärung sonstiger Betroffener (Art. 26 Abs. 11 KI-VO).
erstellen.
Im Prinzip ist es Ziel all dieser Pflichten durch eine umfassendes Regulatorik in den Bereichen:
- Risikomanagement (Art. 9 KI-VO),
- Daten- und Datenverwaltung (Art. 10 KI-VO),
- Technische Dokumentation (Art. 11 KI-VO),
- Aufbewahrung von Aufzeichnungen / Dokumentation (Art. 12 KI-VO),
- Transparenz und Informationspflichten (Art. 13 KI-VO),
- Menschliche Beaufsichtigung (Art. 14 KI-VO) und
- Genauigkeit, Robustheit und Cybersicherheit (Art. 15 KI-VO)
bereits im Vorfeld etwaige Gefahren der Hochrisiko-KI für die Grundrechte und Grundfreiheiten zu minimieren und kontrollierbarer zu machen. Easy peasy lemon squeezy oder nicht?
Darüber hinaus wird bei der Einführung solcher KI in der Regel eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und ggf. eine Grundrechts-Folgenabschätzung (Art. 27 KI-VO) notwendig sein.
Betreiber und Anbieter einer nur unter Kapitel IV fallenden KI zur Synthetisierung oder Manipulation von Inhalten müssen dagegen nur offenlegen, ob und welche der Inhalte von der KI stammen (Art. 50 Abs. 2, Abs. 4 KI-VO). Ferner besteht eine generelle Pflicht zu informieren, wenn Personen mit einer KI in Interaktion treten (Art. 50 Abs. 1 KI-VO). Bei dieser besteht keine Pflicht zur Grundrechte-Folgenabschätzung (Art. 27 KI-VO), jedoch kann potenziell immer noch eine Datenschutz-Folgeabschätzung zu durchlaufen sein (Art. 35 DSGVO). Hier wird viel von einzelnen Argumenten abhängen, was für oder gegen eine hohe Grundrechts-Invasivität spricht.
Im Ergebnis gilt aber für alle Akteure, dass sie einer engmaschigen Regulatorik unterliegen, bei der es wohl leichter ist, den Anforderungen nicht zu genügen als andersherum.
Die betriebliche Einführung von KI – eine Sisyphusarbeit
„Der Kampf gegen Gipfel vermag ein Menschenherz auszufüllen. Wir müssen uns Sisyphos als einen glücklichen Menschen vorstellen.“ So lauten die letzten Zeilen in Camus „Der Mythos des Sisyphos“. Dieser Gedanke mag auch dem europäischen Gesetzgeber bei der Verabschiedung der KI-Verordnung gekommen sein, hat er doch die Regulierung kleinteilig, komplex und dazu sprachlich ausgestaltet. Insofern dürfte die betriebliche Einführung von KI vielfach eine sisyphusartige Aufgabe sein, die es – trotz möglicher Rückschläge – nach bestem Wissen und Gewissen umzusetzen gilt.
Vielen Dank für diese ausführliche Zusammenfassung.
Oben im Text wird fälschlicherweise von „Bereitstellern“ statt „Anbietern“ gesprochen und auf Absätze des Artikel 3 KI-VO eingegangen, die es nicht (mehr?) gibt. Auch die Definition von Bereitstellern gibt es nicht mehr.
Die zahlreichen, genannten Pflichten gelten doch nicht für ALLE KI-Betreiber, sondern u.a. für jene, die hochriskant sind, oder? Das sollte man auf jeden Fall differenziert beschreiben.
Danke für den Hinweis. Haben wir korrigiert.
Wie immer eine sehr hilfreiche Übersicht. Ihr habt allerdings Betreiber und Bereitsteller verwechselt. Art. 3 Abs. 4 AIA definiert die Betreiber und nicht die Bereitsteller. Und in Art. 3 Abs. 8 AIA werden die diversen Rollen als „Akteure“ zusammengefasst und nicht als Betreiber.
Danke für den Hinweis. Haben wir korrigiert.