Dieser Beitrag befasst sich mit den Anforderungen an KI-Systeme, die im Personalwesen eingesetzt werden, sowie mit den Verpflichtungen für Anbieter und Nutzer, die solche Systeme gemäß der EU-Verordnung über künstliche Intelligenz (KI-Verordnung) beantragen. Die KI-Verordnung verfolgt einen risikobasierten Ansatz, bei dem fünf Risikokategorien definiert werden und gleichzeitig zwischen KI-Systemen und KI-Modellen unterschieden wird. Aufgrund dieses Ansatzes bezieht sich die Einstufung des Risikos von KI-Systemen in erster Linie auf deren (möglichen) Zweck und/oder Wirkung.
System oder Modell
Im Hinblick auf die KI-Compliance müssen Anbieter und Betreiber ihre im Personalwesen eingesetzte KI-Technologie als KI-System oder KI-Modell einstufen, um die geltenden Compliance-Kriterien beurteilen zu können. Um die Einstufung zu bestimmen, werden zunächst die Kriterien für ein KI-Modell dargelegt. Die KI-Verordnung definiert ein (allgemeines) KI-Modell als KI-Technologie, die (1) mit einer großen Datenmenge unter Verwendung von groß angelegter Selbstüberwachung trainiert wurde, (2) einen erheblichen allgemeinen Charakter aufweist, (3) in der Lage ist, ein breites Spektrum unterschiedlicher Aufgaben kompetent auszuführen, und (4) in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden kann. Ausgenommen von dieser Definition sind KI-Modelle, die vor ihrer Markteinführung für Forschung, Entwicklung oder Prototyping verwendet werden.
Ein KI-System hingegen umfasst im Großen und Ganzen eine maschinenbasierte Technologie (1), die dafür ausgelegt ist, mit unterschiedlichen Autonomiegraden zu arbeiten, d.h. ohne menschliches Eingreifen, (2) die nach der Implementierung Anpassungsfähigkeit zeigen kann und (3) die aus den Eingaben, die sie erhält, ableitet, wie sie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generieren soll. Im Allgemeinen sind KI-Systeme nur in der Lage, eine bestimmte Aufgabe zu erfüllen, für die sie trainiert wurden, während KI-Modelle effektiv für eine breite Palette von Aufgaben eingesetzt werden.
KI-Systeme mit inakzeptablen Risiken
Der zweite Schritt betrifft die Risikoeinstufung der KI-Technologie. Einige KI-Tools, die für Personalzwecke eingesetzt werden, können unter die verbotene Kategorie fallen, da sie ein inakzeptables Risiko für (zukünftige) Arbeitnehmer darstellen. Zu dieser Kategorie gehören Emotionserkennungssysteme, die dazu dienen, Emotionen zu identifizieren oder abzuleiten. Eine Ausnahme gilt für den Einsatz von Emotionserkennungssystemen aus medizinischen oder sicherheitstechnischen Gründen. Eine umfassende Liste unzulässiger KI-Systeme finden Sie in unserem Blogbeitrag „Verbotene KI-Anwendungen“.
Dem Personalwesen ist es daher grundsätzlich untersagt, KI-Systeme einzusetzen, die ein inakzeptables Risiko mit sich bringen. Wenn die Systeme nicht unter diese verbotene Kategorie fallen, ist eine weitere Qualifizierung erforderlich.
KI-Systeme mit hohem Risiko
Es ist sehr wahrscheinlich, dass der Einsatz von KI-Systemen im Personalwesen ein hohes Risiko für (zukünftige) Arbeitnehmer darstellt. Die KI-Verordnung legt nämlich fest, dass KI-Systeme im Allgemeinen ein hohes Risiko mit sich bringen, wenn sie im Bereich der Beschäftigung eingesetzt werden. In diesem Zusammenhang werden zwei Spezifikationen genannt. Erstens fallen KI-Systeme unter diese Kategorie, wenn ihre Nutzung die Personalbeschaffung und die arbeitsbezogene Auswahl betrifft, wie beispielsweise das Filtern von Bewerbungen, das Schalten gezielter Stellenanzeigen und die Bewertung von Bewerbern. Zweitens stellen KI-Systeme ein hohes Risiko dar, wenn sie für Entscheidungen eingesetzt werden, die sich auf arbeitsbezogene Beziehungen auswirken, wie z.B. Beförderungen, die Zuweisung von Aufgaben auf der Grundlage persönlicher Eigenschaften oder die Bewertung der Leistung von Arbeitnehmern. Werden KI-Systeme für solche Zwecke eingesetzt, müssen deren Anbieter und Betreiber umfangreiche Verpflichtungen erfüllen. Weitere Informationen finden Sie in unserem Blogbeitrag „KI-Systeme mit hohem Risiko und Verpflichtungen“.
blog 'Hoog risico AI-systemen en verplichtingen'.Eine Ausnahme von der Einstufung als System mit hohem Risiko bilden KI-Systeme, die kein erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechte von Menschen darstellen, da sie keinen wesentlichen Einfluss auf das Ergebnis der Entscheidungsfindung haben. Dies ist der Fall, wenn KI-Systeme darauf abzielen, (1) begrenzte prozedurale Aufgaben auszuführen, (2) die Ergebnisse zuvor abgeschlossener menschlicher Tätigkeiten zu verbessern, (3) Entscheidungsmuster zu erkennen, wobei das System nicht dazu bestimmt ist, frühere menschliche Bewertungen zu beeinflussen oder zu ersetzen, oder (4) vorbereitende Aufgaben für Bewertungen auszuführen.
Wenn KI-Systeme, die für Personalzwecke eingesetzt werden, die oben genannte Ausnahme erfüllen, müssen ihre Anbieter und Nutzer die umfassenden Vorschriften für Systeme mit hohem Risiko nicht einhalten. In diesem Fall müssen sie lediglich die Verpflichtungen für KI-Systeme mit begrenztem Risiko erfüllen, die weitaus weniger streng und umfangreich sind als die für KI-Systeme mit hohem Risiko.
In der Praxis bringen KI-Systeme mit hohem Risiko Compliance-Verpflichtungen sowohl für die Anbieter als auch für den Betreiber mit sich, wobei der größte Teil davon bei den Anbietern liegt. Die Anbieter sind dafür verantwortlich, das System so zu konzipieren, dass es von Anfang an den Vorschriften entspricht. Dies umfasst:
· Einrichtung von Risikomanagementprozessen;
· Gewährleistung einer ordnungsgemäßen Datenverwaltung und einer geringen Verzerrung;
· Erstellung technischer Dokumentation und Protokolle;
· Einbindung von Funktionen zur menschlichen Überwachung;
· Gewährleistung der Transparenz hinsichtlich der Möglichkeiten und Fehler des Systems für die Nutzer;
· Einhaltung von Standards für Genauigkeit und Cybersicherheit;
· Anwendung eines Qualitätsmanagementsystems;
· Durchführung von Konformitätsbewertungen;
· Registrierung des Systems; und
· Durchführung von Überwachungsmaßnahmen nach dem Inverkehrbringen und Meldung von Zwischenfällen.
Betreiber haben begrenztere, operative Aufgaben. Sie müssen:
· das System gemäß den Anweisungen nutzen;
· sicherstellen, dass tatsächlich eine menschliche Aufsicht ausgeübt wird;
· die Leistung überwachen;
· gegebenenfalls Protokolle führen;
· schwerwiegende Vorfälle melden; und
· in bestimmten Kontexten des öffentlichen Sektors Folgenabschätzungen in Bezug auf die Grundrechte durchführen.
Heeft u vragen?
Neem contact met ons op
Neem contact met ons op