Haftung für Schäden durch Künstliche Intelligenz: Worauf muss sich HR vorbereiten?

 Entwürfe von EU AI Act und AI Liability Directive erfordern ein KI-Riskassessment.

Haftung für Schäden durch Künstliche Intelligenz: Worauf muss sich HR vorbereiten?

Mit den Plänen für EU AI Act und neue Haftungsregeln für Künstliche Intelligenz will die Europäische Kommission das Vertrauen gegenüber der Technologie stärken und Innovationen fördern. Was bedeutet das für Unternehmen und Personalverantwortliche, die bereits mit KI arbeiten oder den Einsatz planen?

Fast die Hälfte der Personalvermittler nutzt Künstliche Intelligenz (KI) im Recruiting, so eine aktuelle Studie des Bundesarbeitgeberverbands der Personaldienstleister e.V.. Doch bei den auftraggebenden Unternehmen gibt es große Wissenslücken und Nachholbedarf: Rund 80 Prozent setzen KI noch nicht ein. Nur etwa ein Fünftel der Unternehmen und rund ein Viertel der Personalvermittler vertraut ihren Entscheidungen.

EU AI Act soll Vertrauen stärken

Die EU Kommission will mit der Verordnung über Künstliche Intelligenz (EU AI Act) die Skepsis von Unternehmen und Verbrauchern gegenüber KI überwinden und die Wettbewerbsfähigkeit der europäischen Wirtschaft stärken. Wie bereits berichtet verfolgt Brüssel einen risikoorientierten Ansatz: Ist das Risiko einer Anwendung für die Gesundheit, Sicherheit und Grundrechte von Menschen gering, hoch oder unannehmbar? KI mit hohem Risiko etwa im Gesundheitswesen oder Verkehr unterliegt künftig strengen Pflichten. Dies gilt grundsätzlich auch für KI-Systeme in Bereichen wie Beschäftigung, Personalmanagement und Zugang zu Selbstständigkeit, da sie Karriereaussichten und Lebensgrundlagen spürbar beeinflussen können. Betroffen sind sowohl Anbieter, die beispielsweise KI-Systeme für People Analytics oder Recruiting entwickeln oder in Verkehr bringen, als auch Nutzer wie Unternehmen, die schlaue Software im Personalmanagement einsetzen.

Strenge Vorgaben für Hochrisiko-Anwendungen

Die Anforderungen an Hochrisiko-KI-Systeme werden sehr weitreichend sein: Dazu zählen Risiko-Managementsysteme über die gesamte Lebensdauer der KI und Transparenzanforderungen, um die Nutzer angemessen über die Ergebnisse und deren Verwendung zu informieren. Für die Trainingsmodelle bedarf es Trainings-, Validierungs- und Testdatensätze, die den Qualitätskriterien des EU AI Acts entsprechen. Unternehmen müssen Informationen für Nutzer bereitstellen und Vorgaben für technische Dokumentation und Aufzeichnung von Ereignissen beachten. Hinzu kommen Anforderungen an die Genauigkeit, Robustheit und Cybersecurity der Systeme. Bevor die KI auf den Markt kommt, bedarf es einer Konformitätsprüfung sowie CE-Zertifizierung.

Weite KI-Definition erfasst viele Anwendungen, die bereits im Einsatz sind

Betroffen sind von den neuen Vorgaben fast alle algorithmischen Entscheidungs- und Empfehlungssysteme, da der Entwurf der KI-Verordnung Künstliche Intelligenz sehr weit fasst. Dementsprechend fallen auch viele bereits genutzten HR-Anwendungen in den Anwendungsbereich. Zu den wesentlichen Kritikpunkten am Entwurf des AI Acts zählt dementsprechend auch die sehr weite Definition von KI und ein zu weit gefasster Begriff der Hochrisiko-Anwendungen, so der Bundesverband KI. Erfasst werden sollten stattdessen nur Systeme, die ein potenziell hohes Risiko für die Sicherheit oder Grundrechte darstellen können. Derzeit diskutieren EU-Parlament und EU-Rat noch über Änderungen der Definition von KI und somit über den konkreten Anwendungsbereich der Verordnung.

Neue EU-Haftungsregeln für KI

Welche Sorgfaltspflichten gelten künftig also für welche Systeme? Diese Frage ist für Unternehmen umso relevanter, als die EU Kommission auch die Regeln für die Haftung anpasst: Die Produkthaftungsrichtlinie erhält ein Update für Tech-Produkte und deckt beispielsweise in Zukunft auch mangelhafte IT-Sicherheit ab. Darüber hinaus hat die Kommission Ende September den Entwurf der KI-Haftungsrichtlinie (AI Liability Directive) vorgestellt, um die Vorschriften für außervertragliche und verschuldensabhängige zivilrechtliche Schadensersatzansprüche an KI anzupassen. Für die Verursachung eines Schadens durch ein künstlich intelligentes System (Kausalität), soll künftig unter bestimmten Umständen eine Vermutung greifen: Die Kommission geht davon aus, dass ein Geschädigter nur sehr schwer oder gar nicht nachweisen kann, dass eine KI den Schaden verursacht hat, indem sie eine gesetzliche Pflicht verletzt hat. Grund hierfür ist die sogenannte Opazität, derzufolge Entscheidungen von KI-Systemen nicht in vollem Umfang nachvollziehbar sind. Diese Vermutung kann der Anspruchsgegner widerlegen: etwa durch den Nachweis, dass der Schaden eine andere Ursache hatte.

Flankiert wird die Kausalitätsvermutung mit einem leichteren Zugang zu relevanten Beweismitteln für Geschädigte. Auf Antrag sollen Gerichte über die Offenlegung von Informationen über Hochrisiko-KI-Systeme entscheiden, um verantwortliche Personen oder Fehler zu identifizieren. Dabei sollen Geschäftsgeheimnisse und sensitive Informationen nach Möglichkeit geschützt bleiben.

Die Haftungsansprüche können sich sowohl gegen Anbieter als auch Nutzer einer KI richten und somit auch gegen ein Unternehmen, das KI beispielsweise im Recruiting einsetzt.

Handlungsbedarf für HR

Laut einer Studie des IT-Branchenverbands Bitkom nutzen erst neun Prozent der Unternehmen Künstliche Intelligenz. Die Gründe hierfür: 79 Prozent treibt die Sorge vor IT-Sicherheitsrisiken um und 61 Prozent fürchten Verstöße gegen den Datenschutz. Mögliche Anwendungsfehler bei der KI-Nutzung schrecken 59 Prozent ab. Doch diesen Risiken lässt sich vorbeugen und gerade auch für HR bieten sich vielfältige Chancen: Etwa indem KI Stellenanzeigen so optimiert, dass sie die bevorzugte Zielgruppe passgenau ansprechen und Bewerber sie möglichst problemlos finden. Chatbots können rund um die Uhr für den Erstkontakt mit Kandidaten bereitstehen. Und KI kann basierend auf Daten eines Mitarbeiters Vorschläge für die weitere Karriere unterbreiten mit passenden Trainings oder Tätigkeiten. Damit dies gelingt, bedarf es aber viel Vorarbeit: Nur wer „gute“ Prozesse automatisiert, kann auch Verbesserungen erzielen. Dagegen werden schlechte Prozesse durch KI nicht besser, sondern allenfalls schneller. Zudem ist die Qualität der Trainingsdaten entscheidend für den Erfolg, denn Algorithmen bergen immer auch Diskriminierungsrisiken.

Blindflug vermeiden

Risiken minimieren und Chancen nutzen können HR Managerinnen und Manager, indem sie eng mit den übrigen Fachbereichen wie IT, Datenmanagement sowie Legal & Compliance zusammenarbeiten und schrittweise vorgehen:

  1. Transparenz schaffen
    Zu analysieren ist beispielsweise: Welche KI-Anwendungen sind im Unternehmen im Einsatz? Werden sie aktuellen Anforderungen an vertrauenswürdige Systeme gerecht? Wie bereits berichtet lässt sich hierfür beispielsweise die Checkliste für vertrauenswürdige KI der High Level Expert Group on AI nutzen. Auch das Forschungsprojekt KIDD des Bundesministeriums für Arbeit und Soziales liefert Anhaltspunkte für eine transparente und rechtssichere Arbeit mit KI. Zu analysieren ist außerdem: Welche Daten werden verwendet? Welche Daten brauchen wir in welcher Qualität? Welche datenschutzrechtlichen Vorgaben gelten? Was gilt mit Blick auf die IT-Sicherheit? Und inwieweit ist der Betriebsrat einzubinden?
  2. Abgleich mit den künftigen Anforderungen des EU AI Acts sowie den neuen EU Regeln für Produkthaftung und KI-Haftung
  3. Aufbau eines Risikomanagements für alle Lebensphasen einer Hochrisiko-KI
    Im Fokus sollte unter anderem sein:

    • Werden die Anforderungen an Transparenz und Dokumentation erfüllt? Und mit welchen Prozessen wird sichergestellt, dass sie mit Blick auf neue Vorgaben sowie technische Entwicklung aktualisiert werden?
    • Monitoring möglicher künftiger Risiken, etwa wenn maschinell lernende Software die Funktionsweise ändert
    • Werden KI-Vorfälle schnell erkannt und kann auf etwaige Schäden rasch reagiert werden?
    • Verantwortliche benennen, Prozesse beschreiben und in der Organisation verankern
    • Regelmäßige Tests von Systemen und Risikoplänen
    • Bleibt der Mensch letzte Instanz von Entscheidungen?
    • Vertrags-Checkup: Inwieweit lässt sich die eigene Haftung begrenzen? Und mit Hilfe welcher Klauseln lassen sich beispielsweise Ansprüche gegenüber KI-Softwarelieferanten und Dienstleistern absichern?
  4. Unternehmenseigenen Code of Conduct formulieren
    Wie bereits berichtet, kann es für Unternehmen hilfreich sein, einen Code of Conduct zu formulieren, um Skepsis gegenüber KI zu überwinden. Orientieren können sie sich dabei beispielsweise an den „Richtlinien des Ethikbeirats HR Tech für einen verantwortungsvollen Einsatz von Künstlicher Intelligenz und weiterer digitaler Technologien in der Personalarbeit“.

Es ist zu erwarten, dass sowohl EU AI Act als auch EU AI Liability Directive im weiteren Gesetzgebungsverfahren noch erheblich geändert werden. Unternehmen und Personalverantwortliche sollten die weitere Entwicklung verfolgen, um rechtzeitig die Weichen richtig stellen zu können. Laut einer Benchmarking-Studie des Personalmagazins mit der Universität Mannheim und der Hochschule Rhein-Main sehen Personaler in der Digitalisierung einen großen Hebel, um die HR-Ziele im Unternehmen besser zu erreichen. Für 83 Prozent ist HR Treiber der Veränderung. Dementsprechend kommt HR auch eine wichtige Rolle dabei zu, Skepsis gegenüber Künstlicher Intelligenz im Unternehmen zu überwinden. Das gelingt zum einen, indem Personalverantwortliche Transparenz schaffen und aufzeigen, wie sich Risiken minimieren lassen. Vor allem aber bedarf es einer sorgfältigen Analyse der Trainingsdaten und Lernmechanismen.