Vorgaben für Nutzung von ChatGPT und Co.: KI-Sys­teme als Sicher­heits­ri­siko im HR-Bereich

Etwa 20 Prozent der Unternehmen nutzt Systeme mit künstlicher Intelligenz,Tendenz exponentiell steigend. Doch wer ChatGPT, Copilot, Deepseek oder eigens für die konkreten betrieblichen Bedürfnisse angepasste KI-Lösungen verwendet, muss seine Beschäftigten einschlägig schulen. Das bestimmt der Artificial Intelligence Act (AI-Act oder Künstliche Intelligenz (KI)-Verordnung).  

Die KI-Verordnung trat als europäische Verordnung zur Regulierung der Entwicklung und des Einsatzes von KI innerhalb der EU bereits am 1. August 2024 in Kraft und entfaltet seither schrittweise ihre volle Wirkung. Die Schulungspflicht, basierend auf Art. 4 KI-Verordnung, gilt seit dem 2. Februar.

Wer muss schulen?

Grundsätzlich müssen alle Unternehmen, und zwar unabhängig von ihrer Größe, sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Die Schulungspflicht betrifft alle Firmen, die ein KI-System entwickeln, entwickeln lassen und es unter ihrem eigenen Namen vermarkten und alle, die ein KI-System "betreiben". Letzteres ist niedrigschwellig und dürfte nahezu alle Arbeitgeber betreffen. Denn sobald eine natürliche oder juristische Person im Rahmen ihrer beruflichen Tätigkeit ein KI-System eigenverantwortlich einsetzt, gilt sie als Betreiber nach Art. 3 Nr. 4 KI-Verordnung und unterliegt damit der Schulungspflicht. Bleibt allenfalls die Frage, ob das im Unternehmen genutzte System überhaupt ein KI-System ist: Aber auch hier gilt eine weite Definition, anknüpfend an die Fähigkeit des Systems, "autonom zu lernen".

Nicht zu schulen ist keine Option: Zwar ist ein Verstoß gegen die Schulungspflicht nicht mit direkten finanziellen Sanktionen wie einem Bußgeld belegt. Allerdings dürfte, sollte es durch die unsachgemäße Verwendung von KI zu Schäden bei Dritten wie Kunden oder Lieferanten kommen, der Versuch des Arbeitgebers, sich der zivilrechtlichen Haftung zu entziehen, kaum Erfolg versprechen, wenn nicht auf eine angemessene Schulung verwiesen werden kann. Mit anderen Worten: If you think Compliance is expensive, try Non-Compliance.  

Umfang abhängig von den Risiken  

Ziel der Schulungen muss sein, dass die Mitarbeitenden die Fähigkeiten, Kenntnisse und das Verständnis entwickeln, um KI-Systeme sachkundig einzusetzen, heißt es in Art 4 KI-Verordnung. Sie sollen sich der Chancen und Risiken von KI bewusst sein und mögliche Schäden erkennen.  

Sobald der Einsatz eines KI-Systems in Rede steht, muss der Arbeitgeber den konkreten Schulungsumfang definieren. Dabei gilt "not one size fits all". Vielmehr sind die technischen Kenntnisse und Erfahrungen der Mitarbeitenden sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, zu berücksichtigen. Bei der Bestimmung des Umfangs ist zu beachten, dass die Schulungspflicht umso weitreichender sein muss, je risikobehafteter das KI-System ist.  

Zwar legt die KI-Verordnung keine formalen Risikoklassen fest, unterscheidet aber in der Sache zwischen Systemen mit niedrigen Risiken von solchen mit hoher Relevanz für die Grundrechte Betroffener. Letztere unterliegen sehr strengen Konformitätsanforderungen, beispielsweise betreffend biometrische Identifizierung oder beim Umgang mit sensiblen personenbezogenen Daten. Im Einzelfall ist der Einsatz von KI sogar verboten, wenn es z.B. um das systemische Clustern und Bewerten von Bevölkerungsgruppen oder Ethnien geht.

Besondere Anforderungen im HR-Bereich

Unternehmen können daher nicht für alle Mitarbeiter und Mitarbeiterinnen eine Standardschulung anbieten. Vielmehr müssen sie je nach Geschäftsbereich und Grad der Nutzung von KI-Systemen unterschiedliche Programme aufsetzen. Die Anforderungen an ein Schulungsprogramm können daher sowohl innerhalb eines Unternehmens als auch von Unternehmen zu Unternehmen teilweise enorm differieren.

Um den gesetzlichen Anforderungen gerecht zu werden, bedarf es zunächst der Vermittlung von Grundlagen, also einer Einführung in das Thema KI und insbesondere deren Funktionsweise, Chancen und Risiken. Darüber hinaus ist eine einsatzspezifische Komponente erforderlich. Diese vertieft die grundlegenden Inhalte in Bezug auf den spezifischen Einsatz bzw. das konkrete KI-System selbst.

Besonders bei KI-Systemen, die einer höheren Risikokategorie zugeordnet sind, ist Vorsicht geboten. Dies betrifft unter anderem Systeme, die mit personenbezogenen, auf Individuen zurückzuverfolgenden Daten arbeiten. So gelten im Bereich HR insbesondere solche Systeme als "Hochrisiko-KI", die für das Filtern oder die Analyse von Bewerbungen, das Monitoring oder die Beurteilung von Mitarbeitenden, etwa bezogen auf deren Verhalten oder eine charakterliche Eignung, verwendet werden. Der Einsatz derartiger Systeme erfordert eine umfangreiche Schulung, um etwaige aus ihrer Anwendung resultierende Risiken beherrschbar zu machen.

Beteiligungsrechte des Betriebsrats

Arbeitgeber, die über einen Betriebsrat verfügen, müssen nicht nur bei der Implementierung von KI-Systemen, sondern auch bei der Umsetzung der gesetzlichen Anforderungen an eine Schulung zur KI-Kompetenz die Beteiligungsrechte des Betriebsrats beachten.

Der Betriebsrat hat je nach Anwendungsprofil der KI insbesondere ein Mitbestimmungsrecht und das Recht auf Abschluss einer Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG). Dieses Recht greift, wenn KI-Systeme dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Unternehmen sollten beachten, dass die Arbeitsgerichte von einem sehr weiteren Begriffsverständnis hinsichtlich des Kriteriums "zur Überwachung bestimmt" ausgehen. Unternehmen müssen also die Funktionsweise des KI-Systems sorgfältig prüfen, denn Mitbestimmungsrechte des Betriebsrats können bereits dann gegeben sein, wenn die Möglichkeit zur Überwachung zwar nicht Zweck der KI ist, aber durch sie ermöglicht wird.  

Weiterhin umfasst das Mitbestimmungsrecht nicht nur die Einführung, sondern auch die Anwendung solcher technischen Einrichtungen. Das Gesetz schreibt jedoch keine konkrete Form für die Mitbestimmung vor, sodass sie sowohl über den Abschluss einer Betriebsvereinbarung als auch über eine formlose Abrede zwischen den Betriebsparteien erfolgen kann. Damit der Betriebsrat sein Mitbestimmungsrecht jedoch wahrnehmen kann, muss das Unternehmen das Gremium umfassend und verständlich informieren. Dies umfasst die technischen Funktionsweisen, die betrieblich bestimmten Arbeitsaufgaben sowie die Auswirkungen auf die Arbeitnehmenden. Der Betriebsrat muss in die Lage versetzt werden, die erhaltenen Informationen zu verstehen, um seine Mitbestimmungsrechte ordnungsgemäß ausüben zu können.

Wird eine technische Überwachungseinrichtung ohne Mitbestimmung eingeführt und angewendet, kann dem Betriebsrat ein Beseitigungs- und Unterlassungsanspruch zustehen. Diesen kann er im arbeitsgerichtlichen Beschlussverfahren, ggf. auch im Wege des einstweiligen Verfügungsverfahrens, geltend machen. Darüber hinaus kann der Betriebsrat auch bei der Festlegung von betrieblichen Leitlinien zur Nutzung von KI-Systemen beteiligt werden.

Betriebsräten steht jedoch nicht nur bei der Einführung und Anwendung von KI-Systemen ein echtes Mitbestimmungsrecht zu. Der Betriebsrat dürfte auch bei der Durchführung der Schulung zur KI-Kompetenz selbst nach § 98 BetrVG zu beteiligen sein, da diese eine innerbetriebliche Fortbildungsmaßnahme ist. Das einschlägige Informations- und Mitbestimmungsrecht umfasst alle generellen Entscheidungen, die bei der Gestaltung der Schulung getroffen werden, einschließlich der Festlegung von Dauer und zeitlicher Lage sowie der Auswahl des zu schulenden Personenkreises. Belange von in Teilzeit Beschäftigten sollten bei der Planung der Schulungszeiten besonders berücksichtigt werden.

Informationspflichten bei Hochrisiko-KI-Systemen

Sofern Hochrisiko-KI-Systeme eingesetzt werden sollen, ist zudem Folgendes zu beachten:

Die KI-Verordnung sieht vor, dass Arbeitgeber vor der Inbetriebnahme oder Verwendung eines Hochrisiko-KI-Systems am Arbeitsplatz – unabhängig davon, ob das KI-System dazu geeignet ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen – die Arbeitnehmervertreter und die betroffenen Beschäftigten darüber informieren müssen, dass sie der Verwendung des Hochrisiko-KI-Systems unterliegen werden.  Dabei wird der Betriebsrat als Arbeitnehmervertreter auch dann zu unterrichten sein, wenn dieser in seiner Arbeit nicht selbst von der Verwendung der Hochrisiko-KI betroffen ist, sondern lediglich bestimmte Gruppen von Mitarbeitenden.

Eine besondere Informationspflicht besteht, wenn mit Hilfe von Hochrisiko-KI-Systemen Entscheidungen über natürliche Personen getroffen werden, z.B. im Kontext von Einstellungen oder Beförderungen, oder bei diesen Entscheidungen unterstützen sollen. Um die gesetzlichen Vorgaben zu erfüllen, sollten Arbeitgeber betroffene Mitarbeiterinnen und Mitarbeiter über die Zweckbestimmung und die Art der getroffenen Entscheidungen informieren sowie die Betroffenen darüber aufklären, dass diesen nach Art. 86 der KI-Verordnung das Recht zusteht, vom Arbeitgeber eine klare und aussagekräftige Erläuterung zur Rolle des KI-Systems im Entscheidungsprozess und zu den wichtigsten Elementen der getroffenen Entscheidung zu erhalten. Unerlässlich ist überdies, dass die KI bei der Entscheidungsfindung herangezogen werden darf, die Entscheidung selbst aber durch den Menschen getroffen werden muss.

Ziel: verantwortungsvolle und effektive Nutzung

Abschließend lässt sich festhalten, dass die Implementierung und der Einsatz von KI-Systemen in Unternehmen nicht nur technologische, sondern auch rechtliche Herausforderungen mit sich bringen. Die Schulungspflicht gemäß der KI-Verordnung stellt sicher, dass Mitarbeiterinnen und Mitarbeiter über die notwendigen Kompetenzen verfügen, um KI-Systeme verantwortungsvoll und effektiv zu nutzen.  

Gleichzeitig müssen Unternehmen die Mitbestimmungsrechte des Betriebsrats und sonstige Informationspflichten gegenüber Mitarbeitenden beachten, um eine reibungslose Integration von KI in die Arbeitsprozesse zu gewährleisten. Die Einhaltung dieser rechtlichen Vorgaben ist nicht nur eine Frage der Compliance, sondern auch ein entscheidender Faktor für den langfristigen Erfolg und die Akzeptanz von KI-Technologien im Unternehmen. Unternehmen sollten daher proaktiv auf die Schulung ihrer Belegschaft setzen und den Dialog mit dem Betriebsrat suchen, um die Potenziale von KI voll auszuschöpfen und gleichzeitig die Rechte der Beschäftigten zu wahren.

Die Autoren Dr. Hans-Hermann Aldenhoff und Christopher Götz sind Partner bei Simmons & Simmons.