Die KI-VO klassifiziert KI-Systeme nach ihrem Risikopotenzial. KI-Recruiting fällt in der Regel unter die Kategorie „Hochrisiko-KI-Systeme“, wenn es für die Einstellung oder Auswahl von Bewerber/innen, eingesetzt wird. Dazu zählen insbesondere die Schaltung gezielter Stellenanzeigen, Sichtung oder Filterung von Bewerbungen, oder Bewertung von Bewerber/innen.
Ausnahmen: Wann fällt KI im HR nicht unter Hochrisiko?
Die KI-VO sieht Ausnahmen vor, wenn keine erheblichen Risiken auf die Gesundheit, Sicherheit oder Grundrechte bestehen und eine der folgenden Bedingungen auf das KI-System zutrifft:
- Eine eng gefasste Verfahrensaufgabe wird durchgeführt,
- Das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit wird verbessert,
- Entscheidungsmuster werden erkannt und es werden keine menschliche Bewertung ohne menschliche Überprüfung beeinflusst oder ersetzt oder
- veine vorbereitende Aufgabe für eine Bewertung durchgeführt.
Ungeachtet dieser Ausnahmen gilt ein KI-System stets als risikoreich, wenn ein Profiling von natürlichen Personen stattfindet.
Der Einsatz von KI bei der Erstellung von Stellenanzeigen dürfte somit nicht unter die Hochrisiko Kategorie fallen, die Vorauswahl von Bewerbenden anhand persönlicher Aspekte allerdings in der Regel schon.
Wichtig ist außerdem zu prüfen, ob das geplantes KI-Recruiting-System unter die verbotenen Praktiken der KI-Verordnung fällt. Dazu gehören beispielsweise KI-gestützte soziale Bewertungen oder Systeme, die Emotionen von Bewerbenden analysieren. Solche Anwendungen sind nach der KI-VO unzulässig und dürfen nicht eingesetzt werden.
Betreiberpflichten für Hochrisiko-KI-Systeme nach der KI-VO
Als Betreiber eines Hochrisiko-KI-Systeme müssen folgende Pflichten erfüllt werden:
A. Kontrollpflichten
- Nutzung gemäß Betriebsanleitung: Die KI muss entsprechend der Betriebsanleitung, die durch den Anbieter bereitgestellt wird, eingesetzt werden.
- Menschliche Aufsicht: Eine qualifizierte Person muss die KI überwachen und kontrollieren und bei Fehlfunktionen eingreifen können.
- Datenmanagement: Die Eingabedaten müssen zweckkonform, vollständig und repräsentativ sein.
- Betriebsüberwachung: Der laufende Betrieb ist kontinuierlich zu überwachen, um Risiken frühzeitig zu erkennen.
- Aussetzung des Betriebs bei Risiko: Bei Verdacht auf ein erhebliches Risiko muss der Betrieb eingestellt werden.
B. Informationspflichten
- Gegenüber dem Anbieter: Meldung von sicherheitsrelevanten Beobachtungen.
- Gegenüber Mitarbeitenden: Transparente Information über den KI-Einsatz im Recruiting-Prozess.
- Gegenüber Bewerbenden: Information über den Einsatz von KI im Auswahlprozess.
- Bei Vorfällen: Meldung an Anbieter, Händler und Behörden bei schwerwiegenden Risiken oder Störungen.
- Behördenkooperation: Betreiber müssen mit Aufsichtsbehörden aktiv zusammenzuarbeiten.
C. Dokumentationspflichten
- Aufbewahrung von KI-Protokollen (mindestens 6 Monate).
- ggf. Grundrechte-Folgenabschätzung (GRFA): Bestimmte Betreibergruppen müssen eine GRFA durchführen und die Ergebnisse an die Marktüberwachungsbehörden übermitteln.
- ggf. Registrierung in der EU-Datenbank: Nur relevant für EU-Organe, EU-Einrichtungen oder sonstige EU-Stellen
Neben der KI-VO muss beim Einsatz von KI im Recruiting außerdem die DSGVO eingehalten werden, insbesondere bei den Rechtsgrundlagen, Informationspflichten, automatisierter Entscheidungsfindung und der Durchführung einer Datenschutzfolgenabschätzung. Bevor KI im Recruiting eingesetzt wird, sollte daher sorgfältig geprüft werden, ob das geplante System den Vorgaben der KI-Verordnung entspricht. Nur so lassen sich rechtliche Risiken vermeiden und ein datenschutzkonformer Einsatz sicherstellen.