Eines der nach wie vor am intensivsten diskutierten Themen ist und bleibt „KI“.
Auch wenn – so mein Eindruck – die Diskussion zunehmend einen anderen Sound bekommt, weniger gehyptes Heilsversprechen, mehr kritisches Hinterfragen, wird das ganz sicher so bleiben.
Ich habe auch bei den verschiedenen Ebenen der zum Thema KI vorgebrachter Bedenken nicht dein Eindruck, dass es sich dabei um fundamentale Ablehnung handelt. Vielmehr werden die zweifelsohne vorhandenen Unzulänglichkeiten von KI, die noch nicht annähernd gelösten juristischen, ethischen und technischen Probleme sowie die bislang noch nicht belegten (eingetretenen?) betriebswirtschaftlichen Gewinne durch den Einsatz von KI relativ sachlich und fundiert vorgebracht. Das werte ich als eine gute Entwicklung, weil nach „dem Himmelhochjauchzend“ und „dem zu Tode betrübt“ meist die Phase des vernünftigen Mittelmaßes folgt.
Nun, ein Thema, das bei KI immer mit am Tisch sitzt, ist deren Regulierung. In Europa heißt dies AI-Act oder KI-Verordnung. Und egal, wie man zum Thema KI stehen mag, sowohl die KI selber als auch deren Regulierung wird auf uns alle beträchtliche Auswirkungen haben.
Deswegen sollte, nein muss man sich beidem auch öffnen und sich mit beidem auseinandersetzen. Und wenn man, wie wahrscheinlich die meisten Recrutainment-LeserInnen, mit Themen der Personalgewinnung zu tun, gilt das in besonderem Maße.
Doch manchmal steht man davor und fühlt sich schlicht überwältigt von der Frage, wo und wie man denn da überhaupt mit anfangen soll. Wer hat schon ein Informatikstudium mit Schwerpunkt Machine Learning UND ein Jurastudium mit Fokus auf IT- und Datenschutzrecht in der Taschen…?
Darum ist es gut, wenn einem die vermeintlich oft undurchdringlich erscheinenden Themen in verdaubare Häppchen heruntergebrochen werden.
Und genau das hat der Queb nun für die KI-VO getan.
Vor ein paar Tagen erschien das Whitepaper „KI-VO für Talent Acquisition„, das sich nun jeder kostenfrei und ohne Registrierungszwang beim Queb herunterladen kann.
Ich habe mir das Whitepaper etwas genauer angesehen und – um das gleich vorweg zu nehmen – halte es für wirklich sehr gelungen. Mit einer klitzekleinen Einschränkung.
Auf die möchte ich darum kurz eingehen, bevor ich weiter unten das Whitepaper vorstelle.
Wichtiger erster Schritt: Gilt die KI-Verordnung überhaupt?
Bevor man beginnt, sich mit den Details, Erfordernissen und Vorgaben der KI-VO zu befassen, muss am Anfang IMMER zuerst die Frage geklärt werden, ob man sich mit dem evtl. zu regelnden Sachverhalt überhaupt im Geltungsbereich dieser Verordnung bewegt.
D.h. bevor ein Verfahren als Hochrisiko-Anwendung oder entlang der „Ampellogik“ (Beschreibung weiter unten) bewertet wird, muss zunächst geprüft werden, ob überhaupt ein KI-System im Sinne der KI-Verordnung vorliegt.
Nicht jedes digitale, algorithmische oder regelbasierte Auswahlverfahren fällt automatisch in den Anwendungsbereich der KI-VO.
Klassische Auswahltests, feste Entscheidungsregeln oder andere nicht KI-basierte Verfahren können zwar anderen rechtlichen Anforderungen unterliegen, lösen aber nicht automatisch Pflichten aus der KI-Verordnung aus! Also: Nur weil etwas „Matching-Tool“ heißt, ist es nicht zwingend KI-basiert. Und wenn es nicht KI-basiert ist, keine Anwendung der KI-VO…
Ich betone dies deswegen nochmal nachdrücklich, weil wir es aus anderen Regulierungsbereichen kennen, dass der gesamte Stall an Compliance-Pferden scheu gemacht wird, 1000 Dinge geregelt werden, Dutzende von Verträgen und Formularen ausgefüllt werden sollen, obwohl das Gesetz, auf das sich berufen wird, gar nicht einschlägig ist.
Wir mussten bspw. mit einer ganzen Reihe Kunden Auftragsverarbeitungsverträge nach Art. 28 DSGVO abschließen, obwohl gar keine personenbezogenen Daten verarbeitet werden. Solche Themen sind ärgerlich und produzieren unheimlich viel Aufwand und das nur, weil ganz am Anfang jemand falsch abgebogen ist. Leider neigen eben auch viele Compliance-Abteilungen – aus Unkenntnis, falschem vermeintlichem Herrschaftswissen oder schlicht, um die eigene Bedeutung und Daseinsberechtigung zu untermauern – dazu, Dinge (so) regeln zu wollen, die gar nicht (zumindest nicht so) geregelt werden müssen.
Ich fürchte, die Unternehmen werden auch bei der KI-VO wieder nach dem Motto „viel hilft viel“ massive Nachweis-, Erklärungs- und Dokumentationsanforderungen an jede eingesetzte Lösung „nach AI Act“ verlangen, obwohl man bei genauer Betrachtung gar nicht im Geltungsbereich des Gesetzes ist.
Für zwischenmenschliche Intimitäten gilt auch nicht die StVO…
Darum nochmal:
Schritt 1: Prüfung der Frage: Ist die KI-VO überhaupt einschlägig?
Und dabei gilt: Wenn keine KI, dann keine KI-VO. Und wenn keine KI-VO können wir uns alle sehr viel Aufwand sparen. Andere etwaige Regulierungsbereiche (wie DSGVO, AGG, TDDDG, DDG etc.) können natürlich trotzdem eine Rolle spielen.
Und dieser für sehr viele auf uns zukommende Fragestellungen erstmal alles entscheidende Punkt, kommt mir im Whitepaper zu kurz. Auf der Website ist der Hinweis dankenswerter Weise ergänzt. Ich hoffe, er wird es in einer aktualisierten Version des Whitepapers auch noch deutlicher IN das Papier schaffen.
So das vorweggestellt, nun ein paar Erläuterungen zum Whitepaper an sich. Denn: WENN man es mit KI zu tun hat, dann muss man die KI-VO eben berücksichtigen. Und dafür ist das Whitepaper eine sehr gelungene Handreichung.
Nicht abstraktes Regelwerk – sondern nutzbares „Playbook“
Wer lieber „lean-back“ konsumiert, der kann sich die (Achtung, KI-generierte… 😉) Videozusammenfassung ansehen:
Für die, die lieber lesen:
Das Whitepaper übersetzt das in vielen Bereichen eher abstrakte Regelwerk der KI-VO in eine Art Playbook. D.h. es ist weniger zum „von vorn nach hinten durchlesen“ gedacht (wenngleich man das auch gut machen kann), sondern eher dazu, sich gezielt und bedarfsweise entlang der eigenen Themen durch das Whitepaper zu navigieren.
Liest man das Whitepaper sequenziell von vorn nach hinten durch, hat man häufig den Eindruck, dass sich Dinge wiederholen oder dass man das doch eben schon gelesen hat, aber das liegt an dem Aufbau des Whitepapers. Wer nämlich bedarfsgeleitet durch das Paper navigiert, der braucht den jeweiligen Kontext dann natürlich auch.
Neben definitorischen Einordnungen und begrifflichen Abgrenzungen ist der Kern des Whitepapers die Risiko-Landkarte bzw. eine auf Risiko-Abstufungen beruhendes Ampelsystem.
Das ist konsequent, denn auch das Gesetz selber ist auf der Logik verschiedener Risikostufen aufgebaut.
Hierbei gilt: Geringes Risiko = geringe regulatorische Anforderungen, hohes Risiko = hohe regulatorische Anforderungen.
Und dabei kann man sich wieder der Daumenregel bedienen: System informiert nur = geringes Risiko, System bewertet, bereitet Entscheidungen maßgeblich vor oder trifft diese sogar = hohes Risiko.
So, auch auf die Gefahr hin, mich zu wiederholen, aber ggf. hat es der eine oder die andere bis hierhin schon wieder vergessen: Nein, nur weil ein algorithmisches System bewertet, Entscheidungen maßgeblich vorbereitet oder diese sogar trifft, heißt das NICHT, dass man automatisch die Vorgaben der KI-VO zu erfüllen hat.
Die KI-VO gilt NUR dann, wenn es sich um KI-Systeme handelt!
Auch andere algorithmische Systeme können kritisch sein und müssen ggf. regulatorische Anforderungen erfüllen (ich denke dabei z.B. an den Art. 22 der DSGVO, der automatisierten Einzelfallentscheidungen und Profiling sehr enge Grenzen setzt), aber man ist NICHT automatisch in der KI-VO, wenn ein System bewertet, rankt oder scort…
Wenn man sich jedoch (und auch nur dann) innerhalb des Geltungsbereichs der KI-VO bewegt, dann hilft das Ampelsystem. Darum…
Schritt 2: Prüfung der Frage: Was ist das von der KI-Anwendung ausgehende Risiko?
Informiert ein System nur, ist man im grünen Bereich. Aber Achtung: Wie die Rechtsprechung inzwischen sehr klar gemacht hat, haftet man als Unternehmen auch für die Information, die etwa ein Chatbot von sich gibt.
Bei „grünen Systemen“ liegt der Fokus auf Transparenz- und Kennzeichnungsanforderungen.
Systeme, die unterstützende Funktion haben, z.B. wenn sie zur Formulierung von Stellenanzeigen herangezogen werden, liegen häufig im „gelben Bereich“.
Gelbe Systeme verlangen zudem oft noch gesonderte Rollenklärungen (wer und in welchem Umfang arbeitet damit?).
KI-Systeme schließlich, die bewerten, auswählen, ranken, scoren, Entscheidungen vorbereiten oder sogar treffen fallen in den roten (Hochrisiko-)Bereich.
Bei solchen Hochrisiko-Systemen kommt dann der gesamte Folterkeller der KI-VO zum Einsatz: Dezidierte Erklärbarkeit, Fairness-/Bias-Prüfungen, dokumentierte Human Oversight (Human-in-the-loop und zwar nicht nur als Feigenblatt und menschlichen Abnicker), Monitoring/Update-Transparenz sowie belastbare Anbieter-Nachweise (CE-Kennzeichnung, EU-Datenbank-Eintrag).
Und bei all dem ist entscheidend die faktische Wirkung eines Systems!
Schließt also bspw. ein Chatbot, der eigentlich „nur“ informiert, in seinen „Informationen“ systematisch gewisse Zielgruppen aus, z.B. weil manchen Menschen gewisse Stellen systematisch nicht vorgeschlagen werden, so kann aus einem eigentlich „grünen“ System ganz schnell ein „rotes“ werden.
Ein Beispiel: Das hinter dem Chatbot liegende LLM lernt von gewissen Schreibstilen auf das Geschlecht des Schreibers zu schließen und empfiehlt diesen Personen dann manche offene Stellen nicht mehr, für die das LLM glaubt gelernt zu haben, dass Menschen mit einem anderen Geschlecht dafür besser geeignet sind. Sofort kann ein solcher Chatbot einen AGG-Fall auslösen. Und ganz schnell handelt es sich nicht mehr um ein risikoarmes KI-System, sondern eine Hochrisiko-KI…
Hat man die Risiko-Einstufung erledigt, geht es an die eigentliche Arbeit…
Schritt 3: Die Erfüllung der Pflichten
Je nachdem, zu welcher Einschätzung man bei den Schritten 1 und 2 gekommen ist, leiten sich konkrete Handlungsschritte aus der KI-VO ab. Das kann dann bedeuten:
- KI-Inventar Eintrag
- Use-Case Onepager
- Risk Intake
- Decision Pack
- Betriebskonzept
- Klärung Rollen und Verantwortlichkeiten
- etwaige von externen Anbietern anzufordernde Nachweise
- etc.
Und das Schöne am Whitepaper: Es gibt für viele dieser Punkte relativ konkrete Checklisten sowie vorgefertigte Templates, die man dann als Vorlage zum Ausfüllen nehmen kann, z.B. als Word- oder Excel-Dokument.
Somit gibt das Whitepaper inkl. der zusätzlich bereitgestellten Templates nicht nur einen guten Überblick über das Gesetz und dessen Anforderungen, sondern auch konkrete Handreichungen, um sich an die Arbeit zu machen.
Und auch wenn uns die EU wie es den Anschein hat nun doch noch etwas Aufschub gewährt hat, bis all diese Dinge auch umgesetzt sein müssen, macht es Sinn, sich damit jetzt zu befassen und ggf. die nötigen Schritte einzuleiten. Denn: Geltendes Recht ist die KI-VO schon!
Ladet Euch also das KI-VO Whitepaper hier beim Queb runter und geht es einmal durch.
Aber bei allem Tatendrang nicht vergessen: Immer ZUERST prüfen, ob es überhaupt um KI geht! Bitte drängt daher auch bei euren Compliance-Abteilungen oder hinzugezogenen Juristen auf pragmatische Betrachtung. Denn wenn es gar nicht um KI geht, kann man sich sehr viel Aufwand sparen… Jede Minute, die wir nicht in das Ausfüllen von Formularen und Fragelisten stecken, sondern auf die eigentliche Arbeit verwenden, ist eine gute Minute…






