Dieser Artikel gibt einen Überblick darüber, welche KI-Funktionen onboard derzeit bereitstellt und was bei der Nutzung in der EU, insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) und die Verordnung über künstliche Intelligenz (AI Act), zu beachten ist.
Bitte beachten Sie den Disclaimer am Ende des Artikels.
Kurzübersicht
KI-Funktionen bei onboard
Derzeit verfügbar: KI-Schreibhilfe (Smart Text)
Wichtige rechtliche Themen
- Datenschutz: DSGVO und nationale Datenschutzgesetze
- KI-Regulierung: Der AI Act wird schrittweise eingeführt.
DSGVO
- Sie sind als Kunde für die Einhaltung der DSGVO verantwortlich.
- onboard agiert als Auftragsverarbeiter.
- Besondere Themen:
– Automatisierte Entscheidungen: KI-basierte Entscheidungen ohne menschliches Zutun sind in der Regel verboten.
– Datenschutz-Folgenabschätzung (DSFA): Erforderlich bei hohem Risiken für Betroffene.
– Schwellwertanalyse hilft bei der Beurteilung, ob eine DSFA notwendig ist. onboard kann ein unverbindliches Beispiel liefern.
AI Act
- Seit 2. Februar 2025: Pflicht zur KI-Kompetenz und Verbot bestimmter KI-Praktiken.
- Beispiele für verbotene KI:
– Emotionserkennung im Bewerbungsverfahren. - Hochrisiko-KI-Systeme im HR-Bereich:
– Einsatz bei Einstellung oder Auswahl von Personal.
– Nicht immer hochriskant – EU-Kommission wird bis 2026 weitere Leitlinien veröffentlichen. - Ab 2. August 2026: Die Vorschriften zu Hochrisiko-KI-Systemen treten in Kraft.
Welche KI-Funktionen stellt onboard derzeit bereit?
onboard bietet seine KI-Funktionen unter dem Begriff „onboard Companion“ an.
Aktuell verfügbar:
- KI-Schreibassistent (Smart Text)
Was ist rechtlich in der EU im Bereich KI besonders zu beachten?
Die wichtigsten Regelwerke in der EU sind derzeit die Datenschutz-Grundverordung (DSGVO) und die Verordnung über künstliche Intelligenz (AI Act). Hinzu kommen gegebenenfalls nationale Regelungen.
Was ist bei der DSGVO zu beachten?
Wenn Sie unseren onboard Companion nutzen und personenbezogene Daten verarbeiten, sind Sie als verantwortliche Stelle zur Einhaltung der (DSGVO) und gegebenenfalls ergänzender nationaler Regelungen verpflichtet. Wir handeln in diesem Rahmen als Auftragsverarbeiter für Sie. Sie müssen daher die „klassischen“ Themen des Datenschutzes wie Rechtmäßigkeit der Verarbeitung, Transparenz, Datenminimierung und Datensicherheit sicherstellen und mit uns einen Vertrag zur Auftragsverarbeitung abschließen. Zwei besondere Themen im Zusammenhang mit KI-Systemen sind die sogenannten automatisierten Entscheidungen im Einzelfall und die Datenschutz-Folgenabschätzung (DSFA).
Was sind automatisierte Entscheidungen im Einzelfall?
Das sind im KI-Bereich Entscheidungen, die ohne menschliches Zutun ausschließlich von einem KI-System getroffen werden und die Betroffenen rechtlich oder in sonstiger Weise erheblich beeinträchtigen – solche Datenverarbeitungen sind nach der DSGVO in der Regel verboten. Dies ist z.B. der Fall, wenn ein KI-System alle eingehenden Bewerbungen auswertet und selbstständig Einladungen zu Vorstellungsgesprächen versendet. Wir bieten keine derartigen Systeme an und gehen daher an dieser Stelle nicht weiter darauf ein.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument aus der DSGVO, das dazu dient, Risiken für die Rechte und Freiheiten von betroffenen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu identifizieren und zu behandeln. Sie ist ein wesentlicher Bestandteil des „risikobasierten Ansatzes“ und der „Rechenschaftspflicht“ im Datenschutz, die mit der DSGVO eingeführt wurden.
Wann ist eine DSFA durchzuführen?
Eine DSFA muss von der verantwortlichen Stelle durchgeführt werden, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, z. B. aufgrund der systematischen Überwachung ihres Verhaltens, der großen Anzahl betroffener Personen, von denen möglicherweise „sensible“ Daten verarbeitet werden, oder aufgrund einer Kombination dieser und anderer Faktoren. In diesem Fall sollte eine DSFA dazu dienen, gezielte Maßnahmen zur Eindämmung dieses Risikos zu finden.
Wie kann ich feststellen, ob ein hohes Datenschutzrisiko besteht?
Um festzustellen, ob ein potenziell hohes Risiko vorliegt, das eine DSFA erforderlich macht, kann eine sogenannte Schwellwertanalyse durchgeführt werden. Eine Schwellwertanalyse dient dazu, in strukturierter Form zu prüfen und nachzuweisen, ob eine DSFA erforderlich ist oder nicht.
Kann mir onboard diese Schwellwertanalyse abnehmen?
Nein, Sie als Kunde sind als datenschutzrechtlich verantwortliche Stelle für die Ermittlung und Durchführung aller mit einer DSFA verbundenen Prüfungen verantwortlich.
Wir können Ihnen aber auf Anfrage ein unverbindliches Beispiel für eine Schwellwertanalyse zur Verfügung stellen. Bitte beachten Sie jedoch, dass eine Schwellwertanalyse immer eine individuelle Prüfung erfordert, die Sie als verantwortliche Stelle selbst durchführen müssen und für die wir keine Haftung übernehmen.
Für die Zusendung der entsprechenden Unterlagen wenden Sie sich bitte an [email protected]
Was passiert, wenn Sie zu dem Schluss kommen, dass eine DSFA erforderlich ist?
Wenn Sie aufgrund Ihrer individuellen Prüfung zu dem Schluss kommen, dass eine DSFA erforderlich ist, können wir Sie bei der Durchführung gemäß Auftragsverarbeitungsvertrag unterstützen.
Soviel zur DSGVO. Gilt nicht auch der EU AI Act?
Der EU AI Act gilt noch nicht vollständig. Seit dem 2. Februar 2025 gelten jedoch bereits erste Vorschriften: die Pflicht zur sog. KI-Kompetenz, die allerdings keine Bußgelder vorsieht, sowie das Verbot bestimmter KI-Praktiken.
Was sind verbotene KI-Praktiken im HR-Bereich?
Im HR-Bereich sind insbesondere KI-Systeme zur Emotionserkennung am Arbeitsplatz verboten.
Verboten ist z.B. der Einsatz von KI-Systemen zur Emotionserkennung in Bewerbungsverfahren, die Mimik, Stimme oder andere emotionale Signale analysieren, um Rückschlüsse auf die Eignung oder Persönlichkeit der Bewerbenden zu ziehen. Verboten ist z.B. auch der Einsatz von Kameras in einem Supermarkt, um die Emotionen der Mitarbeitenden zu erfassen. Wir bieten kein solches KI-System an und haben dies auch nicht vor. Es ist jedoch möglich, dass wir in Zukunft sogenannte Hochrisiko-KI-Systeme anbieten werden.
Was sind Hochrisiko-KI-Systeme nach dem AI Act?
Der AI Act stuft bestimmte Systeme als Hochrisiko-Systeme ein. Solche Systeme bleiben auch in Zukunft erlaubt, unterliegen jedoch besonderen Anforderungen. Auch im HR-Bereich werden bestimmte Systeme ausdrücklich als hochriskant klassifiziert.
Welche KI-Systeme werden im HR-Bereich als Hochrisiko-KI-Systeme eingestuft?
Der AI Act bezeichnet KI-Systeme als hochriskant, die für die Einstellung oder Auswahl natürlicher Personen bestimmt sind, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu sichten oder zu filtern und Bewerbende zu bewerten. Als hochriskant gelten auch KI-Systeme, die für Entscheidungen über die Bedingungen von Arbeitsverhältnissen, Beförderungen oder Kündigungen eingesetzt werden. Gleiches gilt für KI-Systeme, die Aufgaben auf Basis des individuellen Verhaltens oder persönlicher Merkmale zuweisen oder zur Beobachtung und Bewertung der Leistung und des Verhaltens von Mitarbeitenden verwendet werden.
Gelten solche KI-Systeme immer als hochriskant?
Nein, es gibt Ausnahmen, z.B. wenn ein KI-System kein erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechte natürlicher Personen mit sich bringt. Die Europäische Kommission wird bis zum 2. Februar 2026 Leitlinien für die praktische Umsetzung dieser Anforderungen bereitstellen.
Ab wann gelten die Vorschriften für Hochrisiko-KI-Systeme?
Diese Vorschriften gelten ab dem 2. August 2026.
Disclaimer: Die Informationen auf dieser Seite dienen lediglich der allgemeinen Information und stellen keine Rechtsberatung dar. Die hier enthaltenen Informationen ersetzen keine individuelle rechtliche Beratung. onboard übernimmt keine Haftung für die Vollständigkeit, Richtigkeit oder Aktualität der bereitgestellten Informationen.