Dieser Artikel soll Ihnen einen Überblick darüber geben, welche KI-Funktionen onboard momentan bereitstellt und was bei der Nutzung in der EU u.a. zu beachten ist.
Bitte beachten Sie den Disclaimer am Ende des Artikels.
Kurzübersicht
KI-Funktionen bei onboard
Derzeit verfügbar: KI-Schreibassistent
Wichtige rechtliche Themen
- Datenschutz: Insbesondere die DSGVO und nationale Datenschutzgesetze sind zu beachten.
- KI-Regulierung: Der EU AI Act wird schrittweise eingeführt.
Datenschutz & DSGVO
- Sie sind als Kunde für die Einhaltung der DSGVO verantwortlich.
- onboard ist Auftragsverarbeiter.
- Besondere Themen:
– Automatisierte Entscheidungen: KI-Entscheidungen ohne menschliches Zutun sind meist verboten.
– Datenschutz-Folgenabschätzung (DSFA): Notwendig, wenn hohe Risiken für Betroffene bestehen.
– Schwellwertanalyse hilft zu beurteilen, ob eine DSFA notwendig ist. onboard kann ein Beispiel zur Verfügung stellen.
EU AI Act – KI-Regulierung
- Seit 2. Februar 2025: Verpflichtung zur KI-Kompetenz & Verbot bestimmter KI-Praktiken.
- Beispiele für verbotene KI-Praktiken im HR-Bereich:
– Emotionserkennung am Arbeitsplatz (z. B. Mimik- oder Stimmerkennung in Bewerbungsverfahren). - Hochrisiko-KI-Systeme im HR-Bereich:
– KI für Bewerberauswahl, Stellenanzeigen, Personalentscheidungen oder Leistungsüberwachung.
– Nicht immer hochriskant – EU-Kommission liefert bis 2026 genauere Leitlinien. - Ab 2. August 2026: Regeln für Hochrisiko-KI-Systeme treten in Kraft.
Welche KI-Funktionen stellt onboard momentan bereit?
onboard stellt seine KI-Funktionen aktuell unter dem übergreifenden Namen „AI Companion“ bereit.
Aktuell können folgende Funktionen genutzt werden:
- KI-Schreibassistent
Was ist derzeit bei KI-Angeboten rechtlich besonders zu beachten?
Derzeit sind vor allem der Datenschutz (insbesondere die DSGVO) und die KI-Regulierung (insbesondere der AI Act) zu beachten.
Was muss ich beim Datenschutz beachten?
Wenn Sie personenbezogene Daten verarbeiten, müssen Sie insbesondere die Datenschutz-Grundverordnung (DSGVO) und gegebenenfalls nationale Datenschutzbestimmungen beachten. Wenn Sie unsere Dienste in Anspruch nehmen, sind Sie die datenschutzrechtlich verantwortliche Stelle für die personenbezogenen Daten, die wir als Auftragsverarbeiter für Sie verarbeiten. Sie müssen daher die „klassischen“ Themen des Datenschutzes wie Rechtmäßigkeit, Transparenz, Datenminimierung und Datensicherheit sicherstellen und mit uns einen Vertrag zur Auftragsverarbeitung abschließen. Zwei der besonderen Themen im Zusammenhang mit KI-Systemen sind die sogenannten automatisierten Entscheidungen im Einzelfall und die Datenschutz-Folgenabschätzung (DSFA).
Was sind automatisierte Entscheidungen im Einzelfall?
Im Bereich der KI sind dies Entscheidungen, die ohne menschliches Zutun ausschließlich von einer Maschine, einem KI-System, getroffen werden und die Betroffenen rechtlich oder in sonstiger Weise erheblich beeinträchtigen – solche Datenverarbeitungen sind nach der DSGVO in der Regel verboten. Dies wäre beispielsweise der Fall, wenn ein KI-System alle eingehenden Bewerbungen auswertet und selbstständig Einladungen zu Vorstellungsgesprächen versendet. Wir bieten keine derartigen Systeme an und gehen daher an dieser Stelle nicht weiter darauf ein.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Die sogenannte Datenschutz-Folgenabschätzung (DSFA) ist ein wesentlicher Bestandteil des „risikobasierten Ansatzes“ und der „Rechenschaftspflicht“ im Datenschutz, die mit der DSGVO eingeführt wurden.
Wann ist eine DSFA durchzuführen?
Eine DSFA muss von der verantwortlichen Stelle durchgeführt werden, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, z. B. aufgrund der systematischen Überwachung ihres Verhaltens, der großen Anzahl betroffener Personen, von denen möglicherweise „sensible“ Daten verarbeitet werden, oder aufgrund einer Kombination dieser und anderer Faktoren. In diesem Fall sollte eine DSFA dazu dienen, gezielte Maßnahmen zur Eindämmung dieses Risikos zu finden.
Wie kann ich feststellen, ob ein hohes Datenschutzrisiko besteht?
Um festzustellen, ob ein potenziell hohes Risiko vorliegt, das eine DSFA erforderlich macht, kann eine sogenannte Schwellwertanalyse durchgeführt werden. Eine Schwellwertanalyse dient dazu, in strukturierter Form zu prüfen und nachzuweisen, ob eine DSFA erforderlich ist oder nicht.
Kann mir onboard diese Schwellwertanalyse abnehmen?
Nein, Sie als Kunde sind als datenschutzrechtlich verantwortliche Stelle für die Ermittlung und Durchführung aller mit einer DSFA verbundenen Prüfungen verantwortlich.
Kann onboard aber eine Schwellwertanalyse als Beispiel zur Verfügung stellen?
Ja, wir können Ihnen auf Anfrage unverbindlich ein Beispiel für eine solche Schwellwertanalyse zur Verfügung stellen, damit Sie sich ggf. daran orientieren können. Bitte beachten Sie jedoch, dass eine Schwellwertanalyse immer eine individuelle Prüfung erfordert, die Sie durchführen müssen und für die Sie verantwortlich bleiben und für die wir keine Haftung übernehmen.
Für die Zusendung der entsprechenden Unterlagen schreiben Sie uns bitte eine Anfrage an [email protected]
Was passiert, wenn wir zu dem Schluss kommen, dass eine DSFA erforderlich ist?
Wenn Sie aufgrund Ihrer individuellen Prüfung zu dem Schluss kommen, dass eine DSFA erforderlich ist, unterstützen wir Sie bei der Durchführung gemäß Auftragsverarbeitungsvertrag.
Soviel zur DSGVO. Gilt nicht auch der EU AI Act?
Der EU AI Act gilt noch nicht ganz. Seit 2. Februar 2025 gilt die Verpflichtung zur sog. KI-Kompetenz, die allerdings keine Bußgelder vorsieht, sowie das Verbot bestimmter KI-Praktiken.
Was sind verbotene KI-Praktiken im HR-Bereich?
Im HR-Bereich sind insbesondere KI-Systeme zur Emotionserkennung am Arbeitsplatz verboten.
Verboten ist beispielsweise der Einsatz von KI-Systemen zur Emotionserkennung in Bewerbungsverfahren, die Mimik, Stimme oder andere emotionale Signale analysieren, um Rückschlüsse auf die Eignung oder Persönlichkeit von Bewerbenden zu ziehen. Verboten ist auch der Einsatz von Kameras in einem Supermarkt, um die Emotionen der Mitarbeitenden (z.B. Zufriedenheit) zu erfassen. Wir bieten kein solches KI-System an und haben dies auch nicht vor. Es ist jedoch möglich, dass wir in Zukunft sogenannte Hochrisiko-KI-Systeme anbieten werden.
Was sind Hochrisiko-KI-Systeme nach dem AI Act?
Der AI Act stuft bestimmte Systeme als Hochrisiko-Systeme ein. Das ist nicht weiter schlimm: Solche Systeme sind nämlich auch in Zukunft weiterhin erlaubt, erfordern aber besondere Aufmerksamkeit. Auch im HR-Bereich werden bestimmte Systeme ausdrücklich als Hochrisiko-Systeme klassifiziert.
Welche KI-Systeme werden im HR-Bereich als Hochrisiko-KI-Systeme eingestuft?
Der AI Act bezeichnet ausdrücklich KI-Systeme als hochriskant, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu sichten oder zu filtern und Bewerbende zu bewerten. Hochrisiko-KI-Systeme sind zudem solche, die für Entscheidungen über die Bedingungen von Arbeitsverhältnissen, Beförderungen oder Kündigungen eingesetzt werden. Gleiches gilt etwa für KI-Systeme, die Aufgaben auf Basis des individuellen Verhaltens oder persönlicher Merkmale zuweisen oder zur Beobachtung und Bewertung der Leistung und des Verhaltens von Beschäftigten verwendet werden.
Gelten solche KI-Systeme immer als hochriskant?
Nein, es gibt Ausnahmen, z.B. wenn eines der oben genannten KI-Systeme kein erhebliches Risiko einer Beeinträchtigung der Gesundheit, der Sicherheit oder der Grundrechte natürlicher Personen mit sich bringt, indem es u.a. das Ergebnis der Entscheidungsfindung nicht wesentlich beeinflusst. Die Europäische Kommission wird bis zum 2. Februar 2026 Leitlinien für die praktische Umsetzung dieser Anforderungen sowie eine umfassende Liste mit praktischen Beispielen für Anwendungsfälle von KI-Systemen mit und ohne hohes Risiko bereitstellen.
Ab wann gelten die Vorschriften für Hochrisiko-KI-Systeme?
Sie gelten erst ab dem 2. August 2026.
Disclaimer: Die Informationen auf dieser Seite dienen lediglich der allgemeinen Information und stellen keine Rechtsberatung dar. Die hier enthaltenen Informationen ersetzen keine individuelle rechtliche Beratung. onboard übernimmt keine Haftung für die Vollständigkeit, Richtigkeit oder Aktualität der bereitgestellten Informationen.