Es war Ende November letzten Jahres, als ich spätabends noch im Büro saß. Draußen war es bereits stockfinster, und das Einzige, was meinen Schreibtisch beleuchtete, war die grelle Schreibtischlampe und das Flimmern meines Monitors. Vor mir lag eine Hochglanz-Broschüre eines Start-ups, die uns einen „KI-gestützten Mood-Tracker“ für die Belegschaft verkaufen wollte. Das Versprechen: Über die Webcams in den Videocalls erkennt die Software die Stimmung der 78 Mitarbeitenden und schlägt Alarm, wenn die Frustration im Team steigt. Klingt erst mal nach moderner Fürsorge, oder? Aber während ich da saß, den trockenen, papierartigen Geruch des über hundertseitigen Ausdrucks der KI-Verordnung in der Nase und einen neongelben Textmarker-Fleck am Daumen, dämmerte mir: Das Ding ist nicht innovativ. Das Ding ist wahrscheinlich illegal.
KW 48: Wenn „innovative Überwachung“ zum rechtlichen Albtraum wird
Als ich im Herbst 2024 zur AI-Act-Beauftragten ernannt wurde, fühlte ich mich ehrlich gesagt wie jemand, der ohne Schwimmweste mitten im Ozean ausgesetzt wurde. Ich bin HR-Managerin, keine Juristin und erst recht keine IT-Expertin. Aber da wir kein Budget für externe Berater hatten, blieb das Thema an mir hängen. Mein erster Schritt war, den Artikel 5 der KI-Verordnung zu verstehen – das Kapitel über die „verbotenen Praktiken“. Es ist quasi die Rote Liste der EU, die Dinge, die ein „unannehmbares Risiko“ darstellen.
Ich erinnere mich noch gut an das Gespräch mit unserem Geschäftsführer in jener Woche. Er war ganz begeistert von der Idee, mittels KI die Effizienz in der Fertigung bei Frau Krüger zu messen. Er sprach von „innovativem Monitoring“. Ich musste ihn sanft bremsen. In meinem Kopf hallte nur der Gedanke nach: Ich frage mich, ob ihm klar ist, dass „innovative Überwachung“ heute oft nur ein schickes Wort für eine verbotene Praktik ist. Der AI Act zieht hier eine ganz klare Grenze, besonders wenn es um Emotionen am Arbeitsplatz geht.
Die No-Go-Liste: Was wir im Büro niemals tun dürfen
Was ich auf die harte Tour gelernt habe: Es gibt Anwendungen, die so tief in die Grundrechte eingreifen, dass sie komplett verboten sind. Das ist keine Grauzone mehr, sondern eine Wand. Ganz oben auf der Liste steht die Emotionserkennung am Arbeitsplatz. Die EU sagt klipp und klar: Eine KI darf nicht dazu genutzt werden, die Gefühle von Mitarbeitenden zu analysieren, es sei denn, es hat einen medizinischen oder sicherheitstechnischen Grund (was bei uns im Maschinenbau-Zulieferbetrieb kaum der Fall sein dürfte). Wenn das Tool also versucht zu erraten, ob Tobias aus der IT gerade gelangweilt oder gestresst ist, ist das ein Verstoß gegen Artikel 5.
Ein weiterer Punkt, der mich fast umgehauen hat, ist das Verbot von biometrischer Kategorisierung. Man darf Menschen nicht aufgrund biometrischer Daten in Schubladen stecken – etwa nach politischer Einstellung, Religion oder Rasse. Das klingt für uns im Mittelstand erst mal weit weg, aber sobald eine KI anfängt, Profile von Bewerbern basierend auf Videointerviews zu erstellen, kommen wir in Teufelsküche. Ich habe damals erst mal tief durchatmen müssen und bin am Mittwochabend besonders intensiv zum Yoga gegangen, um diesen Paragraphen-Dschungel aus dem Kopf zu kriegen. Yoga ist für mich mittlerweile die einzige Versicherung gegen den Compliance-Burnout.
Ich hatte anfangs auch das Thema Social Scoring völlig falsch eingeschätzt. Ich dachte, das betrifft nur Staaten wie China. Aber der AI Act verbietet es auch Unternehmen, Menschen aufgrund ihres sozialen Verhaltens oder ihrer Persönlichkeitsmerkmale zu bewerten, was dann zu einer Benachteiligung in völlig anderen Lebensbereichen führt. Wenn wir also eine KI hätten, die das Freizeitverhalten unserer Leute trackt und daraus Schlüsse für die nächste Gehaltserhöhung zieht – absolut verboten.
KW 7: Der Moment der Wahrheit beim Software-Audit
Mitte Februar saß ich mit Tobias aus der IT zusammen. Wir haben eine Art Inventur des Grauens gemacht, um zu sehen, was wir eigentlich schon an Tools im Haus haben oder was geplant war. Dabei stießen wir auf ein altes Angebot für ein „Predictive Hiring“-Tool, das wir fast gekauft hätten. Das Tool versprach, anhand von Social-Media-Profilen und Online-Aktivitäten vorherzusagen, welche Bewerber am ehesten kündigen würden. Ein klassischer Fall von verbotenem Profiling und intrusivem Datensammeln, das in die Kategorie der unannehmbaren Risiken rutschen kann, wenn es die Menschenwürde verletzt.
Tobias kratzte sich am Kopf und meinte: „Aber das wäre doch super praktisch gewesen.“ Ja, praktisch vielleicht, aber rechtlich ein Minenfeld. Der AI Act gibt uns eine Umsetzungsfrist von 6 Monaten für diese Verbote, nachdem er in Kraft getreten ist. Das heißt, wir müssen diese Dinge nicht nur für die Zukunft ausschließen, sondern auch bestehende Systeme abschalten, wenn sie in diese Kategorien fallen. Da ich keine IT-Zertifikate habe, verlasse ich mich hier voll auf Tobias’ technisches Verständnis, während ich versuche, die juristischen Texte in normales Deutsch zu übersetzen.
Warum die Verbote eigentlich unser Glück sind
Hier kommt mein „Inner Truth Moment“, den ich erst nach ein paar Monaten begriffen habe: Entgegen der ganzen Panikmache könnten gerade diese Verbote die Akzeptanz für KI bei uns im Betrieb sogar fördern. Warum? Weil sie die rechtlichen Grauzonen endlich beseitigen. Früher musste ich mit dem Betriebsrat ewig darüber diskutieren, ob ein Tool „vielleicht“ zu tief in die Privatsphäre eingreift. Heute kann ich einfach sagen: „Artikel 5 sagt Nein.“ Das schafft Klarheit und Sicherheit für alle Seiten.
Es schützt die Unternehmenskultur, die ich in den letzten vier Jahren hier mühsam mit aufgebaut habe. Wir sind ein Familienunternehmen, kein Überwachungsstaat. Die Tatsache, dass das Gesetz uns zwingt, menschlich zu bleiben, ist eigentlich ein Segen. Ich habe gemerkt, dass die Leute viel offener für KI im Bereich Prozessoptimierung sind, wenn sie wissen, dass ihre Emotionen und ihre Persönlichkeit tabu für die Algorithmen bleiben. Wenn du wissen willst, wie man den Rest der Belegschaft mitnimmt, schau dir mal an, wie man KI-Systeme nach Risikoklassen richtig einteilt, das hat mir damals sehr geholfen, die Dinge zu sortieren.
KW 21: Ein paar Wochen vor dem Meilenstein
Vor ein paar Wochen habe ich die letzte Liste der verbotenen Anwendungen für unseren Geschäftsführer finalisiert. Ich habe keine fancy Grafiken gemacht, sondern eine einfache Tabelle: Was ist es, warum ist es verboten, was nutzen wir stattdessen. Er hat es ohne Murren unterschrieben. Ich glaube, er ist froh, dass jemand anderes die Verantwortung für diese Details übernimmt. Inzwischen fühle ich mich auch nicht mehr ganz so verloren. Ich habe gelernt, dass man nicht alles wissen muss, aber man muss wissen, wo man die Grenze zieht.
Natürlich bin ich keine Anwältin für IT-Recht, und wenn es bei uns im Unternehmen mal wirklich hart auf hart kommt, werden wir um eine professionelle Rechtsberatung nicht herumkommen. Aber für den operativen HR-Alltag reicht das Wissen um die „No-Gos“ erst mal aus, um die gröbsten Fehler zu vermeiden. Es ist ein ständiger Lernprozess. Falls du dich auch gerade fragst, wie du das alles regeln sollst, habe ich damals eine kostenlose KI-Richtlinien Vorlage erstellt, die zumindest die Basis für solche Verbote im Unternehmen legt.
Gestern Abend nach dem Yoga – ich war noch ganz entspannt von der Schlussentspannung – dachte ich darüber nach, wie viel Angst wir anfangs vor der Regulierung hatten. Heute sehe ich es eher als Leitplanken. Es ist wie beim Autofahren: Man ist froh, dass es Regeln gibt, damit einem keiner in die Seite fährt. Ich klappte meinen Laptop zu, spürte die Ruhe im dunklen Wohnzimmer und war einfach nur froh, dass der „Mood-Tracker“ niemals bei uns einziehen wird. Jetzt geht es darum, die erlaubten Systeme sicher zu machen. Aber das ist eine Geschichte für die nächste Woche.
Wenn du selbst in der HR steckst und dich der AI Act nachts wachhält: Atme tief durch. Wir kochen alle nur mit Wasser. Frag im Zweifel immer einen Profi, wenn es um Haftungsfragen geht, aber lass dich nicht von der Bürokratie lähmen. Wir gestalten das hier gerade alle zum ersten Mal.