Der Ethikbeirat HR-Tech veröffentlichte vor kurzem 10 Richtlinien für den verantwortungsvollen Einsatz von Künstlicher Intelligenz in der Personalarbeit. Was sagen diese Richtlinien aus, wie weit tragen sie, wie sieht es mit den Richtlinien im Einsatz aus, und was haben Sie mit internationalen Leitlinien für vertrauenswürdige Künstliche Intelligenz (KI) zu tun? Ein Beitrag von Markus Langer.

Wer erklärt uns den guten Einsatz von KI?

In den letzten Monaten kam es immer wieder zu Kontroversen bezüglich des Einsatzes digitaler Technologien in Unternehmen. Besonders das Thema Künstliche Intelligenz erregt die Gemüter und feuert die öffentliche Diskussion an. Es gibt Vertrauensprobleme beim Einsatz Künstlicher Intelligenz in Unternehmen, Mitarbeiter, sowie Klein- und Mittelständische Unternehmen fühlen sich durch die rasante Entwicklung teilweise abgehängt (was auch Demonstrationen der letzten Wochen zeigen), KI-Empfehlungen sind von Anwendern (und teilweise auch Entwicklern) nicht überprüfbar, und zu allem Übel kommt es auch noch zu Diskriminierungsproblematiken (wie beispielsweise Amazon bei ihrer Personalauswahl-KI erfahren musste). 

Was daraus folgt? Trotz des KI-Hypes und des offensichtlichen Interesses an KI in der Personalarbeit, sind Unternehmen hinsichtlich des Einsatzes von KI teils skeptisch, Anbieter von KI-Lösungen versuchen händeringend die Akzeptanz für den Einsatz zu erhöhen und generell scheint ein Klima der Unsicherheit hinsichtlich des Einsatzes von KI zu herrschen. Solche Unsicherheit im Einsatz von Technologien ruft förmlich nach Richtlinien für den Einsatz KI-basierter Technologien – Richtlinien, die Entwicklern und Anwendern einen Rahmen für den verantwortungsvollen Einsatz neuer Technologien geben. Diesen Ruf nach Richtungsweisung und Rahmengebung haben die Mitglieder des „Ethikbeirat HR Tech“ vernommen und entwickelten in den letzten Monaten Richtlinien für den verantwortungsvollen Einsatz von Künstlicher Intelligenz (und weiterer digitaler Technologien) in der Personalarbeit.

Irgendwo haben wir die Richtlinien schonmal gesehen…

Mitglieder und Kenner der „High Level Expert Group on Artificial Intelligence” (eine von der Europäischen Union initiierten Expertengruppe, die sich mit dem ethischen und vertrauenswürdigen Einsatz von KI beschäftigt) werden die Richtlinien des Ethikbeirat HR Tech bekannt vorkommen. Bei genauer Betrachtung erscheinen die Richtlinien der Versuch einer Übersetzung der „Ethik-Leitlinien für eine vertrauenswürdige KI“ zu sein, die von der Expertengruppe der EU entwickelt wurden. Genauer gesagt eine Übersetzung in branchengerechte Sprache für Unternehmen und Praktiker, das heißt in kondensierter Form, unterstützt von schönen Bildern (Schaltkreise, die Gehirne darstellen, schweben über menschenleeren Anzügen, siehe Seite 1 der Konsultationsfassung der Richtlinien), gespickt mit Sätzen, welche die Dringlichkeit und Relevanz für Unternehmen darstellen sollen („Die Zukunft wartet nicht“) und mit Aussagen, die zeigen sollen: Wir haben das Problem verstanden („Digitale Innovation verantwortungsvoll einsetzen“, „Menschen sind individuelle Persönlichkeiten mit Herz und Verstand“). 

Das Positive vorweg: Auf viele der Vorschläge der High-Level Expert Group der EU wird in den Richtlinien des Ethikbeirat HR Tech eingegangen. Andersherum finden sich alle Richtlinien bereits in den Vorschlägen der High-Level Expert Group der EU, wenngleich anders formuliert (wie untenstehend dargelegt wird). Allerdings wurde die Verwandtschaft und Verknüpfung zu den EU-Leitlinien leider nicht explizit gemacht, denn wir konnten keine Stelle in den HR Tech Richtlinien finden, wo auf die EU-Leitlinien (oder andere Leitlinien, die alle ähnliche Dinge fordern, wie z.B. der IEEE Global Initiative on Ethics of Autonomous and Intelligent Systems) verwiesen wurde (Vorschlag für Verbesserung @EthikbeiratHRTech?). Generell könnte man sich wünschen, dass Initiativen für ethische KI mehr untereinander verknüpft sind und sich gegenseitig befeuern können.

Grundsätzlich gemein haben die Richtlinien des Ethikbeirat HR Tech und die Leitlinien der EU, dass sie sich beide von grundlegenden Menschenrechten ableiten: Freiheit, individuelle Würde, Recht auf Selbstbestimmung, Recht auf Privatsphäre. Kurz gesagt: In beiden Rahmenwerken wird gefordert, dass gute KI der Menschheit helfen soll, dass gute KI einen Wertbeitrag für Unternehmen liefern können und gleichzeitig die Rechte des Menschen beachten muss. Aber sind die Richtlinien auch hilfreich für die Praxis?

Im Folgenden führen wir die Richtlinien und eine Kurzerklärung der Richtlinien auf, die aus der Konsultationsfassung des Ethikbeirat HR-Tech vom 24.06.2019 stammen. Für den Abgleich mit den EU-Leitlinien verweisen wir in Klammern hinter den Richtlinien auf die deutsche Version der Leitlinien für vertrauenswürdige KI und dabei auf die sieben Kernanforderungen von KI (siehe S.12 der EU-Leitlinien) sowie auf beispielhafte Absätze aus den EU-Leitlinien, die ähnliche Forderungen wie die Richtlinien des Ethikbeirat HR-Tech anstellen. Nach den Kurzzusammenfassungen folgen kleine Denkanstöße unsererseits.

Die 10 Richtlinien des Ethikbeirat HR-Tech

1. Transparenter Zielsetzungsprozess

Vor der Einführung einer KI-Lösung muss die Zielsetzung für die Nutzung geklärt werden. In diesem Prozess sollen alle relevanten Interessensgruppen [sic!] identifiziert und eingebunden werden.“ (siehe auch EU-Leitlinien Absätze 82, 135).

Diese Richtlinie kann voll und ganz unterstützt werden. Wenngleich weitreichende Folgen beim Einsatz von KI wirklich nicht einfach abzuschätzen sind: jegliche Anstrengungen in dieser Hinsicht sind sinnvoll. Selbst im besten Fall wird diese Richtlinie in der Praxis jedoch nur teilweise erfüllt werden können. Mögliche Einschränkungen sollten in solchen Fällen wenigstens dokumentiert werden.

 

2. Fundierte Lösungen

Wer KI-Lösungen anbietet oder nutzt, muss darauf achten, dass diese empirisch evaluiert sind und über eine theoretische Grundlage verfügen.“ (siehe auch EU-Leitlinien Kernanforderung „Technische Robustheit und Sicherheit“; bspw. Absatz 69, 70).

Bei dieser Forderung zeigt sich deutlich, dass Psychologen bei der Entwicklung der HR-Tech Richtlinien beteiligt waren: KI-Lösungen sollen den gleichen Gütekriterien (Objektivität, Reliabilität, Validität) folgen wie auch andere messtheoretisch fundierte Methoden (wie z.B. Intelligenztests) (siehe DIN 33430; jetzt muss nur noch jemand die DIN 33430 für Entwickler von KI-Lösungen übersetzen). Im Zuge der Umsetzung dieser Richtlinie für KI-Lösungen könnte man auch bestehende nicht-KI Verfahren noch einmal überprüfen (man könnte beispielsweise weit verbreitete Persönlichkeitsfragebögen untersuchen, die sicherlich auch gegen einige der vorliegenden Richtlinien verstoßen). Wichtig ist jedenfalls, dass gerade viele datengetriebene Anwendungen, die beispielsweise auf Deep Learning fußen, hier große Probleme haben könnten. Ihr (vermeintlicher) Vorteil ist ja gerade, prädiktive Kraft ohne Theorien- oder Modellbildung zu ermöglichen. Solche Verfahren könnten Teile der der Anforderungen dieser Richtlinie nicht erfüllen und wären für einen richtlinienkonformen Einsatz ausgeschlossen — was durchaus das richtige Urteil sein mag. Andere vielversprechende Methoden, auch des maschinellen Lernens, könnten indes diese Richtlinie erfüllen, beispielsweise angelernte Entscheidungsbäume oder bayesianische Netze.

 

3. Menschen entscheiden

Wer KI-Lösungen einsetzt, muss sicherstellen, dass die Handlungsträgerschaft der Menschen bei wichtigen Personalentscheidungen nicht eingeschränkt wird.“ (siehe auch EU-Leitlinien Kernanforderung „Vorrang menschlichen Handelns und menschliche Aufsicht“; Absätze 62-65).

Wer also den Richtlinien folgen will, der muss den Menschen auf irgendeiner Weise in oder auf der Entscheidungsschleife halten („in the loop“ oder „on the loop“). Besonders zu erwähnen ist hierbei folgender Satz aus den Richtlinien: „Das ungeprüfte Übernehmen von systemisch erstellten Entscheidungsvorschlägen stellt keine menschliche Entscheidung dar.“ (Folie 19, Kosultationsfassung). Damit ist klar: Ohne Erklärbarkeit von Entscheidungsvorschlägen, kann diese Forderung nicht erfüllt werden, denn ohne Erklärbarkeit kann ein Mensch, der von einem System einen Entscheidungsvorschlag erhält nur abnicken oder uninformiert ablehnen – beides stellt keine menschliche Entscheidung dar. Dass Erklärbarkeit eine Herausforderung darstellt, haben wir in einem anderen Artikel beschrieben. Mehrere von uns Forschen derzeit daran und es ist fraglich, ob Erklärbarkeit für künstliche neuronale Netze überhaupt hinreichend erreicht werden kann. Erneut liegen die Hürden damit sehr hoch — und das durchaus zurecht. 

 

4. Notwendiger Sachverstand

Wer KI-Lösungen in seiner Organisation nutzt, muss diese in ihrer Logik verstehen und erklären können.“ (siehe auch EU-Leitlinien Absatz 109).

Dieses Gebot erinnert stark an Artikel 13, 2f der DSGVO, wo unter anderem gefordert wird: “[…] provide the data subject with […] meaningful information about the logic involved”. Hier kommen wir also direkt wieder zur Erklärbarkeit von KI-Lösungen zurück (vgl. Richtlinien 2 und 3 bezüglich der daraus entstehenden Herausforderungen und Verfahrenseinschränkungen). Diese Richtlinie ist zwar außerordentlich sinnvoll, verlangt von Entwicklern, Unternehmen und Anwendern aber auch extrem viel ab. Wenn nicht einmal Entwickler selbst alle Prozesse verstehen, die zu bestimmten KI-Lösungen geführt haben, wird es eine ziemliche Herausforderung, Anwender solcher Lösungen angemessen zu qualifizieren. 

 

5. Haftung und Verantwortung

Organisationen, die KI-Lösungen nutzen, sind für die Ergebnisse ihrer Nutzung verantwortlich.“ (siehe auch in den EU-Leitlinien die Abschnitte zu „Rechtmäßige KI“ S.8 und S.10, allerdings ist eine genauere Beschreibung der Rechtmäßigkeit von KI und damit Fragen zumindest rechtlicher Verantwortung beim Einsatz von KI in den EU-Leitlinien ausgeklammert).

Vor dem Einsatz von KI-Lösungen soll geprüft werden, ob diese rechtlich zulässig sind. Generell aber kann man die Verantwortung als Unternehmen nicht auf den Anbieter übertragen, sondern ist selbst für den Einsatz verantwortlich. Diese Richtlinie fordert von Unternehmen, dass sie informiert in Gesprächen mit Anbietern von KI-Lösungen gehen sollten. Nur mit gewissem Sachverstand kann in solchen Gesprächen geklärt werden, ob die angebotene KI-Lösung auf rechtlich (und ethisch) sicheren Füßen steht. Genauso könnte diese Richtlinie auch noch einmal Rufe nach einem Algorithmen-TÜV laut werden lassen, der als externer und unabhängiger Dienstleister die Rechtmäßigkeit von KI-Lösungen prüft.

 

6. Zweckbindung und Datenminimierung

Wer personenbezogene Daten für KI-Lösungen nutzt, muss im Vorfeld definieren, für welche Zwecke diese verwendet werden und sicherstellen, dass diese Daten nur zweckdienlich erhoben, gespeichert und genutzt werden.“ (siehe auch EU-Leitlinien Kernanforderung „Datenschutz und Datenqualitätsmanagement; Absätze 71-74). 

Hier haben wir eine Richtlinie, die auf Konformität mit der Datenschutzgrundverordnung (DSGVO) abzielt. Über die DSGVO wurde schon viel geschrieben, deshalb zu dieser Richtlinie nur ein paar Gedanken: KI-Lösungen werden eigentlich erst durch eine breite Datenbasis wirklich robust bspw. kann so potentielle Diskriminierung besser aufgedeckt und verhindert werden. Möglicherweise braucht man dafür dann eine große Menge an Daten, vielleicht sogar mehr Daten als das jeweilige System selbst als Eingaben bekommt. Wie soll man herausfinden, ob das System systematisch Frauen oder angehörige von Minderheiten diskriminiert, wenn man diese Attribute nicht mit einer großen Datenbasis erhebt und speichert? 

Ein verwandtes Problem: Vielleicht fordern rechtliche Vorgaben sogar, dass bestimmte Daten einem eingesetzten System verborgen bleiben müssen (z.B. Namen, Bilder).. Dennoch könnte es sein, dass Attribute wie Geschlecht oder Herkunft implizit in anderen vorliegenden Daten wie dem Lebenslauf enthalten sein können und damit womöglich von Systemen erkannt werden können (erneut sei auf das Beispiel Amazon verwiesen), ohne dass Entwickler oder Anwender sich dessen bewusst sind. Nochmal in aller Deutlichkeit: Selbst wenn ein Lebenslauf kein Bild, keinen Namen und keinerlei direkte Hinweise auf Herkunft oder Geschlecht liefert, so gibt es vielleicht andere Charakteristika des Lebenslaufs, die erkennen lassen, ob der Lebenslauf von einer Frau, einem Mann, einer Person aus Deutschland oder Frankreich kommt (mit dieser Diskussion sind wir eigentlich auch schon bei Richtlinie 9 gelandet)

Ein weiterer Gedanke: Schließt diese Richtlinie aus, dass Anbieter von KI-Lösungen ihre Lösungen durch eine breite Datenbasis (z.B. aus verschiedenen Personalauswahlprozessen; von verschiedenen Unternehmen) verbessern können? Gebietet diese Richtlinie nicht eigentlich, dass man KI für jedes Verfahren neu anlernen müsste, es sei denn man fragt die betroffenen Personen, ob man ihre Daten „für immer“ nutzen kann? Oder erlaubt der Zweck der Diskriminierungserkennung und Systemverbesserung das dauerhafte Speichern solcher Daten? Das sind kritische, aber bisher ausgeklammerte Fragen, die voraussichtlich kreative neue Lösungen hinsichtlich Zustimmung von Datennutzung und Datenverarbeitung erfordern.

 

7. Informationspflicht

Vor bzw. beim Einsatz einer KI-Lösung müssen die davon betroffenen Menschen über ihren Einsatz, ihren Zweck, ihre Logik und die erhobenen und verwendeten Datenarten informiert werden.“ (siehe auch EU-Leitlinien Kernanforderung „Transparenz“; Absätze 75-78)

Darüber zu informieren, dass ein KI System eingesetzt wird, ist noch relativ einfach. Den Zweck zu erklären lässt sich auch noch umsetzen. Die zugrundeliegende Logik einer KI-Lösung für alle betroffenen Menschen nachvollziehbar zu machen wird jedoch sehr herausfordernd (wir sind übrigens schon wieder beim Stichwort Erklärbarkeit angelangt). Zudem haben wir in unserer eigenen Forschung herausgefunden, dass Menschen potentiell negativ auf Unternehmen reagieren können, je detaillierter die Informationen sind, die über ein eingesetztes KI-System gegeben werden (Langer, König, & Fitili, 2018). Die Informationspflicht ist absolut zu unterstützen, Entwickler, Unternehmen und Anwender müssen sich aber potentiellen Kosten-Nutzen Trade-offs von Informiertheit, negativen Reaktionen gegenüber dem Einsatz von KI-Lösungen und der Herausforderung geeigneter Darbietung und Vermittlung bewusst sein.

 

8. Achten der Subjektqualität

Für die Nutzung in KI-Lösungen dürfen keine Daten erhoben und verwendet werden, welche der willentlichen Steuerung der Betroffenen grundsätzlich entzogen sind.“ (siehe auch EU-Leitlinien Kernanforderung “Vorrang menschlichen Handelns und menschliche Aufsicht”; Absätze 41, 50, 64)

Diese Richtlinie ist aus mehreren Gründen spannend. Erstens macht sie einen richtlinienkonformen Einsatz einiger weit verbreiteter KI-Lösungen unwahrscheinlich (z.B. die automatische Analyse von Bewerbungsgesprächen von HireVue). Zweitens schränkt diese Richtlinie die Nutzung von interessanten Datenquellen ein (z.B. Stimmparameter). Drittens wirft sie Fragen dazu auf, was denn nun wirklich willentlich veränderbar ist. Ist ein Lächeln willentlich veränderbar? Manchmal Ja, manchmal vielleicht auch Nein. Ist willentlich steuerbar, wie laut man spricht? Ja. Ist Stimmlautstärke damit ein Parameter, der für KI-Lösungen genutzt werden darf? Viertens, in der detaillierten Beschreibung dieser Richtlinie findet sich folgender Satz: „KI-Lösungen, die Daten erheben oder verwenden, welche die Subjektqualität des Menschen nicht beachten, sind für das Personalmanagement in Organisationen grundsätzlich nicht einzusetzen.“ – gilt das für alle Personalmanagementaktivitäten? Gilt das beispielsweise auch für das Gesundheitsmanagement, wo Menschen in Unternehmen eventuell nicht einmal merken, dass sie sich auf einem gefährlichen Weg in Richtung Depression bewegen, wo aber messbare, nicht willentlich steuerbare Informationen vielleicht früh Alarm schlagen könnten? Das letztgenannte Zitat wirft auch die Frage auf, ob wir andere Standards an KI anlegen als an menschgemacht Entscheidungen? Nutzen beispielsweise Interviewer in Bewerbungsgesprächen nicht auch Informationen von BewerberInnen, die diese eventuell nicht willentlich steuern (z.B. Stimmattraktivität)?

 

9. Datenqualität und Diskriminierung

Wer KI-Lösungen entwickelt oder nutzt, muss sicherstellen, dass die zugrundeliegenden Daten über eine hohe Qualität verfügen und systembedingte Diskriminierungen ausgeschlossen werden.“ (siehe EU-Leitlinien Kernanforderung “Vielfalt, Nichtdiskriminierung und Fairness” und Kernanforderung “Rechenschaftspflicht”; Absätze 44, 79-82 und 87-91)

Diese Richtlinie fordert „Informationen über Trainingsdaten“ (Trainingsdaten, die bei der Entwicklung von KI, die auf maschinellem Lernen beruht, genutzt werden) und „proaktive Prüfung von Daten und Systemen auf Diskriminierung“ – man kann diese Forderungen gar nicht genug betonen (siehe auch unsere Anmerkungen zu Richtlinie 7). Diese Richtlinie enthält allerdings implizit auch eine Forderung nach Einblicken in Entwicklungsprozesse von KI bei Entwicklern und Anbietern von KI-Lösungen. Anbieter könnten hierbei Bedenken haben, dass sie ihr Geschäftsgeheimnis (die KI-Lösung) offenlegen und darstellen müssen, was potentiell nicht in ihrem Interesse ist (ganz davon abgesehen, dass auch hier wieder Herausforderungen hinsichtlich Erklärbarkeit bestehen). Wenn Anbieter von KI-Lösungen nicht in Haftung genommen werden können, sich aber auch nicht in ihre Lösungen reinschauen lassen möchten, braucht es voraussichtlich unabhängige Zertifizierungsstellen, die Unternehmen versichern können, dass KI-Lösungen ethischen und rechtlichen Standards entsprechen (Stichwort Algorithmen TÜV).

 

10. Stetige Überprüfung

Wer KI-Lösungen nach den vorliegenden Richtlinien einführt, soll transparent sicherstellen, dass die Richtlinien auch bei der betrieblichen Umsetzung und der Weiterentwicklung beachtet werden.“ (siehe auch EU-Leitlinien, Kernanforderung „Technische Robustheit und Sicherheit“, Absätze 66-70)

Mit dieser letzten Richtlinie wird noch einmal richtig ‘auf die Pauke gehauen’. Richtlinie 10 stellt gigantische Anforderungen an Entwickler, Anbieter, Unternehmen und Anwender, da alle anderen neun Richtlinien stetig überprüft werden müssen, vor allem wenn KI weiterentwickelt wird. Im Optimalfall wird KI natürlich ständig weiterentwickelt und damit setzt Richtlinie 10 die Messlatte für die ethische Nutzung von KI für die Personalarbeit noch einmal erheblich nach oben. Der Bedarf nach externen Dienstleistungen, die Audits und Zertifizierungen durchführen, würde damit noch einmal in die Höhe getrieben. 

 

Fazit

Insgesamt sind die Richtlinien des Ethikbeirat HR Tech ein guter Versuch die EU-Leitlinien für vertrauenswürdige KI für die deutsche Wirtschaft (speziell die Personalarbeit in Deutschland) zu übersetzen und zu konkretisieren. Insgesamt werden dabei sehr hohe Standards an die ethische Nutzung von KI-Anwendungen aufgestellt. Das ist definitiv gut und entspricht dem Geiste der EU-Leitlinien. Praktisch könnten diese Richtlinien aber dazu führen, dass man sich als Unternehmen ganz genau überlegt, ob man KI-basierte Lösungen überhaupt anwendet – viele bisher verfügbare Lösungen entsprechen vermutlich nicht den Richtlinien. Aber KI-basierte Lösungen haben auch eine Vielzahl vielversprechender Eigenschaften (bspw. Effizienzsteigerung oder die Aufdeckung menschlicher Vorurteile) und auch Personaler erwarten sich von KI-Lösungen Effizienzsteigerung in Prozessen, oder die Verbesserung der Qualität von Entscheidungen. 

Eine Gefahr könnte darstellen, dass sich Unternehmen einige der Richtlinien rauspicken und sich nur diese für das eigene Unternehmen auferlegen. Das basiert dann zwar in Teilen auf den Richtlinien des Ethikbeirat HR Tech, vielleicht werden dann aber eher die Richtlinien rausgepickt, die einfacher umzusetzen sind. Alternativ ist eine Gefahr, dass Richtlinien für einen praktikablen Einsatz von KI-Lösungen angepasst oder aufgeweicht werden. Was klar ist: Richtlinien sind nicht verbindlich und damit kann nicht unbedingt davon ausgegangen werden, dass Unternehmen sich voll und ganz auf die Richtlinien des Ethikbeirat HR-Tech einlassen werden. Vermutlich haben Unternehmen einen Anreiz aus Marketinggründen darauf zu verweisen, dass sie den Richtlinien folgen. Im schlimmsten Falle könnten dann bei Missachtung der Richtlinien negative Reaktionen der Öffentlichkeit folgen. Ansonsten drohen bei Missachtung, Aufweichung oder Abänderung der Richtlinien aber eben keine Sanktionen.

 

Ein paar abschließende Anmerkungen

Da die Richtlinien des Ethikbeirat HR-Tech (bisher) keine Checklists oder ähnliches für Unternehmen anbieten, die ihre eigenen KI-Lösungen überprüfen möchten, verweisen wir Unternehmen auf die EU-Leitlinien für vertrauenswürdige KI. Auf den Seiten 32 bis 41 findet sich eine ausführliche Liste an Aspekten, die es für die Umsetzung vertrauenswürdiger KI zu bedenken gilt. Was dringend benötigt wird sind konkrete Umsetzungen der Richtlinien und Unternehmen, die zeigen, wie sie ethische Richtlinien umgesetzt haben.

Abschließend, und wie mehrfach erwähnt, scheint die Forderung nach Erklärbarkeit bei vielen Forderungen nach ethischer und vertrauenswürdiger KI ein zentraler Punkt zu sein. Die Forderung nach Erklärbarkeit wird von Algoright unterstützt – allein an der Umsetzung hapert es noch. Wer dazu noch mehr lesen möchte, kann sich unseren Blogbeitrag zum Projekt „Erklärbare Intelligente Systeme“ anschauen, ein Projekt bei dem einige Mitglieder von Algoright an Fragen rund um die Erklärbarkeit von KI arbeiten.