Tier 4 · Deploy & answer4.220 min

Das für Sie geltende Recht

A fiery orange-and-pink sunset over a harbour ringed by dark hillsAgents at Work — CC BY 4.0

Die meisten kleinen Anbieter, die KI zur Verarbeitung personenbezogener Daten einsetzen, geben sich einer trügerischen Gewissheit hin: Da es hier kein KI-Gesetz gibt, gibt es auch nichts, worüber man sich Sorgen machen müsste. Das ist die gefährlichste Fehleinschätzung in diesem gesamten Kurs. Es mag in Neuseeland zwar kein eigens dafür geschaffenes „KI-Gesetz“ geben – doch die bereits bestehenden Gesetze gelten auch für die Aktivitäten Ihres Systems, und „keine KI-spezifischen Vorschriften“ bedeutet nicht dasselbe wie „keine Vorschriften“. Diese Lektion dient als Orientierungshilfe. Es handelt sich um allgemeine Aufklärung, nicht um Rechtsberatung – die Rechtslage ist an manchen Stellen tatsächlich unklar, und Ihre konkreten Fälle erfordern eine qualifizierte Stellungnahme.

Neuseeland – allgemeines Recht, und das hat es in sich

Neuseeland hat kein Äquivalent zur europäischen Regelung für automatisierte Entscheidungen . Die dreizehn Datenschutzgrundsätze des Privacy Act 2020 enthalten keinerlei Bestimmungen zu KI oder automatisierten Entscheidungen. (Im Rahmen der fünfjährigen Überprüfung durch den Datenschutzbeauftragten wurde geprüft, ob Schutzvorkehrungen für die automatisierte Entscheidungsfindung hinzugefügt werden sollten – dies könnte sich also ändern; behalten Sie die Entwicklung im Auge.) In der Praxis bedeutet das, dass KI bei der Personalauswahl und im Umgang mit personenbezogenen Daten dem allgemeinen Datenschutzrecht und dem Diskriminierungsrecht unterliegt – die für Sie gelten, unabhängig davon, ob jemand „KI“ erwähnt oder nicht.

Die Grundsätze des Datenschutzgesetzes, die am stärksten ins Gewicht fallen:

Das Menschenrechtsgesetz von 1993 – das, das oft vergessen wird. In § 21 sind die verbotenen Diskriminierungsgründe aufgeführt (Geschlecht, Alter, ethnische oder nationale Herkunft, Behinderung, Familienstand und mehr). § 22 erklärt es für rechtswidrig, einen qualifizierten Bewerber aus einem verbotenen Grund abzulehnen – und § 22 Abs. 2 bezieht sich ausdrücklich auf Personalvermittler. Entscheidend ist, dass ein Ergebnismit ungleicher Auswirkung unabhängig von der Absicht einen Verstoß darstellen kann: Ein Auswahlverfahren, das auf den ersten Blick neutral ist, aber eine geschützte Gruppe unverhältnismäßig stark benachteiligt, kann rechtswidrig sein, auch wenn niemand die Absicht hatte, zu diskriminieren. Deshalb ist die Prüfung auf nachteilige Auswirkungen in Stufe 3 keine optionale Höflichkeitsmaßnahme – so finden Sie heraus, ob Sie sich auf der falschen Seite dieser Regelung befinden.

Was der Datenschutzbeauftragte erwartet (Leitlinien, kein verbindliches Recht – aber sie prägen die Bedeutung von „angemessen“): Genehmigung durch die oberste Führungsebene; eine Datenschutz-Folgenabschätzung, bevor Sie das Tool einsetzen; Transparenz gegenüber den betroffenen Personen; die Einbeziehung von Māori hinsichtlich der Risiken für die taonga durch deren Daten; eine echte Überprüfung durch einen Menschen, bevor Maßnahmen ergriffen werden; und Tools, die die Daten weder speichern noch weitergeben. Der Beauftragte weist darauf hin, dass die KI-Prüfung von Bewerbungen eine „nicht gute“ Erfolgsbilanz aufweist, warnt davor, dass ein rein symbolischer „Human-in-the-Loop“ die „Automatisierungsblindheit“ möglicherweise nicht beheben kann – und sagt, mit anderen Worten: Im Zweifelsfall sollten Sie keine KI-Tools zur Verarbeitung personenbezogener Daten einsetzen.

Europa – wenn Sie auch nur einen in der EU ansässigen Bewerber betreffen

Man könnte meinen, das EU-Recht sei das Problem anderer. Es kann ein neuseeländisches Unternehmen jedoch über eine bestimmte Hintertür erreichen: nicht dort, wo Ihr Unternehmen ansässig ist, sondern dort, wo das Ergebnis genutzt wird. Wenn die Entscheidung Ihres Agenten in Bezug auf eine in der EU ansässige Person verwendet wird, können die EU-Vorschriften für Sie gelten.

Wo das Risiko liegt

Betrachtet man beide Rechtsordnungen zusammen, ergibt sich aus beiden: Eine Entscheidung über eine Person, die von einer Maschine getroffen oder maßgeblich beeinflusst wird, ohne echtes menschliches Urteilsvermögen und ohne Überprüfung auf Voreingenommenheit, ist der Ort, an dem das rechtliche Risiko liegt – hier durch das Diskriminierungsrecht und das Datenschutzrecht, und in Europa durch Artikel 22 und das KI-Gesetz, wenn Sie in Europa tätig sind. „Es gibt kein KI-Gesetz“ war noch nie eine Verteidigung. Die Vorgaben aus den früheren Stufen – weniger Daten erheben, die Datenverwahrung sicherstellen, auf nachteilige Auswirkungen prüfen, eine echte menschliche Entscheidung treffen und manchmal gar nicht automatisieren – sind nicht nur bewährte Praxis. Sie sind der Weg, wie man auf der richtigen Seite des bereits bestehenden Rechts bleibt.

Stellen Sie sich eine Aufgabe im Zusammenhang mit personenbezogenen Daten vor, die Sie einem Mitarbeiter übertragen würden. Zu welcher der oben genannten Punkte würde ein Anwalt Sie am ehesten befragen – zur eingefügten Eingabeaufforderung (IPP5), zu den ungleichen Auswirkungen (HRA § 22) oder zur fehlenden menschlichen Entscheidung (Art. 22)? Das ist der Punkt, zu dem Sie sich zuerst beraten lassen sollten.

Weiter

Das Gesetz nennt eine Verpflichtung, die zugleich einen Wert darstellt: die Einbeziehung von Māori in Bezug auf ihre Daten. Das verdient eine eigene Lektion.

Wenn Sie diese Lektion als abgeschlossen markieren, wird Ihr Fortschritt auf diesem Gerät gespeichert – kein Konto, keine Nachverfolgung.

Kostenlos und in gutem Glauben geteilt. Wenn es für Sie von Nutzen war, ist ein koha zur Deckung der Entwicklungs- und Betriebskosten herzlich willkommen.

koha hinterlassen →

Nützlich? Teile diese Lektion mit einem Kollegen.