SOP Hochrisiko-KI & verbotene Praktiken

GEALAN Fenster-Systeme GmbH
Stand: 15.02.2026
Version: 1.0
Status: ⚠️ Aktuell nicht gültig (Hochrisiko-KI bei GEALAN verboten)

---

⚠️ Wichtiger Hinweis

Diese SOP ist aktuell nicht anwendbar.

Gem. KI-Rahmenbetriebsvereinbarung (RBV) Abschnitt 3 sind Hochrisiko-KI-Systeme nach Anhang III EU AI Act bei GEALAN generell nicht zulässig. Dies umfasst insbesondere:

• HR-Recruiting & Bewerbungsauswahl
• Leistungs- & Verhaltensbeurteilung von Mitarbeitern
• Automatisierte Entscheidungen über Beförderung, Versetzung, Kündigung
• Profiling mit Rechtswirkung

Zweck dieser SOP: Dokumentation der rechtlichen Grundlagen und Vorbereitung für den Fall, dass Hochrisiko-KI zukünftig (nach RBV-Änderung) erlaubt werden sollte.

Für die tägliche Arbeit relevant: Siehe Merkblatt Hochrisiko-KI & verbotene Praktiken – dort findest du verständliche Erklärungen und Beispiele.

---

1. Zweck

Diese SOP definiert:

1. Was verbotene Praktiken sind (EU AI Act Art. 5)
2. Was Hochrisiko-KI ist (EU AI Act Anhang III)
3. Warum diese Use Cases bei GEALAN nicht zulässig sind
4. Was bei Verdachtsfällen zu tun ist

---

2. Rechtliche Grundlagen

2.1 EU AI Act (Verordnung (EU) 2024/1689)

Art. 5 – Verbotene KI-Praktiken

Generell verboten in der EU:

• Social Scoring (Art. 5 Abs. 1 lit. c)
  Bewertung oder Klassifizierung von Personen basierend auf ihrem Sozialverhalten, das zu ungerechtfertigter Benachteiligung führt.

• Emotion Recognition am Arbeitsplatz (Art. 5 Abs. 1 lit. f)
  Erkennung von Emotionen in Beschäftigungs- oder Bildungskontexten (Ausnahme: medizinische/Sicherheitsgründe).

• Subliminal Manipulation (Art. 5 Abs. 1 lit. a)
  Manipulation des Verhaltens durch unterschwellige Techniken außerhalb des Bewusstseins.

• Ausnutzung von Vulnerabilitäten (Art. 5 Abs. 1 lit. b)
  Ausnutzung von Schwächen spezifischer Gruppen (Alter, Behinderung, soziale/wirtschaftliche Lage).

Konsequenz bei Verstoß: Bußgeld bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.

---

Anhang III – Hochrisiko-KI-Systeme

Hochrisiko-KI liegt vor bei:

1. Beschäftigung & HR (Anhang III Nr. 4)

   • Rekrutierung & Personalauswahl
   • Beförderungsentscheidungen
   • Leistungs- & Verhaltensbeurteilung von Beschäftigten
   • Aufgabenzuweisung
   • Überwachung & Bewertung von Arbeitsleistung

2. Zugang zu Bildung & Berufsausbildung (Anhang III Nr. 3)

   • Bewertung von Lernenden
   • Zulassungsentscheidungen

3. Kreditwürdigkeit & Kreditscoring (Anhang III Nr. 5b)

   • Bonitätsprüfung
   • Kreditvergabeentscheidungen

4. Biometrische Identifikation (Anhang III Nr. 1)

   • Gesichtserkennung
   • Fernidentifikation in öffentlich zugänglichen Räumen

5. Kritische Infrastruktur (Anhang III Nr. 2)

   • Wasser-, Strom-, Gasversorgung
   • Verkehrskontrollsysteme

Konsequenz bei Verstoß: Bußgeld bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes.

---

2.2 KI-Rahmenbetriebsvereinbarung (RBV) bei GEALAN

Abschnitt 3: Hochrisiko-Verbot

"Hochrisiko-KI-Systeme gem. Anhang III AI Act sind bei GEALAN generell nicht zulässig."

Rationale:

• Schutz von Mitarbeiter- & Bewerberrechten
• Vermeidung automatisierter Diskriminierung
• Transparenz & menschliche Entscheidungshoheit

---

3. Wann liegt "Hochrisiko" oder "Verbot" vor?

3.1 Verbotene Praktiken (Art. 5 AI Act)

A) Emotionserkennung am Arbeitsplatz

Was ist gemeint?
KI erkennt oder bewertet Emotionen/Stimmung/Stress von Mitarbeitenden (z.B. aus Video/Audio/Text).

Beispiel nicht zulässig:
"Tool erkennt Stress in Meetings und erstellt Team-Heatmaps."

Alternative (möglich):
"Meeting-Zusammenfassung ohne Emotionserkennung, ohne Personenbewertung."

---

B) Biometrisches Profiling mit sensiblen Ableitungen

Was ist gemeint?
KI leitet aus biometrischen Daten (Gesicht, Stimme, Gang) sensitive Eigenschaften ab (Gesundheit, Persönlichkeit, politische Meinung).

Beispiel nicht zulässig:
"Tool klassifiziert Mitarbeitende nach 'Gesundheitsrisiko' oder 'Persönlichkeit' aus Stimme/Video."

Alternative (möglich):
"Zutrittskontrolle ohne KI-Profiling und ohne Ableitung sensibler Eigenschaften."

---

C) Social Scoring / automatische Verhaltensüberwachung

Was ist gemeint?
KI überwacht Verhalten (Chat, E-Mail, Anwesenheit) und erstellt Rankings/Scores für Mitarbeitende.

Beispiel nicht zulässig:
"KI überwacht Chat-/Mail-Verhalten und markiert 'Low Performer'."

Alternative (möglich):
Keine – diese Art der Überwachung ist grundsätzlich problematisch.

---

3.2 Hochrisiko-KI (Anhang III AI Act)

A) Recruiting / Bewerbungen

Nicht zulässig:

• "KI sortiert Bewerbungen vor, rankt Kandidaten, erstellt Eignungsscore."
• "KI schlägt Top-3-Kandidaten vor (Shortlist)."
• "KI screent CVs und lehnt automatisch ab."

Warum?
Anhang III Nr. 4 (HR-Recruiting) = Hochrisiko → bei GEALAN verboten.

Alternative (möglich):
"KI unterstützt bei Textbausteinen für Stellenanzeigen (ohne Bewerberdaten)."

---

B) Leistung/Verhalten von Mitarbeitenden

Nicht zulässig:

• "KI erstellt Leistungs-Ranking aus Arbeitszeit/Tasks/Outputs."
• "KI bewertet Teamfähigkeit aus Chat-/Meeting-Daten."
• "KI schlägt Beförderungen/Bonuszahlungen vor."

Warum?
Profiling/Scoring kann Entscheidungen faktisch steuern → Hochrisiko.

Alternative (möglich):
Aggregierte, anonymisierte Auswertungen (ohne Personenbezug).

---

C) Aufgaben-/Schichtzuweisung

Nicht zulässig:

• "KI verteilt Schichten automatisch nach Leistungsdaten."
• "KI weist unbeliebte Aufgaben basierend auf ‚Engagement-Score' zu."

Warum?
Automatisierte Zuweisung mit Rechtswirkung → Hochrisiko.

Alternative (möglich):
KI schlägt Optionen vor, Mensch entscheidet final.

---

4. Prüflogik im E2E KI-Check (Schritt 2)

Schritt 2: Risk Assessment & Gate

Prüfung:

1. Verbotene Praktiken (Art. 5)?

   • Emotionserkennung am Arbeitsplatz?
   • Biometrisches Profiling mit sensiblen Ableitungen?
   • Social Scoring / Verhaltensüberwachung?

2. Hochrisiko (Anhang III)?

   • HR-Recruiting?
   • Leistungs-/Verhaltensbewertung?
   • Aufgaben-/Schichtzuweisung?
   • Kreditscoring?
   • Biometrische Identifikation?

Entscheidung:

Prüfergebnis	Routing	Begründung
Verbotene Praktik	❌ Nicht zulässig	EU AI Act Art. 5 (generelles Verbot)
Hochrisiko	❌ Nicht zulässig	RBV Abschnitt 3 (Hochrisiko-Verbot bei GEALAN)
Kein Verbot, kein Hochrisiko	✅ Weiter zu Schritt 3-6	Standard- oder Fast-Track-Pfad

---

5. Was bei Unsicherheit zu tun ist

Wenn du unsicher bist, ob ein Use Case betroffen ist:

1. Use-Case-Steckbrief erstellen (Schritt 1)
2. Im Steckbrief markieren: "Hochrisiko-Verdacht = Unklar"
3. KI-Manager kontaktieren → gemeinsame Klärung mit Rechtsabteilung
4. Im Zweifelsfall: Use Case wird gestoppt bis Klarheit besteht

Wichtig: Lieber einmal zu viel fragen als ein Verbot übersehen.

---

6. Redesign-Ansätze (falls Use Case betroffen)

"Nicht zulässig" bedeutet nicht "Idee tot".

Oft kann der Use Case so umgestaltet werden, dass er keine verbotene Praktik oder Hochrisiko mehr darstellt:

Beispiel 1: Meeting-Assistent

• ❌ Ursprünglich: "KI erkennt Stress in Meetings und erstellt Team-Heatmaps."
• ✅ Redesign: "KI erstellt Meeting-Zusammenfassung ohne Emotionserkennung, ohne Personenbewertung."

Beispiel 2: Bewerbungsmanagement

• ❌ Ursprünglich: "KI sortiert Bewerbungen vor und rankt Kandidaten."
• ✅ Redesign: "KI unterstützt bei Textbausteinen für Stellenanzeigen (ohne Bewerberdaten)."

Beispiel 3: Leistungsauswertung

• ❌ Ursprünglich: "KI erstellt Leistungs-Ranking aus Arbeitszeit/Tasks."
• ✅ Redesign: "Aggregierte, anonymisierte Auswertungen (ohne Personenbezug, nur Team-/Bereichsebene)."

---

7. Änderungen bei RBV-Anpassung

Falls die RBV in Zukunft Hochrisiko-KI unter strengen Auflagen erlaubt:

Diese SOP würde dann folgende Anforderungen definieren:

1. Erweiterte Prüfungen:

   • Vertiefte Datenschutz-Folgenabschätzung (DSFA)
   • Detailliertes Risikomanagementsystem
   • Technische Dokumentation (Art. 11 AI Act)
   • Konformitätsbewertung (Art. 43 AI Act)
   • ggf. Notified Body (unabhängige Prüfstelle)

2. Transparenzpflichten:

   • Information aller Betroffenen (Bewerber, Mitarbeiter)
   • Widerspruchsrecht (Art. 21 DSGVO)
   • Recht auf menschliche Überprüfung (Art. 22 DSGVO)

3. Betriebsrat-Einzelanlage:

   • Erweiterte Einzelanlage mit detaillierten Auflagen
   • Verhandlung & Zustimmung erforderlich

4. Kontinuierliches Monitoring:

   • Monatliche Reviews
   • Bias-Detection & Fairness-Audits
   • Incident-Management

Aktueller Stand: Diese Anforderungen sind theoretisch, da Hochrisiko-KI bei GEALAN nicht zulässig ist.

---

8. Weiterführende Dokumente

• Merkblatt Hochrisiko-KI: Verständliche Erklärung für Mitarbeiter
• Rechtlicher Rahmen: EU AI Act, DSGVO, BetrVG, RBV
• E2E KI-Prüfung: Detaillierter Prüfprozess (8 Schritte)
• KI-Rahmenbetriebsvereinbarung (RBV): Interne Verbote & Auflagen (Abschnitt 3)

---

9. Dokument-Freigabe

Erstellt von: KI-Manager
Geprüft von: DSB, Rechtsabteilung, Betriebsrat
Freigegeben von: Geschäftsführung
Datum: 15.02.2026
Version: 1.0
Status: ⚠️ Aktuell nicht gültig (Hochrisiko-KI bei GEALAN verboten)

---

Änderungshistorie:

Version	Datum	Änderung
1.0	15.02.2026	Erstversion (dokumentiert rechtliche Grundlagen, aktuell nicht anwendbar)