Kurzfassung: Der EU AI Act ist seit August 2024 in Kraft. Aber was bedeutet das konkret für HR-Abteilungen, die KI im Recruiting oder Personalmanagement einsetzen? Dieser Artikel erklärt die drei wichtigsten Fristen, welche KI-Systeme betroffen sind und was Sie heute schon tun sollten, um August 2026 gelassen entgegenzusehen.

Die drei Fristen, die HR kennen muss

Der EU AI Act tritt nicht auf einmal in Kraft. Er rollt in Stufen aus. Das ist für Ihre Planung entscheidend:

Februar 2025: Verbotene Praktiken (bereits in Kraft)

Seit dem 2. Februar 2025 sind bestimmte KI-Anwendungen in der EU verboten (Art. 5 EU AI Act). Für HR relevant:

  • Biometrische Kategorisierung nach sensiblen Merkmalen wie Rasse, politischer Meinung oder sexueller Orientierung zur Bewerbenden-Selektion
  • Social Scoring auf Basis von Sozialverhalten oder persönlichen Eigenschaften
  • KI-Systeme, die Schwachstellen von Personen ausnutzen, um Verhalten zu manipulieren

Was das bedeutet: Prüfen Sie, ob Ihre KI-Tools (oder die Ihrer Anbieter) Merkmale verarbeiten oder inferieren, die in diese Kategorie fallen. Im Zweifel: Anbieter schriftlich nach entsprechenden Garantien fragen und die Antwort ablegen. → Verbotene Praktiken

August 2025: GPAI-Regeln und Governance (läuft bereits)

Seit dem 2. August 2025 gelten die Regeln für General Purpose AI (GPAI), also Basismodelle wie GPT, Gemini oder Claude, die in verschiedenen Kontexten eingesetzt werden. Für HR-Abteilungen, die solche Modelle über APIs in Bewerbungstools oder Chatbots einsetzen, gilt: Die Anbieter dieser Modelle haben nun eigene Pflichten. Sie als Deployer profitieren davon. Gehen Sie aber nicht davon aus, dass damit Ihre eigenen Pflichten erledigt sind.

August 2026: Die zentrale Frist für HR

Der 2. August 2026 ist die Deadline, die HR-Abteilungen auf dem Schirm haben müssen. Ab dann gelten die vollständigen Hochrisiko-Pflichten für Betreiber (Deployer) von KI-Systemen aus Anhang III. Dazu gehören explizit KI-Systeme im Personalbereich.

Welche KI-Systeme im HR fallen unter Hochrisiko?

Anhang III, Nr. 4 des EU AI Act listet HR-KI-Systeme explizit als Hochrisiko ein. Konkret betroffen sind KI-Systeme, die für folgende Zwecke eingesetzt werden:

  • Einstellung und Auswahl: CV-Screening, automatisierte Vorauswahl von Bewerbungen, Analyse von Bewerbungsgesprächen (Sprache, Mimik, Video-Interviews)
  • Entscheidungen im Beschäftigungsverhältnis: Aufgabenzuweisung, Leistungsbeurteilung, Beförderungsentscheidungen, Gehaltsanpassungen, Kündigungsempfehlungen

Kurz gesagt: Nahezu jede KI, die im HR-Prozess eine Vorauswahl trifft oder Empfehlungen gibt, fällt darunter. → Hochrisiko-KI · KI-gestützte Vorauswahl

Wichtiger Hinweis: Die Hochrisiko-Einstufung gilt unabhängig davon, ob das System von einem großen Software-Konzern oder einem kleinen HR-Tech-Startup bereitgestellt wird. Entscheidend ist der Verwendungszweck.

Was Deployer ab August 2026 konkret tun müssen

Als Deployer (Betreiber/Anwender), also als das Unternehmen, das eine HR-KI einsetzt ohne sie selbst entwickelt zu haben, haben Sie nach Art. 26 EU AI Act folgende Kernpflichten:

1. Human Oversight sicherstellen (Art. 14)

Es muss gewährleistet sein, dass ein Mensch die KI-Ausgaben kontrollieren, hinterfragen und übersteuern kann. Das bedeutet:

  • Klare Rollen: Wer darf übersteuern? Wer muss es in bestimmten Fällen?
  • Dokumentierte Schwellenwerte: Ab wann greift der Mensch ein?
  • Jede Übersteuerung muss nachvollziehbar dokumentiert sein

Human Oversight · Übersteuern · Schwellenwert/Score

2. Logging und Protokollierung (Art. 12, 26 Abs. 5)

Hochrisiko-KI muss Logs erzeugen. Als Deployer müssen Sie sicherstellen, dass diese Logs erzeugt, gespeichert und abrufbar sind:

  • Eingaben (Bewerbungsdaten, Abfragekontext)
  • Systemversion und Zeitstempel
  • KI-Ausgaben (Scores, Empfehlungen)
  • Menschliche Entscheidungen und Übersteuerungen

Faustregel: Wenn die Aufsichtsbehörde morgen fragt „Warum wurde Bewerber X abgelehnt?" Können Sie es lückenlos zeigen?

Logging / Protokollierung

3. Transparenz gegenüber Bewerbenden (Art. 26 Abs. 10)

Natürliche Personen, über die KI-gestützte Entscheidungen getroffen werden, müssen informiert werden. Das gilt für Bewerbende in Ihrem Prozess. Minimum:

  • Hinweis, dass KI im Auswahlprozess eingesetzt wird
  • Zweck des Systems
  • Kontaktmöglichkeit für Rückfragen

Dieser Hinweis muss vor dem KI-Einsatz erfolgen, nicht danach.

Transparenzhinweis

4. Technische Dokumentation anfordern und prüfen (Art. 26 Abs. 1)

Als Deployer sind Sie verpflichtet, das KI-System entsprechend seiner Zweckbestimmung zu betreiben. Dazu müssen Sie wissen, wofür das System gedacht ist. Setzen Sie es nicht darüber hinaus ein. Fordern Sie beim Anbieter an:

Diese Unterlagen sind Voraussetzung für Ihren eigenen Audit Proof PackAudit Proof Pack

5. Grundrechte-Folgenabschätzung für bestimmte Deployer (Art. 27)

Öffentliche Einrichtungen und Betreiber von KI-Systemen in bestimmten Bereichen müssen vor dem Einsatz eine Grundrechte-Folgenabschätzung (FRIA) durchführen. Für private KMU ist diese Pflicht aktuell enger gefasst. Die DPIA (Datenschutz-Folgenabschätzung) nach DSGVO kann ohnehin Pflicht sein.

FRIA · DPIA

6. Mitarbeiter-Information (Art. 26 Abs. 6)

Beschäftigte, die mit Hochrisiko-KI-Systemen arbeiten (also Ihre Recruiter), müssen angemessen geschult und informiert werden. Das schließt ein: wie das System funktioniert, wo seine Grenzen liegen und wie Übersteuerungen dokumentiert werden.

Was Sie heute schon tun sollten

August 2026 klingt weit weg. Aber Compliance aufzubauen braucht Zeit, besonders in KMU ohne eigene Rechtsabteilung. Folgende Schritte sind schon jetzt sinnvoll:

Inventur machen: Welche KI-Systeme setzen Sie im HR ein? Screening-Tools, Video-Interview-Analyse, Chatbots in der Karriereseite, KI-gestützte Gehaltsmodelle? Schreiben Sie es auf.

Anbieter befragen: Fragen Sie Ihre Software-Anbieter schriftlich: „Ist dieses System nach EU AI Act Art. 6 als Hochrisiko einzustufen?" und „Stellen Sie DoC, IFU und technische Dokumentation bereit?" Die Antwort ist selbst ein wichtiges Signal. Ebenso das Ausbleiben einer Antwort.

KI-Richtlinie erstellen: Eine interne KI-Richtlinie, die Rollen, erlaubte Use Cases, Oversight-Regeln und Eskalationspfade festlegt, ist die Grundlage für alles andere. Sie schützt Sie nicht nur gegenüber Behörden, sondern auch gegenüber Betriebsrat und Bewerbenden.

Nachweise strukturieren: Beginnen Sie, die relevanten Unterlagen an einem Ort zu sammeln: Anbieter-Dokumente, Oversight-Regeln, Transparenzhinweise, Logging-Konfiguration. Im Audit-Fall entscheidet die Struktur darüber, ob Sie Stunden oder Wochen brauchen.

Mini-Checkliste: Wo stehen Sie?

  • [ ] Alle KI-Systeme im HR inventarisiert
  • [ ] Hochrisiko-Einstufung je System geprüft (→ KI-Risikocheck nutzen)
  • [ ] Anbieter nach DoC, IFU und CE-Kennzeichnung gefragt
  • [ ] Transparenzhinweis für Bewerbende erstellt und veröffentlicht
  • [ ] Human-Oversight-Regeln dokumentiert (Rollen, Schwellenwerte)
  • [ ] Logging-Konfiguration überprüft und aktiviert
  • [ ] KI-Richtlinie für HR erstellt oder beauftragt
  • [ ] Betriebsrat informiert (falls vorhanden)

Nächste Schritte

Schnelleinstieg: Nutzen Sie den KI-Risikocheck, um Ihre KI-Systeme in unter 10 Minuten einzustufen.

Dokumentation aufbauen: Die KI-Richtlinien-Vorlage gibt Ihnen ein fertiges DOCX-Dokument, das Sie auf Ihr Unternehmen anpassen können, inklusive Rollen, Prozessen und Nachweisstruktur.

Prüffähige Nachweise: Mit EVIDENCE halten Sie alle Compliance-Nachweise lokal und strukturiert. Ohne Cloud, ohne Overhead.

Fragen?Kontakt aufnehmen

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Der EU AI Act wird durch nachgeordnete Rechtsakte und offizielle Guidance der EU-Kommission laufend konkretisiert. Prüfen Sie für Ihre spezifische Situation die aktuellen Texte auf EUR-Lex oder konsultieren Sie einen Fachanwalt.

2026-02-12