EU KI-Verordnung: Was Unternehmen jetzt wissen müssen – und welche Folgen sie für HR und Personalmanagement hat

Darum geht’s in diesem Blog:

• Was die EU KI-Verordnung regelt
• Welche Fristen und Pflichten Unternehmen beachten müssen
• Welche Auswirkungen die Verordnung auf HR und Recruiting hat
• Wie sich Unternehmen jetzt vorbereiten können

EU KI Verordnung HR: Was Unternehmen jetzt wissen müssen – und welche Folgen sie für Personalmanagement hat

Die EU KI-Verordnung (AI Act) ist das erste umfassende KI-Gesetz der Welt und bringt neue Pflichten für Unternehmen mit sich. Besonders im HR-Bereich kann der Einsatz von KI künftig strengeren Anforderungen unterliegen – etwa im Recruiting oder bei Personalentscheidungen. In diesem Artikel erfährst Du, welche Fristen gelten, welche KI-Systeme als Hochrisiko eingestuft werden und wie sich Unternehmen rechtzeitig vorbereiten können.

Pflichten, Fristen und Auswirkungen auf HR-Prozesse 2026

Stell Dir vor, Du nutzt seit zwei Jahren ein Tool, das automatisch Bewerbungen filtert oder Dienstpläne nach Verfügbarkeit und Qualifikation sortiert – und plötzlich wird aus einem praktischen Feature eine Compliance-Pflicht. Klingt dramatisch? Ist es eigentlich nicht.

Künstliche Intelligenz ist längst im Arbeitsalltag angekommen. Sie unterstützt bei Bewerbungsprozessen, erstellt Texte, analysiert Daten oder hilft bei der Personalplanung. Mit der EU KI-Verordnung (AI Act) schafft die Europäische Union nun erstmals einen einheitlichen Rechtsrahmen für den Einsatz von KI.

Für Unternehmen bedeutet das: Je nach Einsatzgebiet gelten künftig unterschiedliche Pflichten. Besonders relevant wird die Verordnung überall dort, wo KI Entscheidungen über Menschen beeinflusst – etwa im Recruiting oder Personalmanagement.

Wir zeigen Dir, was die EU KI-Verordnung regelt, welche Fristen gelten und was das konkret für Arbeitgeber und HR-Verantwortliche bedeutet.

Was ist die EU KI-Verordnung (AI Act)?

Die EU KI-Verordnung (Verordnung (EU) 2024/1689), auch KI-VO genannt, ist das weltweit erste umfassende gesetzliche Regelwerk für den Einsatz und die Entwicklung von Künstlicher Intelligenz, das von der Europäischen Union erlassen wurde. Sie gilt für die gesamte Europäischen Union und schafft einen einheitlichen Rechtsrahmen – egal, ob Du in München, Wien oder Warschau arbeitest.

Das erklärte Ziel laut Bundesnetzagentur: Chancen von KI nutzen, ohne Risiken aus dem Blick zu verlieren. Gesundheit, Sicherheit und Grundrechte sollen geschützt werden – gleichzeitig soll Innovation nicht abgewürgt werden und klare Vorgaben sowie Vorschriften für die Nutzung den Rahmen setzen.

Ein entscheidender Punkt, der oft übersehen wird: Es kommt nicht darauf an, wo Dein Unternehmen sitzt. Entscheidend ist, ob ein KI-System in der EU eingesetzt wird oder ob seine Ergebnisse Auswirkungen auf Menschen in der EU hat Artikel 2 KI-Verordnung. Auch internationale Unternehmen sind also erfasst, wobei neben der KI-Verordnung vor allem die Datenschutz-Grundverordnung weiter einzuhalten ist.

Die vier Risikoklassen der EU KI-Verordnung

Das Herzstück der KI-Verordnung ist ein risikobasierter Ansatz, dessen Regelungen je nach Gefährdungspotenzial abgestuft sind: Je mehr Schaden eine KI anrichten kann, desto strenger sind die Anforderungen. Die Verordnung unterscheidet vier Stufen:

Inakzeptables Risiko → Verboten (seit 2. Februar 2025)

Einige KI-Systeme mit unannehmbarem Risiko sind vollständig EU-weit verboten; die Verbotsvorschriften für diese inakzeptablen KI-Systeme gelten seit Februar 2025, weil sie gegen Grundrechte verstoßen oder Menschen gefährden. Dazu gehören:

• KI-Systeme ein, die eingesetzt werden können, um das Verhalten von Personen gezielt zu beeinflussen.
• KI-basierte Emotionserkennung am Arbeitsplatz, ungezielte Auswertung von Gesichtsbildern oder Bewertung des sozialen Verhaltens gehören zu den verbotenen Praktiken.

Hohes Risiko → Strenge Auflagen (ab 2. August 2026)

Hier wird es für viele Unternehmen konkret. Als Hochrisiko-KI gelten laut Anhang III der Verordnung:  Hochrisiko-KI-Systeme im Personalbereich; solche Hochrisiko-Systeme müssen identifiziert und bewertet werden, und für einzelne Hochrisikosysteme gelten besonders strenge Pflichten.

• KI-Systeme, die bei Einstellung, Beförderung, Aufgabenzuweisung, Leistungsüberwachung oder Kündigung eingesetzt werden
• Systeme, die Bewerbungen filtern oder Kandidaten bewerten.
• KI für Kreditvergabe, Sozialleistungsentscheidungen oder biometrische Systeme

Wer Hochrisiko-KI einsetzt, ist als Betreiber zur Dokumentation und transparenten Kennzeichnung verpflichtet, muss die Verwendung und Nutzung der Systeme überwachen, menschliche Aufsicht sicherstellen und sie in einer EU-Datenbank registrieren. Vor dem Einsatz ist zudem eine umfassende Risikobewertung erforderlich, gerade wegen der besonderen Kraft solcher Systeme. Zudem müssen Unternehmen diese Systeme mindestens sechs Monate dokumentieren; für Hochrisiko-KI ist auch eine Protokollierung von mindestens sechs Monaten vorgeschrieben.

Begrenztes Risiko → Transparenzpflichten

Chatbots, Empfehlungsalgorithmen, KI-generierte Inhalte. Diese Systeme haben weniger strenge Auflagen, müssen aber Nutzer klar darüber informieren, dass sie mit einer KI interagieren – und bei generierten Inhalten entsprechend kennzeichnen; diese Pflichten sind Teil der Dokumentations- und Transparenzanforderungen.

Minimales / kein Risiko → Keine besonderen Auflagen

E-Mail-Spamfilter, einfache Textvorschläge, Spieleanwendungen. Hier gelten keine besonderen Pflichten, freiwillige Verhaltenskodizes werden aber empfohlen. Regelungen für allgemein nutzbare KI-Systeme greifen ab August 2025, die Bestimmungen für Hochrisiko-KI-Systeme ab August 2026.

EU KI-Verordnung: Diese Fristen müssen Unternehmen kennen

Die KI-Verordnung greift nicht auf einen Schlag, sondern schrittweise zwischen 2025 und 2027: Der EU-AI-Act sieht dafür eine gestaffelte Anwendung der Vorgaben vor.

Bußgelder: Was droht bei Verstößen?

Die Strafen sind nicht ohne:

• Verbotene KI-Praktiken: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
• Verstöße gegen Hochrisiko-Anforderungen: bis zu 15 Mio. € oder 3 % des Umsatzes
• Falsche Angaben gegenüber Behörden: bis zu 7,5 Mio. € oder 1 % des Umsatzes

Für KMU gilt jeweils der niedrigere der beiden Beträge – aber auch das kann schnell wehtun.

Was fällt dagegen nicht unter Hochrisiko?

Digitale Zeiterfassung, die schlicht Arbeitszeiten aufzeichnet – ohne automatische Bewertung oder Entscheidungsempfehlung – ist keine Hochrisiko-KI. Gleiches gilt für einfache Dienstplan-Assistenten, die Verfügbarkeiten anzeigen oder Schichten vorschlagen, sofern die Entscheidung beim Menschen liegt. Ein gut gestaltetes HR-Tool hält diese Grenze klar ein.

Betriebsrat und KI: Ein Punkt, den viele übersehen

Wer in Deutschland Mitarbeitende beschäftigt und KI-Systeme einsetzt, die diese betreffen, hat noch eine weitere Dimension zu beachten: Der Betriebsrat hat ein Mitbestimmungsrecht nach § 87 Abs. 1Nr. 6 BetrVG bei technischen Einrichtungen, die Verhalten oder Leistung der Beschäftigten überwachen können; gerade im personalwesen und in Personalabteilungen können dabei besondere rechtliche herausforderungen entstehen.

Das heißt: Bevor ein neues KI-Tool eingeführt wird, das Mitarbeiterdaten verarbeitet oder Empfehlungen zu Personalentscheidungen macht, sollte der Betriebsrat frühzeitig eingebunden werden, weil sich die Auswirkungen oft auch unmittelbar auf die Rechte von arbeitnehmern im Unternehmen erstrecken.

Wer überwacht das in Deutschland?

In Deutschland soll laut aktuellem Planungsstand die Bundesnetzagentur eine zentrale Rolle bei der Umsetzung und Durchsetzung der KI-Verordnung übernehmen. Sie betreibt bereits jetzt den KI-Service Desk, der Unternehmen, Behörden und Organisationen bei Fragen zur Verordnung unterstützt. Auch Unternehmen sollten als Organisation ihre interne Zuständigkeit für die Umsetzung klar festlegen. Außerdem stellt sie einen KI-Compliance Kompass zur Verfügung – ein praktisches Tool, mit dem Du prüfen kannst, ob und in welchem Umfang die Verordnung für Dich gilt.

Für KI-Modelle mit allgemeinem Verwendungszweck (wie große Sprachmodelle) ist das KI-Büro der Europäischen Kommission zuständig; zugleich bleibt die Haftung für die Nutzung KI-generierter Inhalte bei Unternehmen, weil die KI selbst keine Rechtspersönlichkeit hat.

Was solltest Du jetzt tun? Eine praktische Checkliste

Keine Panik – aber anfangen lohnt sich. Was jetzt sinnvoll ist:

✅ Sofort handeln (seit Februar 2025)

• ☐ Bestandsaufnahme durchführen: Welche KI-Systeme nutzt Ihr Unternehmen bereits?
• ☐ KI-Kompetenz-Schulungen für alle Mitarbeitenden anbieten, die KI-Tools nutzen (Art. 4 KI-Verordnung), damit geschulte Mitarbeiter für den sicheren KI-Einsatz und die rechtssichere KI-Nutzung zentral sind
• ☐ Prüfen, ob eingesetzte Anwendungen unter verbotene KI-Praktiken fallen
• ☐ Als KMU prüfen, ob im Rahmen des AI Act Förderprogramme und Reallabore als Unterstützung genutzt werden können

⏳ Bis August 2026

• ☐ Alle HR-KI-Systeme sowie KI-Anwendungen und KI-Lösungen im Recruiting und in der Personalentwicklung auf Hochrisiko-Relevanz prüfen (Anhang III)
• ☐ Falls Hochrisiko-KI eingesetzt wird: Risikomanagement, Dokumentation und menschliche Aufsicht sicherstellen und die Vorgaben der KI besonders bei Recruiting, Leistungsbewertung und Personalentwicklung umsetzen
• ☐ Solche Systeme bieten Potenzial für effizientere Recruiting-Prozesse, deutlich kürzere Bearbeitungszeiten, mehr Unterstützung für Diversität in Einstellungsprozessen und Effizienzgewinne in der Personalentwicklung
• ☐ KI-Anbieter und Softwarehersteller nach Einstufung und Compliance-Unterlagen fragen
• ☐ Betriebsrat frühzeitig einbinden (sofern vorhanden)
• ☐ Den KI-Compliance-Kompass der Bundesnetzagentur nutzen

Laufende Aufgaben

• ☐ Gesetzesänderungen, Leitlinien und Praxisleitfäden zur KI-Verordnung verfolgen und laufend neue KI-Technologien, ihre Algorithmen sowie einschlägige rechtliche Vorgaben beobachten
• ☐ KI-Systeme bei wesentlichen Änderungen erneut bewerten, denn bei Änderungen an der Technologie sind vor allem alle relevanten Vorgaben neu zu prüfen

Warum digitale HR-Prozesse jetzt ein Vorteil sind

Hier schließt sich ein Kreis: Wer bereits heute transparent und nachvollziehbar mit Personaldaten umgeht – wer weiß, welche Daten wo gespeichert sind, welche Prozesse automatisiert laufen und wo Menschen entscheiden – ist in einer deutlich besseren Ausgangslage als Betriebe, die das erst jetzt aufdröseln müssen.

Digitale Personalakten, dokumentierte Onboarding-Prozesse, nachvollziehbare Zeiterfassung: Das sind keine Luxuslösungen für Großkonzerne. Das ist die Grundlage, auf der Compliance aufbaut – auch bei der KI-Verordnung. Für Unternehmen wird Transparenz künftig noch wichtiger. Wer nachvollziehen kann, welche Daten verarbeitet werden, welche Prozesse automatisiert sind und an welchen Stellen Menschen die Entscheidungen treffen, ist bei der Umsetzung der KI-Verordnung klar im Vorteil.

Genau deshalb setzen moderne HR-Lösungen auf transparente Prozesse und eine klare Rollenverteilung zwischen Software und Mensch.

Die EU KI-Verordnung ist das erste Gesetz seiner Art weltweit. Sie kommt schrittweise, sie ist risikobasiert und sie enthält echte Erleichterungen für KMU. Die Bußgelder sind empfindlich, die Pflichten für Hochrisiko-KI im HR-Bereich sind konkret, und der August rückt näher.

Die gute Nachricht: Wer jetzt anfängt, sich einen Überblick zu verschaffen, hat noch genug Zeit, sich ordentlich vorzubereiten. Wer bis August 2026 wartet, wird es eng.

Der erste Schritt ist einfach: Mach eine Bestandsaufnahme, welche KI-Tools Dein Unternehmen einsetzt – und dann prüf mit dem KI-Compliance Kompass der Bundesnetzagentur, welche Risikoklasse gilt.