Welche KI-Praktiken sind seit Februar 2025 verboten?

Social Scoring, manipulative KI-Systeme und Echtzeit-Biometrie im öffentlichen Raum (mit eng definierten Ausnahmen für Strafverfolgung). Verstöße: bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes.

Sind KI-Anwendungen im HR-Bereich High Risk?

Fast immer. Automatisiertes Screening von Bewerbungen, KI-gestützte Leistungsbeurteilungen, Predictive Attrition und automatische Dienstplan-Optimierung fallen unter die High-Risk-Kategorie (Annex III). Compliance-Deadline: August 2026.

Was bedeutet die AI-Literacy-Pflicht?

Seit Februar 2025 müssen alle Personen, die KI-Systeme betreiben oder nutzen, über ein ausreichendes Maß an KI-Kompetenz verfügen. Unternehmen müssen Schulungsmaßnahmen nachweisen können.

Gilt die Digital-Omnibus-Verschiebung?

Der EU-Rat hat am 13. März 2026 sein Mandat beschlossen, das Europäische Parlament stimmt am 18. März 2026 in den Ausschüssen ab. Die Verschiebung der High-Risk-Frist auf maximal Dezember 2027 ist wahrscheinlicher geworden, aber noch nicht verabschiedet. Planen Sie weiterhin mit August 2026.

EU AI Act 2026: Status, Fristen, Handlungsbedarf

Der EU AI Act ist in Kraft. Zwei Fristen sind abgelaufen, die kritische Hochrisiko-Deadline kommt in sechs Monaten. Hier der aktuelle Stand, Pflichten und was Unternehmen jetzt tun müssen.

Auf einen Blick - EU AI Act 2026 Status für Unternehmen

Verbotene KI-Praktiken (Social Scoring, Manipulation, Emotionserkennung am Arbeitsplatz) und AI-Literacy-Pflicht sind seit Februar 2025 rechtsverbindlich.
GPAI-Transparenz- und Dokumentationspflichten für Betreiber von General-Purpose-AI-Modellen gelten seit August 2025.
Die kritische Frist: Alle Hochrisiko-KI-Systeme (einschließlich fast aller HR-KI) müssen bis 2. August 2026 vollständig compliant sein. Bußgelder: bis 15 Mio. Euro oder 3% des weltweiten Umsatzes.
Das Digital-Omnibus-Paket könnte die Hochrisiko-Frist auf Dezember 2027 verschieben. Rat und Parlament haben im März 2026 ihre Positionen beschlossen, das Trilogue-Verfahren steht bevor. Noch nicht verabschiedet - planen Sie mit August 2026.
Erster Schritt für jedes Unternehmen: AI-System-Inventar erstellen, alle offiziell eingesetzten und Shadow-AI-Systeme in vier bis acht Wochen erfassen.

Laut Gartner (2025) haben weniger als 10% der vom EU AI Act betroffenen Organisationen ihr AI-System-Inventar abgeschlossen - der grundlegende Schritt zur Compliance. Die Europäische Kommission schätzt, dass über 300.000 Unternehmen in der EU KI-Systeme einsetzen, die unter den regulatorischen Anwendungsbereich fallen könnten.

Meilenstein	Datum	Status	Kernpflichten
In-Kraft-Treten	August 2024	Aktiv	Rahmenwerk etabliert
Verbotene Praktiken + AI Literacy	Februar 2025	Aktiv	Verbote Social Scoring, Manipulation; Schulungspflicht
GPAI-Pflichten	August 2025	Aktiv	Transparenz, Kennzeichnung, Governance-Inventar
Hochrisiko-Systeme	August 2026	In 6 Monaten	Volle Compliance: Risikomanagement, Datengovernance, Human Oversight
Restliche Bestimmungen	August 2027	2027	Branchenspezifische Regeln, restliche Kategorien

Das erste umfassende KI-Gesetz der Welt

Der EU AI Act ist seit August 2024 in Kraft. Es ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz, und es betrifft jedes Unternehmen, das KI-Systeme entwickelt, einsetzt oder bereitstellt. Im Februar 2026 befinden wir uns mitten in der Umsetzungsphase: Zwei Fristen sind bereits abgelaufen, die nächste kommt in sechs Monaten. Wer sich nicht vorbereitet hat, hat ein Problem. Wer sich jetzt vorbereitet, hat noch Zeit.

Dieser Artikel gibt einen nüchternen Überblick über den aktuellen Stand: Was gilt bereits, was kommt wann, welche Pflichten betreffen Ihr Unternehmen und was Sie in den nächsten 90 Tagen tun sollten.

Timeline: Fünf Meilensteine

Die gestaffelte Umsetzung des EU AI Act erstreckt sich über drei Jahre. Jeder Meilenstein aktiviert andere Pflichten.

August 2024          Februar 2025         August 2025         August 2026          August 2027
│                    │                    │                   │                    │
▼                    ▼                    ▼                   ▼                    ▼
In-Kraft-Treten    Verbotene KI-        GPAI-Pflichten      High-Risk-Systeme    Restliche
Praktiken +          gelten              müssen compliant     Bestimmungen
AI Literacy                              sein
✅ AKTIV             ✅ AKTIV            ⚠️ IN 6 MONATEN     🔜 2027

Für Unternehmen bedeutet das: Zwei Stufen sind bereits rechtsverbindlich. Die dritte, und für viele Unternehmen kritischste, Stufe tritt in sechs Monaten in Kraft. Die Vorbereitung darauf erfordert typischerweise vier bis sechs Monate. Die Zeit ist knapp.

Was jetzt gilt

Verbotene KI-Praktiken (seit Februar 2025)

Seit dem 2. Februar 2025 sind bestimmte KI-Anwendungen in der EU vollständig verboten. Das betrifft:

Social Scoring: KI-Systeme, die Personen auf Basis ihres Sozialverhaltens bewerten und daraus Nachteile in nicht verwandten Kontexten ableiten.
Manipulative KI: Systeme, die menschliches Verhalten durch unterschwellige Techniken manipulieren, etwa Dark Patterns, die Kaufentscheidungen oder Zustimmungen erzwingen.
Echtzeit-Biometrie im öffentlichen Raum: Biometrische Identifikation in Echtzeit ist grundsätzlich verboten. Eng definierte Ausnahmen bestehen für die Strafverfolgung bei schweren Straftaten, Terrorabwehr und der Suche nach vermissten Personen, jeweils mit richterlicher Genehmigung.
Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen: KI-Systeme, die Emotionen von Beschäftigten oder Lernenden erkennen, sind unzulässig.
Predictive Policing auf Basis individueller Merkmale: Risikoeinschätzungen für Straftaten, die ausschließlich auf persönlichen Eigenschaften basieren.

Sanktionen: Verstöße gegen die Verbotstatbestände werden mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet, je nachdem, welcher Betrag höher ist.

Für die meisten Unternehmen in Deutschland sind diese Verbote nicht unmittelbar handlungsrelevant, weil die beschriebenen Anwendungen im Unternehmenskontext selten vorkommen. Aber die Prüfung ist Pflicht: Stellen Sie sicher, dass keines Ihrer KI-Systeme unter diese Kategorien fällt.

AI Literacy (seit Februar 2025)

Parallel zu den Verboten gilt seit Februar 2025 die AI-Literacy-Pflicht nach Artikel 4: Alle Personen, die KI-Systeme betreiben, einsetzen oder nutzen, müssen über ein ausreichendes Maß an KI-Kompetenz verfügen. Die Kompetenz muss dem jeweiligen Kontext angemessen sein, ein Entwickler benötigt tieferes Wissen als ein Endanwender, der einen Chatbot nutzt.

Was das konkret bedeutet:

Schulungspflicht: Unternehmen müssen nachweisen können, dass ihre Mitarbeitenden geschult wurden.
Dokumentationspflicht: Schulungsinhalte, Teilnehmerlisten und Auffrischungsintervalle müssen dokumentiert sein.
Kontextangemessenheit: Die Schulung muss zur Rolle passen. Ein pauschales E-Learning reicht für Entscheider, die KI-Systeme auswählen und verantworten, nicht aus.

Die AI-Literacy-Pflicht wird häufig unterschätzt, weil sie keine hohen technischen Anforderungen stellt. Aber sie ist bereits durchsetzbar. Und sie betrifft jedes Unternehmen, das KI einsetzt, unabhängig von der Risikoklasse des Systems. Mehr zu den organisatorischen Implikationen finden Sie im Artikel Betriebsrat & AI Literacy: Die Organisationsfragen.

GPAI-Pflichten (seit August 2025)

Seit August 2025 gelten die Transparenz- und Dokumentationspflichten für General-Purpose-AI-Modelle (GPAI). Diese betreffen primär die Anbieter von Sprachmodellen, nicht die Unternehmen, die diese Modelle nutzen. Aber als Deployer, als Unternehmen, das ein GPAI-Modell in eigenen Anwendungen einsetzt, haben Sie Pflichten:

Nutzungshinweise: Wenn Ihre Anwendung Inhalte generiert, die als von Menschen erstellt missverstanden werden könnten, müssen Sie das kenntlich machen.
Transparenz gegenüber Nutzern: Personen, die mit einem KI-System interagieren, müssen darüber informiert werden.
Governance-Infrastruktur: Sie müssen dokumentieren können, welche GPAI-Modelle Sie einsetzen, in welchem Kontext und mit welchen Schutzmaßnahmen.

Die GPAI-Pflichten erfordern eine saubere Inventarisierung: Welche KI-Modelle setzen Sie ein? Von welchem Anbieter? In welcher Anwendung? Mit welcher Risikoeinstufung? Diese Informationen bilden die Grundlage für die High-Risk-Compliance, die in sechs Monaten greift.

Was in sechs Monaten kommt: High-Risk-Systeme (August 2026)

Die High-Risk-Deadline am 2. August 2026 ist für die meisten Unternehmen die kritischste Frist des EU AI Act. Ab diesem Zeitpunkt müssen alle KI-Systeme, die unter Annex III fallen, vollständig compliant sein. Die Anforderungen sind umfangreich.

Welche Systeme fallen unter High Risk?

Annex III des EU AI Act definiert acht Bereiche, in denen KI-Systeme als hochriskant eingestuft werden. Die für Unternehmen relevantesten:

Beschäftigung, Personalmanagement und Zugang zu selbstständiger Tätigkeit: KI-Systeme für Stellenausschreibungen, Bewerberauswahl, Leistungsbewertung, Beförderungsentscheidungen und Kündigungen.
Kreditwürdigkeit und Versicherungen: Automatisierte Bonitätsbewertung, Risiko-Scoring.
Biometrische Identifikation: Gesichtserkennung, Stimmidentifikation, auch im nicht-öffentlichen Raum.
Kritische Infrastruktur: KI-Systeme in Energie, Wasser, Verkehr, Telekommunikation.
Bildung und Berufsausbildung: Automatisierte Prüfungsbewertung, Zugangssteuerung zu Bildungseinrichtungen.

Anforderungen an High-Risk-Systeme

Wenn eines Ihrer KI-Systeme als High Risk eingestuft wird, müssen Sie bis August 2026 folgende Anforderungen erfüllen:

Risikomanagementsystem: Ein dokumentiertes System zur Identifikation, Analyse und Minimierung von Risiken über den gesamten Lebenszyklus des KI-Systems.
Daten-Governance: Anforderungen an die Qualität, Repräsentativität und Fehlerfreiheit der Trainingsdaten. Bei Nutzung vortrainierter Modelle: Dokumentation der Datenherkunft und der Feinabstimmung.
Technische Dokumentation: Umfassende Dokumentation des Systems vor der Inbetriebnahme: Architektur, Trainingsverfahren, Leistungskennzahlen, Testverfahren, Limitierungen.
Aufzeichnungspflichten: Automatische Protokollierung aller relevanten Vorgänge (Logging), um die Nachvollziehbarkeit von Entscheidungen zu gewährleisten.
Transparenz: Gebrauchsanweisungen für Deployer, die eine sachgerechte Nutzung ermöglichen.
Menschliche Aufsicht (Human Oversight): Technische Maßnahmen, die eine wirksame Überwachung durch Menschen ermöglichen. Der Decision Layer ist eine Architektur, die genau diese Anforderung technisch umsetzt.
Genauigkeit, Robustheit, Cybersicherheit: Das System muss die deklarierte Leistung zuverlässig erbringen und gegen Manipulation geschützt sein.
Konformitätsbewertung: Für bestimmte Kategorien ist eine Bewertung durch eine benannte Stelle (Conformity Assessment Body) erforderlich. Für andere genügt eine Selbstbewertung.

Sanktionen: Verstöße gegen die High-Risk-Pflichten werden mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet.

Besondere Relevanz für HR

Der Personalbereich ist der Unternehmensbereich, in dem KI-Anwendungen am häufigsten unter die High-Risk-Kategorie fallen. Das liegt an Annex III, Nummer 4, Beschäftigung und Personalmanagement. Die Einstufung betrifft:

Automatisiertes Screening von Bewerbungen: High Risk. Jedes KI-System, das Bewerbungen vorsortiert, bewertet oder filtert, fällt unter die High-Risk-Kategorie. Unabhängig davon, ob die finale Entscheidung ein Mensch trifft. Bereits die Vorselektion ist reguliert.

KI-gestützte Leistungsbeurteilungen: High Risk. Wenn KI-Systeme Leistungsdaten analysieren und daraus Beurteilungen ableiten oder Beurteilungen vorbereiten, ist das High Risk. Das gilt auch für Systeme, die nur Empfehlungen aussprechen.

Predictive Attrition: High Risk. KI-Systeme, die vorhersagen, welche Mitarbeitenden das Unternehmen voraussichtlich verlassen, verarbeiten personenbezogene Daten zur Ableitung von Beschäftigungsentscheidungen. Das ist High Risk.

Automatische Dienstplan-Optimierung: potenziell High Risk. Wenn ein KI-System Schichtpläne erstellt und dabei individuelle Präferenzen, Leistungsdaten oder Gesundheitsinformationen verarbeitet, kann es unter High Risk fallen. Die Einstufung hängt vom konkreten Datenumfang ab.

Für HR-Abteilungen bedeutet das: Inventarisieren Sie alle KI-Systeme, die in Beschäftigungskontexten eingesetzt werden. Prüfen Sie die Einstufung. Beginnen Sie mit der Compliance-Vorbereitung, die sechs Monate bis August 2026 sind für eine vollständige High-Risk-Konformität knapp bemessen. Weiterführende Informationen zum Zusammenspiel von KI und HR finden Sie unter HR & AI Agents.

Digital Omnibus: Verschiebung rückt näher

Die Europäische Kommission hat Ende 2025 ein Digital-Omnibus-Paket vorgeschlagen, das unter anderem die High-Risk-Fristen des EU AI Act auf maximal Dezember 2027 verschieben könnte. Das Paket adressiert auch eine Vereinfachung der Berichtspflichten und eine Anhebung der Schwellenwerte für KMU. Die Verschiebung ist bedingt: Sie tritt erst in Kraft, wenn harmonisierte Standards verfügbar sind. Danach gelten sechs Monate Vorlauf für Annex-III-Systeme und zwölf Monate für Annex-I-Systeme. Backstop ist der 2. Dezember 2027.

Der aktuelle Stand (März 2026): Das Verfahren hat deutlich an Tempo gewonnen. Der EU-Rat hat am 13. März 2026 sein Verhandlungsmandat beschlossen. Im Europäischen Parlament haben die MEPs am 11. März eine vorläufige politische Einigung erzielt; die LIBE/IMCO-Ausschussabstimmung ist für den 18. März 2026 angesetzt. Danach beginnen die Trilogue-Verhandlungen zwischen Rat und Parlament. Eine Verabschiedung noch vor August 2026 ist möglich, aber nicht garantiert.

Die Empfehlung: Planen Sie weiterhin mit August 2026. Die Wahrscheinlichkeit einer Verschiebung ist gestiegen, aber das Omnibus ist nicht verabschiedet. Wenn es tatsächlich kommt, haben Sie zusätzliche Zeit gewonnen. Wenn nicht, sind Sie vorbereitet. Compliance-Vorbereitung, die auf eine unsichere Fristverlängerung wettet, bleibt ein vermeidbares Risiko.

Praxis-Empfehlung: AI-System-Inventar starten

Unabhängig davon, ob Ihre KI-Systeme unter High Risk fallen oder nicht: Der erste Schritt ist immer derselbe. Sie brauchen ein vollständiges Inventar aller KI-Systeme in Ihrem Unternehmen.

Was erfasst werden muss

Für jedes KI-System dokumentieren Sie:

System-Bezeichnung und Beschreibung: Was tut das System? Welchen Prozess unterstützt es?
Anbieter und Modell: Welches KI-Modell wird eingesetzt? Von welchem Anbieter? Cloud-API oder Self-Hosted?
Rolle Ihres Unternehmens: Sind Sie Provider (Anbieter), Deployer (Betreiber) oder beides?
Risikoklassifizierung: Fällt das System unter eine der Kategorien in Annex III (High Risk)? Unter die Verbotstatbestände in Artikel 5? Oder handelt es sich um ein System mit geringem Risiko?
Betroffene Personen: Welche Personen sind von den Entscheidungen oder Ausgaben des Systems betroffen?
Datenverarbeitung: Welche Daten verarbeitet das System? Personenbezogene Daten? Geschäftsgeheimnisse?
Schutzmaßnahmen: Welche technischen und organisatorischen Maßnahmen sind implementiert? Human Oversight? Audit-Trail?

Zeitplan

Ein AI-System-Inventar für ein mittelgroßes Unternehmen ist in vier bis acht Wochen erstellbar. Der Aufwand hängt von der Anzahl der Systeme, der Dokumentationslage und der internen Koordination ab. Beginnen Sie mit den offensichtlichen Systemen, den offiziell beschafften KI-Werkzeugen, und erweitern Sie dann auf Shadow AI: KI-Systeme, die Mitarbeitende eigenständig nutzen, ohne dass die IT davon weiß.

Das Inventar ist keine einmalige Aufgabe. Es muss fortlaufend aktualisiert werden, weil neue Systeme hinzukommen, bestehende Systeme verändert werden und die regulatorische Bewertung sich weiterentwickelt. Die Governance-Infrastruktur muss so aufgebaut sein, dass das Inventar ein lebendes Dokument bleibt.

Zusammenfassung: Was Sie jetzt tun sollten

Prüfen Sie die Verbotstatbestände. Stellen Sie sicher, dass keines Ihrer KI-Systeme unter die seit Februar 2025 verbotenen Praktiken fällt.
Erfüllen Sie die AI-Literacy-Pflicht. Dokumentieren Sie Schulungen für alle KI-Nutzer in Ihrem Unternehmen. Die Pflicht gilt jetzt.
Erstellen Sie ein AI-System-Inventar. Erfassen Sie alle KI-Systeme, deren Anbieter, Einsatzkontext und Risikoklassifizierung. Zeitrahmen: vier bis acht Wochen.
Identifizieren Sie High-Risk-Systeme. Prüfen Sie insbesondere den HR-Bereich, Kreditentscheidungen und automatisierte Prozesse mit direkter Auswirkung auf Personen.
Starten Sie die High-Risk-Compliance. Für Systeme, die unter Annex III fallen: Risikomanagementsystem, Daten-Governance, technische Dokumentation und Human Oversight aufbauen. Deadline: August 2026.
Planen Sie nicht mit dem Digital Omnibus. Die Verschiebung auf Dezember 2027 ist wahrscheinlicher geworden (Rat und Parlament haben Positionen), aber noch nicht verabschiedet. Behandeln Sie sie als Bonus, nicht als Planungsgrundlage.

📘 Enterprise AI-Infrastruktur Blueprint 2026 - Artikel-Serie

← Vorheriger	Übersicht	Nächster →
Was KI wirklich kostet: TCO-Vergleich für Unternehmen	Zur Übersicht	Betriebsrat & AI Literacy: Die Organisationsfragen

Alle Artikel dieser Serie: Enterprise AI-Infrastruktur Blueprint 2026

Gosign begleitet Unternehmen bei der EU-AI-Act-Compliance, vom System-Inventar bis zur Konformitätsbewertung. Wenn Sie wissen wollen, wo Ihr Unternehmen steht, sprechen Sie mit uns.

Termin vereinbaren. 30 Minuten, in denen wir Ihren Compliance-Status bewerten.

Bert Gogolin

Geschäftsführer, Gosign

AI Governance Briefing

Enterprise AI, Regulierung und Infrastruktur - einmal im Monat, direkt von mir.