Welche HR-Prozesse sind vom EU AI Act betroffen?

Alle HR-Prozesse bei denen KI für Entscheidungen über natürliche Personen eingesetzt wird: Recruiting, Bewerbungsscreening, Leistungsbeurteilung, Beförderungsentscheidungen, Vergütung, Kündigung. Diese gelten als Hochrisiko-KI-Systeme nach dem EU AI Act.

Was müssen Unternehmen nach dem EU AI Act für HR-KI tun?

Risikomanagement-System einrichten, Datenqualität sicherstellen, technische Dokumentation erstellen, Logs aufbewahren, Human Oversight gewährleisten, Bias-Monitoring durchführen und Transparenz gegenüber betroffenen Personen herstellen.

EU AI Act und HR - Was jetzt Pflicht ist

Q: Ab wann gelten die Pflichten?

Die Verbote gelten seit Februar 2025. Die Pflichten für Hochrisiko-Systeme gelten ab August 2026 (das Digital-Omnibus-Paket könnte diese Frist auf Dezember 2027 verschieben). Unternehmen die KI in HR-Prozessen einsetzen, müssen bis dahin compliant sein.

Der EU AI Act klassifiziert KI in Personalentscheidungen als Hochrisiko. Von der Risikoklassifizierung über Bias-Monitoring bis Human Oversight - das sind jetzt gesetzliche Anforderungen, keine optionalen Features.

Auf einen Blick - EU AI Act Pflichten für HR

Jedes KI-System, das HR-Entscheidungen beeinflusst - Recruiting, Leistungsbeurteilung, Vergütung, Beförderung - ist Hochrisiko nach Anhang III des EU AI Act.
Vier Kernanforderungen: Risikokategorisierung jedes KI-Systems, verpflichtendes Bias-Monitoring, erzwungene menschliche Aufsicht und vollständige Transparenz mit Dokumentation.
Typische Fehler: retroaktive Compliance statt Governance by Design, KI-Tools als "nur unterstützend" deklarieren und den Betriebsrat zu spät einbinden.
Der richtige Ansatz ist Architecture-First: Der Decision Layer zerlegt jeden HR-Prozess in einzelne Entscheidungsschritte mit Logging, Versionierung und Human-in-the-Loop ab Tag 1.
Bußgelder bis 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes. Hochrisiko-Pflichten gelten ab August 2026 (das Digital-Omnibus-Paket könnte diese Frist auf Dezember 2027 verschieben).

Das Europäische Parlament (2024) schätzt, dass HR und Beschäftigung die größte Einzelkategorie von Hochrisiko-KI-Anwendungen unter dem EU AI Act darstellen und schätzungsweise 85% der Großunternehmen betreffen, die KI in Recruiting oder Personalmanagement einsetzen.

HR-Prozess	EU AI Act Klassifizierung	Kernanforderung
CV-Screening / Recruiting	Hochrisiko (Anhang III)	Bias-Monitoring, Audit Trail
Leistungsbeurteilung	Hochrisiko (Anhang III)	Menschliche Aufsicht, Transparenz
Beförderungsentscheidungen	Hochrisiko (Anhang III)	Erklärbarkeit, Human-in-the-Loop
Schichtplanung (mit Personaldaten)	Potenziell Hochrisiko	Risikobewertung, Datengovernance
Compliance Knowledge Agent	Begrenztes Risiko	Transparenzpflicht

Der EU AI Act und HR: Warum das relevant ist

Der EU AI Act (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft. Er reguliert KI-Systeme nach ihrem Risiko. Für HR-Abteilungen ist die Einstufung eindeutig: KI-Systeme die für Entscheidungen über natürliche Personen im Beschäftigungskontext eingesetzt werden, gelten als Hochrisiko-Systeme (Annex III, Punkt 4).

Das betrifft nicht nur automatisierte Recruiting-Software. Es betrifft jeden KI-Einsatz, der Einfluss auf Personalentscheidungen hat: Bewerbungsscreening, Leistungsbeurteilung, Gehaltsvorschläge, Beförderungsempfehlungen, Schichtplanung mit KI-Optimierung, automatisierte Arbeitszeugniserstellung.

Die Pflichten für Hochrisiko-Systeme gelten ab August 2026 (das Digital-Omnibus-Paket könnte diese Frist auf Dezember 2027 verschieben). Das gibt Unternehmen noch Zeit zur Vorbereitung - aber die Architekturentscheidungen müssen jetzt getroffen werden.

Was der EU AI Act konkret verlangt

Für Hochrisiko-KI-Systeme im HR-Bereich verlangt der EU AI Act:

Risikomanagement-System (Art. 9): Ein kontinuierliches Risikomanagement über den gesamten Lebenszyklus des KI-Systems. Identifikation von Risiken, Bewertung, Maßnahmen, Überprüfung. Das ist kein einmaliges Assessment, sondern ein laufender Prozess.

Datenqualität (Art. 10): Die Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Für HR bedeutet das: Wenn ein Agent auf historischen Personalentscheidungen trainiert wird, müssen diese Daten auf Bias geprüft werden. Historische Diskriminierung in den Daten wird sonst vom KI-System reproduziert.

Technische Dokumentation (Art. 11): Vollständige Dokumentation des KI-Systems vor Inbetriebnahme. Zweck, Funktionsweise, Leistungskennzahlen, Grenzen, Risiken. Diese Dokumentation muss aktuell gehalten werden.

Aufbewahrung von Logs (Art. 12): Automatische Protokollierung aller Ereignisse über die gesamte Lebensdauer des Systems. Im HR-Kontext: Jede Entscheidung, jede Empfehlung, jede Eskalation.

Human Oversight (Art. 14): Menschliche Aufsicht muss gewährleistet sein. Der Mensch muss die Fähigkeiten und Grenzen des Systems verstehen, die Ergebnisse interpretieren können und die Möglichkeit haben, einzugreifen oder das System abzuschalten.

Bias-Monitoring: Der EU AI Act verlangt, dass Hochrisiko-Systeme auf Verzerrungen überwacht werden. Für HR-Entscheidungen bedeutet das: Statistische Auswertung über alle Agenten-Entscheidungen. Werden bestimmte Gruppen systematisch anders behandelt?

Transparenz (Art. 13): Betroffene Personen müssen darüber informiert werden, dass KI-Systeme bei Entscheidungen über sie eingesetzt werden.

Was das für die Architektur bedeutet

Die Anforderungen des EU AI Act sind keine organisatorischen Maßnahmen. Sie sind Architekturanforderungen. Ein KI-System das diese Anforderungen nachträglich erfüllen soll, muss grundlegend umgebaut werden.

Decision Layer: Der Decision Layer zerlegt jeden HR-Prozess in einzelne Entscheidungsschritte und definiert für jeden Schritt: Mensch, Regelwerk oder KI. Die Rules Engine implementiert die versionierten Regelwerke. Das Confidence Routing stellt die Risikobewertung sicher. Der Human-in-the-Loop-Mechanismus gewährleistet die menschliche Aufsicht. Der Audit Trail erfüllt die Log-Aufbewahrungspflicht.

Bias-Monitoring: Über den Decision Layer werden alle Agenten-Entscheidungen statistisch ausgewertet. Abweichungen von erwarteten Verteilungen werden erkannt und eskaliert. Das ist kein manueller Review-Prozess, sondern eine automatisierte Überwachung.

Auditor Portal: Die technische Dokumentation und die Evidence sind im Auditor Portal jederzeit einsehbar. Prüfer - intern oder extern - sehen den Live-Status aller Kontrollen.

Zeitplan: Was jetzt passieren muss

Sofort: Bestandsaufnahme aller KI-Systeme im HR-Bereich. Auch solche, die nicht als “KI” gebrandmarkt sind: Scoring-Algorithmen in Recruiting-Software, KI-basierte Schichtplanung, automatisierte Textgenerierung.

Bis Q3 2026: Risikomanagement-System aufsetzen. Architekturentscheidungen treffen. Governance-Infrastruktur implementieren.

Ab August 2026: Hochrisiko-Systeme müssen die Anforderungen des EU AI Act vollständig erfüllen.

In Deutschland kommen die Anforderungen des Betriebsverfassungsgesetzes hinzu: Betriebsräte haben ein Mitbestimmungsrecht bei technischen Einrichtungen die das Verhalten oder die Leistung von Arbeitnehmern überwachen (§ 87 Abs. 1 Nr. 6 BetrVG). KI-Agenten in HR-Prozessen fallen unter diese Kategorie. Der Decision Layer adressiert beide Anforderungsblöcke - EU AI Act und deutsches Mitbestimmungsrecht - in einer Architektur.

Unternehmen die jetzt KI-Agenten für HR-Prozesse einführen, sollten die Architektur von Anfang an EU AI Act-compliant gestalten. Nachträgliche Compliance ist technisch möglich, aber deutlich aufwendiger und teurer.

Mehr dazu: EU AI Act Readiness

Termin vereinbaren - Wir zeigen Ihnen, wie Ihre HR-KI EU AI Act-compliant wird.

Bert Gogolin

Geschäftsführer, Gosign

AI Governance Briefing

Enterprise AI, Regulierung und Infrastruktur - einmal im Monat, direkt von mir.