Zum Hauptinhalt springen
Zur Wissensdatenbank

EU-Regulierung

EU AI Act: Was die KI-Verordnung für Unternehmen und HR bedeutet

Der EU AI Act (Verordnung (EU) 2024/1689, deutsch: KI-Verordnung) ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Die Verordnung ist am 1. August 2024 in Kraft getreten und gilt unmittelbar in allen EU-Mitgliedstaaten. Sie folgt einem risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Gesundheit, Sicherheit und Grundrechte, desto strenger die Pflichten. Für die Personalarbeit ist zentral, dass KI-Systeme für Einstellung, Bewerberauswahl und Personalentscheidungen ausdrücklich als Hochrisiko-KI eingestuft sind (Anhang III Nr. 4).

Stand: Juni 2026Zuletzt aktualisiert: 10. Juni 2026

Was regelt die KI-Verordnung?

Die KI-Verordnung legt harmonisierte Regeln für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen in der EU fest. Sie adressiert die gesamte Wertschöpfungskette: Anbieter (wer ein KI-System entwickelt und auf den Markt bringt), Betreiber (wer es in eigener Verantwortung einsetzt), Einführer und Händler — auch Unternehmen außerhalb der EU, wenn die Ausgaben ihrer Systeme hier verwendet werden (Art. 2).

Für Arbeitgeber ist die Rollenabgrenzung entscheidend: Wer eine KI-HR-Software einkauft und bestimmungsgemäß nutzt, ist Betreiber. Wer ein System wesentlich verändert oder unter eigenem Namen anbietet, rückt in die deutlich umfangreichere Anbieterrolle ein (Art. 25).

Der risikobasierte Ansatz: vier Stufen plus GPAI

Die Verordnung unterscheidet KI-Systeme nach ihrem Risiko und knüpft daran abgestufte Pflichten:

  • Verbotene Praktiken (Art. 5): unannehmbares Risiko — u. a. manipulative Techniken, Social Scoring, ungezieltes Auslesen von Gesichtsbildern und Emotionserkennung am Arbeitsplatz (Ausnahme: medizinische oder Sicherheitsgründe). Gelten seit dem 2. Februar 2025.
  • Hochrisiko-KI (Art. 6 i. V. m. Anhang I und III): zulässig, aber an strenge Anforderungen geknüpft — Risikomanagement, Daten-Governance, Dokumentation, Protokollierung, menschliche Aufsicht. Hierzu zählt Beschäftigung und Personalmanagement (Anhang III Nr. 4).
  • Transparenzpflichten (Art. 50): begrenztes Risiko — Chatbots müssen sich als KI zu erkennen geben, KI-generierte oder manipulierte Inhalte (Deepfakes) sind zu kennzeichnen.
  • Minimales Risiko: die große Mehrheit der KI-Anwendungen (z. B. Spamfilter) — keine spezifischen Pflichten.
  • KI-Modelle mit allgemeinem Verwendungszweck (GPAI, Art. 51 ff.): eigene Pflichtenkategorie für Basismodelle (Transparenz, Urheberrechts-Policy, bei systemischem Risiko zusätzliche Bewertungen) — anwendbar seit dem 2. August 2025.

KI im Personalwesen ist Hochrisiko (Anhang III Nr. 4)

Anhang III Nr. 4 stuft zwei Gruppen von HR-Systemen als Hochrisiko ein. Erstens (Buchst. a): KI-Systeme für die Einstellung oder Auswahl natürlicher Personen — insbesondere für gezielte Stellenanzeigen, das Sichten und Filtern von Bewerbungen und die Bewertung von Bewerberinnen und Bewerbern. Zweitens (Buchst. b): KI-Systeme für Entscheidungen über Beschäftigungsbedingungen, Beförderung oder Kündigung, für die Aufgabenzuweisung aufgrund individuellen Verhaltens oder persönlicher Merkmale sowie für die Leistungsüberwachung und -bewertung von Beschäftigten.

Damit fällt praktisch jedes ernstzunehmende KI-Recruiting-Werkzeug — vom CV-Parser mit Ranking über Matching-Algorithmen bis zur algorithmischen Vorauswahl — in die Hochrisikoklasse. Die Einstufung bedeutet kein Verbot, sondern eine Compliance-Pflicht: Der Einsatz ist zulässig, wenn Anbieter und Betreiber die Anforderungen erfüllen.

Konkrete Pflichten für Arbeitgeber als Betreiber (Art. 26)

Wer Hochrisiko-KI im Personalbereich betreibt, trifft ein eigenes Pflichtenprogramm — unabhängig davon, dass der Anbieter die Hauptlast trägt (Risikomanagement nach Art. 9, Daten-Governance nach Art. 10, Protokollierungsfähigkeit nach Art. 12). Die wichtigsten Betreiberpflichten aus Art. 26:

  • Bestimmungsgemäße Nutzung: Einsatz strikt nach der Betriebsanleitung des Anbieters (Abs. 1).
  • Menschliche Aufsicht durch Personen mit der erforderlichen Kompetenz, Ausbildung und Befugnis (Abs. 2) — keine rein formale „Abnick-Instanz“.
  • Eingabedaten: Soweit der Betreiber sie kontrolliert, müssen sie für die Zweckbestimmung relevant und hinreichend repräsentativ sein (Abs. 4).
  • Monitoring und Meldung: Betrieb überwachen, bei Risiken oder schwerwiegenden Vorfällen Anbieter und Behörden informieren (Abs. 5).
  • Logging: Automatisch erzeugte Protokolle mindestens sechs Monate aufbewahren (Abs. 6).
  • Beschäftigteninformation: Vor Inbetriebnahme sind Arbeitnehmervertretung und betroffene Beschäftigte zu informieren (Abs. 7); in Deutschland sind zusätzlich Mitbestimmungsrechte des Betriebsrats zu beachten.
  • Transparenz gegenüber Bewerbern: Betroffene sind über den Einsatz des Hochrisiko-KI-Systems zu informieren (Abs. 11); bei Entscheidungen mit erheblicher Wirkung besteht ein Anspruch auf Erläuterung der Rolle des KI-Systems (Art. 86).

KI-Kompetenz: Die Schulungspflicht aus Art. 4

Bereits seit dem 2. Februar 2025 gilt Art. 4: Anbieter und Betreiber müssen Maßnahmen ergreifen, um nach besten Kräften sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt — abgestuft nach Kenntnissen, Erfahrung, Ausbildung und Einsatzkontext. Für HR-Teams heißt das: Wer KI-Systeme bedient oder deren Ergebnisse bewertet, muss Funktionsweise, Grenzen und Risiken (etwa Bias) einschätzen können. Die Pflicht gilt unabhängig von der Risikoklasse und ist über Schulungskonzepte und Rollenprofile umzusetzen.

Zusammenspiel mit DSGVO Art. 22 und AGG

Die KI-Verordnung gilt zusätzlich zum Datenschutzrecht. Nach Art. 22 DSGVO haben Bewerberinnen und Bewerber das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung unterworfen zu werden — eine vollautomatische Bewerbungsabsage ohne menschliche Letztentscheidung ist regelmäßig unzulässig. Menschliche Aufsicht nach dem AI Act und das Automatisierungsverbot der DSGVO greifen ineinander: Ein Mensch muss die Entscheidung tragen können und tatsächlich tragen.

Daneben steht das Allgemeine Gleichbehandlungsgesetz (AGG): Diskriminiert ein algorithmisches Auswahlsystem nach Merkmalen wie Alter, Geschlecht oder Herkunft, haftet der Arbeitgeber — die Verantwortung lässt sich nicht auf den Softwareanbieter delegieren. Die Beweislasterleichterung des § 22 AGG macht statistisch auffällige, nicht erklärbare Auswahlmuster zum realen Prozessrisiko; Nachvollziehbarkeit und Dokumentation der KI-gestützten Auswahl sind deshalb auch arbeitsrechtliche Selbstverteidigung.

Sanktionen

Die Bußgeldrahmen der KI-Verordnung (Art. 99) liegen über denen der DSGVO: Verstöße gegen die verbotenen Praktiken des Art. 5 kosten bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Verstöße gegen die meisten übrigen Pflichten, einschließlich Art. 26, bis zu 15 Mio. Euro oder 3 %; falsche Angaben gegenüber Behörden bis zu 7,5 Mio. Euro oder 1 %. Für KMU und Start-ups gilt jeweils der niedrigere Betrag als Obergrenze.

Zeitplan: Wann gilt was? (Stand Juni 2026)

Der ursprüngliche Stufenplan sah den allgemeinen Geltungsbeginn — einschließlich der Hochrisiko-Pflichten für Anhang-III-Systeme wie HR-KI — für den 2. August 2026 vor. Mit dem „Digital Omnibus“ haben sich Rat und Europäisches Parlament am 7. Mai 2026 jedoch politisch geeinigt, diese Fristen zu verschieben; die förmliche Annahme wird vor dem 2. August 2026 erwartet (Redaktionsstand Juni 2026). Der Überblick:

  • 1. August 2024: Inkrafttreten der Verordnung (EU) 2024/1689.
  • 2. Februar 2025: Verbotene Praktiken (Art. 5) und KI-Kompetenzpflicht (Art. 4) — gelten.
  • 2. August 2025: Pflichten für GPAI-Modelle, Governance-Strukturen (AI Office, nationale Behörden) und Sanktionsvorschriften — gelten.
  • 2. August 2026: Transparenzpflichten nach Art. 50 (Chatbot-Hinweis, Kennzeichnung KI-generierter Inhalte), mit Übergangsregelungen für Bestandssysteme.
  • 2. Dezember 2027 (per Omnibus verschoben, vorher 2. August 2026): Hauptpflichten für eigenständige Hochrisiko-Systeme nach Anhang III — einschließlich KI im Personalwesen.
  • 2. August 2028 (per Omnibus verschoben, vorher 2. August 2027): Hochrisiko-Pflichten für KI in regulierten Produkten nach Anhang I (z. B. Maschinen, Medizinprodukte).
  • Hinweis: Dieser Guide dient der Einordnung und ersetzt keine Rechtsberatung im Einzelfall.

// recruiting-bezug

Was der EU AI Act für Hiring und Arbeitsmarkt bedeutet

Der EU AI Act wirkt doppelt auf den Arbeitsmarkt. Erstens: Jedes Unternehmen, das KI im Recruiting oder Personalmanagement einsetzt, braucht Compliance-Kompetenz — von der Inventarisierung der Systeme über die Rollenklärung (Anbieter oder Betreiber?) bis zu menschlicher Aufsicht, Logging und Bewerber-Transparenz. Die Verschiebung der Anhang-III-Pflichten auf Dezember 2027 ist kein Grund zur Entwarnung, sondern ein Umsetzungsfenster: Art. 4 (KI-Kompetenz) und Art. 5 (Verbote) gelten bereits, DSGVO und AGG ohnehin.

Zweitens entsteht neuer Personalbedarf: AI-Governance- und AI-Compliance-Manager, die Regulierung, Technik und Prozesse verbinden; GRC-Profile mit KI-Schwerpunkt; Data Engineers mit Governance-Fokus, die Datenqualität, Herkunftsnachweise und Bias-Prüfungen technisch verankern; dazu CISOs und CTOs, die KI-Risiken in bestehende Management-Systeme integrieren. Diese Profile sind knapp — wer Hochrisiko-KI betreiben will, konkurriert um dieselben Leute wie die Anbieter der Systeme.

Aus der Praxis von NOBA Experts

Wie NOBA Experts den AI Act in der eigenen Praxis umsetzt

NOBA Experts setzt KI-gestütztes Matching im eigenen Recruiting-Prozess ein und behandelt es bewusst als Hochrisiko-Anwendung im Sinne von Anhang III Nr. 4. Dafür betreibt NOBA Experts eine eigene lokale KI-Infrastruktur und hat im Rahmen eines eigenen, staatlich geförderten Forschungs- und Entwicklungsvorhabens eine systematische experimentelle Evaluierung von mehr als zehn Sprachmodellen durchgeführt. Kernkriterien waren Reproduzierbarkeit, Rang-Stabilität und Nachvollziehbarkeit der Bewertungen — genau die Eigenschaften, auf die es bei DSGVO Art. 22 und AGG ankommt, wenn KI-gestützte Einschätzungen über Menschen erklärbar sein müssen.

Zwei Erkenntnisse aus dieser Arbeit: Lokal betriebene Modelle können bei der Reproduzierbarkeit mit Cloud-Modellen mithalten oder sie übertreffen. Und Modelleignung ist aufgabenspezifisch — dasselbe Modell, das eine Aufgabe zuverlässig löst, kann bei einer anderen unbrauchbar sein. NOBA Experts setzt deshalb auf aufgabendifferenziertes Modell-Routing: Sensible personenbezogene Verarbeitung läuft ausschließlich lokal auf eigener Infrastruktur, nicht-personenbezogene Aufgaben dürfen in der Cloud laufen. Die finale Entscheidung trifft in jedem Fall ein Mensch — menschliche Aufsicht ist hier kein Compliance-Feigenblatt, sondern Kern des Prozesses.

// faq

Häufige Fragen

Ja — KI-gestütztes Recruiting ist nach dem EU AI Act erlaubt, aber streng reguliert. KI-Systeme für Bewerbungssichtung, Kandidatenauswahl und Personalentscheidungen gelten als Hochrisiko-KI nach Anhang III Nr. 4 der Verordnung (EU) 2024/1689. Sie dürfen eingesetzt werden, wenn die Anforderungen erfüllt sind: Der Anbieter muss unter anderem Risikomanagement, Daten-Governance und Konformitätsbewertung leisten; der Arbeitgeber als Betreiber muss menschliche Aufsicht sicherstellen, Protokolle aufbewahren, Beschäftigte und Bewerber informieren und das System bestimmungsgemäß nutzen. Verboten ist dagegen Emotionserkennung am Arbeitsplatz (Art. 5). Zusätzlich verbietet Art. 22 DSGVO vollautomatische Absageentscheidungen ohne menschliche Beteiligung. Kurz gefasst: erlaubt mit einem Menschen in der finalen Entscheidung — unzulässig als Blackbox-Automat ohne Aufsicht.

Ursprünglich sollten die Hochrisiko-Pflichten für Anhang-III-Systeme — darunter KI im Personalwesen — ab dem 2. August 2026 gelten. Mit der politischen Einigung zum Digital Omnibus vom 7. Mai 2026 haben Rat und Europäisches Parlament diesen Termin auf den 2. Dezember 2027 verschoben; für KI in regulierten Produkten (Anhang I) gilt der 2. August 2028. Die förmliche Annahme und Veröffentlichung im Amtsblatt werden vor dem 2. August 2026 erwartet (Stand Juni 2026). Wichtig: Bereits heute gelten die Verbote des Art. 5 (seit 2. Februar 2025), die KI-Kompetenzpflicht des Art. 4 sowie die GPAI-Regeln (seit 2. August 2025) — und DSGVO sowie AGG unabhängig davon.

Ein Arbeitgeber, der eine KI-Recruiting-Software einkauft und bestimmungsgemäß nutzt, ist Betreiber im Sinne des EU AI Act. Ihn treffen die Betreiberpflichten aus Art. 26: Nutzung gemäß Betriebsanleitung, menschliche Aufsicht durch kompetente und geschulte Personen, Sicherstellung relevanter und repräsentativer Eingabedaten, Überwachung des laufenden Betriebs mit Meldepflicht bei schwerwiegenden Vorfällen, Aufbewahrung der automatisch erzeugten Protokolle für mindestens sechs Monate, Information von Arbeitnehmervertretung und Beschäftigten vor der Inbetriebnahme sowie Transparenz gegenüber Bewerberinnen und Bewerbern über den KI-Einsatz. Dazu kommt die KI-Kompetenzpflicht aus Art. 4 für alle Mitarbeitenden, die mit dem System arbeiten. Achtung: Wer die Software wesentlich verändert oder unter eigenem Namen anbietet, rückt in die deutlich strengere Anbieterrolle ein (Art. 25).

Die Bußgelder des EU AI Act (Art. 99) sind nach Schwere gestaffelt und übersteigen die DSGVO-Rahmen: Verstöße gegen verbotene Praktiken (Art. 5) — etwa Emotionserkennung am Arbeitsplatz — können bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes kosten, je nachdem, welcher Betrag höher ist. Verstöße gegen die meisten übrigen Pflichten, einschließlich der Betreiberpflichten aus Art. 26, werden mit bis zu 15 Mio. Euro oder 3 % geahndet; falsche Angaben gegenüber Behörden mit bis zu 7,5 Mio. Euro oder 1 %. Für KMU und Start-ups gilt jeweils der niedrigere Betrag als Obergrenze. Daneben drohen zivilrechtliche Risiken, insbesondere Entschädigungsansprüche nach dem AGG bei diskriminierenden Auswahlverfahren.

// quellen

Quellen

  1. 01Verordnung (EU) 2024/1689 (KI-Verordnung / EU AI Act), ABl. L, 12.7.2024 — Volltext auf EUR-Lex
  2. 02Europäische Kommission: AI Act — Regulatory framework for AI (Risikoklassen, Zeitplan, Digital Omnibus)
  3. 03Europäische Kommission: Digital Omnibus on AI — Vorschlag zur Änderung der KI-Verordnung (19.11.2025)
  4. 04Rat der EU: Pressemitteilung zur politischen Einigung über den Digital Omnibus on AI, 7.5.2026
  5. 05Verordnung (EU) 2016/679 (DSGVO), Art. 22 — Automatisierte Entscheidungen im Einzelfall
  6. 06Allgemeines Gleichbehandlungsgesetz (AGG) — Volltext bei gesetze-im-internet.de

// verwandte rollen

Verwandte Rollenprofile

GRC-Manager (Governance, Risk & Compliance)

Was macht ein GRC-Manager? Aufgaben rund um ISO 27001, NIS2 und DORA, Gehaltsspannen in Deutschland, geforderte Skills und typische Interviewfragen.

Zum Rollenprofil

Data Engineer

Data Engineer im Profil: Aufgaben, Must-have-Skills, Gehaltsspannen 2026 in Deutschland, fachliche Interviewfragen und Marktlage – kompakt für Entscheider.

Zum Rollenprofil

CISO (Chief Information Security Officer)

Was macht ein CISO? Aufgaben, Gehaltsspannen in Deutschland, geforderte Zertifizierungen wie CISSP/CISM und die wichtigsten Interviewfragen im Überblick.

Zum Rollenprofil

CTO (Chief Technology Officer)

CTO-Rollenprofil: Aufgaben, Gehalt nach Unternehmensgröße (Scale-up bis Konzern), Skills, Interviewfragen auf Board-Niveau und Marktlage in Deutschland.

Zum Rollenprofil

// verwandte themen

Verwandte Themen

Technologie

Agentic AI: Wie KI-Agenten funktionieren – und was sie für Unternehmen bedeuten

Agentic AI verständlich erklärt: Wie KI-Agenten arbeiten, die wichtigsten Design Patterns nach Gulli, Enterprise-Einsatz und welche Tech-Rollen gefragt sind.

Zum Themen-Guide

EU-Regulierung

NIS2-Richtlinie: Pflichten, deutsche Umsetzung und Personalbedarf

NIS2 verpflichtet 18 Sektoren zu Risikomanagement, 24h-Meldungen und Governance. Pflichten, Stand der deutschen Umsetzung und Personalbedarf im Überblick.

Zum Themen-Guide

Die passenden Köpfe für dieses Thema?

NOBA Experts besetzt die Rollen, die EU AI Act: Was die KI-Verordnung für Unternehmen und HR bedeutet im Unternehmen tragen — mit KI-gestütztem Matching und persönlicher technischer Vorabprüfung, DACH-weit.

AI-HR-Audit: KI im Recruiting rechtssicher einsetzenAls Kandidat:in bewerben