Ab 02.08.2026 (vorbehaltlich Digital-Omnibus-Verschiebung) werden KI-Systeme im Personalbereich offiziell als Hochrisiko-KI nach Annex III der EU KI-Verordnung eingestuft. Bedeutet: Menschliche Aufsicht, Risikomanagement, technische Dokumentation und Diskriminierungsschutz werden zur formalen Pflicht. Was HR-Verantwortliche 2026 konkret tun müssen, auch wenn die Hochrisiko-Frist gerade im Trilog verschoben wird.
Was die Hochrisiko-Einstufung bedeutet
Annex III der KI-VO listet KI-Systeme im Beschäftigungskontext als Hochrisiko-Anwendungen. Dazu zählen:
- Bewerber-Vorauswahl (CV-Screening, Matching-Algorithmen)
- Vergabe von Beförderungen oder Kündigungsentscheidungen
- Aufgabenzuteilung auf Basis individueller Merkmale
- Leistungsbewertung und Verhaltensanalyse
Die Pflichten für Hochrisiko-Systeme nach Art. 6ff KI-VO umfassen:
- Risikomanagement-System (Art. 9)
- Daten- und Datenverwaltung (Art. 10), Trainingsdaten müssen repräsentativ und diskriminierungsfrei sein
- Technische Dokumentation (Art. 11)
- Aufzeichnungspflichten / Logs (Art. 12)
- Transparenz und Information (Art. 13), Anwender und Betroffene müssen informiert werden
- Menschliche Aufsicht (Art. 14), keine voll-automatisierten Entscheidungen ohne menschliche Verantwortung
- Genauigkeit, Robustheit, Cybersicherheit (Art. 15)
Was DSGVO und AGG schon heute verlangen
Wichtig: Auch ohne KI-VO-Hochrisiko-Pflichten gelten heute bereits umfassende Anforderungen an HR-KI:
DSGVO Art. 22 (Automatisierte Einzelentscheidungen)
Vollständig automatisierte Entscheidungen mit rechtlichen oder erheblichen Auswirkungen sind verboten, es sei denn, der Betroffene hat eingewilligt oder es gibt eine Rechtsgrundlage. In der Praxis bedeutet das: KI darf vorbereiten, vorschlagen, vorklassifizieren, die Entscheidung muss ein Mensch treffen und verantworten.
AGG (Allgemeines Gleichbehandlungsgesetz)
KI-Systeme dürfen Bewerber nicht aufgrund geschützter Merkmale (Geschlecht, Alter, Herkunft, Religion, Behinderung, sexuelle Identität) benachteiligen. Wenn ein KI-Tool nachweislich diskriminierend filtert, haftet das einsetzende Unternehmen, nicht der Anbieter.
BAG-Rechtsprechung 2026
Das Bundesarbeitsgericht hat Ende März 2026 die Mitbestimmungsrechte des Betriebsrats bei KI-Einsatz weiter gestärkt. Konkret nach § 87 Abs. 1 Nr. 6 BetrVG: Wenn ein KI-System "objektiv geeignet ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen", besteht Mitbestimmungsrecht. Das trifft auf praktisch alle HR-KI-Systeme zu.
Außerdem: Nach § 80 Abs. 3 BetrVG kann der Betriebsrat bei KI-Einführung Sachverständige hinzuziehen, der Arbeitgeber trägt die Kosten.
Konkrete HR-Anwendungsfälle und ihre Pflichten
| Anwendungsfall | Hochrisiko nach KI-VO? | DSGVO Art. 22 | BR-Mitbestimmung |
|---|---|---|---|
| CV-Vorklassifikation (KI macht Vorschlag) | Ja | Ja, falls letzte Entscheidung auch KI | Ja |
| Recruiting-Chatbot (FAQ-Beantwortung) | Eingeschränkt | Nein | Ja, falls Verhaltensdaten gespeichert |
| Mitarbeiter-Performance-Bewertung mit KI-Unterstützung | Ja | Ja | Ja |
| Schichtplanung mit KI-Optimierung | Ja | Ja | Ja |
| Stimmungs-Analyse aus Mitarbeiter-Befragungen | Eingeschränkt | Eingeschränkt | Ja |
| Lerninhalte-Empfehlung (Personalentwicklung) | Eingeschränkt | Nein | Eingeschränkt |
Was HR jetzt konkret tun muss
1) KI-Inventur HR (Tag 1 bis 7)
Welche KI-Tools nutzt HR aktuell? Auch eingebaute KI-Funktionen in HR-Software (Personio, SAP SuccessFactors, Workday). Viele davon sind potenziell Hochrisiko.
2) Tool-Whitelist + Konfiguration (Tag 8 bis 30)
Pro Tool prüfen:
- Ist die KI-Funktion abschaltbar (oft ja, aber Default an)?
- Werden Bewerber-Daten ausreichend transparent verarbeitet?
- Liegt ein vollständiger AVV vor?
- Ist die Entscheidung am Ende menschlich (DSGVO Art. 22)?
3) Betriebsrat einbinden (vor Implementation)
Bei KI-Einsatz mit Verhaltens-/Leistungs-Bezug: Betriebsrat informieren (§ 90 BetrVG, rechtzeitig vor Einführung), Mitbestimmungsverfahren starten (§ 87 Abs. 1 Nr. 6). Empfehlung: schriftliche Betriebsvereinbarung "KI-Einsatz im Personalbereich".
4) Schulung HR-Mitarbeiter (Art. 4 KI-VO seit 02.02.2025)
Die Schulungspflicht gilt schon seit über einem Jahr. HR-Mitarbeiter, die KI nutzen oder bewerten, müssen geschult sein. Inhalte:
- Funktionsweise der eingesetzten Tools
- Diskriminierungsrisiken (AGG)
- DSGVO-Pflichten (Art. 22, Art. 30)
- EU AI Act Hochrisiko-Pflichten
- BAG-Rechtsprechung
Förderbar über das Qualifizierungschancengesetz (QCG): bis 100 % Kurskosten.
5) Datenschutz-Folgenabschätzung (DSFA) bei Hochrisiko-Anwendungen
Pflicht nach DSGVO Art. 35. Inhalte:
- Beschreibung der Verarbeitung und Notwendigkeit
- Bewertung der Risiken für Betroffene (Diskriminierung, intransparente Entscheidungen)
- Geplante Maßnahmen zur Risikominderung (menschliche Aufsicht, Auditing, Beschwerdeverfahren)
- Nachweis der Wirksamkeit
Was bei Verstößen droht
| Verstoß | Sanktion |
|---|---|
| DSGVO-Verstöße (Art. 22, Art. 30, Art. 35) | Bis 20 Mio EUR oder 4 % Konzernumsatz |
| EU AI Act Hochrisiko-Verstöße (ab 02.08.2026 oder verschoben) | Bis 15 Mio EUR oder 3 % Konzernumsatz |
| AGG-Diskriminierung | Schadenersatz an Betroffene + öffentliche Sichtbarkeit |
| Fehlende Mitbestimmung Betriebsrat | Unterlassungsanspruch, ggf. Wiederrufung von Maßnahmen |
Konkreter 90-Tage-Plan für HR
| Wann | Was |
|---|---|
| Tage 1 bis 14 | HR-KI-Inventur. Welche Tools, welche Funktionen, welche Daten? |
| Tage 15 bis 30 | Konfiguration auf DSGVO-Konformität. Auftragsverarbeitungsverträge prüfen. |
| Tage 31 bis 45 | Betriebsrat-Gespräch + Entwurf Betriebsvereinbarung KI im Personalbereich |
| Tage 46 bis 60 | QCG-Antrag für HR-Schulung bei Agentur für Arbeit |
| Tage 61 bis 90 | Schulung läuft. DSFA für Hochrisiko-Anwendungen abschließen. Verarbeitungsverzeichnis aktualisieren. |
Was diese Woche tun
- HR-KI-Tools auflisten: Welche Software hat KI-Funktionen, welche werden aktiv genutzt?
- Personio / SuccessFactors / Workday checken: KI-Funktionen oft per Default aktiviert
- Betriebsrat informieren: Stand der KI-Einführung. Sachverständige werden möglicherweise hinzugezogen
- QCG-Schulung beantragen: Für 1 bis 2 HR-Verantwortliche
Wir helfen bei der HR-Schulung
Die DigiMan-Weiterbildung deckt KI-Recruiting, AGG, DSGVO und Hochrisiko-Pflichten ab. Genau richtig für HR-Verantwortliche, die Compliance-fest werden wollen. 100 % über QCG förderfähig. 15 Minuten kostenloses Erstgespräch.
HR-Schulung für KI-Recruiting?
DigiMan-Weiterbildung deckt KI-Compliance, AGG, DSGVO ab. 100 % über QCG förderfähig. 15 Minuten kostenloses Erstgespräch.