Der EU AI Act stuft fast jedes KI-System in HR-Prozessen als Hochrisiko ein. Diese Systeme müssen strenge Anforderungen an Risikomanagement, Transparenz und menschliche Aufsicht erfüllen - nach aktuellem Recht ab dem 2. August 2026, mit vorläufig geeinigter Verschiebung auf Dezember 2027 (Digital Omnibus, Mai 2026).

Auf einen Blick - HR-KI ist Hochrisiko unter dem EU AI Act

  • KI-Systeme für Recruiting, Leistungsbeurteilungen, Beförderungen und Kündigungen werden unter Anhang III, Nr. 4 des EU AI Act als Hochrisiko eingestuft.
  • Verbotene KI-Praktiken (Social Scoring, Manipulation) gelten seit dem 2. Februar 2025. Vollständige Hochrisiko-Pflichten ab 2. August 2026 - Verschiebung auf 2. Dezember 2027 vorläufig geeinigt (Digital Omnibus, Mai 2026), formale Verabschiedung ausstehend.
  • Sechs Pflichtanforderungen: Risikomanagement, Datengovernance, Aufzeichnungspflichten, Transparenz, menschliche Aufsicht und Genauigkeit/Robustheit.
  • Der Decision Layer bildet jede Anforderung architektonisch ab: Confidence Routing für Risiko, versionierte Regelwerke für Datengovernance, Audit Trail für Aufzeichnungen, Human-in-the-Loop für Aufsicht.
  • Bußgelder bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes bei Verstößen gegen die Hochrisiko-Pflichten (Art. 99 Abs. 4) - bis zu 35 Millionen Euro oder 7% bei verbotenen KI-Praktiken (Art. 5).

Laut einer PwC-Studie (2024) haben nur 24% der Unternehmen, die KI in HR-Prozessen einsetzen, mit der formalen EU-AI-Act-Compliance begonnen - obwohl die Hochrisiko-Frist (2. August 2026, voraussichtlich verschoben auf Dezember 2027) den Aufbau einer auditierbaren Governance verlangt.

EU AI Act ArtikelAnforderungDecision Layer Umsetzung
Art. 9RisikomanagementsystemConfidence Routing mit konfigurierbaren Schwellenwerten
Art. 10DatengovernanceVersionierte Regelwerke mit Gültigkeitsdaten
Art. 12AufzeichnungspflichtenUnveränderlicher Audit Trail pro Entscheidung
Art. 13TransparenzAuditor Portal mit vollständigem Entscheidungspfad
Art. 14Menschliche AufsichtErzwungener Human-in-the-Loop für definierte Typen
Art. 15Genauigkeit und RobustheitBias Monitoring und modell-agnostisches Design
Art. 86Recht auf Erläuterung der EinzelentscheidungEntscheidungsakt pro Mikroentscheidung mit Anfechtungspfad

Die Einstufung: HR-KI ist Hochrisiko

Der EU AI Act stuft KI-Systeme die in Beschäftigung, Personalmanagement und Zugang zu selbstständiger Erwerbstätigkeit eingesetzt werden, als Hochrisiko ein (Anhang III, Nr. 4). Das betrifft konkret:

KI-Systeme für Recruiting und Bewerberauswahl. KI-Systeme die Einfluss auf Beförderung, Kündigung, Aufgabenzuweisung oder Leistungsüberwachung haben. KI-Systeme die Arbeitsbedingungen beeinflussen - einschließlich Gehaltsanpassungen, Eingruppierungen und Schichtplanung.

Kurz: Fast jeder KI-Agent, der in HR-Prozessen Entscheidungen vorbereitet, unterstützt oder trifft, fällt unter die Hochrisiko-Kategorie.

Die Fristen

Seit dem 2. Februar 2025 gelten die Verbote für inakzeptable KI-Praktiken - darunter Social Scoring und manipulative Techniken. Die vollständigen Pflichten für Hochrisiko-KI-Systeme greifen nach aktuellem Recht ab dem 2. August 2026. Nach der vorläufigen Digital-Omnibus-Einigung vom 7. Mai 2026 sollen sie sich auf den 2. Dezember 2027 verschieben - die formale Verabschiedung im EU-Amtsblatt steht aber noch aus, sodass bis dahin der August 2026 gilt. Die Einstufung als Hochrisiko bleibt in jedem Fall bestehen: Der Aufbau auditierbarer Governance-Strukturen lohnt sich unabhängig vom genauen Stichtag, und die voraussichtlich gewonnene Zeit sollte dafür genutzt werden.

Was konkret gefordert wird - und wie der Decision Layer es erfüllt

Die folgenden Anforderungen gelten für jeden Betreiber eines Hochrisiko-KI-Systems im HR-Bereich:

Artikel 9 - Risikomanagementsystem: Der EU AI Act fordert ein kontinuierliches Risikomanagementsystem das Risiken identifiziert, bewertet und mindert. Im Decision Layer wird das durch Confidence Routing umgesetzt: Jede Agenten-Entscheidung wird automatisch nach Konfidenz und Risikokategorie bewertet. Hohes Risiko oder niedrige Konfidenz führt zur Eskalation an einen Menschen. Die Schwellenwerte sind konfigurierbar und dokumentiert.

Artikel 10 - Datengovernance: Versionierte Regelwerke im Decision Layer stellen sicher, dass die Datengrundlage jeder Entscheidung nachvollziehbar ist. Tarifverträge, Betriebsvereinbarungen und Compliance-Regeln haben Versionen, Gültigkeitsdaten und Geltungsbereiche. Bei einer Prüfung ist nachvollziehbar, welches Regelwerk in welcher Version zum Entscheidungszeitpunkt galt.

Artikel 12 - Aufzeichnungspflichten: Der Audit Trail im Decision Layer erzeugt für jede Entscheidung einen vollständigen, unveränderlichen Datensatz: Input, Modell, Regelwerk, Konfidenz, Routing-Entscheidung, Ergebnis, Zeitstempel. Automatisch, nicht nachträglich zusammengestellt.

Artikel 13 - Transparenz: Jede Agenten-Entscheidung ist im Auditor Portal nachvollziehbar. Betriebsräte, Datenschutzbeauftragte und Prüfer können den Entscheidungspfad einsehen. Keine Blackbox.

Artikel 14 - Menschliche Aufsicht: Human-in-the-Loop ist im Decision Layer ein Architekturprinzip, nicht eine optionale Einstellung. Bei definierten Entscheidungstypen - Diskriminierungspotenzial, Mitbestimmungsthemen, Wertgrenzen - erzwingt die Architektur menschliche Prüfung. Ein Agent kann diese Prüfung nicht umgehen.

Artikel 15 - Genauigkeit, Robustheit und Cybersicherheit: Bias Monitoring prüft systematisch auf diskriminierende Muster. Konfidenz-Schwellenwerte stellen sicher, dass der Agent nur bei ausreichender Sicherheit autonom entscheidet. Modell-Agnostik ermöglicht den Wechsel des Sprachmodells ohne Änderung der Governance-Logik.

Artikel 86 - Recht auf Erläuterung: Über die sechs Betreiber-Pflichten hinaus gibt Art. 86 jeder betroffenen Person einen Anspruch auf Erläuterung der einzelnen Entscheidung - nicht des Systems im Allgemeinen, sondern dieses einen Falls. Diese Frage lässt sich nur über einen Entscheidungsakt pro Mikroentscheidung beantworten: Input, angewandte Fachregel samt Version, Konfidenz, Ergebnis und Anfechtungspfad. Der Decision Layer erzeugt diesen Akt im Moment der Entscheidung und macht den Art.-86-Anspruch damit pro Einzelfall erfüllbar.

Kostenloses eBook: KI in HR

EU AI Act Checkliste, Decision-Framework, Betriebsrats-Perspektive und Readiness-Assessment - das Governance-Handbuch für HR-Verantwortliche.

Jetzt kostenlos herunterladen

Was das für HR-Abteilungen bedeutet

Unternehmen die heute KI in HR-Prozessen einsetzen oder einsetzen wollen, müssen Governance-Strukturen aufbauen - maßgeblich ist nach aktuellem Recht der 2. August 2026, voraussichtlich verschoben auf Dezember 2027. Das bedeutet konkret:

Dokumentierte Entscheidungslogik für jeden KI-gestützten HR-Prozess. Technisch erzwungene Human-in-the-Loop-Mechanismen für Entscheidungen mit Personalbezug. Prüfungssichere Audit Trails die nachvollziehbar machen, wie jede Entscheidung zustande kam. Bias-Monitoring das diskriminierende Muster erkennt und meldet.

In Deutschland kommen die Anforderungen des Betriebsverfassungsgesetzes hinzu: Betriebsräte haben ein Mitbestimmungsrecht bei technischen Einrichtungen die das Verhalten oder die Leistung von Arbeitnehmern überwachen (§ 87 Abs. 1 Nr. 6 BetrVG). KI-Agenten in HR-Prozessen fallen unter diese Kategorie.

Der Decision Layer adressiert beide Anforderungsblöcke - EU AI Act und deutsches Mitbestimmungsrecht - in einer Architektur.

Decision Layer im Detail

Entscheidungsakt: Warum jede KI-Entscheidung anfechtbar sein muss

Mitbestimmung und Betriebsrat

HR Agent

Termin vereinbaren - Wir zeigen Ihnen, welche Ihrer HR-Prozesse unter die Hochrisiko-Kategorie fallen und wie der Decision Layer die Anforderungen erfüllt.

Bert Gogolin

Bert Gogolin

Geschäftsführer, Gosign

AI Governance Briefing

Enterprise AI, Regulierung und Infrastruktur - einmal im Monat, direkt von mir.

Kein Spam. Jederzeit abbestellbar. Datenschutzerklärung