EU-KI-Gesetz: Was CHROs jetzt wissen müssen

Personalabläufen beachten, unabhängig vom Sitz des Unternehmens.

Für die meisten CHROs fand die Diskussion über die Compliance bisher in den Rechts- und IT-Abteilungen statt. Die risikoreichsten Bereiche des Gesetzes liegen jedoch eindeutig im HR-Bereich: Einstellung und Bewerberauswahl, Leistungsbewertung, Aufgabenverteilung und Mitarbeiterüberwachung. Diese Bereiche gehören zum Kern der heutigen HR-Arbeit und unterliegen nun einer Regulierung.

Das Risiko einer Governance-Lücke ist hoch. Die meisten Unternehmen haben KI-gestützte Tools nach und nach, Anbieter für Anbieter und Vertragsverlängerung für Vertragsverlängerung, angesammelt, ohne zu erfassen, welche Tools Personalentscheidungen beeinflussen oder ob sie die Anforderungen des Gesetzes erfüllen. Die Verantwortung für die Compliance geht nicht auf den Softwareanbieter über. Wenn ein Tool Auswirkungen auf die Mitarbeitenden hat, liegt die Rechenschaftspflicht beim Unternehmen.

In vielen Fällen fehlt nicht nur der Überblick über einzelne Tools. Es fehlt auch eine klare Zuordnung von Verantwortung. HR-Teams wissen oft nicht, welche Systeme tatsächlich Entscheidungen vorbereiten oder beeinflussen. Gleichzeitig gehen sie davon aus, dass diese Verantwortung beim Anbieter liegt. Genau hier entsteht die Governance-Lücke, die das Gesetz nun aufzeigt.

Selbst wenn sich KI-gestützte Rekrutierungs- oder HR-Strategien noch in der Entwicklung oder in der Pilotphase befinden, darf diese Art der Compliance nicht warten. Dieser Leitfaden erklärt, was CHROs, die globale Belegschaften leiten, über das EU-KI-Gesetz wissen müssen und welche Schritte sie jetzt unternehmen sollten.

Warum EU-Mitarbeitende über Compliance entscheiden

Das EU-KI-Gesetz verwendet ein risikobasiertes Klassifizierungssystem: Ganz oben steht eine Kategorie von KI-Anwendungen, die als risikoreich eingestuft werden. Diese Anwendungen müssen vor und während der Einführung die strengsten Governance-, Dokumentations- und Überwachungsanforderungen erfüllen.

Die Personalabteilung ist eine der am stärksten vertretenen Funktionen in dieser Hochrisikokategorie. Das Gesetz deckt insbesondere KI ab, die bei der Personalbeschaffung und Kandidatenauswahl, der Leistungsbeurteilung von Mitarbeitenden, der Aufgabenverteilung und der Überwachung am Arbeitsplatz eingesetzt wird. Für globale Unternehmen umfasst dies einen erheblichen Teil des Personal-Tech-Stacks. Doch gerade der Punkt der Extraterritorialität wird leicht übersehen: Das Gesetz gilt je nach Standort der Mitarbeitenden, nicht nach dem Sitz des Unternehmens.

Für viele Unternehmen bedeutet das eine grundlegende Umstellung. Systeme, die bisher nach globalen oder lokalen Standards betrieben wurden, müssen plötzlich EU-spezifische Anforderungen erfüllen. Das betrifft nicht nur Tools, sondern auch Prozesse und Verantwortlichkeiten. Besonders komplex wird es für Organisationen, die ihre HR-Infrastruktur zentral außerhalb Europas verwalten.

Beschäftigt ein Unternehmen Mitarbeitende oder Freelancer:innen mit Sitz in der EU, regelt das Gesetz, wie KI-Tools mit ihnen interagieren, selbst wenn das Unternehmen seine HR-Systeme vollständig außerhalb Europas beschafft, konfiguriert und verwaltet.

Die Gesetzgebung zu KI entwickelt sich auf Länderebene weiter. Die Compliance erfolgt jedoch nicht erst in der Zukunft. Die Bestimmungen für den Hochrisikobereich treten bereits schrittweise in Kraft. Unternehmen, die mit der Risikobewertung bis zur vollständigen Umsetzung warten, hinken bereits hinterher.

Viele gehen davon aus, dass Rechtsabteilung oder IT-Sicherheitsteam zuständig sind. Beide Bereiche helfen zwar, doch die Verantwortung für Transparenz gegenüber dem Personal, für die menschliche Aufsicht und zu Entscheidungen liegen bei der Personalabteilung. Keine andere Funktion hat Mandat und Kontext.

Hohes Risiko: Was HR jetzt konkret tun muss

„Hohes Risiko“ heißt nicht verboten. Es heißt: Einsatz regulieren, dokumentieren und nach einem bestimmten Standard steuern. Für CHROs ist es nützlicher, zu verstehen, was dieser Standard in der Praxis erfordert, als das regulatorische Rahmenwerk abstrakt zu begreifen.

In der Praxis bedeutet das, dass sich der Umgang mit KI ändern muss. Entscheidungen, die bisher weitgehend automatisiert oder unterstützend getroffen wurden, müssen stärker kontrolliert und nachvollziehbar gemacht werden. Für HR-Teams erhöht sich damit nicht nur der Dokumentationsaufwand, sondern auch die Verantwortung für die Qualität und Fairness dieser Entscheidungen.

Drei Verantwortungsbereiche liegen direkt bei der Personalabteilung:

1. Mitarbeitende müssen informiert werden, wenn KI bei Entscheidungen eingesetzt wird, die sie betreffen. Dies umfasst Einstellungsentscheidungen, Leistungsbeurteilungen, Überlegungen zur Beförderung und die Bewertung des Kündigungsrisikos. Die Benachrichtigungspflicht ist keine Fußnote im Mitarbeiterhandbuch. Sie muss ein bewusster, dokumentierter Teil Ihrer Personalprozesse sein.
2. Mitarbeitende haben das Recht, automatisierte Entscheidungen anzufechten. Das bedeutet, dass ein Unternehmen einen Prozess benötigt, um diese Anfechtungen entgegenzunehmen, zu prüfen und darauf zu reagieren. Die meisten Unternehmen haben keinen solchen Prozess, da sie ihn bisher nicht benötigt haben. Um diesen Prozess aufzubauen, muss die Personalabteilung definieren, wie die menschliche Überprüfung einer KI-beeinflussten Entscheidung konkret aussieht, wer dafür verantwortlich ist und wie sie dokumentiert wird.
3. Unternehmen müssen eine sinnvolle menschliche Aufsicht über risikoreiche KI-Anwendungen nachweisen. Das Schlüsselwort lautet „nachweisen“. Eine Richtliniendokumentation, die besagt, dass eine menschliche Aufsicht existiert, reicht nicht aus. Die Aufsichtsbehörden suchen nach Belegen dafür, dass diese Aufsicht konsequent erfolgt, in den Arbeitsablauf integriert ist und überprüft werden kann.

Die folgende Tabelle zeigt, wie sich jeder dieser Bereiche in der Praxis für HR-Teams verändert.

Zusammen genommen verlangen diese Pflichten von der Personalabteilung etwas, das die meisten Abteilungen bisher nicht getan haben: Sie muss ein vollständiges Bild davon erstellen, wo KI Personalentscheidungen beeinflusst, und für jeden dieser Berührungspunkte eine Governance-Infrastruktur aufbauen. Diese Arbeit beginnt damit, zu wissen, was im eigenen Personal-Tech-Stack enthalten ist und wie die Tools genutzt werden.

Für viele HR-Teams bedeutet das einen Perspektivwechsel. Statt einzelne Tools isoliert zu betrachten, müssen sie die gesamte Systemlandschaft im Zusammenhang verstehen. Erst dadurch wird sichtbar, wo sich Risiken bündeln oder Prozesse unklar bleiben. Diese Transparenz ist Voraussetzung dafür, überhaupt eine wirksame Governance-Struktur aufbauen zu können.

Das Problem der Anbieterverantwortung

Die meisten Personalabteilungen in Unternehmen haben keine bewusste KI-Strategie entwickelt. Sie haben einen Personal-Tech-Stack aufgebaut, und KI gehörte einfach dazu. Ein ATS hat seinen Matching-Algorithmus aktualisiert, eine Leistungsplattform hat Predictive Analytics hinzugefügt, und ein Personalplanungstool hat begonnen, Empfehlungen auf der Grundlage von Verhaltensdaten abzugeben. Jede Entscheidung ergab für sich genommen Sinn, aber zusammen haben sie einen KI-Fußabdruck geschaffen, den die meisten CHROs möglicherweise noch nicht vollständig erfasst haben.

Das EU-KI-Gesetz schafft ein konkretes und unmittelbares Problem für Unternehmen, die komplexe Anbieterlandschaften verwalten. Die Fragen, die beantwortet werden müssen, sind offensichtlich. Für ihre Beantwortung ist aber Arbeit erforderlich, die die meisten Organisationen noch nicht geleistet haben.

Besonders schwierig ist dabei, dass viele dieser Abhängigkeiten über Jahre gewachsen sind. Verträge, Integrationen und Prozesse greifen ineinander, ohne dass sie zentral gesteuert werden. Genau diese Komplexität erschwert es, klare Verantwortlichkeiten festzulegen und Anforderungen konsistent umzusetzen.

HR-Teams sollten beginnen, diese Fragen für jedes Tool im People-Tech-Stack zu klären:

Zu den internen Systemen:

• Welche Tools in unserem HR- und People-Tech-Stack nutzen KI und in welchem Umfang?
• Welche dieser KI-Anwendungen beeinflussen Entscheidungen, die sich direkt auf die Mitarbeitenden auswirken?
• Liegen Unterlagen zur menschlichen Überwachung von KI-beeinflussten Entscheidungen vor, und wie weit reichen diese zurück?
• Könnte das Unternehmen auf Aufforderung einer Aufsichtsbehörde eine vor sechs Monaten getroffene, KI-beeinflusste Einstellungs- oder Leistungsentscheidung nachweisen?

Zu den Anbietern:

• Kann jeder Anbieter bestätigen, ob sein Tool unter die Hochrisikoklassifizierung des EU-KI-Gesetzes fällt?
• Können sie Unterlagen zu ihrer eigenen Compliance-Situation vorlegen?
• Nutzen sie Subunternehmer oder KI-Modelle anderer Anbieter, und wenn ja, sind diese abgedeckt?
• Welche Daten unserer Mitarbeitenden werden zum Trainieren oder Verbessern ihrer KI-Modelle verwendet?

Zu Ihrer erweiterten Belegschaft:

• Interagieren unsere KI-Tools mit Auftragnehmer:innen, Zeitarbeitskräften oder anderen nicht festangestellten Mitarbeitenden auf eine Weise, die diese Beziehungen in den Geltungsbereich bringt?
• Sind unsere Prozesse zum Management von Leiharbeitskräften in unserer Compliance-Bewertung abgedeckt – einschließlich etwaiger VMS- oder MSP-Vereinbarungen?

Viele Unternehmen werden bei der Beantwortung dieser Fragen Lücken entdecken. Nicht, weil niemand überwacht hat, sondern weil die Infrastruktur zum Dokumentieren und Nachweisen fehlt. Diese Infrastruktur muss entstehen, und die oben genannte Bestandsaufnahme bildet den Ausgangspunkt.

Aktionsplan für den CHRO

Die Kernpflichten für KI-Systeme mit hohem Risiko gelten ab August 2026; einige Regeln sind jedoch bereits in Kraft. Der Zeitraum wirkt kürzer, wenn man die nötige Zeit zum Inventarisieren der Tools, zum Einbinden der Anbieter, zum Aufbau der Governance-Prozesse und zum Schulen der Teams berücksichtigt.

Der Aufwand ist erheblich. Daher ist es unerlässlich, sofort zu beginnen, und zwar nicht nur, um Bereitschaft zu zeigen, sondern auch, um die Teams vor regulatorischen Risiken zu schützen. So geht es los:

Gleichzeitig bietet dieser Prozess die Möglichkeit, bestehende Strukturen kritisch zu hinterfragen. Viele Unternehmen nutzen diese Phase nicht nur zur Sicherstellung der Compliance, sondern auch zur Vereinfachung ihrer Systemlandschaft und zur klareren Definition von Verantwortlichkeiten.

Erstellen Sie eine Bestandsaufnahme Ihrer KI-Nutzung

Bevor ein Governance-Rahmenwerk eingerichtet werden kann, benötigen Sie ein vollständiges und ehrliches Bild davon, wo KI Ihre Personalprozesse berührt. Das bedeutet, über die direkt von der Personalabteilung beschafften Tools hinauszugehen. Jedes System, das eine Personalentscheidung beeinflusst – Kandidatenakquise, Screening, Assessments, Leistungsmanagement, Einsatzplanung oder Vergütung – gehört in die Bestandsaufnahme. Dazu gehört auch die Feststellung, ob die Ergebnisse für EU-Bewerber:innen, Mitarbeitende oder Leiharbeitnehmer:innen verwendet werden oder diese betreffen.

Für jedes betroffene Tool sollte das Verzeichnis Folgendes erfassen:

• Was das Tool leistet und welche KI-Funktionen es nutzt
• Welche Mitarbeitergruppen davon betroffen sind, einschließlich Auftragnehmer:innen und befristet Beschäftigte
• Welche Entscheidungen es direkt oder indirekt beeinflusst
• Ob diese Entscheidungen derzeit einer dokumentierten menschlichen Aufsicht unterliegen
• Ob das Tool unter die Hochrisikoklassifizierung des Gesetzes fällt

Ein Bereich erfordert sofortige Aufmerksamkeit, unabhängig davon, wo sich das Unternehmen in seinem allgemeinen Compliance-Zeitplan befindet: bestimmte KI-Praktiken am Arbeitsplatz wurden ab Februar 2025 vollständig verboten. Emotionserkennungssysteme, die versuchen, den emotionalen Zustand von Bewerber:innen oder Mitarbeitenden während Vorstellungsgesprächen oder Assessments abzuleiten, sind untersagt. KI, die Personen auf der Grundlage ihres Sozialverhaltens oder vorhergesagter persönlicher Merkmale bewertet, ist verboten. Wenn ein Tool im Stack über diese Funktionen verfügt, muss das Problem sofort angegangen werden.

Auch bei der Bestandsaufnahme wird die GSGVO-Konformität entscheidend. Der AI Act ergänzt die DSGVO, anstatt sie zu ersetzen. Wenn ein KI-System Entscheidungen trifft oder stark beeinflusst, die rechtliche oder ähnlich bedeutsame Auswirkungen auf Personen haben, schreibt Artikel 22 der DSGVO zusätzliche Einschränkungen vor, die eine sinnvolle menschliche Beteiligung erfordern. Die Data-Governance-Strategie muss beide Rahmenwerke gleichzeitig berücksichtigen.

Lieferantenbeziehungen auf den Prüfstand stellen

Arbeitgeber sollten vorsichtig sein, wenn sie sich ohne unabhängige Überprüfung auf die Konformitätsversprechen von Lieferanten verlassen. Die meisten Anbieter sichern die Compliance zu. Die Sorgfaltspflicht verlangt eine unabhängige Überprüfung und klare Hinweise, wenn Antworten nicht stichhaltig sind.

Starten Sie mit der Anforderung von Unterlagen statt mit Gesprächen. Ein Anbieter, der die Konformität nachweisen kann, legt dafür klare und überprüfbare Belege vor. Dazu gehören technische Dokumentationen, die nachvollziehbar darlegen, wie seine KI-Modelle trainiert und validiert werden. Ebenso sollten Ergebnisse von Bias-Tests vorliegen, die der Anbieter offenlegt und zur Prüfung bereitstellt. Zusätzlich müssen Audit-Trail-Funktionen vorhanden sein, die sich konfigurieren und exportieren lassen, um Entscheidungen im Nachhinein nachvollziehen zu können.

Achten Sie insbesondere auf folgende Warnsignale:

• Der Anbieter bestätigt die Konformität seines Tools, nennt jedoch keine konkreten Bestimmungen und legt keine Belege vor.
• Der Anbieter erwähnt die Konformität nur in den Nutzungsbedingungen und spricht sie nicht proaktiv im Rahmen der Kundenbetreuung an.
• Der Anbieter setzt KI-Modelle von Drittanbietern oder Unterauftragsverarbeiter:innen ein und bestätigt nicht, dass diese Komponenten gemäß dem Gesetz geprüft wurden.
• Die menschliche Aufsicht wird als Tool-Funktion beschrieben, nicht als konfigurierbarer Workflow, den das eigene Team steuert.
• Der Anbieter beschreibt seine Compliance im Präsens, verweist aber auf eine Roadmap für Dokumentations- und Audit-Funktionen, die noch nicht existieren.

Bei der Bewertung von Tools sollten Anbieter bevorzugt werden, die Unterlagen vorlegen, wie ihre KI-Modelle trainiert und validiert werden, die Verfahren zur Überprüfung auf Verzerrungen demonstrieren und deren Ergebnisse offenlegen, die konfigurierbare „Human-in-the-Loop“-Workflows anbieten und die Protokollierung, Prüfpfade sowie Funktionen zur Erklärbarkeit standardmäßig unterstützen. Nach dem Gesetz sind dies die neuen Mindestanforderungen für jedes risikoreiche KI-System, das in der Personalabteilung zum Einsatz kommt.

Governance-Infrastruktur vor der Vorschrift aufbauen

Der KI-Gesetzentwurf verlangt, dass risikoreiche KI-Systeme so konzipiert und eingesetzt werden, dass eine wirksame menschliche Aufsicht möglich ist. Die für diese Aufsicht verantwortlichen Personen müssen angemessen geschult und qualifiziert sein, es sind fortlaufende Schulungen erforderlich, um die Compliance langfristig aufrechtzuerhalten, und die Aufsichtspersonen müssen über die effektive Fähigkeit verfügen, einzugreifen und die Entscheidungen des Systems zu modifizieren.

In der Praxis bedeutet der Aufbau dieser Infrastruktur, dass vier Dinge vor Ablauf der Frist im August 2026 umgesetzt werden müssen:

1. Offenlegungsprozesse für Arbeitnehmer:innen. Artikel 26(7) des KI-Gesetzes verpflichtet Arbeitgeber bereits jetzt, Arbeitnehmervertretungen vor dem Einsatz risikoreicher KI-Systeme zu informieren, unabhängig von einer etwaigen Verschiebung allgemeinerer Fristen. Es sollte festgelegt werden, wie der Einsatz von KI gegenüber den Arbeitnehmer:innen kommuniziert wird, was die Offenlegung umfasst und wer den Prozess verantwortet.
2. Protokolle zur menschlichen Überwachung. Es sollte klar sein, wie eine sinnvolle menschliche Überprüfung einer KI-beeinflussten Entscheidung aussieht. Wer überprüft sie, welche Befugnis hat diese Person, die Ausgabe des Systems außer Kraft zu setzen, und wie wird diese Überprüfung dokumentiert? Eine Richtlinie, die die Existenz von Überwachung bekräftigt, ist nicht dasselbe wie ein Prozess, der diese konsistent umsetzt.
3. Prüfpfade und Aufbewahrung von Aufzeichnungen. Die von KI-Systemen erzeugten Protokolle müssen mindestens sechs Monate aufbewahrt werden oder länger, falls andere EU- oder nationale Gesetze dies vorschreiben. Fehlt diese Protokollierungsinfrastruktur in den aktuellen Tools, müssen Unternehmen diese Lücke gemeinsam mit den Anbietern schließen.
4. KI-Kompetenz im gesamten Personalwesen. Ab August 2026 gilt die vollständige Einhaltung der Vorschriften für KI-Systeme mit hohem Risiko. Ab diesem Zeitpunkt müssen Arbeitgeber Datenschutz-Folgenabschätzungen durchführen, technische Dokumentation führen und die menschliche Überwachung von KI-gesteuerten Entscheidungen sicherstellen. Die Teams, die diese Prozesse steuern, müssen verstehen, was die Tools leisten, wo ihre Grenzen liegen und welche rechtlichen Pflichten mit ihrer Nutzung verbunden sind, und zwar lange vor Ablauf der Frist.

Globale Belegschaften brauchen einen globalen Standard

Für CHROs, die Belegschaften in mehreren Regionen leiten, schafft das EU-KI-Gesetz eine Entscheidung, die bewusst und nicht automatisch getroffen werden muss: EU-Standards weltweit anwenden oder ein zweistufiges Compliance-Modell verwalten, bei dem EU-Mitarbeitende anders behandelt werden als die in anderen Regionen.

Zweistufige Governance-Modelle sind genau die Art Zersplitterung von Systemen und Prozessen, die HR-Teams in Unternehmen seit Jahren zu reduzieren versuchen, etwa durch die Konsolidierung des gesamten Mitarbeiterlebenszyklus. Unterschiedliche Offenlegungsprozesse je nach Region, unterschiedliche Überwachungsprotokolle je nach Arbeitnehmertyp und unterschiedliche Dokumentationsstandards je nachdem, wo ein Vertrag angesiedelt ist. Diese Komplexität ist schwer zu prüfen, schwer aufrechtzuerhalten und schwer zu verteidigen, wenn eine Entscheidung angefochten wird.

Die klarer zu verteidigende Haltung besteht darin, die Anforderungen des EU-KI-Gesetzes als globale Grundlage für die KI-Governance für die gesamte Belegschaft zu betrachten. Organisationen, die diese Entscheidung jetzt treffen und systematisch darauf hinarbeiten, werden deutlich besser aufgestellt sein, wenn andere Rechtsordnungen ihre eigenen Rahmenwerke für die KI-Governance entwickeln. Das EU-KI-Gesetz ist die erste umfassende Regelung dieser Art, aber sicherlich nicht die letzte.

CHROs müssen jetzt die KI-Governance führen

Das EU-KI-Gesetz zeigt, dass KI am Arbeitsplatz die Experimentierphase hinter sich gelassen hat. Die Regulierungsbehörden haben eine Grenze gezogen. Die Mitarbeitenden sind sich zunehmend bewusst, dass Algorithmen ihre Karrieren beeinflussen, und Vorstände beginnen, Fragen zur KI-Governance zu stellen, auf die die Personalabteilungen nicht immer vorbereitet sind.

Was die Compliance-Arbeit schnell deutlich machen wird, ist, dass eine fragmentierte Personalinfrastruktur ein Governance-Risiko darstellt. Unternehmen, die ihre Personal-Tech-Lösungen Anbieter für Anbieter und Region für Region zusammengetragen haben, werden feststellen, dass der Aufbau einer einheitlichen KI-Aufsicht über diese Landschaft hinweg eine große Herausforderung darstellt. Dies führt zu Audit-Trails, die nicht zusammenpassen, zu Aufsichtsprotokollen, die je nach Tool variieren, und zu Dokumentationsstandards, die sich von Land zu Land unterscheiden. Die Compliance-Bemühungen machen strukturelle Brüche sichtbar und genau diese erhöhen die Komplexität der Umsetzung.

Am besten aufgestellt sind Unternehmen, die ihre Systeme bereits konsolidiert haben. Eine einzige globale Ebene der Transparenz über alle Personalprozesse, eigene Infrastruktur statt vieler Drittanbieter und internes Compliance-Wissen statt langer Unteranbieter-Ketten geben der HR-Führung eine Basis, die einheitliche Governance in großem Maßstab ermöglicht.

Vorschriften wie das EU-KI-Gesetz spiegeln einen allgemeinen Trend zu mehr Verantwortlichkeit dafür wider, wie Technologie das Arbeitsleben der Menschen beeinflusst. Die Unternehmen, die darauf mit einer Konsolidierung ihrer Personalinfrastruktur reagieren, sind für die Zukunft besser gerüstet, da sie eine Grundlage geschaffen haben, die Compliance möglich macht, anstatt sie chaotisch zu gestalten.

Deel arbeitet mit Unternehmen in über 150 Ländern zusammen, um Personalabläufe über eigene Unternehmen und internes Compliance-Know-how zu verwalten. Wenn Unternehmen die Auswirkungen des EU-KI-Gesetzes analysieren, hilft Deel dabei, die Folgen für die globale Belegschaft einzuschätzen.

Buchen Sie eine kostenlose Demo und erfahren Sie, wie Sie Ihre HR-Infrastruktur konsolidieren und KI-Governance global einheitlich umsetzen können.