Der EU AI Act trifft HR früher als gedacht

In vielen Personalabteilungen gilt der EU AI Act als ein Thema für die Rechtsabteilung oder die IT — etwas, das man später regelt. Diese Einschätzung ist riskant, denn die Verordnung adressiert HR direkter als fast jeden anderen Unternehmensbereich.

Der Grund steht in den Anhängen: KI-Systeme, die in Beschäftigung und Personalmanagement eingesetzt werden — etwa zur Auswahl von Bewerbern, zur Zuweisung von Aufgaben oder zur Bewertung von Leistung —, zählt der AI Act ausdrücklich zu den Hochrisiko-Anwendungen. Damit fällt ein erheblicher Teil dessen, was heute unter „KI im Recruiting” oder „People Analytics” läuft, in die strengste regulierte Kategorie unterhalb des Verbots.

Der AI Act ist im Kern kein Compliance-Thema. Er ist eine Frage des Organisationsdesigns.

Was Hochrisiko praktisch heißt

Mit der Einstufung kommen Pflichten: Transparenz gegenüber den Betroffenen, menschliche Aufsicht über die Entscheidung, Datenqualität und Dokumentation, Nachvollziehbarkeit. Das sind keine Häkchen auf einer Liste, sondern Anforderungen an die Art, wie eine Entscheidung zustande kommt — und an die Frage, wer am Ende dafür einsteht.

Die eigentliche Frage ist organisatorisch

Genau hier verlässt das Thema die Rechtsabteilung. Die schwierige Frage lautet nicht „Sind wir konform?”, sondern „Wer ist verantwortlich, wenn eine KI eine Personalentscheidung vorbereitet — und wie bleibt diese Entscheidung anfechtbar?”. Das ist eine Frage der Rollen, der Zuständigkeiten und der Entscheidungsarchitektur, nicht der Vertragsklauseln.

Wer den AI Act als reine Compliance-Übung behandelt, wird ihn überleben und nichts daraus lernen. Wer ihn als Anlass nimmt, seine Entscheidungswege zu klären, gewinnt etwas, das über die Regulierung hinaus trägt: eine Organisation, die auch dann noch weiß, wer entscheidet, wenn die Maschine mitentscheidet.

Wer ist der „Betreiber” — und seit wann gilt das?

Der AI Act verteilt Pflichten zwischen Anbietern und „Betreibern” (deployern). Im Personalbereich ist das Unternehmen selbst der Betreiber — auch dann, wenn es die KI nur einkauft. Das verschiebt die Verantwortung nach innen: Man kann sie nicht an den Softwarehersteller weiterreichen. Zwei Fristen sind dabei zentral. Die allgemeine KI-Kompetenzpflicht nach Art. 4 — Beschäftigte und Verantwortliche müssen im Umgang mit KI hinreichend geschult sein — gilt bereits seit Februar 2025. Die strengeren Hochrisiko-Anforderungen für HR-Systeme greifen gestaffelt, mit der behördlichen Durchsetzung ab 2026. Wer bis dahin abwartet, hat das eigentliche Problem nicht gelöst, sondern nur vertagt.

Warum das am Ende im Aufsichtsrat landet

Läuft eine KI-gestützte Personalentscheidung schief, ist das keine HR-Panne mehr, sondern eine Frage der Organisationsverantwortung — und die endet beim Vorstand, den der Aufsichtsrat überwacht. Der EU AI Act macht KI damit zur Chefsache: Die Pflichten lassen sich nicht an ein Tool oder eine Fachabteilung delegieren. Genau deshalb gehört HR-KI auf dieselbe Agenda wie die übrige KI-Governance — vom Kompetenzprofil des Aufsichtsrats bis zu den Fragen, die das Gremium dem Vorstand stellen sollte.

Gilt der EU AI Act für eingekaufte HR-Software? Ja. Im Personalbereich ist das Unternehmen der Betreiber (deployer) und trägt eigene Pflichten, auch wenn es die KI nicht selbst entwickelt hat.

Seit wann gilt die KI-Kompetenzpflicht des EU AI Act? Die Pflicht aus Art. 4 zur hinreichenden KI-Kompetenz der Beschäftigten gilt seit Februar 2025; die behördliche Durchsetzung der Hochrisiko-Anforderungen beginnt 2026.

Warum ist der EU AI Act für HR eine Organisationsfrage? Weil die entscheidende Frage nicht lautet, ob man konform ist, sondern wer eine KI-gestützte Personalentscheidung verantwortet und ob sie anfechtbar bleibt. Das ist eine Frage von Rollen und Entscheidungswegen.