Der EU AI Act tritt am 2. August 2026 in voller Durchsetzung in Kraft. KI-Systeme im HR- und Beschäftigungsbereich werden unter Anhang III, Punkt 4 als Hochrisiko klassifiziert. Das umfasst Rekrutierung, Aufgabenzuteilung, Leistungsmonitoring und Teamentwicklungs-Tools. Nur 6 % der EU-Organisationen betrachten sich als vollständig vorbereitet (KPMG). 78 % der deutschen Unternehmen nutzen oder planen KI, aber weniger als 30 % haben eine KI-spezifische Risikobewertung durchgeführt (Bitkom). 52 % der deutschen Betriebsräte berichten, nicht über KI-Tools in ihrer Organisation informiert zu sein (Hans-Bockler-Stiftung). Dieser Leitfaden bietet eine praktische 15-Punkte-Compliance-Checkliste für DSGVO und EU AI Act mit spezifischer Anleitung für die Betriebsrats-Abstimmung im DACH-Raum.
Stichtag: 2. August 2026. Hochrisiko-KI-Regeln (Anhang III) werden durchsetzbar. Bußgelder: bis 35 Mio. EUR oder 7 % des globalen Jahresumsatzes. KI für Rekrutierung, Aufgabenzuteilung, Leistungsmonitoring oder Teambewertung fällt unter die Hochrisiko-Klassifizierung.
Was die KI-Verordnung für Ihr Unternehmen bedeutet
Der EU AI Act schafft ein risikobasiertes Klassifizierungssystem. Nicht alle KI wird gleich reguliert: Verbotene KI (verboten seit Feb 2025): Social Scoring, biometrische Echtzeit-Überwachung, Emotionserkennung am Arbeitsplatz. Hochrisiko-KI (durchsetzbar ab Aug 2026): KI im Beschäftigungs- und HR-Bereich. Konkret Anhang III, Punkt 4 umfasst: Rekrutierung und CV-Screening, Aufgabenzuteilung basierend auf individuellen Merkmalen, Monitoring und Bewertung der Arbeitsleistung, Entscheidungen über Beförderung, Kündigung oder Vertragskonditionen. KI mit begrenztem Risiko: Chatbots, Content-Generierung. Muss KI-Natur gegenüber Nutzern offenlegen. Minimales Risiko: Spam-Filter, KI in Spielen. Keine spezifischen Pflichten. Wenn Ihr Team einen KI-Assistenten für HR-nahe Funktionen nutzt (Teamanalysen, Puls-Befragungen, Coaching, Terminplanung, Performance-Einblicke), fällt er wahrscheinlich unter Hochrisiko. Das bedeutet nicht, dass Sie ihn nicht nutzen dürfen. Es bedeutet, dass Sie spezifische Anforderungen erfüllen müssen.
DSGVO + KI-Verordnung: Zwei Gesetze, eine Strategie
Eine häufige Frage: "Wir sind bereits DSGVO-konform. Reicht das?" Nein. DSGVO und KI-Verordnung überschneiden sich, haben aber unterschiedliche Anforderungen: DSGVO umfasst: Verarbeitung personenbezogener Daten, Rechtsgrundlage (Art. 6), Datenminimierung, DSFA für Hochrisiko-Verarbeitung (Art. 35), Schutzmaßnahmen bei automatisierter Entscheidungsfindung (Art. 22), Recht auf Erklärung. KI-Verordnung ergänzt: Risikomanagementsystem (Art. 9), technische Dokumentation (Art. 11), automatische Protokollierung von KI-Entscheidungen (Art. 12), Transparenzanforderungen (Art. 13), verpflichtende menschliche Aufsichtsrollen (Art. 14), Genauigkeits- und Bias-Monitoring (Art. 15). Beide erfordern: Datenschutz-Folgenabschätzung, Transparenz über KI-Nutzung, menschliche Aufsicht bei bedeutenden Entscheidungen, Dokumentation und Audit-Trails. Die praktische Auswirkung: Wenn Ihr KI-Teamassistent Mitarbeiterdaten verarbeitet (Puls-Befragungen, Assessments, Feedback, Coaching), brauchen Sie Compliance mit beiden Verordnungen gleichzeitig. Bußgelder können sich addieren: DSGVO bis 20 Mio. EUR / 4 % Umsatz PLUS KI-Verordnung bis 35 Mio. EUR / 7 % Umsatz.
Betriebsrat & KI: Mitbestimmung nach BetrVG Paragraph 87 (DACH)
Für deutsche und österreichische Organisationen hat der Betriebsrat Mitbestimmungsrechte nach BetrVG Paragraph 87 Abs. 1 Nr. 6 bei Einführung technischer Einrichtungen, die das Verhalten oder die Leistung der Arbeitnehmenden überwachen. Das Bundesarbeitsgericht (BAG) bestätigte 2023, dass dies für KI-basierte Software gilt (BAG 1 ABR 14/22). Praktische Anforderungen: - Betriebsvereinbarung verhandeln, die abdeckt: KI-System-Umfang, verarbeitete Daten, Mitarbeiterrechte, Überprüfungszyklen - Nach Paragraph 80 Abs. 3 können Betriebsräte externe KI-Sachverständige auf Kosten des Arbeitgebers hinzuziehen - Assessment-Teilnahme muss freiwillig sein - Individuelle Coaching-Daten dürfen für das Management nicht sichtbar sein - Der Betriebsrat muss vor dem Einsatz jedes neuen KI-Tools informiert werden 52 % der deutschen Betriebsräte berichten, nicht über KI-Tools in ihrer Organisation informiert zu sein. Proaktives Engagement verhindert Konflikte und Verzögerungen.
Die 15-Punkte-Compliance-Checkliste
1
KI-System-Inventar
Alle KI-Systeme im Einsatz katalogisieren. Jedes nach Risikoniveau gemäß Anhang III klassifizieren. Schatten-KI-Tools einbeziehen, die Mitarbeitende möglicherweise ohne IT-Genehmigung nutzen.
2
Hochrisiko-Bewertung
Feststellen, ob HR/Team-KI-Anwendungsfälle unter Anhang III, Punkt 4 fallen (Rekrutierung, Aufgabenzuteilung, Monitoring, Bewertung, Teamanalysen).
3
Doppelte Rechtsgrundlage
Rechtsgrundlage unter DSGVO (Art. 6) UND KI-Verordnung gleichzeitig etablieren. Dokumentieren, warum die Verarbeitung notwendig und verhältnismäßig ist.
4
Datenschutz-Folgenabschätzung
DSGVO Art. 35 DSFA für jedes KI-System durchführen, das Mitarbeiterdaten verarbeitet. KI-spezifische Risiken einbeziehen (Bias, Opazität, automatisierte Entscheidungen).
5
Datenminimierung
Sicherstellen, dass KI nur notwendige Daten verarbeitet (Art. 5 Abs. 1 lit. c DSGVO). Kein exzessives Profiling. Assessment-Ergebnisse standardmäßig anonymisiert.
6
EU-Datenresidenz
Bestätigen, dass alle KI-Verarbeitung und Datenspeicherung innerhalb der EU/des EWR erfolgt. Keine US-Transfers ohne angemessene Schutzmaßnahmen nach Schrems II.
7
Schutzmaßnahmen bei automatisierter Entscheidungsfindung
DSGVO Art. 22 Schutzmaßnahmen implementieren: menschliche Aufsicht bei bedeutenden Entscheidungen, Recht auf Erklärung, Recht auf Anfechtung KI-gestützter Ergebnisse.
8
Risikomanagementsystem
Laufende KI-Risikoidentifikation und -minderung nach KI-Verordnung Art. 9 implementieren. Risikobewertungsmethodik und Überprüfungsplan dokumentieren.
9
Technische Dokumentation
Systemdokumentation gemäß KI-Verordnung Art. 11 pflegen: Architektur, Trainingsdatenquellen, Leistungskennzahlen, bekannte Einschränkungen.
10
Audit-Logging und Transparenz
Automatisches Audit-Logging aller KI-Entscheidungen, zugänglich für behördliche Überprüfung (KI-Verordnung Art. 12, 13). Logs müssen durchsuchbar und exportierbar sein.
11
Menschliche Aufsichtsrollen
Menschliche Aufsichtsrollen mit Befugnis zur Überschreibung von KI-Ausgaben benennen (KI-Verordnung Art. 14). Eskalationsverfahren dokumentieren.
12
Bias-Monitoring
Regelmäßige Genauigkeitstests und Bias-Monitoring über geschützte Merkmale: Geschlecht, Alter, Ethnizität (KI-Verordnung Art. 15). Testmethodik dokumentieren.
13
Betriebsvereinbarung (DACH)
Betriebsvereinbarung mit Betriebsrat verhandeln über: KI-Umfang, Datennutzung, Mitarbeiterrechte, Überprüfungszyklen (BetrVG Paragraph 87 Abs. 1 Nr. 6).
14
Mitarbeiterbenachrichtigung
Alle betroffenen Mitarbeitenden über KI-Nutzung, verarbeitete Daten und ihre Rechte informieren (DSGVO Art. 13/14 + KI-Verordnung Art. 52). Teilnahme muss freiwillig sein.
15
Laufendes Monitoring und Überprüfung
Regelmäßige Compliance-Reviews, Vorfallmeldungen und jährlichen Audit-Zyklus einrichten. Dokumentation aktualisieren, wenn sich KI-Systeme ändern.
Strafen: Was Nicht-Compliance kostet
| Verstoß | Bußgeld | Verordnung |
|---|---|---|
| Verbotene KI-Praktiken | Bis 35 Mio. EUR oder 7 % globaler Umsatz | KI-Verordnung Art. 99(3) |
| Hochrisiko-Nichteinhaltung | Bis 15 Mio. EUR oder 3 % Umsatz | KI-Verordnung Art. 99(4) |
| Falsche Informationen | Bis 7,5 Mio. EUR oder 1,5 % Umsatz | KI-Verordnung Art. 99(5) |
| DSGVO-Datenschutzverstoß | Bis 20 Mio. EUR oder 4 % Umsatz | DSGVO Art. 83 |
Bußgelder können sich addieren. Ein einzelnes KI-System, das gegen DSGVO und KI-Verordnung verstößt, kann Strafen unter beiden Verordnungen erhalten. DSGVO-Bußgelder seit 2018 haben kumulativ 2,1 Milliarden EUR überschritten (GDPR Enforcement Tracker).
So setzt Teamo AI Compliance um
Teamo AI ist von Grund auf für EU AI Act und DSGVO-Konformität konzipiert: - EU-Datenresidenz: Alle Daten in EU-Rechenzentren gehostet. Keine US-Transfers. - Audit-Logging: Jede KI-Aktion protokolliert, mit Zeitstempel versehen, Nutzer und Session zugeordnet. Durchsuchbar und exportierbar für behördliche Überprüfung. - Rollenbasierte Zugriffskontrolle: 4-stufiges Berechtigungssystem (Mitglied/Observer/Admin/Super-Admin). KI-Fähigkeiten pro Rolle begrenzt. - Tool-Ausführungsrichtlinien: 4 Profile (minimal/standard/admin/full). Gefährliche Aktionen erfordern menschliche Bestätigung. - Anonymisierung als Standard: Individuelle Assessment-Ergebnisse und Coaching-Gespräche anonymisiert. Nur aggregierte Team-Level-Einblicke für das Management sichtbar. - Betriebsrats-kompatibel: Freiwillige Teilnahme, Datentrennung zwischen Coaching und Leistung, Informationsrechte des Betriebsrats unterstützt. - Menschliche Aufsicht: Tool-Bestätigungssystem bietet Vorschau + Genehmigung für ausgehende Aktionen. Keine automatisierten Entscheidungen ohne menschliche Überprüfung bei bedeutenden Ergebnissen. Für den vollständigen Enterprise-Sicherheitsvergleich siehe unseren Enterprise-KI-Agent-Sicherheitsleitfaden.
Ihre Compliance-Readiness messen
Unser kostenloses KI-Governance-Assessment ordnet 15 Fragen EU AI Act, NIST AI RMF und ISO 42001 Anforderungen zu. Reifegrad-Score in 5 Minuten.
Compliance-konforme KI für Ihr Team
Teamo AI bietet DSGVO + EU AI Act Compliance von Anfang an. EU-Hosting, Audit-Logging, Betriebsrats-kompatibel, rollenbasierter Zugriff. Kostenlos starten.
![OpenClaw im Unternehmen: 5 Gründe, warum Ihr Sicherheitsteam Nein sagen wird [2026]](https://www.teamazing.com/wp-content/uploads/2026/03/openclaw-in-companies.jpg)
![Schatten-KI kostet Ihr Unternehmen Millionen: Das Audit-Handbuch [2026]](https://www.teamazing.com/wp-content/uploads/2026/03/shadow-ai-in-companies-effect-and-cause.jpg)
![KI-Agent Sicherheit im Unternehmen: Warum OpenClaw den Enterprise-Test nicht besteht [2026]](https://www.teamazing.com/wp-content/uploads/2026/03/enterprise-ai-agent-security.jpg)