Der EU AI Act tritt am 2. August 2026 in voller Durchsetzung in Kraft. KI-Systeme im HR- und Beschäftigungsbereich werden unter Anhang III, Punkt 4 als Hochrisiko klassifiziert. Das umfasst Rekrutierung, Aufgabenzuteilung, Leistungsmonitoring und Teamentwicklungs-Tools.
Nur 6 % der EU-Organisationen betrachten sich als vollständig vorbereitet (KPMG). 78 % der deutschen Unternehmen nutzen oder planen KI, aber weniger als 30 % haben eine KI-spezifische Risikobewertung durchgeführt (Bitkom). 52 % der deutschen Betriebsräte berichten, nicht über KI-Tools in ihrer Organisation informiert zu sein (Hans-Bockler-Stiftung).
Dieser Leitfaden bietet eine praktische 15-Punkte-Compliance-Checkliste für DSGVO und EU AI Act mit spezifischer Anleitung für die Betriebsrats-Abstimmung im DACH-Raum.
Stichtag: 2. August 2026. Hochrisiko-KI-Regeln (Anhang III) werden durchsetzbar. Bußgelder: bis 35 Mio. EUR oder 7 % des globalen Jahresumsatzes. KI für Rekrutierung, Aufgabenzuteilung, Leistungsmonitoring oder Teambewertung fällt unter die Hochrisiko-Klassifizierung.
Was die KI-Verordnung für dein Unternehmen bedeutet
Der EU AI Act schafft ein risikobasiertes Klassifizierungssystem. Nicht alle KI wird gleich reguliert:
Verbotene KI (verboten seit Feb 2025): Social Scoring, biometrische Echtzeit-Überwachung, Emotionserkennung am Arbeitsplatz.
Hochrisiko-KI (durchsetzbar ab Aug 2026): KI im Beschäftigungs- und HR-Bereich. Konkret Anhang III, Punkt 4 umfasst: Rekrutierung und CV-Screening, Aufgabenzuteilung basierend auf individüllen Merkmalen, Monitoring und Bewertung der Arbeitsleistung, Entscheidungen über Beförderung, Kündigung oder Vertragskonditionen.
KI mit begrenztem Risiko: Chatbots, Content-Generierung. Muss KI-Natur gegenüber Nutzern offenlegen.
Minimales Risiko: Spam-Filter, KI in Spielen. Keine spezifischen Pflichten.
Wenn dein Team einen KI-Assistenten für HR-nahe Funktionen nutzt (Teamanalysen, Puls-Befragungen, Coaching, Terminplanung, Performance-Einblicke), fällt er wahrscheinlich unter Hochrisiko. Das bedeutet nicht, dass du ihn nicht nutzen darfst. Es bedeutet, dass du spezifische Anforderungen erfüllen musst.
DSGVO + KI-Verordnung: Zwei Gesetze, eine Strategie
Eine häufige Frage: "Wir sind bereits DSGVO-konform. Reicht das?" Nein. DSGVO und KI-Verordnung überschneiden sich, haben aber unterschiedliche Anforderungen:
DSGVO umfasst: Verarbeitung personenbezogener Daten, Rechtsgrundlage (Art. 6), Datenminimierung, DSFA für Hochrisiko-Verarbeitung (Art. 35), Schutzmaßnahmen bei automatisierter Entscheidungsfindung (Art. 22), Recht auf Erklärung.
KI-Verordnung ergänzt: Risikomanagementsystem (Art. 9), technische Dokumentation (Art. 11), automatische Protokollierung von KI-Entscheidungen (Art. 12), Transparenzanforderungen (Art. 13), verpflichtende menschliche Aufsichtsrollen (Art. 14), Genauigkeits- und Bias-Monitoring (Art. 15).
Beide erfordern: Datenschutz-Folgenabschätzung, Transparenz über KI-Nutzung, menschliche Aufsicht bei bedeutenden Entscheidungen, Dokumentation und Audit-Trails.
Die praktische Auswirkung: Wenn dein KI-Teamassistent Mitarbeiterdaten verarbeitet (Puls-Befragungen, Assessments, Feedback, Coaching), brauchst du Compliance mit beiden Verordnungen gleichzeitig. Bußgelder können sich addieren: DSGVO bis 20 Mio. EUR / 4 % Umsatz PLUS KI-Verordnung bis 35 Mio. EUR / 7 % Umsatz.
Betriebsrat & KI: Mitbestimmung nach BetrVG Paragraph 87 (DACH)
Für deutsche und österreichische Organisationen hat der Betriebsrat Mitbestimmungsrechte nach BetrVG Paragraph 87 Abs. 1 Nr. 6 bei Einführung technischer Einrichtungen, die das Verhalten oder die Leistung der Arbeitnehmenden überwachen. Das Bundesarbeitsgericht (BAG) bestätigte 2023, dass dies für KI-basierte Software gilt (BAG 1 ABR 14/22).
Praktische Anforderungen:
- Betriebsvereinbarung verhandeln, die abdeckt: KI-System-Umfang, verarbeitete Daten, Mitarbeiterrechte, Überprüfungszyklen
- Nach Paragraph 80 Abs. 3 können Betriebsräte externe KI-Sachverständige auf Kosten des Arbeitgebers hinzuziehen
- Assessment-Teilnahme muss freiwillig sein
- Individülle Coaching-Daten dürfen für das Management nicht sichtbar sein
- Der Betriebsrat muss vor dem Einsatz jedes neuen KI-Tools informiert werden
52 % der deutschen Betriebsräte berichten, nicht über KI-Tools in ihrer Organisation informiert zu sein. Proaktives Engagement verhindert Konflikte und Verzögerungen.
Die 15-Punkte-Compliance-Checkliste
KI-System-Inventar
Alle KI-Systeme im Einsatz katalogisieren. Jedes nach Risikoniveau gemäß Anhang III klassifizieren. Schatten-KI-Tools einbeziehen, die Mitarbeitende möglicherweise ohne IT-Genehmigung nutzen.
Hochrisiko-Bewertung
Feststellen, ob HR/Team-KI-Anwendungsfälle unter Anhang III, Punkt 4 fallen (Rekrutierung, Aufgabenzuteilung, Monitoring, Bewertung, Teamanalysen).
Doppelte Rechtsgrundlage
Rechtsgrundlage unter DSGVO (Art. 6) UND KI-Verordnung gleichzeitig etablieren. Dokumentieren, warum die Verarbeitung notwendig und verhältnismäßig ist.
Datenschutz-Folgenabschätzung
DSGVO Art. 35 DSFA für jedes KI-System durchführen, das Mitarbeiterdaten verarbeitet. KI-spezifische Risiken einbeziehen (Bias, Opazität, automatisierte Entscheidungen).
Datenminimierung
Sicherstellen, dass KI nur notwendige Daten verarbeitet (Art. 5 Abs. 1 lit. c DSGVO). Kein exzessives Profiling. Assessment-Ergebnisse standardmäßig anonymisiert.
EU-Datenresidenz
Bestätigen, dass alle KI-Verarbeitung und Datenspeicherung innerhalb der EU/des EWR erfolgt. Keine US-Transfers ohne angemessene Schutzmaßnahmen nach Schrems II.
Schutzmaßnahmen bei automatisierter Entscheidungsfindung
DSGVO Art. 22 Schutzmaßnahmen implementieren: menschliche Aufsicht bei bedeutenden Entscheidungen, Recht auf Erklärung, Recht auf Anfechtung KI-gestützter Ergebnisse.
Risikomanagementsystem
Laufende KI-Risikoidentifikation und -minderung nach KI-Verordnung Art. 9 implementieren. Risikobewertungsmethodik und Überprüfungsplan dokumentieren.
Technische Dokumentation
Systemdokumentation gemäß KI-Verordnung Art. 11 pflegen: Architektur, Trainingsdatenqüllen, Leistungskennzahlen, bekannte Einschränkungen.
Audit-Logging und Transparenz
Automatisches Audit-Logging aller KI-Entscheidungen, zugänglich für behördliche Überprüfung (KI-Verordnung Art. 12, 13). Logs müssen durchsuchbar und exportierbar sein.
Menschliche Aufsichtsrollen
Menschliche Aufsichtsrollen mit Befugnis zur Überschreibung von KI-Ausgaben benennen (KI-Verordnung Art. 14). Eskalationsverfahren dokumentieren.
Bias-Monitoring
Regelmäßige Genauigkeitstests und Bias-Monitoring über geschützte Merkmale: Geschlecht, Alter, Ethnizität (KI-Verordnung Art. 15). Testmethodik dokumentieren.
Betriebsvereinbarung (DACH)
Betriebsvereinbarung mit Betriebsrat verhandeln über: KI-Umfang, Datennutzung, Mitarbeiterrechte, Überprüfungszyklen (BetrVG Paragraph 87 Abs. 1 Nr. 6).
Mitarbeiterbenachrichtigung
Alle betroffenen Mitarbeitenden über KI-Nutzung, verarbeitete Daten und ihre Rechte informieren (DSGVO Art. 13/14 + KI-Verordnung Art. 52). Teilnahme muss freiwillig sein.
Laufendes Monitoring und Überprüfung
Regelmäßige Compliance-Reviews, Vorfallmeldungen und jährlichen Audit-Zyklus einrichten. Dokumentation aktualisieren, wenn sich KI-Systeme ändern.
Strafen: Was Nicht-Compliance kostet
| Verstoß | Bußgeld | Verordnung |
|---|---|---|
| Verbotene KI-Praktiken | Bis 35 Mio. EUR oder 7 % globaler Umsatz | KI-Verordnung Art. 99(3) |
| Hochrisiko-Nichteinhaltung | Bis 15 Mio. EUR oder 3 % Umsatz | KI-Verordnung Art. 99(4) |
| Falsche Informationen | Bis 7,5 Mio. EUR oder 1,5 % Umsatz | KI-Verordnung Art. 99(5) |
| DSGVO-Datenschutzverstoß | Bis 20 Mio. EUR oder 4 % Umsatz | DSGVO Art. 83 |
Bußgelder können sich addieren. Ein einzelnes KI-System, das gegen DSGVO und KI-Verordnung verstößt, kann Strafen unter beiden Verordnungen erhalten. DSGVO-Bußgelder seit 2018 haben kumulativ 2,1 Milliarden EUR überschritten (GDPR Enforcement Tracker).
So setzt Teamo AI Compliance um
Teamo AI ist von Grund auf für EU AI Act und DSGVO-Konformität konzipiert:
- EU-Datenresidenz: Alle Daten in EU-Rechenzentren gehostet. Keine US-Transfers.
- Audit-Logging: Jede KI-Aktion protokolliert, mit Zeitstempel versehen, Nutzer und Session zugeordnet. Durchsuchbar und exportierbar für behördliche Überprüfung.
- Rollenbasierte Zugriffskontrolle: 4-stufiges Berechtigungssystem (Mitglied/Observer/Admin/Super-Admin). KI-Fähigkeiten pro Rolle begrenzt.
- Tool-Ausführungsrichtlinien: 4 Profile (minimal/standard/admin/full). Gefährliche Aktionen erfordern menschliche Bestätigung.
- Anonymisierung als Standard: Individülle Assessment-Ergebnisse und Coaching-Gespräche anonymisiert. Nur aggregierte Team-Level-Einblicke für das Management sichtbar.
- Betriebsrats-kompatibel: Freiwillige Teilnahme, Datentrennung zwischen Coaching und Leistung, Informationsrechte des Betriebsrats unterstützt.
- Menschliche Aufsicht: Tool-Bestätigungssystem bietet Vorschau + Genehmigung für ausgehende Aktionen. Keine automatisierten Entscheidungen ohne menschliche Überprüfung bei bedeutenden Ergebnissen.
Für den vollständigen Enterprise-Sicherheitsvergleich siehe unseren Enterprise-KI-Agent-Sicherheitsleitfaden.
Deine Compliance-Readiness messen
Unser kostenloses KI-Governance-Assessment ordnet 15 Fragen EU AI Act, NIST AI RMF und ISO 42001 Anforderungen zu. Reifegrad-Score in 5 Minuten.
Compliance-konforme KI für dein Team
Teamo AI bietet DSGVO + EU AI Act Compliance von Anfang an. EU-Hosting, Audit-Logging, Betriebsrats-kompatibel, rollenbasierter Zugriff. Kostenlos starten.
Der EU AI Act stuft KI-Systeme im HR-Bereich als Hochrisiko ein. Strafen bei Nichteinhaltung erreichen bis zu 35 Millionen EUR oder 7 % des weltweiten Umsatzes.
![Europäische KI für Teams: Warum 'EU-Region' auf US-Clouds nicht reicht [2026]](https://www.teamazing.com/wp-content/uploads/2026/04/EU-AI-Usage.jpg)
![OpenClaw im Unternehmen: 5 Gründe, warum dein Sicherheitsteam Nein sagen wird [2026]](https://www.teamazing.com/wp-content/uploads/2026/03/openclaw-in-companies.jpg)
![Schatten-KI kostet dein Unternehmen Millionen: Das Audit-Handbuch [2026]](https://www.teamazing.com/wp-content/uploads/2026/03/shadow-ai-in-companies-effect-and-cause.jpg)