KI-Gesetz: Deutsche Unternehmen starten in 100-Tage-Sprint

Ab August müssen vor allem Personalabteilungen hochriskante KI-Systeme unter menschliche Kontrolle stellen.

Countdown für die Personalarbeit

Der Übergangszeitraum des europäischen KI-Gesetzes (AI Act) tritt in seine finale Phase ein. Deutsche Unternehmen haben noch etwa 100 Tage, um ihre Compliance-Maßnahmen abzuschließen. Der Stichtag 2. August 2026 markiert den Vollzug der Vorschriften für KI in Personalwesen und Recruiting. Seit heute Morgen laufen in HR- und Rechtsabteilungen die Vorbereitungen auf Hochtouren.

Als hochriskant gelten KI-Systeme, die im Arbeitsumfeld eingesetzt werden. Dazu zählen Tools für das Filtern von Bewerbungen, das Scoring von Kandidaten oder die Überwachung von Mitarbeiterleistung. Für sie gelten ab Sommer strikte Transparenz- und Dokumentationspflichten. Kern der neuen Regelung: Jede Anwendung muss unter wirksamer menschlicher Aufsicht stehen.

Da die Fristen des EU AI Acts für HR-Systeme bereits feststehen, müssen Unternehmen jetzt ihre Compliance-Strukturen zügig anpassen. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle Anforderungen, Risikoklassen und Dokumentationspflichten. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

Deutschland setzt mit KI-MIG auf Zentralisierung

Den nationalen Durchführungsrahmen schafft das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG). Der Bundestag berät derzeit den Gesetzentwurf, den das Kabinett bereits im Februar beschlossen hat. Die zentrale Neuerung: Die Bundesnetzagentur wird zur zentralen Marktüberwachungsbehörde für KI in Deutschland aufsteigen.

Die möglichen Strafen sind enorm. Für Verstöße gegen Verbote drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Selbst Pflichtverletzungen bei hochriskanten Systemen – etwa mangelnde Dokumentation – können noch bis zu 15 Millionen Euro oder drei Prozent des Umsatzes kosten. Diese Summen übersteigen die Höchststrafen der DSGVO deutlich.

Doppelbelastung durch Betriebsräte

Die Einführung der KI-Regeln fällt ausgerechnet mit den Betriebsratswahlen 2026 zusammen, die noch bis Ende Mai laufen. Das erschwert die Lage für Personalverantwortliche. Denn der Einsatz von KI zur Leistungskontrolle löst bereits nach geltendem Betriebsverfassungsgesetz Mitbestimmungsrechte aus.

Unternehmen stehen damit vor einer doppelten Informationspflicht. Sie müssen sowohl die Belegschaft nach dem KI-Gesetz informieren als auch den Betriebsrat in die Entscheidung einbinden. Oft sind dafür sogar externe Gutachter nötig. Die EU-Vorgaben ersetzen nationale Mitbestimmungsrechte also nicht – sie kommen obendrauf.

Fundamentale Rechte auf dem Prüfstand

Eine weitere zentrale Neuerung ab August ist die Grundrechte-Folgenabschätzung. Für Behörden und bestimmte private Dienstleister ist sie verpflichtend. Juristen raten jedoch allen Unternehmen mit KI im Personalwesen zu einer solchen Prüfung. Sie dient dem Schutz vor Klagen und hilft bei der Einhaltung der DSGVO.

Die Abschätzung muss detailliert darlegen, welche Personengruppen betroffen sind und welche Risiken für Grundrechte wie die Chancengleichheit bestehen. Die Ergebnisse sind der Marktüberwachungsbehörde mitzuteilen. Wer die Prüfung vernachlässigt, riskiert nicht nur hohe Geldstrafen, sondern auch gerichtliche Nutzungsverbote.

Vom Graubereich zur harten Pflicht

Der August-Stichtag beendet eine etwa 18-monatige Übergangsphase, in der viele Firmen KI-Tools noch in einer Art Grauzone nutzten. Künftig sind undurchsichtige „Blackbox“-Algorithmen im Recruiting tabu. Jede automatisierte Absage oder Einstufung muss für Bewerber nachvollziehbar und von Aufsichtsbehörden überprüfbar sein.

Besonders bei der Einführung von KI-Systemen zur Mitarbeiterkontrolle spielen die Mitbestimmungsrechte des Betriebsrats eine entscheidende Rolle. Erfahren Sie in diesem Gratis-E-Book, wie Sie die gesetzlichen Rechte nach § 87 BetrVG rechtssicher anwenden und Ihre Verhandlungsposition im Betrieb stärken. Kostenloses E-Book zu Mitbestimmungsrechten sichern

Trotz einiger Verzögerungen bei technischen Standards signalisieren die Behörden klar: Fehlende Leitlinien befreien nicht von den Kernpflichten. Der Fokus liege nun auf „nachweisbarer Sorgfalt“. Unternehmen müssen zeigen, dass sie Risikomanagement und Daten-Governance in gutem Glauben aufgebaut haben.

Sandkasten für Innovationen

Nach dem Stichtag wird der Blick auf die ersten Durchsetzungsmaßnahmen und sogenannte KI-Regulatorische Sandkästen fallen. Bis August muss Deutschland mindestens einen solchen Testraum einrichten. Dort können vor allem KMU und Startups ihre KI-Innovationen unter Aufsicht erproben, bevor sie auf den Markt kommen.

Die nächste große Hürde wartet bereits 2027. Dann wird der Geltungsbereich auf KI als Sicherheitskomponente in Produkten wie Medizingeräten ausgeweitet. Für den Rest dieses Jahres jedoch bleibt die Priorität klar: Deutsche Unternehmen müssen ihre KI-Governance fest in Personalstrukturen und Compliance verankern. Die Effizienzgewinne der Automatisierung dürfen nicht auf Kosten der rechtlichen Stabilität gehen.

de | boerse | 69226075 |