Am 2. August 2026 treten die Hochrisiko-Pflichten des EU AI Act in Kraft — und betreffen eine Kategorie von KI-Systemen, die in den meisten Unternehmen längst im Einsatz ist, aber selten als regulierungsrelevant wahrgenommen wird. Annex III der Verordnung listet unter Punkt 4 explizit KI-Systeme auf, die in den Bereichen Beschäftigung, Personalmanagement und Zugang zu selbstständiger Erwerbstätigkeit eingesetzt werden. Was abstrakt klingt, betrifft in der Praxis das Recruiting-Tool, das Lebensläufe vorsortiert, das Scoring-Modell, das Kreditwürdigkeit bewertet, und die HR-Plattform, die Leistungsbewertungen aggregiert.
Ein Gedankenexperiment macht die Tragweite greifbar: Ein mittelständisches Unternehmen in Nordrhein-Westfalen nutzt seit zwei Jahren ein KI-gestütztes Bewerbermanagementsystem. Das System filtert eingehende Bewerbungen nach Schlüsselwörtern, bewertet die Passung zum Anforderungsprofil und erstellt eine Rangfolge. Die Personalabteilung sieht am Ende eine sortierte Liste. Das Unternehmen hat nie darüber nachgedacht, ob dieses Werkzeug unter eine EU-Verordnung fällt. Ab August muss es das — denn genau solche Systeme stehen im Zentrum der neuen Pflichten.
Was Annex III konkret erfasst
Die Verordnung unterscheidet zwischen verbotenen Praktiken (seit Februar 2025 in Kraft), allgemeinen Transparenzpflichten für generative KI und dem Hochrisiko-Regime, das ab August greift. Für Unternehmen ist die dritte Kategorie die folgenreichste, weil sie nicht auf offensichtlich gefährliche Anwendungen beschränkt ist, sondern auf alltägliche Geschäftsprozesse zielt.
Unter Annex III, Kategorie 4 fallen KI-Systeme, die für die Anwerbung oder Auswahl natürlicher Personen eingesetzt werden — etwa durch Schaltung gezielter Stellenanzeigen, Analyse oder Filterung von Bewerbungen und Bewertung von Bewerbern. Ebenso erfasst sind Systeme, die Entscheidungen über Beförderung, Kündigung, Aufgabenzuweisung oder Leistungsüberwachung beeinflussen. Hinzu kommen unter Kategorie 5 Systeme zur Bewertung der Kreditwürdigkeit natürlicher Personen und unter Kategorie 6 solche für Versicherungsprämienberechnungen auf Basis von Profiling.
Die Formulierungen sind bewusst weit gefasst. Ein System fällt nicht erst dann unter die Verordnung, wenn es die finale Entscheidung trifft — es reicht, dass es die Entscheidung wesentlich beeinflusst. Wer ein Tool nutzt, das Lebensläufe in A-, B- und C-Kandidaten sortiert, betreibt ein Hochrisiko-System, auch wenn am Ende ein Mensch entscheidet. Die menschliche Aufsicht, die der AI Act ohnehin vorschreibt, setzt voraus, dass das System als Hochrisiko klassifiziert und entsprechend dokumentiert ist.
Die Pflichten im Detail
Für Betreiber von Hochrisiko-Systemen — und das sind in der Regel die Unternehmen selbst, nicht die Softwareanbieter — ergeben sich aus der Verordnung konkrete Anforderungen. Das System muss in einem Risikomanagementsystem erfasst werden, das über den gesamten Lebenszyklus aufrechterhalten wird. Es braucht eine technische Dokumentation, die nachvollziehbar macht, wie das System funktioniert, auf welchen Daten es trainiert wurde und welche Einschränkungen es hat. Es müssen automatische Protokolle (Logs) geführt werden, die eine Rückverfolgbarkeit gewährleisten. Und es muss eine wirksame menschliche Aufsicht implementiert sein — nicht als Feigenblatt, sondern als operativ nachweisbarer Prozess.
Zusätzlich verlangt Artikel 26 des AI Act, dass Betreiber vor dem Einsatz eines Hochrisiko-KI-Systems eine Grundrechte-Folgenabschätzung durchführen. Für Unternehmen, die bereits Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO kennen, ist das Konzept nicht fremd — aber der Anwendungsbereich ist breiter. Es geht nicht nur um personenbezogene Daten, sondern um die Auswirkungen auf Grundrechte insgesamt: Nichtdiskriminierung, Chancengleichheit, Recht auf effektiven Rechtsbehelf.
Die Rolle der Betriebsräte
In Deutschland kommt eine Dimension hinzu, die in der gesamteuropäischen Diskussion oft untergeht: die betriebliche Mitbestimmung. Betriebsräte haben nach §87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die geeignet sind, Verhalten oder Leistung der Beschäftigten zu überwachen. Wie bereits im Kontext der Überwachungseignung analysiert, reicht die objektive Eignung zur Überwachung — die tatsächliche Nutzung ist unerheblich.
Der EU AI Act verschärft diese Konstellation, weil er für HR-nahe KI-Systeme erstmals verbindliche Transparenz- und Dokumentationspflichten auf europäischer Ebene einführt. Ein Betriebsrat, der im September 2026 eine Betriebsvereinbarung über ein Recruiting-Tool verhandelt, kann sich nicht nur auf das BetrVG stützen, sondern auch auf die Anforderungen der EU-Verordnung. Die Dokumentation, die der AI Act vom Betreiber verlangt — Funktionsweise, Trainingsdaten, Einschränkungen, Aufsichtskonzept — ist exakt die Information, die ein Betriebsrat für eine fundierte Verhandlung braucht.
Gleichzeitig stellt sich die Frage der technischen Bewertung. Seit der Reform des BetrVG im Jahr 2021 können Betriebsräte nach §80 Abs. 3 S. 2 ohne Erforderlichkeitsprüfung einen KI-Sachverständigen hinzuziehen, wenn es um die Einführung oder Anwendung von KI geht. Dieser Anspruch gewinnt mit dem AI Act an operativer Bedeutung: Denn die Frage, ob ein System unter Annex III fällt, ist keine juristische Frage allein — sie verlangt eine technische Analyse der Systemarchitektur, der Datenpipeline und der Entscheidungslogik.
Wo die Umsetzung scheitern wird
Die größte Schwachstelle in der Umsetzung liegt nicht in der Regulierung selbst, sondern in einer weit verbreiteten Fehleinschätzung: Viele Unternehmen gehen davon aus, dass der Softwareanbieter die Compliance gewährleistet. Diese Annahme ist falsch. Der AI Act unterscheidet zwischen Anbieter (Provider) und Betreiber (Deployer). Der Anbieter — etwa ein SaaS-Unternehmen, das ein Recruiting-Tool verkauft — muss die Konformitätsbewertung durchführen und die CE-Kennzeichnung anbringen. Aber der Betreiber — das Unternehmen, das das Tool einsetzt — trägt eigene Pflichten: menschliche Aufsicht, Eingabedatenqualität, Protokollierung, Information der Betroffenen.
Diese Pflichtenteilung ähnelt dem Verhältnis zwischen Auftragsverarbeiter und Verantwortlichem in der DSGVO, geht aber weiter. Ein Unternehmen kann nicht mehr darauf verweisen, dass der Anbieter alles geregelt hat. Es muss selbst verstehen, was das System tut, und es muss dieses Verständnis dokumentieren. Für viele Personalabteilungen, die ein Recruiting-Tool als Dienstleistung eingekauft haben, ohne die technischen Details zu hinterfragen, bedeutet das eine grundlegende Umstellung.
Der EU AI Act verlagert die Verantwortung für KI-Systeme im Beschäftigungskontext vom Anbieter auf den Betreiber — und damit auf Entscheider, die bisher selten mit regulatorischen Anforderungen an Software konfrontiert waren.
Handlungsfenster und Zeitdruck
Zwischen heute und August 2026 liegen weniger als vier Monate. In dieser Zeit muss ein Unternehmen, das Hochrisiko-KI-Systeme betreibt, mindestens drei Dinge klären: Welche der eingesetzten Systeme fallen unter Annex III? Welche Dokumentation liegt bereits vor, und wo sind Lücken? Und wie sieht das Aufsichtskonzept aus — wer prüft, was das System entscheidet, und wie wird eingegriffen, wenn es falsch liegt?
Für Unternehmen, die diese Fragen noch nicht gestellt haben, ist der Zeitdruck real, aber nicht unbeherrschbar. Der erste Schritt — ein systematisches Inventar aller KI-Systeme mit potenzieller Hochrisiko-Klassifizierung — lässt sich in wenigen Wochen erstellen, wenn die richtigen Personen zusammenarbeiten. Entscheidend ist dabei nicht die Größe des Projektteams, sondern die Kombination aus juristischem Verständnis der Verordnung und technischer Fähigkeit, die tatsächliche Systemarchitektur zu bewerten. KI-Beratung, die beide Perspektiven verbindet, ist in dieser Phase wertvoller als isolierte Legal-Opinions oder rein technische Audits.
Der eigentliche Paradigmenwechsel
Die meisten Kommentare zum EU AI Act konzentrieren sich auf die Compliance-Kosten und den bürokratischen Aufwand. Diese Perspektive greift zu kurz. Die tiefere Veränderung liegt darin, dass der AI Act zum ersten Mal eine Erklärpflicht für algorithmische Entscheidungen im Beschäftigungskontext etabliert — nicht als akademisches Ideal, sondern als durchsetzbares Recht. Ein Bewerber, der von einem KI-gestützten System aussortiert wird, muss nach Art. 86 des AI Act über den Einsatz des Systems informiert werden. Ein Arbeitnehmer, dessen Leistungsbewertung auf KI-generierten Kennzahlen beruht, hat Anspruch auf eine nachvollziehbare Erklärung.
Für die betriebliche Praxis in Deutschland bedeutet das eine Konvergenz zweier bisher getrennter Regelungskreise: Das BetrVG regelt die Mitbestimmung, der AI Act regelt die Systemanforderungen. Zusammen erzeugen sie einen Standard, der weder rein juristisch noch rein technisch zu erfüllen ist. Unternehmen, die diese Verschränkung früh erkennen und ihre Compliance-Strategie darauf ausrichten, schaffen nicht nur regulatorische Sicherheit, sondern auch einen Verhandlungsrahmen mit dem Betriebsrat, der auf Substanz statt auf Misstrauen beruht.